AWS IDENTITY AND ACCESS MANAGEMENT(IAM)

AWS ORGANIZATION

OU(조직 단위) ; 루트 OU 안에 서브OU를 생성 가능 

멤버 계정 = 조직에 가입한 기타 계정 / 생성 계정 ; 한 조직에만 소속

모든 계정 비용을 통합 결제 가능 > 집계 사용량 기반 비용 할인!! 

청구 목적 태그 적용 

CLOUDTRAIL 활성화 > 모든 로그를 S3계정으로 전송 가능 > CLOUWATCH LOGS를 중앙 로깅 계정 또는 관리계정 전송 

예약 인스턴스 및 SAVINGS PLAN 할인이 공유

ORGANIZATION 내 계정 생성 자동화 API > 쉽게 생성 가능 

보안 우위 > 다수의 VPC를 가진 단일계정 대비 독립적이기 때문 

SCP > 특정 OU 또는 계정 적용되는 IAM 정책 / 업무 제한 ;; 디폴트는 모두 제한 ;; 차단 목록이 허용보다 우선 !!

 

IAM CONDITIONS 

- 사용자 정책 / 리소스 정책 / 엔드포인트 정책 등 

- 1. aws:SOURCEIP ; 클라이언트 IP의 호출을 제한 하는 조건 

- 2. aws:REQUESTEDREGION ; 호출 리전을 제한 

- 3. ec2:RESOURCETAG ; EC2 인스턴스 태그에 적용 

- 버킷에 대한 정책 ; Statement -> 목록 버킷 ; 버킷을 특정해야 

- aws:PrincipalOrgID ; AWS 조직 멤버 게정만 리소스 정책이 적용되도록 제한 

 

IAM ROLES VS RESOURCE BASED POLICIES

- 1. 계정 A 사용자가 ROLE B를 이용해 접근 하는 것 2. 계정 A 사용자가 버킷 정책에 의해 접근하는 것

- 1의 경우 ; 기존 권한 전부 포기 -> 해당 역할 권한을 상속 

- 2의 경우 ; 기존 권한 포기 X 

- SNS SQS LAMBDA -> 리소스 기반 정책 /// KINESIS DATA STREAMS -> IAM 역할 

 

IAM PERMISSION BOUNDARIES ; 최대 권한을 정의하는 기능  

- 사용자와 ROLE 만 지원 ; 그룹은 지원 X 

- AWS ORGANIZATION SCP와 함께 사용 가능 -> 교집합 영역만 권한으로 남음 

- IAM 정책 평가 논리 ; 명시적 거부 여부 -> SCP -> 리소스 기반 정책 -> 자격 증명 기반 정책 -> IAM 권한 경계 -> 세션정책

- 명시적 거부면 일단 거부 // 명시적 허용이 없으면 거부 !!

 

AWS IAM IDENTITY CENTER ; 싱글 사인온 

- SALESFORCE BOX MS365 등에 연결 가능 

- SAML2.0 통합이 가능한 어떤 어플리케이션 전부 연결 가능 

- EC2 WINDOWS 인스턴스에 대해서 싱글 로그인

- 사용자 저장소 ; IAM 자격 증명 센터 내장된 ID 저장소 / 서드파티 ID 공급자 (ACTIVE DIRECTORY /ONELOGIN/OKTA)

- IAM IDENTITY CENTER에서 PERMISION SET 만들고, 연결 

- 다중계정권한 ; 조직에서 계정에 대한 액세스 관리 -> 권한셋과 조직이 연결되므로 자동으로 할당됨

 

AWS DIRECTORY SERVICE 

- MS AD ; AD 도메인 서비스를 사용하는 모든 WINDOES 서버용 소프트웨어 

- 중앙 집중식 보안관리 -> 계정 생성 권한 할당 및 객체 관리 

- 객체는 트리로 구성 > 트리의 모음 포레스트 

- AWS DIRECTORY SERVICE; AWS에 AD를 생성하는 서비스 

- 1. AWS 관리형 MS AD ; 자체 액티브 디렉토리 생성 > 로컬에서 관리 > MFA 지원 / 독립실행형 > 온프렘AD와 신뢰구축

- 2. AD 커넥터 ; 디렉토리 GW ; 프록시로 온프렘 AD에 리다이렉트 / MFA / 사용자는 온프렘에서만 관리 

- 3. SIMPLD AD ; AWS의 AD 호환 관리형 디렉토리 ; 온프렘과 결합 X / AD가 AWS 내에 필요한 경우 서비스 사용

     > WINDOWS 실행 EC2 인스턴스 생성 및 네트워크 도메인 컨트롤러와 결합 로그인 정보 자격증명 공유 

     > 디렉토리와 EC2인스턴스를 가까이 위치 

- 1번일경우 , IAM ID CENTER - MS AD에 통합 연결 !! 

- 굳이 온프렘 관리를 하고 싶을 때 ; 1. 1번을 선택 양방향 신뢰 관계 구축 2. AD 커넥터 (지연시간이 좀 김)!!

 

AWS CONTROL TOWER 

- 규정 준수 다중 계정 AWS 환경 손쉽게 관리 가능 

- AWS ORGANIZATION 사용 ; 계정 자동 생성 

- 환경 자동 설정 

- 정책 위반 감지 > 자동 교정 

- 대화형 대시보드 > 전반적인 규정 준수 모니터링

- 가드레일 > 지속적인 정책 관리 가능 

- 1. PREVENTIVE 가드레일 -> SCP 사용 2. DETECTIVE 가드레일  -> AWS CONFIG 사용