AWS Identity and Access Management(IAM)

AWS 서비스 및 리소스에 세분화된 권한 적용

AWS Identity and Access Management(IAM)는 모든 AWS에 대해 세분화된 액세스 제어를 제공합니다. IAM을 사용하면 서비스 및 리소스에 액세스할 수 있는 사용자와 액세스할 수 있는 조건을 지정할 수 있습니다. IAM 정책으로 인력 및 시스템에 대한 권한을 관리하여 최소 권한을 보장할 수 있습니다.

IAM은 AWS 계정의 기능 중 하나이며 추가 비용 없이 제공됩니다. IAM 사용을 시작하거나 이미 AWS에 등록한 경우 AWS 관리 콘솔로 이동하세요.

사용 사례

IAM을 사용하면 인력 사용자 및 워크로드에 대한 AWS 권한을 관리할 수 있습니다. 인력 사용자의 경우 AWS Single Sign-On(AWS SSO)를 사용하여 AWS 계정에 대한 액세스와 계정 내 권한을 관리하는 것이 좋습니다. AWS SSO를 사용하면 AWS 조직 전체의 IAM 역할 및 정책을 손쉽게 프로비저닝하고 관리할 수 있습니다. 워크로드 권한의 경우 IAM 역할 및 정책을 사용하고 워크로드에 필요한 액세스 권한만 부여합니다.

세분화된 액세스 제어 적용

IAM 정책을 사용하여 특정 AWS 서비스 API 및 리소스에 대한 액세스 권한을 부여할 수 있습니다. 또한 특정 AWS 조직의 자격 증명에 액세스 권한을 부여하거나 특정 AWS 서비스를 통한 액세스 권한을 부여하는 것과 같이 액세스 권한이 부여되는 특정 조건을 정의할 수도 있습니다. 

AWS 조직 전체에 권한 가드 레일 및 데이터 경계 설정

AWS Organizations를 사용하면 서비스 제어 정책(SCP)을 사용하여 조직 계정의 모든 IAM 사용자 및 역할이 준수할 권한 가드 레일을 설정할 수 있습니다. SCP를 방금 시작했든 기존 SCP가 있든 IAM 액세스 어드바이저를 사용하면 권한을 확실하게 제한하는 데 도움이 됩니다.

IAM Access Analyzer를 통해 최소 권한 달성

최소 권한을 달성하려면 요구 사항의 변화에 따라 적절하게 세분화된 권한을 부여하는 지속적인 주기를 거쳐야 합니다. IAM Access Analyzer는 권한을 설정, 확인 및 재정의할 때 권한 관리를 간소화하는 데 도움이 됩니다.

ABAC를 통해 세분화된 권한을 자동으로 조정

속성 기반 액세스 제어(ABAC)는 부서, 직위 및 팀 이름과 같은 사용자 속성을 기반으로 세분화된 권한을 생성하는 데 사용할 수 있는 권한 부여 전략입니다. ABAC를 사용하면 AWS 계정에서 세분화된 제어를 생성하는 데 필요한 개별 권한의 수를 줄일 수 있습니다.

작동 방식

IAM으로 세분화된 권한을 지정하여 누가 무엇에 액세스할 수 있는지 정의합니다. IAM은 모든 요청에 이러한 권한을 적용합니다. 액세스는 기본적으로 거부되며 권한이 ‘Allow’를 지정하는 경우에만 부여됩니다. 

IAM의 작동 방식을 보여주는 이미지

IAM에 대해 자세히 알아보기

IAM 기능 페이지로 이동하기