반응형
Organizations
- 다수의 AWS 계정을 동시에 관리해주는 글로벌 서비스
- 조직에 가입한 기타계정이나 조직에서 생성한 계정은 멤버 계정이라 하여 한 조직에만 소속됨
- 조직의 메인 계정은 관리계정이며 모든 계정의 비용은 통합 결제 방식임
- 조직 내 계정 생성을 자동화할 수 있는 API가 있어 계정 생성이 쉬움
- 다수의 VPC를 가진 단일 계정에 비해 다수의 계정을 가지므로 보안이 뛰어남(계정이 VPC 보다 독립적이므로)
- 모든 계정에 대해 CloudTrail 활성화하여 모든 로그를 중앙 S3 계정으로 전송 가능
- 관리 계정에서 모든 멤버 계정 관리
- 서버스 제어 정책(SCP)정의 : 특정 OU 또는 계정에 적용되는 IAM 정책으로 해당 사용자와 역할을 제한함(관리 계정은 제외)
- SCP는 IAM과 같이 구체적인 허용 항목을 설정해야 작동
- SCP는 계정이 사용하지 못하게 할 서비스 지정하는 차단목록과 모든 액션을 허용하지 않고 특정 서비스만 허용하는 허용목록이 있음
IAM
- AWS 리소스에 대한 접근을 통제하는 서비스, 통제 대상에는 사용자와 AWS 서비스가 있음
- IAM의 구성요소는 정책(Policy)과 역할(Role)로 나뉨
- 정책은 리소스에 접근 가능한 권한을 의미하며 정책을 한 곳에 묶은 것이 역할임. 리소스에 권한을 부여할 땐 주로 역할을 부여함
- S3 버킷에 대한 IAM 정책
- 버컷 수준에 대한 권한 지정 : "Action": ["s3:ListBucket"], "Resource": "arn: aws: s3:::test"
- 버킷 내의 객체에 권한 지정 : "Action": [“s3: Putobject", "s3: Getobject", "s3: Deleteobject"], "Resource : arn:aws:s3:::test/*"
- aws:PrincipalOrgID : AWS 조직의 멤버 계정에만 리소스 정책 적용되도록 제한
- IAM Roles : 계정 A의 사용자가 S3 버킷에 대한 액세스 권한이 있는 계정 B의 역할 사용
- 리소스 기반정책 : 계정 수의 사용자가 계정 B의 S3 버킷에 적용된 버킷 정책을 통해 S3 버킷에 액세스
- 리소스 기반정책 지원하는 AWS 서비스: S3 버킷, SNS 주제, SQS 대기열, Lambda 함수
- IAM 권한 경계 : 사용자와 역할만 지원하고 그룹은 지원 안함, IAM 개체의 최대 권한을 정의
'Amazon Web Serivce 자격증 쉽게 공부하기 > [C03]AWS Solutions Architect Asso 기본' 카테고리의 다른 글
SAA-C03 기본 #22, ACM & Secrets Manager (0) | 2024.02.25 |
---|---|
SAA-C03 기본 #21, KMS (0) | 2024.02.19 |
SAA-C03 기본 #19, Cloudtrail & Config (0) | 2024.02.08 |
SAA-C03 기본 #18, CloudWatch & Eventbridge (0) | 2024.02.04 |
SAA-C03 기본 #17, Quicksight & Lake Formation (0) | 2024.01.30 |
댓글