[AWS Cloud Practitioner] AWS 사용자 권한(IAM) + 연습문제

AWS Identity and Access Management(IAM)

: AWS 서비스와 리소스에 대한 액세스를 안전하게 관리할 수 있음 

 

IAM는 다음의 기능을 조합하여 사용

1. IAM 사용자, 그룹 및 역할 

2. IAM 정책 

3. Multi-Factor Authentication

 

출처 : AWS Cloud Practitioner Essentials (Korean)

AWS 계정을 처음 만들면 root 사용자라는 자격증명으로 시작. 최초 AWS 계정을 만들 때 사용한 이메일 주소, 암호로 로그인하여 접근하며 이 사용자는 모든 AWS 서비스 및 리소스에 대한 전체 접근 권한을 가짐 

 

* root 사용자 사용을 최소화 

루트 사용자만 사용할 수 있는 제한된 종류의 작업에만 루트 사용자를 사용해야한다. 루트 사용자 이메일 주소 변경, AWS Support 플랜 변경 등

 

IAM 사용자 

: 사용자가 AWS에서 생성하는 자격 증명.

 

- AWS 서비스 및 리소스와 상호 작용하는 사람 또는 애플리케이션을 나타냄

- 이름과 자격증명으로 구성

- 새 IAM 사용자를 생성하면 해당 사용자와 연결 권한 없음 (권한 부여 필요)

- AWS에 접근해야 하는 각 사용자마다 개별 IAM 사용자 생성하는 것이 좋음 (고유한 보안 자격 증명 집합을 통해 보안 강화)

 

IAM 정책 ** 

: AWS 서비스 및 리소스에 대한 권한을 허용 또는 거부하는 문서

 

- IAM 정책 사용하여 사용자 리소스에 접근할 수 있는 수준 지정 

- 권한 부여 시 최소 권한 보안 원칙 권고 

- 사용자가 늘어나는 경, 각각에 권한 할당하는 것 대신  IAM 그룹에 배치 

 

IAM 그룹 : IAM 사용자의 모음. 그룹에 IAM 정책을 할당하면 해당 그룹의 모든 사용자에게 정책에 지정된 권한 부여

 

IAM 역할**

- 임시로 권한에 접근할 수 있도록 하는 자격 증명.

- IAM 사용자, 애플리케이션 또는 서비스가 IAM 역할을 수임하면 이전 역할에 지정된 모든 권한을 포기하고 새 역할에 지정된 권한 수임. - 장기적인 권한이 아닌 일시적으로 부여해야.

 

 

다음 중 IAM 정책을 가장 잘 설명한 것은?

1. AWS 계정에 추가 보호 계층을 제공하는 인증 프로세스 AWS 계정에 추가 보호 계층을 제공하는 인증 프로세스는 Multi-Factor Authentication(MFA)

2. AWS 서비스 및 리소스에 대한 권한을 부여하거나 거부하는 문서

3. 임시로 권한에 액세스하기 위해 수임할 수 있는 자격 증명 임시로 권한에 액세스하기 위해 수임할 수 있는 자격 증명은 IAM 역할

4. AWS 계정을 처음 만들면 설정되는 자격 증명 AWS 계정을 처음 만들면 설정되는 자격 증명은 루트 사용자 자격 증명

직원이 여러 Amazon S3 버킷을 생성하기 위해 임시 액세스 권한이 필요합니다. 다음 중 이 작업에 가장 적합한 옵션은?

1. AWS 계정 루트 사용자 AWS 계정을 처음 만들면 AWS 계정 루트 사용자가 설정됩니다. 일상 작업에는 루트 사용자를 사용하지 않는 것이 가장 좋음

2. IAM 그룹 IAM 정책을 IAM 그룹에 연결할 수 있지만 직원에게 임시 권한만 부여하면 되기때문에 오답

3. IAM 역할

4.서비스 제어 정책(SCP) 서비스 제어 정책(SCP)을 사용하면 조직의 계정에 대한 권한을 중앙에서 제어할 수 있다.

다음 중 최소 권한 원칙을 가장 잘 설명한 것은?

1. IAM 사용자를 하나 이상의 IAM 그룹에 추가

2. 액세스 제어 목록에서 패킷의 권한을 확인

3. 특정 작업을 수행하는 데 필요한 권한만 부여

4.하나 이상의 디바이스에서 시작하는 서비스 거부 공격을 수행