AWS 자격증
Space shortcuts
Space Tools
AWS 자격증 AWScert
Skip to end of metadata
Go to start of metadata


학습목표

 - AWS 관리 콘솔 사용법을 익힌다.

 - AWS IAM 대해 이해하고 사용할 있다.


학습내용

 - AWS 관리 콘솔이란?

 - AWS IAM이란?


강의에 크게 2 카테고리 강의가행되는데,

1. 관리콘솔 (AWS Management Console)

2. IAM

이렇게 2가지.


그런데 강의말고 어떤 강의나 등을 살펴봐도, 굳이 Management Console 주제로 강의나명을 진행하는 경우는 없더라고요… ( 내가 못본걸 수도 있겠지만 적어도 우리가 지 가지고 있는 8권이랑, 강의 듣기로한 3가지 내에서..)


AWS Management Console 이란게 뭐냐 이름 그대로 AWS 관리용면같은거임.

이를테 EC2 생성하고 띄우고하겠다? 그 작업을 하기위 웹화면이 바로 관리콘솔.

S3에 파일을 올리겠다? 웹브라우저로 관리콘솔 들어가서 파일 업로드 버튼 누르고 올릴 수 있고,

번달금까지용료가 얼마고, 예상되는 결제 금액이 어떻게 되는지 확인하고 싶다? 그건도 관리콘솔에서 있고. 등등


암튼양한 있는게 관리콘솔인 것이고,

그렇다 보니 목별로 공부할 때에, 예 들어, RDS에서 계 생성하기라는 타이틀로 강의나 용을 살펴본다면, 거기서 결 관리콘솔상의 어떤 페이지로 들어가서튼을 누르 되는지 설명이 것이란 말이져~~


그러니 파트 목표를 관리콘솔 마스터하기! 같은 식으로 두지 않아도

~ 면을 관리콘솔이라고는구나~~ 정도면 될듯.

누군가 '관리 콘솔속했어요?' '그 Management Console 들어가서 확인하시면 되요~' 같은 발언을 했을 , ' 사이트 들어가라는거구나~~~~~'  하 정도면 된다 생각합니다!!


여기서 그나마 눈여겨볼 특이사항은

 - MFA명과, 설정하는정이

 - 모바 관리콘솔에 이야기(스마트) 언급된다는

정도…?

관리콘솔에서런것도는구나~ 하며 한번심히 들어보는 정도면 같아요!



관리 콘솔분을 정리하자면..

 - 관리콘솔이란 → AWS 서비스에 접근/관리 하기 위한 웹기반 인터페이스

 - 기본적으로 가입한 직후에는 ID/Password 로그인할 있음. 계정도 root 계정 밖에 없을것이고..

 - 그런데 이러한 상태는 보안상 취약함 → 외부에 ID/Password 노출되면 해당 업체의 모든 인프라 구조가 위협받을 있음 → 그래서 암호 이외의 추가적인 2 인증수단을 걸어놔야 안전한데 → 이때 2 인증수단을 AWS에서는 MFA(Multi-Factor Authentication)이라고 부름

 - MFA방식에는, 은행에서 사용하는 OTP 같은걸 사용하면 되는데 (자세한 사용 가능 장비 리스트는 이 링크를 참조하세요)

   은행 OTP 마찬가지지만, 이게 원래 별도의 OTP 기계가 있고, 그걸 따로 구입도 하고 그래야됨.

 - 하지만 그나마 'Virtual MFA Applications'라는 기능이 제공되긴하는데, 이게 뭐냐면 OTP실물 기계를 쓰는게 아니라, 스마트폰 앱으로 OTP 기계를 대체하는 것임

바로위에 링크 달아놨던거 들어가보면 이 내용도 언급 되어있고, iOS / Android둘다 지원하고, 다음과 같은 앱들이 사용 가능함 → Authy, Duo Mobile, LastPass Authenticator, Microsoft Authenticator, Google Authenticator


전에 내꺼 로그인할 살짝 보여줬던것도 같은데 저는 구글앱 쓰고있고,

스마트폰에 이런식으로 떠요~

(보안상 캡쳐는 안된다고해서 찍음 -.-;;;)


 - 암튼 이런 앱을 통해서도 → 2차인증 => , MFA 설정이 가능합니다그럼 ID/Password 로그인하고, 직후에 MFA 암호를 넣으라고 한번 . 손에 OTP기계나 스마트폰이 있어야 로그인 가능할테니 보안은 튼튼!!

 - 외에 관리 콘솔 부분은 PDF에도 정리되어 있는 내용정도 참고하고, 강의나 한번 듣고 끝냅시다-!



IAM (Identity and Access Management)

 - IAM이란?

 → 기본적으로 AWS 그냥 가입하고 나면 그건 root 계정이라고함. 계정은 최고 권한을 갖고있는 관리자 계정 같은 것임.

