AWS Certified Solutions Architect Associate | [섹션 4] IAM 및 AWS CLI 간략 소개

강의: Udemy / Stephane Maarek

링크: https://www.udemy.com/course/best-aws-certified-solutions-architect-associate/ 

 

내용: [섹션4] 강의 요약

---

IAM 및 AWS CLI 간략 소개

 

11. IAM 소개: 사용자, 그룹, 정책

• 루트는 계정 생성시에만 사용되어야 한다
  • user 를 생성해라
• 하나의 사용자는 조직 내의 한 사람에 해당
• 사용자를 그룹으로 묶을 수 있다.
• AWS 에서는 최소 권한의 원칙을 적용
  • 사용자가 꼭 필요로 하는 것 이상의 권한을 주지는 않는다

12. IAM 사용자 및 그룹 실습

• IAM 은 리전이 없음
• 별칭은 고유해야 한다
• 실습할 경우, 루트 사용자가 아닌 IAM 사용자를 사용해야 한다

13. IAM 정책

• 그림 예

• Policy Structure
  • json document 로 나타냄
  • 크게 version, id, statement 로 나뉨
  • version: policy language version
  • id: policy identificator (optional)
  • statement: 상태를 나타냄
    • Effect → 접근을 허용 or 거부할 것인지에 대한 내용
    • principal: 특정 정책이 적용될 사용자, 계정 혹은 역할
    • action: Effect 에 기반해 허용 or 거부되는 api 호출의 목적
    • resource: action 이 적용되는 list 들을 작성

14. IAM 정책 실습

• AdministratorAccess → 관리자 액세스 (AWS 모든 서비스 허용)
• IAMReadOnlyAccess → 읽을 수만 있음
• 아래 그림이 예시

 

15. IAM MFA 개요

• 사용자들은 계정에 권한이 있다
  • 구성 변경, 리소스 삭제 등의 작업
• 루트 계정은 반드시 보호해야 한다
  • 비밀번호 외의 수단이 필요
• Multi Factor Authentication 종류 2가지
  • password 뿐 아니라 보안 장치까지 필요로 한다 (MFA token)
  1. Virtual MFA Device (가상 MFA 장치)
     • 암호 6자리 입력하여 해결
     • Google Authenticator , authy
  2. U2F Security Key
     • 제 3자 회사 장치 (물리 장치)
     • yubikey

16. IAM MFA 실습

종류 3가지

 

17. AWS 액세스 키, CLI 및 SDK

액세스 하는 데에는 3 가지 방법이 있다

• AWS Management console
• AWS CLI
  • 명령줄 인터페이스를 의미
  • AWS 서비스들과 상호작용할 수 있도록 하는 도움을 줌
  • CLI 통해 리소스를 관리하는 스크립트를 개발하여 일부 작업 자동화에 도움을 줌
  • AWS manaement console 대신 사용도 된다

• AWS SDK
  • 소프트웨어 개발자 키트
  • 특정 언어로 된 라이브러리의 집합
  • AWS 로부터 애플리케이션 코드 내 API 호출
    • javascript, python, java 등의 프로그래밍 언어 사용 가능
    • Mobile sdk, Device sdk 
  • 터미널이 아닌 코딩 통한 애플리케이션 내에 심어두어야 함
• Access key id = username
• secret access key = password

18. Windows 에서 AWS CLI 설정

- msi installer 설치 필요

cmd 창에서, 아래와 같이 한

예시 명령어)

aws ec2 describe-instances

예시 결과)

{
    "Reservations": [
        {
            "Instances": [
                {
                    "InstanceId": "i-0123456789abcdef0",
                    "InstanceType": "t2.micro",
                    "PublicIpAddress": "203.0.113.10",
                    "State": {
                        "Name": "running",
                        "Code": 16
                    }
                },
                {
                    "InstanceId": "i-9876543210fedcba0",
                    "InstanceType": "t3.large",
                    "PublicIpAddress": "198.51.100.20",
                    "State": {
                        "Name": "stopped",
                        "Code": 80
                    }
                }
            ]
        }
    ]
}

19 . Mac OS X 에서 AWS CLI 설정

20 . Linux 에서 AWS CLI 설정

 

21. AWS CLI 실습

aws cli 를 구성하여 한다

1) aws configure 하기

2) aws cli 구성되었으므로 작동하는지 확인

ex) aws iam list-users 

 

ui 에서 위의 사용자를 삭제 후 다시 command (aws iam list-users) 치면, 나오지 않는다 

 

23. AWS CloudShell

- 모든 Reigion 에서 되지는 않는다.

- API 호출을 반환해준다

- 기본 region 이 현재 로그인된 reigion 으로 나온다

- cloudshell 에서 생성한 파일에 대해서, 전체 저장소가 있다

- 파일 다운로드, 서버에 업로드가 Actions 버튼 선택 후 가능하다.

24. AWS 서비스에 대한 IAM Role

AWS Service 에도 권한이 필요하고, IAM Role 이란 것이 있다.

실제 사람이 사용하도록 만들어진 것이 아닌, AWS 서비스에 의해 사용되도록 만들어졌다.

예시) EC2 Instance 는 만든 뒤 어떤 작업을 수행하려고 할 경우, EC2 Instance 에 권한을 부여해야 한다.

Lambda Function Roles, Roles for CloudFormation, EC2 Instance Role 등이 있다.

 

25. IAM Role 에 대한 실습

1) use case 선택

 

2) permission 추가

 

ex) IAMReadOnlyAccess

29. IAM 요약

- 사용자: IAM 사용자는 회사 내의 실제 물리적 사용자와 매핑 되어야 하며, AWS Console 비밀번호를 가지게 됨

- 그룹: 사용자를 그룹화한 것

- 정책: 사용자, 그룹에 대한 권한을 설명한 json 파일

- 역할: EC2 Instance or AWS 서비스에 대한 권한 의미

- Security : MFA + 비밀번호 정책

- AWS CLI: command-line 이용 서비스 관리하기

- AWS SDK: programming language 이용 AWS Service 관리

- Access key: CLI, SDK 접근에 사용되는 키

- Audit: IAM 자격 증명 보고서, IAM 접근 어드바이스 서비스