[AWS_IAM] 사용자, 그룹 이론및 실습

IAM 

사용자를 생성하며 그룹에 배치하기 때문에 글로벌 서비스에 해당이 된다. 

기본적으로 계정을 생성할 때 루트 계정을 만들어서 사용했지만 

다른 사용자가 루트 계정을 사용하며 안되고 공유해서도 안되기 때문에 IAM으로 사용자를 생성하게 됩니다. 

 

root가 가지고 있는데 절대적 권한이 다른 사용자들에게 사용이 된다고 하면 

많은 피해가 생길 수 있고 보안적인 문제가 크기 때문에 일반 사용자 계정을 생성하여 사용하는 것입니다.

 

 

쉽게 리눅스를 생각하시면 됩니다. 

어떤 서버의 root 계정을 다른 사용자에게 공유해주면 안 된다.라는 느낌입니다. 

---

IAM은 사용자를 생성할 때 그룹으로 묶어서 사용이 가능한데 

아래 사진과 같은 형태로 볼 수가 있습니다. 

 

(왼쪽 사람부터 1 ~ 5번 번호로 호칭하겠습니다.) 

2가지의 그룹인 개발자, 운영으로 나눠져 있는데

 

3번과 4번이 새로운 부서에서 일을 하게 되어서 하나의 그룹으로 

묶어야 하는 상황이 왔습니다. 

 

그럼 3번과 4번을 추가한 세 번째 그룹을 새로 만들 수 있게 됩니다. 

아래와 같은 방식으로

이렇게 IAM을 사용해서 사용자와 그룹을 생성하는 이유는 

5명의 이들이 AWS 계정을 사용하도록 허용하기 위해서입니다. 

 

허용을 해주었으면 이들에게 맞는 권한을 부여하고 

이를 위해 사용자 or 그룹에게 정책 또는 IAM 정책이라 불리는 JSON 문서를 지정할 수 있습니다.

 

JSON 문서는 후에 포스팅에서 이야기해보도록 하겠습니다.

 

IAM 사용자, 그룹 실습

AWS 홈페이지에서 IAM 검색을 하시면 하단에 IAM 서비스 클릭!

제가 맨 처음에 IAM은 글로벌 서비스라고 말씀드린 이유가 여기서 나옵니다.

우측 상단에 이름 옆 글로벌이라고 보이시나요?

IAM은 서울, 도쿄 이런 리전을 선택할 필요 없이 글로벌로 운영이 되기 때문입니다!

 

사용자 -> 사용자 추가

사용자의 이름 및 암호 방식을 선택하고 환경에 맞춰서 입력해주세요,

 

앞에 사진에 봤던 그룹이 아래 사진의 그 그룹입니다. 

 

Admin 그룹을 먼저 생성을 해보도록 하겠습니다.

 

그룹 생성 클릭!

그룹의 이름은 당연 Admin

아래 여러 가지 권한들이 보이는데 Admin~~~ Access 최고 권한을 부여하겠습니다.

태그는 안 달고 추가를 하였습니다. 

 

태그의 방식은 Key(부서), Value(엔지니어링) 이런 방식으로 붙게 됩니다.

루트 계정의 대시보드에 가보시면 오른쪽에 계정 별칭이라고 해서 

설정을 하실 수 있는데 사진처럼 별칭을 달아주시면 

링크를 통해서 다른 IAM 사용자가 접근이 가능하게 됩니다. 

위의 링크를 접속하게 되면 root의 계정 별칭이 보이고 

아래 IAM 사용자로 로그인이 바로 가능하게 됩니다. 

Test 1이라는 IAM 계정으로 로그인을 해보시면 

우측 상단에 Test 1@~~~ 하고 붙으시게 되는데 

이렇게 보이시면 IAM 사용자로 정상 접근이 하신 상태입니다. 

위의 방식으로 최종 관리자부터 여러 가지 부서에 맞춰서 IAM 계정을 생성하고 관리가 가능합니다.

 

계정 생성은 윈도우 만큼 쉽죠??