[AWS IAM] AWS IAM 자격증명이란? (IAM User, Group, Role, Policy)

0. IAM(Identity and Access Management)

https://musma.github.io/2019/11/05/about-aws-iam-policy.html

• AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹서비스.
• IAM을 사용하여 리소스를 사용하도록 인증(로그인) 및 권한 부여된 대상을 제어한다.
• IAM 자격 증명
  • IAM User(사용자)
  • IAM Group(그룹)
  • IAM Role(역할)

---

1. IAM User

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_users.html

• AWS에서 생성하는 엔터티로서 AWS와 상호 작용하기 위해 그 엔터티를 사용하는 사람 또는 애플리케이션.
• AWS에서 사용자는 이름과 자격 증명으로 구성된다.
• 사용자의 자격 증명 방법
  • 콘솔 암호
  • 액세스 키: 액세스 키 ID와 보안 액세스 키의 조합.
  • CodeCommit용 SSH 키
  • 서버 인증서: 일부 AWS 서비스를 사용한 인증에 사용할 수 있는 SSL/TLS 인증서.

---

2. IAM Group

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_groups.html

• IAM User들의 집합.
• 그룹을 활용하면 다수의 사용자들에 대한 권한을 지정함으로써 해당 사용자들에 대한 권한을 더 쉽게 관리할 수 있다.
• 그룹의 특징
  • 한 그룹에 여러 사용자가 포함될 수 있으며, 한 사용자가 다중 그룹에 속할 수 있다.
  • 그룹은 중첩될 수 없다. 즉, 그룹은 사용자만 포함할 수 있으며 다른 그룹은 포함할 수 없다.
  • AWS 계정의 모든 사용자를 포함하는 기본 그룹은 없다.
  • AWS 계정의 IAM 리소스 수와 크기는 제한되어 있다.

---

3. IAM Role

• 특정 권한을 가진 계정에 생성할 수 있는 IAM 자격 증명.
• 일반적으로 AWS 리소스에 액세스할 수 없는 사용자, 애플리케이션 또는 서비스에 액세스 권한을 위임할 수 있다.
• 역할을 맡을 수 있는 주체
  • 동일한 AWS 계정의 IAM 사용자.
  • 역할과 다른 AWS 계정의 IAM 사용자.
  • Amazon EC2와 같은 AWS가 제공하는 웹 서비스.
  • SAML 2.0, OpenID Connect 또는 사용자 지정 구축 자격 증명 브로커와 호환되는 외부 자격 증명 공급자(IdP) 서비스에 의해 인증된 외부 사용자.
• EC2 인스턴스의 AWS 서비스 역할
  • EC2 인스턴스에서 실행 중인 애플리케이션이 계정에서 작업을 수행하기 위해 맡을 수 있는 특수한 유형의 서비스 역할.
  • 이 역할은 시작된 EC2 인스턴스에 할당된다.
  • EC2 인스턴스를 생성할 때 IAM 역할을 할당할 수 있다.

📍 RBAC(Role-Based Access Control)

• 권한의 논리적 집합으로서 역할을 만들고 역할을 그룹이나 사용자에 연결한다.
• 권한 검사를 할 때 Group에 대해서 조건을 거는 것보다는, 좀 더 보안적인 측면에 가까운 Role에 대해서 규칙을 설정하는 것이 쉽다.
• ⇒ AWS의 많은 서비스에서 권한을 설정할 때 IAM Group보다 IAM Role을 지정하는 부분이 많다.

---

4. IAM Policy

• 자격 증명이나 리소스와 연결될 때 해당 권한을 정의하는 AWS의 객체.
• 정책에서 권한은 요청이 허용되거나 거부되는지 여부를 결정한다.
• 대부분의 정책은 AWS에 JSON 문서로 저장된다.

4-1. Policy의 종류

• 연결 대상이 어디인가에 따라.
  1. 자격 증명 기반 정책(Id-Based Policy) : 자격 증명 주체(User, Group, Role)에 정책 연결.
  2. 리소스 기반 정책(Resource-Based Policy) : 리소스에 정책 연결.
  3. 신뢰 정책 : Role의 신뢰 관계를 연결.
• 누가 만들었냐에 따라.
  • 사용자: 고객 관리 정책.
  • AWS의 빌트인 정책: AWS 관리 정책, 직무 기반 정책.
• IAM Role에 인라인으로 선언되어 있으면 인라인 정책.

4-2. IAM Policy의 JSON 문법

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::bucketA/*"
    }
  ]
}

Version

• string
• IAM Policy JSON 문서 양식 버전.
• default는 2008-10-17이지만, 2012-10-17을 사용해야 하므로 항상 넣어야 한다.

 Statement

• array
• 권한 부여 규칙(Rule 혹은 Policy)의 나열.

 Effect

• enum: Allow | Deny
• 허용한다는 규칙인지, 불허한다는 규칙인지 구분.

Action

• string | Array<string>
• 하나 혹은 여러 개의 Action을 지정할 수 있다.
• AWS 서비스에 사용되는 작업, 리소스 및 조건 키
  • 각 서비스별로 고유의 서비스 접두사(예: DynamoDB는 dynamodb)가 있다.
  • Action은 (서비스 접두사):(작업) 형식으로 작성한다.
    • 작업은 서비스마다 정의된 목록이 있다.
    • 예: dynamodb:DeleteItem, s3:GetObject 등

Resource

• Statement의 주체가 리소스를 한정한다.
• 서비스에 따라 해당 서비스에 속한 하부 리소스 단위까지 한정 가능.
• 예: DynamoDB의 테이블 수준까지 한정(arn:aws:dynamodb:::table/tableA).
• 리소스를 특정할 수 없는 일부 서비스에서는, Resource를 비워두는 대신 *를 입력한다.

Principal

• object (Principal)
• 리소스 기반 정책에서, 보안 주체를 지정한다.

Sid

• string
• Statement ID
• 각 요소에 Unique ID를 붙이고 싶을 때 사용한다.

📍 ABAC(Attribute-Based Access Control)

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html

• AWS용 ABAC.
• 속성(태그)을 기반으로 권한을 정의하는 권한 부여 전략.
• 권한을 부여하는 형식으로서 Policy라는 개념이 추가된다.
  • ABAC 정책: 사용자 및 역할 태그가 일치하는 경우에만 모든 ABAC 역할 수임.
  • 정책은 태그를 이용한 조건문 형식을 사용하여 동적으로 권한을 부여할 수 있게 하는 요소이다.
• Policy를 열거하므로 PBAC(Policy-Based Access Control)이라고도 한다.

 

---

🔗 참고 문서

1. 기술 블로그: AWS IAM: IAM Policy 알아보기 (이론편)

2. AWS Docs: IAM 사용자

3. AWS Docs: IAM 사용자 그룹

4. AWS Docs: IAM 튜토리얼: 태그를 기반으로 AWS 리소스에 액세스할 수 있는 권한 정의