IAM(Identity And Access Management)

사용자의 접근 권한을 관리하는 서비스

위 그림처럼 개발 그룹에는 EC2, S3만 접근 권한 부여, DB 그룹에는 **RDS 접근 권한만을 부여**하는 등 가능

최고 관리자가 Root 계정을 관리하고 다른 사람들은 각자 계정을 발급받아 제한된 권한을 갖고 이용

위 같은 권한 설정 뿐만 아니라 (언제 어디서 누가 어떻게 무엇을) → 모두 통제 가능

IAM 기능 요약

• 사용자 생성 / 관리 / 계정의 보안 → 사용자의 패스워드 정책 관리 (일정 시간마다 pw변경 등)

• AWS 계정에 대한 공유 액세스 → AWS 계정의 리소스 관리 및 권한을 다른 사람에게 부여 가능

• 세분화된 권한

  • 리소스에 따라 여러 사람에게 다양한 권한 부여 가능

  • 일부 사용자에게는 EC2 전체 액세스 권한, 일부에게는 S3 읽기전용 권한,

    일부에게는 결제 정보에만 액세스 할 수 있는 권한

• EC2 애플리케이션 권한 자격 부여 (IAM 역할 사용)

  • 사용자 뿐만 아니라, EC2에서 실행되는 어플리케이션에 IAM기능을 이용해 자격증명 제공이 가능
  • 어느어느 EC2가 S3 버킷이나 DynamoDB 테이블에 접근할 수 있는 액세스 권한을 지니도록 가능

• 멀티 팩터 인증 (MFA)

  • 보안강화 위해 암호, 액세스 키뿐 아니라 특별히 구성된 디바이스 코드를 제공하는 인증을 추가 가능

• 자격증명 연동

  • 기업 네트워크, 인터넷 자격 증명 공급자 같이 다른 곳에 이미 암호가 있는 사용자에게
  • AWS 계정에 대한 임시 액세스 권한 부여 가능

• 계정에 별명 부여 가능 (로그인 주소 생성가능)

• 글로벌 서비스 (리전 서비스X) → AWS의 계정은 전세계에서 유니크하다.