https://www.udemy.com/course/best-aws-certified-solutions-architect-associate/
[Ultimate AWS Certified Solutions Architect Associate (SAA)
AWS Certified Solutions Architect Associate 자격 SAA-C03 시험에 합격하기 위한 신규 주제, AWS 실용 지식, 시험 준비 방법과 문제 대비를 진행하는 강의
www.udemy.com](https://www.udemy.com/course/best-aws-certified-solutions-architect-associate/)
IAM 및 AWS CLI
IAM
Identity and Access Management
💡Global Service! (특정 지역 X)
- Root account: 기본 생성, 계정 생성 및 설정 이외의 용도로 사용/공유 X
- Users: 조직 내의 한 사람에 해당, 그룹으로 묶을 수도 있음
- Groups: 사용자만 포함, 다른 그룹은 포함X
- 사용자는 그룹에 속하지 않을 수 있음, 다수의 그룹에 속할 수 있음
Permissions
- Users or Groups:
policies
(JSON 문서)가 부여됨 - 권한을 정의
- 최소의 권한만 부여할 것 !(apply the least privilege principle(
IAM Policies
- Version: 정책 언어 버전 (보통 2012-10-17)
- Id: 선택 사항
- Statement: 필수
- Sid: 문장 ID (식별자), 선택 사항
- Effect: statement가 특정 API에 접근하는 걸 허용할지 거부할지 결정 - allow, deny
- Principal: 특정 정책이 적용될 acoount/user/role1
- Action: effect에 의해 허용/거부되는 API 목록
- Resource: action의 리소스 목록 (ex: 버킷)
- Condition: Statement가 언제 적용될지 (optional)
Password Policy
Strong passwords = higher security for your account
AWS에서 비밀번호 정책을 설정할 수 있다
- 최소 길이 minimum password length
- 특정 문자 타입 require specific character types
- 사용자에게 비밀번호 변경 허용 Allow all IAM users to change their passwords
- 특정 기간 후에 비밀번호 변경 강제 Require users to change their password after some time
- 비밀번호 재사용 금지Prevent password re-use
Multi Factor Authentication - MFA
MFA → 비밀번호 + Security device 사용 password you know + security device you own
장점
- 비밀번호가 유출되어도 계정은 침해받지 않음 (MFA가 함께 필요하기 때문)
MFA devices options
- Virtual MFA device: Google Authenticator, Authy
- Universal 2nd Factor Security Key: YubiKey
- Hardware Key Fob MFA Device: Gemalto
- Hardware Key Fob MFA Device for AWS GovCloud (US)
AWS access
- AWS Management Console (password + MFA)
- AWS Command Line Interface (access keys)
- AWS Software Developer Kit (SDK) (for code)
Access Keys
: AWS Console에서 생성
💡Access Keys는 비밀번호와 같은 것으로 공유하지 말 것!
Access Key ID = username
Secret Access key = password
SDK - 프로그래밍 언어에 따라 개별 SDK 존재
AWS 서비스/API에 액세스 가능
터미널 X → 코딩을 통해 심어둠
IAM Roles
IAMA Role을 통해 AWS service에 권한을 부여
주로 EC2 Instance나 Lambda Function에서 사용
Common Roles
- EC2 Instance Roles
- Lambda Function Roles
- Roles for CloudFormation
IAM Security Tools
- IAM Credentials Report (account-level)
- IAM Access Advisor (user-level)
💡 IAM Guidelines
- AWS 계정 setup 이외에 root 계정을 사용하지 마라
- One physical user = One AWS user
- 사용자를 Group에 할당하고, Group에 권한을 할당하라
- 강한 비밀번호 정책 사용하기
- MFA 사용하기
- Create and use Roles for giving permissions to AWS services
- CLI/SDK (프로그래밍 사용)에는 Access Keys를 사용하고, 유출하지 않기
- IAM Credentials Report로 계정 보안 관리하기
- Never share IAM users & Access Key
퀴즈
IAM 역할 = AWS 서비스에 요청을 생성하기 위한 일련의 권한을 정의하고, AWS 서비스에 의해 사용될 IAM 개체
IAM 정책 = AWS 서비스에 요청을 생성하기 위한 일련의 권한을 정의하며, IAM 사용자, 사용자 그룹 및 IAM 역할에서 사용하게 될 JSON 문