[AWS ] AWS 보안_IAM 사용

IAM 이란?

 IAM(AWS Identity and Access Management)은 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스입니다. IAM을 사용하여 리소스를 사용하도록 인증 및 권한 부여된 대상을 제어합니다. 즉, AWS 환경에서 계정 및 권한을 관리하는 서비스 입니다.

이번 내용에서는 보안 측면에서 AWS 계정을 사용하는데 있어서 주의해야 할 사항 및 모범적인 사례에 대해서 작성해 보겠습니다.

AWS 는 공식적으로 루트 사용자(콘솔)를 사용하지 않는 것을 권고하고 있습니다.

사유

•  루트 사용자는 다수의 사용자가 공유하여 사용할 경우 누가 어떤 작업을 하는지 구분하는 것이 불가능합니다.
•  루트 사용자 권한이 탈취되는 경우 공격자가 AWS 계정에 대한 모든 권한을 가지게 됩니다.
•  루트 사용자의 액세스 키가 유출될 경우 이 키를 삭제하는 것 이외에는 대응할 수 있는 방법이 없습니다.

 

IAM에서의 보안 조치

•  루트 사용자의 액세스 키 삭제
•  루트 사용자의  MFA 활성화
•  개별 IAM 사용자 생성
•  그룹을 사용하여 권한 할당
•  IAM 비밀번호 정책 적용 (대소문자, 숫자, 특수문자, 패스워드 사용기간, 사용한 패스워드 허용 숫자, 관리자 패스워드 리셋, 패스워드 최소 길이)

IAM 모범 사례

 1. AWS 계정의 루트 사용자 액세스 키 잠금

 2. 개별 IAM 사용자 만들기

 3. 그룹을 사용하여 IAM 사용자에게 권한 할당

 4. 가급적 AWS 정의 정책을 이용해 권한 할당

 5. 최소한의 권한 부여

 6. 액세스 레벨을 이용한 IAM 권한 검토

 7. 사용자에 대한 강력한 암호정책 구성

 8. 권한 있는 사용자에 대한 MFA 활성화

 9. Amazon EC2 인스턴스에서 실행되는 애플리케이션에 역할 사용

 10. 역할을 사용하여 권한 위임.

 11. 액세스 키 공유 금지

 12. 자격 증명 정기적 교체

 13. 불필요한 자격 증명 삭제

 14. 보안 강화를 위한 정책 조건 사용

 15. AWS 계정의 활동 모니터링

위와 같이 IAM을 사용하는 데 있어서 기본적인 보안 정책 및 모범 사례에 대해서 작성하였는데 해당 내용은 AWS 사이트에서 IAM 설명서를 기반으로 요약하여 작성하였습니다.