AWS Educate: AWS Identity and Access Management(IAM) 실습

AWS Identity and Access Management(IAM)이란?

: AWS 계정 및 리소스에 대한 액세스를 관리하고, 사용자 및 서비스에게 필요한 권한을 부여하거나 제한하는 데 사용되는 AWS 서비스

---

 AWS IAM 실습 단계

• 사용자 및 그룹 살펴보기
• 그룹에 사용자 추가
• 로그인 및 사용자 테스트

---

 AWS IAM 실습 단계 전 비즈니스 시나리오 살펴보기

사용자	그룹 내	권한
user-1	S3-Support	Amazon S3에 대한 읽기 전용 액세스
user-2	EC2-Support	Amazon EC2에 대한 읽기 전용 액세스
user-3	EC2-Admin	Amazon EC2 인스턴스 보기, 시작 및 중지

 

---

1. 사용자 및 그룹 살펴보기

IAM에 이미 생성되어 있는 사용자 및 그룹을 살펴봅니다. Services 메뉴를 선택한 후 Security, Identity, & Compliance 서비스를 찾아 IAM을 선택합니다.왼쪽의 탐색 창에서 Users를 선택합니다.

다음 IAM 사용자가 미리 생성되어 있습니다.

user-1

user-2

user-3

사용자가 미리 생성되어 있는 것을 확인할 수 있음

 

user-1의 이름을 선택하여 user-1에 대한 요약 페이지로 이동하여 Permissions(권한) 탭이 표시되면서 user-1에게는 권한이 없습니다.

user-1 에게는 권한이 없음

 

Security credentials 탭을 선택하면 user-1에 Console password가 할당됩니다. 이를 통해 사용자가 AWS Management Console에 액세스할 수 있습니다.

 

 

왼쪽 탐색 창에서 User groups(사용자 그룹)를 선택합니다

다음 그룹이 이미 생성되어 있습니다.

EC2-Admin

EC2-Support

S3-Support

 

EC2-Support 그룹의 이름을 선택하고 EC2-Support 그룹의 이름을 선택하여 Permissions(권한) 탭을 선택합니다.

이 그룹에는 AmazonEC2ReadOnlyAccess라는 관리형 정책이 연결되어 있습니다.

관리형 정책은 IAM 사용자 및 그룹에 연결할 수 있는 사전 구성된 정책(AWS 또는 관리자가 작성)입니다. 정책이 업데이트되면 정책에 대한 변경 사항이 정책에 연결된 모든 사용자 및 그룹에 즉시 적용됩니다.

관리형 정책

 

Policy Name 아래에서 AmazonEC2ReadOnlyAccess 정책에 대한 링크를 선택하여 JSON 탭을 선택합니다.

정책은 특정 AWS 리소스에 대해 허용되거나 거부되는 작업을 정의합니다. 리소스를 볼 수 있어도 수정할 수 없는 이 기능은 지원 역할에 할당하기에 적합합니다.

Effect: 권한을 허용할지 또는 거부할지를 나타냄

Action: AWS 서비스에 수행할 수 있는 API 호출을 지정

Resource: 정책 규칙이 적용되는 엔터티의 범위를 정의

 

왼쪽 탐색 창에서 User groups(사용자 그룹) 를 선택하여 S3-Support 그룹의 이름을 선택합니다.

Permissions(권한) 탭을 선택하고 S3-Support 그룹에는 AmazonS3ReadOnlyAccess 정책이 연결되어 있는 것을 확인할 수 있습니다.

관리형 정책

 

Policy Name 아래에서 AmazonS3ReadOnlyAccess 정책에 대한 링크를 선택하고 JSON 탭을 선택합니다.

이 정책에는 Amazon S3의모든 리소스를 가져오고 나열할 수 있는 권한이 있습니다.

 

왼쪽 탐색 창에서 User groups(사용자 그룹)를 선택하고 EC2-Admin 그룹의 이름을 선택한 다음 Permissions(권한) 탭을 선택합니다.

이 그룹은 앞에서 보여준 두 그룹과 다르며 이 그룹에는 관리형 정책 대신 사용자 한 명 또는 하나의 그룹에만 할당되는 정책인 인라인 정책이 있습니다. 인라인 정책은 일반적으로 특정 상황에 대한 권한을 적용하는 데 사용됩니다.

사용자 한 명 또는 하나의 그룹에만 할당되는 정책인 인라인 정책

 

Policy Name 아래에서 EC2-Admin-Policy 정책의 이름을 선택하고 JSON 탭을 선택합니다.

이 정책은 Amazon EC2 인스턴스에 대한 정보를 설명하고 인스턴스를 시작하고 중지할 수 있는 기능도 부여합니다.

---

2. 그룹에 사용자 추가

S3-Support 그룹에 user-1 추가

왼쪽 탐색 창에서 User groups(사용자 그룹)를 선택하여 S3-Support 그룹의 이름을 선택합니다.

