AWS IAM
AWS regions and AZs
IAM과는 상관 없지만, 기초지식이기 때문에 기록
- AWS region은 세계 곳곳에 위치해 있다.
- 각각의 region은 최소 3개 이상의 AZ로 구성되어 있다.
- 만약 하나의 AZ가 자연재해 등의 영향으로 문제가 생겼을 때에도 다른 AZ에서 대응이 가능하도록 하기 위함.
- 근데 AZ가 2개 인 region도 있긴하다.
- 그럼 AZ란?
- AZ는 Availability Zone의 약자
- AZ는 하나의 물리적인 데이터 센터다.
- AWS console은 region scope다.
- IAM, S3는 제외. 이 둘은 Global scope다.
IAM
IAM 기초
- IAM stands for Identity and Access Management.
- IAM은 하나의 유저다.
- AWS를 생성할 때의 계정으로 console에 접속하면, root 계정으로 접속하는 것.
- 당연하지만, root계정을 사용해서 모든 유저가 작업하는 것은 바람직하지 않다. 공유하는 것도 당연히 안 하는 편이 좋다.
- root 계정이 아닌 USER별로 개인 ID(IAM)를 발행해서 동일한 AWS 계정에서 작업하도록 할 수 있다.
- AWS를 생성할 때의 계정으로 console에 접속하면, root 계정으로 접속하는 것.
- IAM은 AWS의 Security System이다.
- IAM은 다음 3가지 요소로 이루어져 있음.
- Users : Physical person
- Groups : Contains users
- Roles
- Internal usage within AWS resources.
- ‘Users’가 한 명의 사람에게 할당된다면, ‘Roles’는 AWS내에 있는 하나의 Application에 할당.
- IAM은 다음 3가지 요소로 이루어져 있음.
- IAM에서 설정한 User, Group, Role별 policy는 JSON형태로 저장된다.
IAM 설명
- IAM은 global scope다.
- MFA(Multi Factor Authentication)을 등록할 수도 있다.
- AWS에서 제공해주는 managed plicies를 사용할 수도 있다.
- 중요한 포인트는 IAM을 생성해서 User에 권한을 할당할 때에는 최소한의 권한만 주는 것!
IAM Federation
- 대기업은 해당 기업의 User repository를 IAM과 연동해서 사용할 수 있다.
- 기업 고유의 credentials로 AWS 로그인이 가능하도록 할 수 있다.
- SAML standard를 사용한다. (SAML에 대해서는 아직 공부가 필요)
