AWS Identity and Access Management(IAM)를 사용하면 AWS 서비스와 리소스에 대한 액세스를 안전하게 관리할 수 있습니다. 또한, AWS 사용자 및 그룹을 만들고 관리하며 AWS 리소스에 대한 액세스를 허용 및 거부할 수 있습니다.
IAM은 AWS 계정에서 추가 비용 없이 제공되는 기능입니다. 사용자가 사용한 다른 AWS 서비스에 대해서만 요금이 부과됩니다.
IAM 사용을 시작하거나 이미 AWS에 등록한 경우 AWS Management Console로 이동하여 IAM 모범 사례를 참조해 시작하십시오.
사용 사례
AWS 리소스에 대한 세분화된 액세스 제어
IAM을 사용하면 사용자가 AWS 서비스 API 및 특정 리소스에 대한 액세스를 제어할 수 있습니다. 또한 IAM을 통해 사용자가 AWS를 사용하는 방법, 원본 IP 주소, SSL 사용 여부 또는 Multi-Factor Authentication 디바이스로 인증을 받는지 여부 등을 제어하는 특정 조건(예: 시간)을 추가할 수 있습니다.
권한이 높은 사용자용 Multi-Factor Authentication
추가 비용 없이 사용자 이름과 암호 자격 증명을 보강해주는 보안 기능인 AWS MFA를 사용하여 AWS 환경을 보호할 수 있습니다. MFA를 사용하려면 유효한 MFA 코드를 제공하여 하드웨어 MFA 토큰 또는 MFA 지원 모바일 디바이스를 실제 소유하고 있음을 증명해야 합니다.
액세스 분석
IAM에서는 AWS 환경에서 액세스를 분석할 수 있습니다. 보안 팀과 관리자는 정책이 리소스에 대해 의도된 퍼블릭 및 교차 계정 액세스만 제공하는지 빠르게 검증할 수 있습니다. 또한 사용하는 서비스에 대해서만 액세스를 허용하도록 정책을 쉽게 식별하고 정책을 구체화할 수도 있습니다. 이를 통해 최소 권한의 원칙을 효과적으로 준수할 수 있습니다.
회사 디렉터리와 통합
Microsoft Active Directory와 같은 기존 자격 증명 시스템을 사용하여 직원 및 애플리케이션에 AWS Management Console과 AWS 서비스 API에 대한 연동 액세스 권한을 부여하는 데 IAM을 사용할 수 있습니다. SAML 2.0을 지원하는 모든 자격 증명 관리 솔루션을 사용할 수 있으며 AWS의 연동 샘플(AWS Console SSO 또는 API 연동) 중 하나를 사용할 수도 있습니다.
작동 방식
AWS IAM으로 다음을 수행할 수 있습니다.
- IAM 사용자 및 액세스 관리 – IAM에서 사용자를 생성하거나, 사용자에게 개별 보안 자격 증명(즉, 액세스 키, 암호, Multi-Factor Authentication 디바이스)을 할당하거나, AWS 서비스 및 리소스에 대한 액세스를 제공하도록 임시 보안 자격 증명을 요청할 수 있습니다. 사용자가 수행할 수 있는 작업을 제어하기 위해 권한을 관리할 수 있습니다.
- IAM 역할 및 해당 권한 관리 – IAM에서 역할을 생성하고 권한을 관리하여 역할을 맡는 엔터티 또는 AWS 서비스가 수행할 수 있는 작업을 제어할 수 있습니다. 또한, 역할을 맡을 수 있는 엔터티를 정의할 수 있습니다. 그 밖에도 서비스에 연결된 역할을 사용하여 사용자를 대신해 AWS 리소스를 생성하고 관리하는 AWS 서비스에 권한을 위임할 수 있습니다.
- 연동 사용자 및 해당 권한 관리 – 자격 증명 연동을 사용하면 자격 증명별로 IAM 사용자를 생성하지 않고도 기업의 기존 자격 증명(사용자, 그룹 및 규칙)으로 AWS Management Console에 액세스하고, AWS API를 호출하며, 리소스에 액세스할 수 있습니다. SAML 2.0을 지원하는 모든 자격 증명 관리 솔루션을 사용하거나 AWS의 연동 샘플(AWS Console SSO 또는 API 연동) 중 하나를 사용합니다.
모범 사례
AWS에서는 IT 전문가와 개발자가 AWS 리소스에 대한 액세스를 관리하는 데 도움이 되도록 모범 사례 목록을 제공합니다.
AWS IAM에 대해 자세히 알아보기