kakasoo

자격 증명 보고서 ( = IAM Credentials Report ) 제목의 둘은 IAM 보안 도구로 묶이는 도구들인데, 도구라고 해서 거창한 것은 아니고 권한을 체크하는 버튼 두 개일 뿐이다. IAM 자격 증명 보고서 ( = IAM Credentials Report )는 계정 레벨에서 사용이 가능하며, 모든 사용자의 정보를 볼 수 있다. 보고서는 계정에 있는 사용자와 다양한 자격 증명의 상태를 포함하고 있는데, 여기에는 MFA 인증 여부 따위의 정보가 나온다. 이는 보안 관리자에게 어떤 사용자에게 주목해야 하는지 정보를 제공해준다. IAM 대시보드 좌측 사이드에서 자격 증명 보고서를 누르고, 보안 인증 보고서 다운로드 버튼을 누르면 CSV 형태로 볼 수 있다. 액세스 관리자 ( = IAM Access ..

IAM Role ( = 역할 ) Role은 사용자와 같지만 실제 사람이 사용하도록 만들어진 것이 아니고 AWS 서비스에 의해 사용되며, IAM 대시보드에서 사용할 수 있다. 아직 EC2에 대한 걸 배웠지만, 만약 EC2 인스턴스를 만든다면, EC2 인스턴스가 AWS에서 어떤 작업을 수행하길 원할 수도 있다. 이럴 때 EC2 내부 코드 상에 자격증명을 하는 대신 EC2에 필요로 하는 권한을 담아 IAM Role을 만들고 이를 하나의 개체로 묶을 수 있다. 이러면 EC2 인스턴스가 AWS 개체에 접근하고자 할 때 Role에 따라 접근할 수 있는 자원을 확인할 것이다. 일반적으로는 EC2 Instance Roles과 Lambda Function Roles이 존재하지만, 그 외에도 많은 서비스에 Role을 적용..

AWS 리소스에 접근하는 방법 AWS에는 3가지 접근 방법으로, 콘솔, CLI, AWS SDK가 있다. 콘솔은 대시보드 형태로 웹 상에서 직접 AWS 리소스를 다룰 때 사용하지만, CLI나 AWS SDK는 외부 환경에서 리소스를 다룰 수 있다. 따라서 CLI, AWS SDK는 권한 인증이 필수적인데, 이 때 액세스 키를 필요로 한다. ( 액세스 키는 절대 다른 사람에게 공유해선 안 된다. ) 액세스 키 아이디 ( Access Key ID ) 는 username과 같고 시크릿 액세스 키 ( = Secret Access Key ) 는 password와 같다. CLI는 AWS에서 제공하는 커맨드 라인 인터페이스로 쉘과 같은 환경에서 명령어로 AWS를 사용할 수 있게 해준다. SDK는 Software Devel..

IAM 사용자 보호 방법 2가지 사용자들은 계정에 접근 권한이 있고 구성을 변경하거나 리소스 삭제가 가능한 경우도 많다. 따라서 적어도 루트 계정만은 반드시 보호해야 하며, 전체 IAM 사용자도 보호하는 것이 좋다. 그룹과 사용자의 정보가 침해당하지 않게 보호하는 매커니즘은 2개가 있다. 비밀번호 정책 MFA의 사용 ( 다요소 인증 ) 비밀번호가 더 어려워지게 특정 유형 글자 사용을 강제하거나 비밀번호 최소 길이를 지정할 수 있다. 또 비밀번호를 수정할 수 없게 하거나, 90일마다 비밀번호를 만료시켜 변경하게 할 수도 있고, 이전에 사용한 것과 동일한 비밀번호를 사용하는 것을 막아 보안을 더 안전하게 유지할 수 있다. 이런 식으로 비밀번호 정책을 이용하면 계정에 대한 치명적인 공격을 막는 데에 도움이 된..

사용자, 사용자 그룹 ( Users, User Groups ) 에 대한 설명 Alice, Bob, Charles, David, Edward, Fred 6명의 사람들이 있다고 해보자. Alice, Bob, Charles는 Developer이고, David, Edward는 Operation팀에 속한다. 마지막으로 Fred는 어느 팀에도 속하지 않았다고 해보자. 이 때, 이 6명의 사람들을 각각 User ( = 사용자 ) 라고 하고, 정의된 3개의 그룹을 User Group ( = 사용자 그룹 ) 라고 정의한다. 사용자들은 자신의 그룹으로부터 권한을 상속받아 사용할 수 있기 때문에 그룹을 이용해서 권한을 관리하는 편이 더욱 효율적이다. 반면, Group Aduit Team 처럼, Charles, David가 ..