| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- Iam
- 개인정보보호법
- 클라우드보안
- 인스턴스
- 정보보호
- ISMS-P
- 로드밸런서
- 클라우드자격증
- metasploit
- AWS
- 네이버클라우드
- 취약점
- AWS SSA
- ncp
- Burp Suite
- 와이어샤크
- EC2
- 클라우드서비스
- 클라우드 자격증
- isms
- RDS
- azure
- 파일시그니처
- 공개키
- mysql
- AWS SAA
- 클라우드
- 정보보안
- 로그분석
- 보안컨설팅
- Today
- Total
처음 만나는 클라우드 보안
[AWS] 사용자 접근 관리를 위한 IAM 설정 본문
관련용어 정리
DNS (Domain Naem Service)
도메인 주소에 대한 IP주소를 알려주는 서비스
▶DNS 기록 타입
- 정방향 조회
: A ㅡㅡ> 도메인 주소를 입력하면 IPv4 주소를 알려줌
AAA ㅡㅡ> 도메인 주소를 입력하면 IPv6 주소를 알려줌(AAAA=A6)
- 역방향 조회
: PTR(Pointer) ㅡㅡ> IPv4/IPv6를 입력하면 도메인 주소를 알려줌 ex) E-mail 패킷을 처리할 때
▶AWS Route53
AWS에서 제공하는 DNS 서비스로, 도메인 등록을 대행하고 도메인에 대한 관리(구입/환불 등)를 수행한다. 도메인을 IPv4/IPv6 주소 또는 CNAME등과 연결한다.
참고) CNAME: 별칭, NS: Name Server, AWS에서는 co.kr은 등록 안 됨
- 구입한 도메인을 EIP에 연결 ㅡㅡㅡ> Route53에 설정
- EIP를 NLB에 설정
- NLB의 Target으로 Auto Scaling을 지정.
▶Routed 53의 라우팅 정책
- Weighted Round Robin: 가중치를 고려한 로딩 (관리자가 지정하기 나름)
- 지연 기반 라우팅: 응답이 빠른 쪽에 우선해서 IP를 알려줌 (그때그때 다름)
- 장애 대응 라우팅: 한쪽만 100% 사용하다가, 문제 발생 시 다른 쪽 전환하는 방식 (100:0 ㅡㅡ> 0:100)
- 지역 DNS 라우팅: 지역별로 다른 IP주소를 알려줌
▶ 역할(Role)
PaaS 서비스에서 Role을 많이 사용한다.
- ec2에서 생성한 로그를 S3에 저장하는 경우
- Beanstalk 등을 사용하면 자동으로 EC2, S3, RDS 등을 생성함 ㅡㅡ> Role을 부여해야 함
- 주체(Subject): 객체를 조작하거나 컨트롤한다. ex) 사용자, 프로그램, 프로세스
- 객체(Object): 주체에 의해 조작이나 통제되는 것 ex) 파일, 디렉터리, 저장소, 스토리지 등
ㅡㅡ> 주체와 객체는 상대적인
Role: 주체가 객체에 접근할 수 있도록 사전에 정의된 권한
Role은 AWS의 서비스에 할당하도록 되어 있음,
ex) PaaS: 개발자를 위한 플랫폼, 개발자들이 infra에 대한 관리를 최소화하고 개발에 초점을 맞출 수 있도록 하는 서비스
ㅡㅡ> Beanstalk, Cloud9, Code, Pipeline 등
IAM (Identity and Access Management)란?
AWS계정과 접근 관리하는 서비스
- 지식기반: 알고 있는 것으로 증명하는 것 ex) 비밀번호(현관, 금고, 웹사이트), 암구호, 패스프레이즈(문구) 등
- 소유 기반: 인증서, 열쇠, 카드, 신분증, 마패, 호패, ssh키,
- 생체기반: 얼굴, 지문, 홍채/망막, 손바닥(골짜기/융기선), DNA, 정맥 패턴(손등), 손 모양
참고) 인증(Authentication): 올바른 사용자임을 증명하는 것
AWS의 Root계정
- Multi-Factor 인증을 하도록 요구하고 있음
- Root 계정은 이메일 사용(ID/PW:지식기반) ㅡㅡ> 로그인 관련 메일, 메일로 본인 확인 절차 사용 (소유 기반)
- 추가 인증으로 구글 OTP 사용 (소유 기반)
참고) OTP: One Time Password
AWS의 일반 사용자 계정 ★
- 권한을 어떻게 부여해야 할까요? 최소 권한 (Least Privileges)을 부여해야 함.
- 과도한 권한을 부여하면? 권한 남용으로 인한 부정행위 또는 불법행위의 가능성이 커짐
Root계정 이메일 등록할 때 ★
- 회사 메일로 aws전용 계정을 생성해서 관리해야 함 (패스워드와 이메일 계정 인수인계 필요)
- root계정의 패스워드 변경 시, 퇴사자 메일로 패스워드 복구 시도 가능 ㅡㅡ> 추가) Multi-Factor인증으로 전환해야 함
AWS IAM실습
1. 정책 만들기
좌측 바 > 액세스 관리 > 정책
- 정책 이름 앞에 주황색 정육면체 아이콘이 있으면 AWS에서 만든 기본정책임 (삭제 불가 및 삭제하면 안 됨)
- 주황색 정육면체 아이콘이 없는 정책은 PaaS설정 과정 또는 개별적으로 만들어졌음.
- 일반 사용자에게 권한을 부여할 수 있다.
왼쪽 탭 > 정책 > 정책생성 클릭
서비스=EC2, 읽기 선택
2. 역할 만들기
왼쪽 탭 > 역할 > 역할만들기 클릭
3. 사용자 만들기
왼쪽탭 > 사용자 추가
참고) 권한이나 정책은 사용자보다 사용자 그룹에 연결 지어 주는 것이 정보보안 관리에 더욱 용이하다.
'클라우드 기초 > Amazon AWS' 카테고리의 다른 글
| [AWS] NoSQL이란: 테이블생성 및 데이터 구조 살펴보기 (0) | 2022.06.20 |
|---|---|
| [AWS] ECS이란: ECS 생성하기 (0) | 2022.06.20 |
| [AWS] 로드밸런싱이란: 타겟그룹 & 로드밸런서 구성 (0) | 2022.06.19 |
| [AWS]오토스케일링이란: 그룹생성방법 & 조정정책설정 (0) | 2022.06.15 |
| [AWS]우분투 커맨드라인으로 AWS이용하기 (0) | 2022.06.14 |
