조직은 AWS 리소스에 대한 액세스 권한이있는 사람, 사용 가능한 리소스 및 권한이있는 사용자가 수행 할 수있는 작업을 제어해야합니다. AWS IAM의 목적은 IT 관리자가 사용자 ID 및 AWS 리소스에 대한 다양한 액세스 수준. 이 기사에서는 ID 및 액세스 관리 (IAM)의 기능과 작업 절차를 다음 순서로 이해합니다.
ID 및 액세스 관리 란 무엇입니까?
AWS 자격 증명 및 액세스 관리 (IAM)은 AWS 리소스에 대한 액세스를 안전하게 제어하는 데 도움이되는 웹 서비스입니다. IAM을 사용하면 리소스를 사용하도록 인증되고 권한이 부여 된 사용자를 제어 할 수 있습니다.
AWS 계정을 처음 생성 할 때 모든 계정에 액세스하려면 단일 로그인 ID가 필요합니다. 이 자격 증명을 AWS 계정 루트 사용자라고합니다. 계정을 만들 때 사용한 이메일 ID와 비밀번호로 로그인하여 액세스 할 수 있습니다. AWS IAM은 다음 작업을 수행하는 데 도움이됩니다.
- 사용자, 권한 및 역할을 설정하는 데 사용됩니다. 그것은 당신을 허용합니다 액세스 권한 부여 AWS 플랫폼의 다른 부분에
- 또한 Amazon Web Services 고객은 사용자 관리 및 AWS의 사용자 권한
- IAM을 사용하면 조직은 사용자를 중앙에서 관리 할 수 있으며 보안 자격 증명 액세스 키 및 권한과 같은
- IAM을 통해 조직은 여러 사용자 생성 , 각각 고유 한 보안 자격 증명이 있고 제어되고 단일 AWS 계정으로 청구됩니다.
- IAM을 통해 사용자는 사용자 작업의 일부로 수행해야하는 작업 만 수행 할 수 있습니다.
이제 IAM이 무엇인지 알았으므로 몇 가지 기능을 살펴 보겠습니다.
ID 및 액세스 관리 기능
IAM의 몇 가지 중요한 기능은 다음과 같습니다.
- AWS 계정에 대한 공유 액세스 : 다른 사람에게 암호 나 액세스 키를 공유하지 않고도 AWS 계정의 리소스를 관리하고 사용할 수있는 권한을 부여 할 수 있습니다.
- 세분화 된 권한 : 다른 리소스에 대해 다른 사용자에게 다른 권한을 부여 할 수 있습니다.
- AWS 리소스에 대한 보안 액세스 : IAM 기능을 사용하여 EC2 인스턴스에서 실행되는 애플리케이션에 대한 자격 증명을 안전하게 제공 할 수 있습니다. 이러한 자격 증명은 애플리케이션이 다른 AWS 리소스에 액세스 할 수있는 권한을 제공합니다.
- 다단계 인증 (MFA) : 추가 보안을 위해 계정과 개별 사용자에 2 단계 인증을 추가 할 수 있습니다.
- ID 연합 : 이미 다른 곳에서 비밀번호를 가지고있는 사용자를 허용 할 수 있습니다.
- 보증을위한 신원 정보 : IAM 자격 증명을 기반으로 리소스를 요청한 사람에 대한 정보가 포함 된 로그 레코드를받습니다.
- PCI DSS 규정 준수 : IAM은 판매자 또는 서비스 제공 업체의 신용 카드 데이터 처리, 저장 및 전송을 지원하며 PCI (Payment Card Industry) DSS (데이터 보안 표준)를 준수하는 것으로 검증되었습니다.
- 많은 AWS 서비스와 통합 : IAM과 함께 작동하는 여러 AWS 서비스가 있습니다.
- 궁극적 인 일관성 : IAM은 전 세계 Amazon 데이터 센터 내의 여러 서버에 데이터를 복제하여 고 가용성을 달성합니다. 일부 수정을 요청하면 변경 사항이 커밋되고 안전하게 저장됩니다.
- 무료 사용 : IAM 사용자 또는 AWS STS 임시 보안 자격 증명을 사용하여 다른 AWS 서비스에 액세스하는 경우에만 요금이 부과됩니다.
이제 계속해서 ID 및 액세스 관리의 작동 방식을 이해하겠습니다.
IAM 작업
ID 액세스 및 관리는 최고의 인프라 AWS 계정에 대한 모든 권한 부여 및 인증을 제어하는 데 필요합니다. 다음은 IAM 인프라의 몇 가지 요소입니다.
원리
AWS IAM의 원칙은 AWS 리소스에 대한 작업을 수행하는 데 사용됩니다. 관리 IAM 사용자는 역할을 수임하기 위해 특정 서비스에 대한 사용자를 허용 할 수있는 첫 번째 원칙입니다. 애플리케이션이 현재 AWS 계정에 액세스하도록 허용하도록 연동 사용자를 지원할 수 있습니다.