Users 탭에서 Add users를 선택하고 user-1을 선택하고 Add users를 선택합니다.

Users 탭에서 user-1이 그룹에 추가된 것을 알 수 있습니다.

S3-Support  그룹에  user-1  추가

EC2-Support 그룹에 user-2 추가

(이전 단계에서 설명한 것과 동일하지만 EC2-Support그룹의 이름을 선택)

EC2-Support  그룹에  user-2  추가

 

EC2-Admin 그룹에 user-3 추가

(이전 단계에서 설명한 것과 동일하지만 EC2-Admin그룹의 이름을 선택)

EC2-Admin 그룹에 user-3 추가

 

왼쪽 탐색 창에서 User groups(사용자 그룹)를 선택합니다.

각 그룹의 Users 열에 1이 표시되어야 합니다. 이것은 각 그룹의 사용자 수를 나타냅니다.

사용자가 1로 바뀜을 알 수 있음

---

3. 로그인 및 사용자 테스트

콘솔에서 각 IAM 사용자의 권한을 테스트합니다.

왼쪽의 탐색 창에서 Dashboard를 선택하여 페이지 상단에 Sign-in URL for IAM users in this account(이 계정이 IAM 사용자를 위한 로그인 URL) 섹션이 표시됩니다. 

콘솔 로그인  URL  가져오기

 

로그인 링크를 복사한 후 프라이빗 브라우저에 붙여 넣고 ENTER 키를 누릅니다.

이제 Amazon S3 스토리지 지원 인력으로 고용된 user-1로 로그인합니다.

IAM user name: user-1

Password: Lab-Password1

user-1  권한 테스트

 

Services 메뉴를 선택하고 S3를 선택을 하고 버킷 중 하나의 이름을 선택하고 콘텐츠를 찾아봅니다.

이 사용자는 IAM에서 S3-Support 그룹의 일부이므로 Amazon S3 버킷 목록과 해당 콘텐츠를 볼 수 있는 권한이 있습니다.

 

Services 메뉴를 선택해 EC2를 선택하고 왼쪽 탐색 창에서 Instances를 선택합니다.

인스턴스를 볼 수 없습니다. 대신 you are not authorized to perform this operation이라는 오류 메시지가 표시됩니다. 이 사용자에게 Amazon EC2 사용 권한이 할당되지 않았기 때문입니다.

Amazon EC2에 액세스할 수 있는지 테스트

 

이전에 로그인 했던 user-1을 로그아웃 하고 로그인 링크를 프라이빗 브라우저에 다시 붙여 넣고 ENTER 키를 다음 보안 인증 정보를 사용하여 user-2로 로그인합니다.

IAM user name: user-2

Password: Lab-Password2

user-2 권한 테스트

Services 메뉴를 선택해 EC2를 선택하고 왼쪽의 탐색 창에서 Instances를 선택합니다.

이제 EC2 인스턴스를 볼 수 있습니다. 그러나 읽기 전용 권한이 있으므로 Amazon EC2 리소스를 변경할 수 없습니다.

읽기 전용 EC2 인스턴스

 

EC2 instance를 선택하고 Instance state(인스턴스 상태) 메뉴를 선택하고 Stop instance(인스턴스 중지)를 선택합니다.

인스턴스를 중지할지 확인하려면 Stop을 선택합니다.

You are not authorized to perform this operation이라는 오류 메시지가 표시됩니다. 이 오류는 정책에서 정보의 변경 없이 정보를 보는 것만 허용한다는 것을 나타냅니다.

인스턴스 중지

인스턴스를 중지하려면 중지 버튼 선택

 

Services 메뉴를 선택하고 S3를 선택하고 user-2에게 Amazon S3 사용 권한이 없기 때문에 You don't have permissions to list buckets라는 오류 메시지가 표시됩니다.

user-2 에게  Amazon S3  사용 권한이 없음

 

 

이전에 로그인 했던 user-2을 로그아웃 하고 로그인 링크를 프라이빗 브라우저에 다시 붙여 넣고 ENTER 키를 다음 보안 인증 정보를 사용하여 user-3로 로그인합니다.

IAM user name: user-3

Password: Lab-Password3

user-3 권한 테스트

 

Services 메뉴를 선택하고 EC2를 선택하고 왼쪽의 탐색 창에서 Instances를 선택합니다.

EC2 인스턴스가 나열됩니다. Amazon EC2 관리자로서 이 사용자에게는 EC2 인스턴스를 중지할 권한이 있어야 합니다.

 

 

EC2 instance를 선택해 Instance state(인스턴스 상태) 메뉴를 선택하고 Stop instance(인스턴스 중지)를 하고 인스턴스를 중지할지 확인하려면 Stop을 선택합니다.

 

이번에는 user-3에게 EC2 인스턴스를 중지할 권한이 있기 때문에 작업이 성공했습니다. Instance state가 Stopping으로 변경되고 종료를 시작합니다.

인스턴스 중지 성공

 

출처 : AWS Educate