IAM 사용자 및 해당 액세스 관리 – IAM에서 사용자를 생성하거나, 사용자에게 개별 보안 자격 증명(액세스 키, 암호, 멀티 팩터 인증 디바이스 등)을 할당하거나, 사용자에게 AWS 서비스 및 리소스에 대한 액세스를 제공할 수 있도록 임시 보안 자격 증명을 요청할 수 있습니다. 사용자가 수행할 수 있는 작업을 제어하기 위해 권한을 관리할 수 있습니다. IAM 사용자가 될 수 있는 대상:
- AWS 리소스를 관리하기 위해 콘솔에 액세스해야 하는 권한이 있는 관리자.
- AWS 내 콘텐츠에 액세스해야 하는 최종 사용자.
- AWS 내 데이터에 프로그래밍 방식으로 액세스하는 권한이 필요한 시스템.
IAM 사용자 생성을 위한 일반 사용 사례
- 루트 계정을 사용하지 않는 것이 보안 모범 사례입니다. 루트 계정은 모든 서비스와 리소스에 대한 액세스 권한을 부여하기 때문입니다. 사용자에게 필요한 최소한의 권한만 부여합니다. 이를 최소 권한이라고 합니다.
- 그룹 내에 다양한 액세스 및 인증 권한이 있는 다른 사람이 있습니다. IAM 사용자를 사용하면, 특정 서비스 및 관련 리소스에 액세스하는 특정 사용자에게 정책을 좀 더 쉽게 할당할 수 있습니다.
- IAM 사용자는 AWS CLI를 사용할 수 있습니다.
- IAM 사용자는 역할을 사용할 수 있습니다.
다음 다이어그램은 IAM 사용자를 생성하는 표준 사용 사례를 설명합니다.
그룹은 IAM 사용자의 모음입니다. 그룹을 활용하면 사용자의 모음에 권한을 할당할 수 있으므로 해당 사용자의 권한을 좀 더 쉽게 관리할 수 있습니다. 예를 들어 Admins라는 그룹을 만들어 일반적으로 관리자에게 필요한 유형의 권한을 부여할 수 있습니다. 이 그룹에 할당된 권한이 이 그룹에 속하는 모든 사용자에게 자동으로 부여됩니다. 관리자 권한을 필요로 하는 새로운 사용자가 조직에 들어올 경우 해당 사용자를 이 그룹에 추가하여 적절한 권한을 할당할 수 있습니다. 마찬가지로 조직에서 직원의 업무가 바뀌면 해당 사용자의 권한을 편집하는 대신 이전 그룹에서 해당 사용자를 제거한 후 새 그룹에 추가하면 됩니다.