본문 바로가기
Amazon Web Serivce 자격증 쉽게 공부하기/[C03]AWS Solutions Architect Asso 기본

SAA-C03 기본 #20, Organizations & IAM

by 네트워크 엔지니어 환영 2024. 2. 15.
반응형

Organizations

  • 다수의 AWS 계정을 동시에 관리해주는 글로벌 서비스
  • 조직에 가입한 기타계정이나 조직에서 생성한 계정은 멤버 계정이라 하여 한 조직에만 소속됨
  • 조직의 메인 계정은 관리계정이며 모든 계정의 비용은 통합 결제 방식임
  • 조직 내 계정 생성을 자동화할 수 있는 API가 있어 계정 생성이 쉬움
  • 다수의 VPC를 가진 단일 계정에 비해 다수의 계정을 가지므로 보안이 뛰어남(계정이 VPC 보다 독립적이므로)
  • 모든 계정에 대해 CloudTrail 활성화하여 모든 로그를 중앙 S3 계정으로 전송 가능
  • 관리 계정에서 모든 멤버 계정 관리
  • 서버스 제어 정책(SCP)정의 : 특정 OU 또는 계정에 적용되는 IAM 정책으로 해당 사용자와 역할을 제한함(관리 계정은 제외)
  • SCP는 IAM과 같이 구체적인 허용 항목을 설정해야 작동
  • SCP는 계정이 사용하지 못하게 할 서비스 지정하는 차단목록과 모든 액션을 허용하지 않고 특정 서비스만 허용하는 허용목록이 있음

 

IAM

  • AWS 리소스에 대한 접근을 통제하는 서비스, 통제 대상에는 사용자와 AWS 서비스가 있음
  • IAM의 구성요소는 정책(Policy)과 역할(Role)로 나뉨
  • 정책은 리소스에 접근 가능한 권한을 의미하며 정책을 한 곳에 묶은 것이 역할임. 리소스에 권한을 부여할 땐 주로 역할을 부여함
  • S3 버킷에 대한 IAM 정책
    • 버컷 수준에 대한 권한 지정 : "Action": ["s3:ListBucket"], "Resource": "arn: aws: s3:::test"
    • 버킷 내의 객체에 권한 지정 : "Action": [“s3: Putobject", "s3: Getobject", "s3: Deleteobject"], "Resource : arn:aws:s3:::test/*"
  • aws:PrincipalOrgID : AWS 조직의 멤버 계정에만 리소스 정책 적용되도록 제한
  • IAM Roles : 계정 A의 사용자가 S3 버킷에 대한 액세스 권한이 있는 계정 B의 역할 사용
    • 리소스 기반정책 : 계정 수의 사용자가 계정 B의 S3 버킷에 적용된 버킷 정책을 통해 S3 버킷에 액세스
    • 리소스 기반정책 지원하는 AWS 서비스: S3 버킷, SNS 주제, SQS 대기열, Lambda 함수
  • IAM 권한 경계 : 사용자와 역할만 지원하고 그룹은 지원 안함, IAM 개체의 최대 권한을 정의

댓글