728x90
AWS Organizations 과 AWS IAM에 대하여
- IAM은 리소스에 대한 액세스를 제어할 수 있고 사용자 및 그룹을 만들고 접근 허용 및 거부를 설정할 수 있습니다.
- Oraganzations은 AWS 계정을 생성하고, 그룹화(OU), 정책(SCP)을 적용할 수 있습니다.
1. 적용 대상
- Organizations은 AWS 계정을 대상으로 하지만 IAM은 사용자를 대상으로 합니다.
- Organizations에서 특정 계정에 SCP를 적용하면, 해당 계정의 모든 사용자는 영향을 받습니다.
- Organizations의 정책이 IAM의 정책보다 우선합니다.
2. 추가 기능
- Organizations은 백업, 리소스, 보안 정책 등을 중앙집중적으로 관리합니다.
- Organizations에서 특정 계정에 SCP를 적용하면, 해당 계정의 모든 사용자는 영향을 받습니다.
- Organizations그룹(OU)별 리소스 거버넌스 경계를 만듭니다.
- IAM은 리소스에 대한 엑세스 제어를 합니다.
조직단위 계정에 일종의 가이드를 적용, 계정/조직 레벨에서 각종 정책(백업, 리소스, 보안 등)이나 비용을 관리할 때 Organizations을 사용합니다.
각 사용자별 세부권한 조정을 하고자 할때는 IAM을 사용하면 됩니다.
거버넌스란 데이터의 보안, 개인정보 보호, 정확성, 가용성, 사용성을 보장하기 위해 수행하는 모든 작업을 가리킵니다. 여기에는 사람이 취해야 하는 조치, 따라야 하는 프로세스, 데이터의 전체 수명 주기 동안 이를 지원하는 기술이 포함됩니다. - Google Cloud
IAM 기능
- AWS 계정에 대한 공유 엑세스
- 암호나 액세스 키를 공유하지 않고도 AWS 계정의 리소스를 관리하고 사용할 수 있는 권한을 다른 사람에게 부여할 수 있습니다.
- 세분화된 권한
- 리소스에 따라 여러 사람에게 다양한 권한을 부여할 수 있습니다.
- 예를 들어 일부 사용자에게 EC2, S3, DynamoDB, RedShift 및 기타 AWS 서비스에 대한 완전한 엑세스를 허용할 수 있습니다.
- 다른 사용자에게는 일부 S3 버킷에 대한 읽기 전용 권한, 일부 EC2 인스턴스를 관리할 수 있는 권한 또는 결제 정보에만 엑세스할 수 있는 권한을 허용할 수 있습니다.
- EC2에서 실행되는 애플리케이션을 위한 보안 AWS 리소스 엑세스
- EC2 인스턴스에서 실행되는 애플리케이션의 경우 IAM 기능을 사용하여 자격 증명을 안전하게 제공할 수 있습니다. 이러한 자격 증명은 애플리케이션에 다른 AWS 리소스에 액세스할 수 있는 권한을 제공합니다.
- 예를 들면 이러한 리소스에는 S3 버킷 및 DynamoDB 테이블이 있습니다
- 멀티 팩터 인증(MFA)
- 보안 강화를 위해 계정과 개별 사용자에게 2팩터 인증을 추가할 수 있습니다. MFA를 사용할 경우 계정 소유자나 사용자가 계정 작업을 위해 암호나 액세스 키뿐 아니라 특별히 구성된 디바이스의 코드도 제공해야 합니다.
- 이미 다른 서비스와 함께 FIDO 보안 키를 사용하고 있으며 FIDO 보안 키의 구성에 AWS가 지원되는 경우 MFA 보안을 위해 WebAutn을 사용할 수 있습니다.
- 아이덴티티 페더레이션
- 기업 네트워크나 인터넷 자격 증명 공급자와 같은 다른 곳에 이미 암호가 있는 사용자에게 AWS 계정에 대한 임시 액세스 권한을 부여할 수 있습니다.
- 보장을 위한 자격 증명 정보
- AWS CloudTrail을 사용하는 경우 계정의 리소스를 요청한 사람에 대한 정보가 포함된 로그 레코드를 받게 됩니다.
- PCI SDD 준수
- IAM에서는 판매자 또는 서비스 공급자에 의한 신용카드 데이터의 처리, 저장 및 전송을 지원하며, PCI DDS 준수를 검증받았습니다.
- https://aws.amazon.com/ko/compliance/pci-dss-level-1-faqs/
- 많은 AWS 서비스와의 통합
- eventually consistent
- IAM은 다른 많은 AWS 서비스처럼 eventually consistent이 있습니다.
- 무료 사용
- AWS Identity and Access Management(IAM) 및 AWS Security Token Service(AWS STS)는 추가 비용 없이 AWS 계정에 제공되는 기능입니다. IAM 사용자 또는 AWS STS 임시 보안 자격 증명을 사용하여 다른 AWS 서비스에 액세스하는 경우에만 요금이 부과됩니다.
IAM에 액세스
- AWS Management Console콘솔은 IAM 및 AWS 리소스를 관리하기 위한 브라우저 기반 인터페이스입니다. 콘솔을 통한 IAM 액세스에 대한 자세한 내용은 AWS Management Console에 IAM 사용자 또는 루트 사용자로 로그인 섹션을 참조하세요.
- AWS 명령줄 도구를 통해 시스템 명령줄에서 명령을 실행하여 IAM 및 AWS 작업을 수행할 수 있습니다. 명령줄을 사용하는 것이 콘솔을 사용하는 것보다 더 빠르고 편리할 수 있습니다. AWS 작업을 수행하는 스크립트를 작성할 때도 명령줄 도구가 유용합니다.