 → 개인이 공부목적으로 이런 모든 권한 갖고있는 계정 하나만 있으면 충분하겠져... 그치만 회사라면? 규모가 크다면??

 → 예를들면 데이터사업팀은 데이터사업팀 나름대로 빅데이터 분석을 하기 위한 시스템을 구축해놓고 쓰고있고, 솔루션사업팀에선 관제 솔루션 사업을 하기위해 구축해놨고...  이런식으로 팀마다 EC2 10개정도씩 쓰고있는데, 회사에 팀에 100개쯤 있는것임.

 → 근데 내가 로그인했더니 EC2만해도 1000개가 보이더라? 게다가 그거 죄다 내가 shutdown시키거나 지워버릴 수도 있고?

 → 누군가는 실수를 수도 있고. 누군가는 봐선 안되는 개인정보를 보게되고. 누군가는 암호를 질질 흘리고 다니고. 등등...

  => 그러니 root 계정 하나만 가지고 모든 직원이 공유해서 쓰는 것은 이상하겠져..

  => 이럴 쓰는 하위 계정 관리 서비스가 IAM 이라고 보면 되겠습니다.


 - IAM 구성

  1. root 계정: 관리자 계정. 모든 권한 가지고 있음.

  2. 일반 계정: 일반 계정. 부여된 정책만큼의 권한 가지고 있음.

  3. 그룹: 사용자의 묶음. 이를테면 '오픈소스팀'이라고 그룹을 만들고, 안에 해당 팀원들의 일반 계정을 추가해 넣는다. 그리고 팀이 사용가능한 권한을 정책으로 만들어서 부여해서 사용

  4. 역할: 역할은 사용자나, 그룹하고는 살짝 다른 개념임. 일반 사용자들이 그룹에 속하는 개념이라면, 역할은 특정 사용자에게 부여되는 개념 같은것..?

    그룹은 회사의 팀같은거라, 여러 팀원들이 팀에 속하는 식으로, 좀더 포함 개념 같은건데,

    역할은 팀장같은거랄까.. 특정 사용자에게 팀장 역할을 부여해주는식. 팀장 역할을 갖고 있는 동안에는 팀장만의 권한이 있고, 팀장이라는 역할을 다른 사용자에게 넘겨줄 수도 있고(팀장이 아예 바뀌는 처럼 역할 자체를 다른 사용자에게 넘길 수도 있지만, 팀장이 휴가인날 잠시 넘겨주는 처럼 위임이라는 개념도 있음. sudo 같은 느낌..?)

    암튼 역할은 그룹에 붙는건 아니고, 특정 사용자에 붙지만, 역할을 다른사람에게 넘겨줄 수도 있고 그런 개념임.


    설명의 편의를 위해 팀장같은거라고 해버렸는데, 예시를 통해 좀더 정확한 이해를 돕자면..

    EC2 자주 꺼야되는 사용자가 있다 하더라도, 실수등의 방지를 위해 해당 계정에게 EC2 있는 권한을 주지는 않고 // 대신 EC2 있는 권한을 가진 역할을 만드는 것임

    그리고 실제로 EC2 꺼야될 경우에는 해당 역할을 임시로 획득하는 것임 -> 위에도 살짝 언급한 처럼 sudo같은 느낌...? 이를 통해 실수를 방지할 있음.


    암튼 그래서 역할은, 특정 권한을 임시로 지정된 시간 동안만 획득한다거나 그런 용도로 사용됨. (팀장이라는 권한은 항구적인 것이었어서, 괜히 헷갈릴까봐 보충해봅니다 -.-!!)


    그리고 역할에도 역할용 정책 만들어서, 역할에다가 권한 부여해서 사용함

  5. 정책: 권한의 묶음. 일반계정 / 그룹 / 역할 에다가 부여 가능함. 특정인을 위한 권한이라거나, 팀용 권한. 혹은 특정 역할에 대한 권한등을 필요에 따라

   강의에선 정책이 JSON타입이라고 하고 있는데, AWS 공식페이지의 설명 따르면, ACL의 경우는 JSON 정책 구조를 사용하지 않는다고 함

"액세스 제어 목록(ACL) – ACL을 사용하여 ACL이 연결된 리소스에 액세스할 수 있는 다른 계정의 보안 주체를 제어합니다. ACL는 리소스 기반 정책과 비슷합니다. 다만 JSON 정책 문서 구조를 사용하지 않은 유일한 정책 유형입니다. ACL은 지정된 보안 주체에 권한을 부여하는 교차 계정 권한 정책입니다. ACL은 동일 계정 내 엔터티에 권한을 부여할 수 없습니다."






  • No labels
Write a comment…
AWS 자격증 AWScert