IAM

IAM이란,

AWS 리소스에 대한 접근를 안전하게 제어할 수 있는 웹서비스이다.

EC2, 네트워크, 스토리지 등 aws의 모든 리소스에 접근하기 위해서는 aws api를 사용하여 읽기,쓰기.변경.삭제(crud)를 수행하는데,

올바른 사용자 인지 확인 + api를 호출할 권한이 있는지 확인하는 것이 바로 IAM 서비스이다.

 

 

IAM 기본 개념

IAM은 AWS에서 인증과 권한부여를 담당하는 서비스이다. 보통 인증/인가라고부르기도 한다.

"나는 홍길동이고, s3에서 파일을 다운로드 하고싶어"라는 요구사항에

홍길동이라고 주장하고 있는 저 사람이 실제 홍길동인지 확인하는 절차가 => 인증

홍길동이 s3에서 파일을 다운로드할 수 있는 권한이 있는지 확인하는 절차가 => 인가

이다.

 

인증주체는 user (group) 와 Role이다.

권한부여의 주체는 IAM Policy

 

user와 role의 차이는, user는 long-term credential이고 role은 short-term credential로 만료 시간이 정해져있다.

 

IAM의 Policy는 user(group)와 role에 부착된다. 

group을 사용하는 경우, group에 속한 모든 user는 group이 연결된 iam policy의 권한을 부여받는다.

 

IAM Policy

IAM Policy에는 3가지 종류가 있다.

AWS가 관리하는 Policy, 사용자가 직접만들고 관리하는 Policy, 1회성 정책인 Inline Policy

AWS관리 Policy와 사용자관리 Policy는 한번 만들어 두면 여러 user나 role에 연결하여 재사용할 수 있지만, inline정책은 재사용이 불가능하다.

 

IAM policy 예시이다.

 

 

 

 

 

 

IAM Role

 

보통 aws 어떤 리소스가 다른 aws리소스에 접근하기 위해 사용된다.