[AWS] AWS AWS IAM User와 Role 구성

AWS IAM이란?

AWS IAM에서 IAM이란 Identity and Access Management의 약자이다. IAM은 AWS 서비스 및 리소스에 대한 접근 제어를 중앙에서 관리할 수 있게 해주는 서비스이다. 사용자, 그룹, 역할을 생성하고 권한을 통해 접근 권한을 설정하여 접근 권한을 제어한다.

AWS IAM 주요 구성요소

User: Account 접근에 사용하는 신원정보 (ID/PW)
Group: 공통된 특징을 갖는 User를 묶는 단위
Role: 리소스에 권한을 할당할 때 사용
Policy: 할 수 있는 것과 없는 것을 명시

IAM User, IAM Group, IAM Role 차이점

구분	IAM User	IAM Group	IAM Role
대상	단일 사용자	User의 집합	복수 사용자, 리소스 ex) EC2
목적	AWS 접근을 위한 자격 증명	동일한 성격을 갖는 IAM User를 Group 단위로 묶어 Group에 권한을 할당해 동시에 적용하여 관리	임시 권한 위임
보안 인증	ID/PW, Access Key	-	STS Token
인증기간	영구	-	임시

IAM Role

일정 시간 이후 만료되는 임시 자격증명
IAM Role의 두 가지 권한 정책 정의 영역
- 신뢰 정책: 누가 역할을 맡을 수 있는지 정의
- 권한 정책: 역할이 수행할 수 있는 권한 정책

IAM Policy

IAM 자격 증명에 연결해 AWS 리소스에 대한 접근 권한 정보가 정의되어 있는 객체
IAM Policy는 JSON 파일 형태로 구성
IAM Policy는 자격 증명 기반 정책(Identity-based Policies)와 리소스 기반 정책(Resource-based Policies)로 구분

AWS IAM User와 Role 구성 실습

IAM User 생성

AdministratorAccess 권한을 할당한 IAM User로 로그인

AdministratorAccess 권한을 할당할 IAM User로 생성한다.
권한 옵셩에서 직접 정책 연결을 선택하고 권한 정책에서 Administrator Access 권한을 부여한다.

콘솔 로그인 URL로 접속해 IAM User로 로그인한다.

→ Administrator Access 권한이 있으므로 인스턴스를 관리할 수 있다.

권한 삭제 후 EC2 콘솔로 다시 접속한다.

→ 권한이 부여되지 않아 오류가 발생함을 확인할 수 있다.

Access Key와 Secret Key를 이용해서 접속

ReadOnlyAccess 권한을 부여한다.

액세스 키를 만든다.
configure로 User에 대한 정보를 Bastion 서버에 입력한다.

$ sudo su -
Last login: Mon Jul 22 03:38:15 UTC 2024 on pts/1
# aws configure
AWS Access Key ID [None]: 
AWS Secret Access Key [None]: 
Default region name [None]: ap-northeast-2
Default output format [None]: json
# aws sts get-caller-identity
{
    "UserId": "AWS Access Key ID 값",
    "Account": "339712890055",
    "Arn": "arn:aws:iam::339712890055:user/lab-edu-iam-user-01"
}

입력한 후 80번 포트를 열고 접속한다. (Access Key와 Secret Key를 이용해 EC2 정보를 확인할 수 있는지 확인하기 위한 작업이다.)
# cd streamlit-project/ # streamlit run main.py --server.port 80 & [1] 58815 # Collecting usage statistics. To deactivate, set browser.gatherUsageStats to False. You can now view your Streamlit app in your browser. Network URL: External URL: