AWS Organizations
AWS Organizations는 생성한 여러 AWS 계정을 조직에 통합하고 중앙에서 관리할 수 있는 계정 관리 서비스입니다.
각 부
AWS Organizations 기능
1. 모든 AWS 계정의 중앙 집중식 관리
2. 예산, 보안, 규정 준수 필요 충족을 위한 계정의 계층적 그룹화
3. 각 계정이 액세스 할 수 있는 AWS 서비스 및 API 작업의 제어를 중앙화하는 정책
4. AWS Identity and Access Management(IAM)에 대한 통합 및 지원
AWs Organizations에서 서비스 제어 정책(SCP)도 제공합니다. SCP는 조직 루트와 개별 멤버 계정, 조직 단위(OU)에 적용할 수 있습니다. SCP는 AWS 계정 루트 사용자를 포함하여 계정 내의 모든 IAM 사용자와 그룹, 역할에 영향을 미칩니다.
---
AWS IAM
AWS IAM은 AWS Identity and Access Management 약자로, 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스입니다.
예를 들어, 서울 리전에 있는 데이터센터에 출입한다고 생각해봅시다. 출입이 허가된 인원들은 출입 카드를 통해 출입하거나, 리스트에 방문 기록을 하고 허가를 받아야합니다. IAM은 이러한 데이터 센터의 출입 권한을 부여하는 출입카드나, 방문 허가 같은 기능을 가지고 있는 AWS 서비스입니다. 보안 주체가 인증과 권한부여을 받아 리소스에 대한 요청을 승인하는 것이 IAM의 주요 방식입니다.
AWS IAM 기능
- AWS 리소스에 대한 액세스 제어
- IAM 사용자 및 그룹 생성, 수정 및 삭제
- IAM 정책 생성 및 관리
- AWS 리소스에 대한 액세스 권한 부여 및 제거
Root User
- 생성한 계정의 모든 권한을 갖고 있는 유저
- AWS API 호출 불가 (AccessKey / Secret AccessKey 부여 불가)
- 관리자용으로만 이용
IAM User
- 기본 권한 X. 따로 권한 부여해야 됨
- AWS API 호출 가능 (AccessKey / Secret AccessKey 부여 받음)
- AWS 관리를 제외한 모든 작업은 IAM User를 생성해 사용
AWS IAM에는 4가지의 방식이 있습니다.
1. User: AWS 계정으로 인증할 수 있는 사용자 혹은 어플리케이션
2. Group: IAM User 집합, 그룹에 속한 사용자는 그룹에 부여된 권한 행사
3. Role: AWS 계정의 특정 AWS 리소스에 대한 임시 액세스 권한 부여
4. Policy: 액세스 할 수 있는 리소스와 각 리소스에 대한 액세스 수준 정의
Policy에 대해 자세하게 살펴봅시다. AWS IAM Policy는 JSON 형식입니다. 키와 값이 쌍으로 있는 형태인데 자주 사용되는 키값들을 알아봅시다.
- Principal: 접근을 허용 혹은 차단하고자 하는 대상
- Action: principal가 어떤 행위를 하는지 지정
- Resource: 해당 identity를 가진 사용자가 어디 접근을 허용할지 차단할지를 지정
- Condition: 다양한 조건들을 넣어 복잡하게 설정 가능
- Effect: 허용할지 거부할지 결정(allow보다 deny가 우선순위 높음)
Policy도 Id-Based Policy와 Resource-Based Policy 두 개가 있습니다.
Id-Based Policy는 그 정책에 연결된 보안 주체(AWS 계정, 사용자, 그룹, 역할 등)가 암묵적인 Principal이 됩니다. IAM 메뉴의 정책 리스트에 나오는 정책들은 모두 Id-Based Policy입니다.
Resource-Based Policy는 정책과 연결된 보안 주체에 대해 권한을 부여하는 것입니다. 예를 들어 S3 버킷 정책에서는 Principal에 ARN을 적시해야합니다.
---
AWS를 시작하기 위해서는 AWS 계정을 만들고, 루트 유저로 로그인을 합니다. 그 다음 AdministratorAccess 권한을 가진 사용자를 추가하여 이 IAM 사용자를 사용해서 AWS 서비스들을 이용해봅시다.
'AWS' 카테고리의 다른 글
| AWS X-Ray (0) | 2025.05.29 |
|---|---|
| Github Action 사용법 (with ECR) (1) | 2024.09.05 |
| AWS VPC Bastion Host 구성하기 (5) | 2024.04.18 |
| AWS Well-Architecture (0) | 2024.04.04 |
