IAM

이메일 아이디로 만든 AWS 계정을 루트 계정이라고 부릅니다. AWS에서는 IAM(Identity and Access Management) 서비스를 제공합니다. IAM은 루트 계정을 사용하지 않고도 각각의 사용자들이 AWS 리소스들에 접근할 수 있도록 해주며 IAM을 통해 유저, 유저 그룹을 만들어 각각의 사용자 혹은 그룹별로 필요한 권한만을 제한적으로 부여할 수 있습니다.

• 각 AWS 서비스 및 자원 별 사용 권한 지정
• 역할 및 정책을 통해 손쉽게 자세한 권한 관리
• 기업내 사용자 관리 시스템과 연동 지원
• 오프라인 기기(MFA, 멀티팩터 인증)를 통한 인증 가능

• IAM 사용자는 개개인마다 생성하고 여러 명이 같은 IAM 사용자를 공유하지 않습니다. 그리고 원칙적으로 IAM 사용자에게 직접 권한을 부여해서는 안 됩니다.
• IAM 그룹은 관리자, 개발자, 오퍼레이터 등 역할마다 생성하길 바랍니다. IAM 사용자는 IAM 그룹에 속하는 것으로 필요한 권한을 얻을 수 있습니다. IAM 그룹에 권한을 부여할 때 IAM 정책을 이용하는데, 가능한 한 관리 정책 또는 사용자 정의 관리 정책을 이용합니다.
• 프로그램에서 이용할 떄는 가능한 한 IAM 역할을 이용합니다. 프로그램용 IAM 사용자를 생성해서 액세스 키를 발행하는 방법도 있지만 액세스 키의 관리 문제가 발생하기 쉬우므로 다른 대체 수단이 없는 경우에만 이용합니다.

• 루트 엑세스 키를 조심해야 합니다.
• 오프라인 기기 혹은 앱 인증을 꼭 사용합니다.
• IAM 사용자를 생성하고 필요한 권한만 할당합니다.
• IAM 그룹 생성을 통해 권한을 관리합니다.
• 암호 생성 조건을 꼭 확인하세요
• AWS에서 제공하는 비용 청구 자동 확인 서비스들을 수시로 확인합니다. 결제 대시보드에서 제공하는 비용 알람을 반드시 체크하세요. 클라우드 와치를 통해 일정 비용 이상이 초과하면 결제 정보 알람이 뜨도록 설정합니다.
• 실제 서비스 환경에서 루트 계정을 사용하기보다, 루트 계정은 사용자를 생성하는 용도로만 사용하며 필요한 권한을 부여한 사용자들을 이용해 콘솔에 접속합니다.