- AWS SDK에서는 다양한 프로그래밍 언어 및 플랫폼(Java, Python, Ruby, .NET, iOS, Android 등)을 위한 라이브러리와 샘플 코드로 구성된 소프트웨어 개발 키트(SDK)를 제공합니다. SDK를 사용하면 편리하게 IAM 및 AWS에 프로그래밍 방식으로 액세스할 수 있습니다. 예를 들어 SDK는 요청에 암호화 방식으로 서명, 오류 관리 및 자동으로 요청 재시도와 같은 작업을 처리합니다. 다운로드 및 설치 방법을 비롯하여 AWS SDK에 대한 자세한 내용은 Amazon Web Services용 도구 페이지를 참조하세요.
- IAM HTTPS API서비스로 직접 HTTPS 요청을 실행할 수 있는 IAM HTTPS API를 사용하여 프로그래밍 방식으로 IAM 및 AWS에 액세스할 수 있습니다. HTTPS API를 사용할 때는 자격 증명을 사용하여 요청에 디지털 방식으로 서명하는 코드를 포함해야 합니다. 자세한 내용은 HTTP 쿼리 요청을 사용하여 IAM API 호출 및 IAM API 참조를 참조하세요.
- AWS에서는 AWS Command Line Interface(AWS CLI) 및 AWS Tools for Windows PowerShell라는 두 가지 명령줄 도구 세트를 제공합니다. AWS CLI 설치 및 사용에 대한 자세한 내용은 AWS Command Line Interface 사용 설명서를 참조하세요. Tools for Windows PowerShell 도구 설치 및 사용에 대한 자세한 내용은 AWS Tools for Windows PowerShell 사용 설명서를 참조하세요.
IAM이란 무엇입니까? - AWS Identity and Access Management
이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.
docs.aws.amazon.com
AWS Organizations 기능
모든 AWS 계정의 중앙 집중식 관리
- 기존 계정을 하나의 조직으로 결합해 중앙에서 계정을 관리할 수 있습니다.
- 자동으로 저직의 일부가 되는 계정을 만들고, 다른 계정을 조직에 초대할 수 있습니다. 또 계정 일부나 전체에 영향을 주는 정책을 연결할 수도 있습니다.
모든 맴버 계정에 대한 통합 결제
- 통합 결제는 AWS Organizations의 기능입니다. 조직의 관리 계정을 사용하여 모든 맴버 계정을 통합하고 요금을 지불할 수 있습니다.
- 통합 결제에서의 관리 계정은 조직에 속한 맴버 계정의 결제 정보, 계정 정보 및 계정 활동에 액세스할 수도 있습니다.
- 이 정보는 관리 계정이 조직의 비용 성과를 향상시키는데 도움이 되는 Cost Explorer와 같은 서비스에서 활용할 수 있습니다.
예산, 보안, 규정 준수 필요 충족을 위한 계정의 계층적 그룹화
- 계정을 조직 단위(OU)로 그룹화하고 OU마다 다른 액세스 정책을 연결할 수 있습니다.
- 예를 들어 특정 규제 요구 사항을 충족하는 AWS 서비스에만 액세스해야 하는 계정이 있는 경우 이러한 계정을 하나의 OU에 넣을 수 있습니다.
- 그런 다음 해당 OU에 정책을 연결해 규제 요구 사항을 충족하지 않는 서비스에 대한 액세스를 차단합니다. OU는 5층으로 다른 OU에 중첩할 수 있어, 계정 그룹을 유연하게 구성할 수 있습니다.
각 계정이 액세스할 수 있는 AWS 서비스 및 API 작업의 제어를 중앙화하는 정책
- 조직 관리 계정의 관리자는 서비스 제어 정책(SCP)을 사용하여 조직의 멤버 계정에 대한 최대 권한을 지정할 수 있습니다.
- SCP에서 각 멤버 계정의 사용자 및 역할이 액세스할 수 있는 AWS 서비스, 리소스 및 개별 API 작업을 제한할 수 있습니다.
- AWS 서비스, 리소스 및 API 작업에 대한 액세스를 제한할 조건을 정의할 수도 있습니다. 이러한 제한은 조직의 멤버 계정 관리자보다도 우선합니다.
- AWS Organizations에서 멤버 계정의 서비스, 리소스 또는 API 작업에 대한 액세스를 차단하면 해당 계정의 사용자나 역할은 이러한 서비스, 리소스 또는 API 작업에 액세스할 수 없습니다. 이 차단은 멤버 계정의 관리자가 IAM 정책에서 이러한 권한을 명시적으로 부여하더라도 여전히 적용됩니다.
AWS Organizations란 무엇인가요? - AWS Organizations
AWS Organizations란 무엇인가요? AWS Organizations은 생성한 여러 AWS 계정을 조직에 통합하고 중앙에서 관리할 수 있는 계정 관리 서비스입니다. AWS Organizations의 계정 관리 및 통합 결제 기능을 활용하면
docs.aws.amazon.com
728x90
'기능반공부 > 클라우드 컴퓨팅' 카테고리의 다른 글
| [CC] AWS SSM(Systems Manager) - session manager (0) | 2023.02.28 |
|---|---|
| [CC] AWS Cloud Service logs(AWS CloudWatch & AWS CloudTrail) (0) | 2023.02.22 |
| [CC] AWS EFS(Elastic File System) (0) | 2023.01.12 |
| [CC] AWS EC2(Elastic Compute Cloud) (0) | 2023.01.11 |
| [CC] VPC / Subnet / Internet Gateway / Route Table (4) | 2023.01.11 |