의뢰
AWS 관리 콘솔을 사용하는 동안 API 또는 CLI는 자동으로 AWS에 요청을 보냅니다. 다음 정보를 지정합니다.
- 행동은 원칙 수행하다
- 작업은 자원
- 원칙 정보에는 다음이 포함됩니다. 환경 이전에 요청한 곳
입증
요청을 보내는 동안 AWS에 로그인하는 데 사용되는 가장 일반적으로 사용되는 원칙 중 하나입니다. 그러나 그것은 또한 다음과 같은 대체 서비스로 구성됩니다. 아마존 S3 알 수없는 사용자의 요청을 허용합니다. 콘솔에서 인증하려면 사용자 이름 및 비밀번호와 같은 로그인 자격 증명으로 로그인해야합니다. 그러나 인증하려면 필요한 추가 보안 정보와 함께 비밀 및 액세스 키를 제공해야합니다.
권한 부여
요청에서 발생하는 IAM 값을 승인하는 동안 모든 일치 정책을 확인하고 각 요청이 허용되는지 또는 거부되는지 평가하기 위해 컨텍스트가 생성됩니다. 모든 정책은 다음과 같이 IAM에 저장됩니다. JSON 문서를 작성하고 다른 리소스에 대해 지정된 권한을 제공합니다. AWS IAM 특히 모든 요청의 컨텍스트와 일치하는 모든 정책을 자동으로 확인합니다. 단일 작업이 거부되면 IAM은 전체 요청을 거부하고 나머지 요청을 평가하는 것을 후회하며이를 명시 적 거부라고합니다. 다음은 IAM에 대한 몇 가지 평가 논리 규칙입니다.
- 모든 요청은 기본적으로 거부됩니다.
- 명시 적은 기본적으로 재정의를 허용 할 수 있습니다.
- 명시적인 사람은 허용하여 재정의를 거부 할 수도 있습니다.
행위
요청 승인을 처리하거나 자동으로 인증되지 않은 후 AWS는 요청 형식으로 작업을 승인합니다. 여기에서 모든 작업은 서비스에 의해 정의되며 생성, 편집, 삭제 및보기와 같은 리소스로 작업을 수행 할 수 있습니다. 행동 원칙을 허용하려면 기존 자원에 영향을주지 않고 필요한 모든 행동을 정책에 포함시켜야합니다.
자원
AWS 승인을받은 후 요청의 모든 작업은 계정에 포함 된 관련 리소스를 기반으로 수행 할 수 있습니다. 일반적으로 자원은 특히 서비스 내에 존재하는 엔티티라고합니다. 이들 자원 서비스 특히 모든 자원에 대해 수행되는 일련의 활동으로 정의 할 수 있습니다. 하나의 요청을 생성하려면 먼저 거부 할 수없는 관련없는 작업을 수행해야합니다.
이제 예를 들어 ID 액세스 관리의 개념을 더 잘 이해하겠습니다.
ID 및 액세스 관리 : 예
개념을 이해하려면 ID 및 액세스 관리 (IAM) , 예를 들어 보겠습니다. 한 사람이 3-4 명의 회원으로 스타트 업을 운영하고 있으며 Amazon을 통해 애플리케이션을 호스팅했다고 가정합니다. 소규모 조직이기 때문에 누구나 Amazon 계정으로 다른 활동을 구성하고 수행 할 수있는 Amazon에 액세스 할 수 있습니다. 각 부서의 사람들과 함께 팀 규모가 커지면 그는 전체 액세스 권한을 부여하는 것을 선호하지 않습니다. , 모두 직원이며 데이터를 보호해야합니다. 이 경우 IAM 사용자라고하는 Amazon 웹 서비스 계정을 몇 개 생성하는 것이 좋습니다. 여기서의 장점은 작업 할 수있는 도메인을 제어 할 수 있다는 것입니다.
이제 팀이 성장하면 4,000 다양한 업무와 부서를 가진 사람들. 가장 좋은 해결책은 Amazon이 디렉터리 서비스를 사용한 단일 로그인을 지원하는 것입니다. Amazon은 다음에서 지원하는 서비스를 제공합니다. SAML 기반 인증. 조직의 누군가가 조직 컴퓨터에 로그인 할 때 자격 증명을 요청하지 않습니다. 그런 다음 Amazon Portal로 이동하여 특정 사용자가 사용할 수있는 서비스를 표시합니다. IAM 사용의 가장 큰 장점은 여러 사용자를 생성 할 필요없이 간단한 로그인을 구현할 수 있다는 것입니다.
informatica의 연결 및 연결되지 않은 변환
이것으로 우리는 우리 기사의 끝까지 왔습니다. AWS의 Identity and Access Management가 무엇이며 어떻게 작동하는지 이해 하셨기를 바랍니다.
AWS 자격증을 준비하기로 결정했다면 다음 과정을 확인해야합니다. 질문이 있으십니까? 'ID 및 액세스 관리'의 댓글 섹션에 언급 해 주시면 연락 드리겠습니다.