본문 바로가기
CSP (Cloud Service Provider)/AWS

AWS IAM과 리소스 기반 정책의 비교

by BTC_ryul 2023. 8. 18.

베하~~~!

이번 시간에는 AWS IAM과 리소스 기반 정책의 비교에 대해 설명드리겠습니다.

 

AWS IAM과 리소스 기반 정책의 비교

클라우드 환경에서의 보안은 매우 중요한 요소입니다. AWS(Amazon Web Services)에서는 IAM(Identity and Access Management)과 리소스 기반 정책을 활용하여 리소스에 대한 접근 및 권한을 관리할 수 있습니다. 이 두 가지 접근 방식은 서로 다른 목적과 사용 사례를 가지고 있습니다.

 

IAM (Identity and Access Management)

IAM은 AWS 계정 내의 사용자, 그룹 및 역할에 대한 관리와 권한 할당을 위해 사용됩니다. 사용자 레벨에서의 접근 제어를 위해 주로 활용되며, 주요 특징은 다음과 같습니다:

  1. 사용자 관리: IAM을 사용하여 개별 사용자 계정을 생성하고 관리할 수 있습니다. 사용자는 자신의 보안 자격증명을 사용하여 AWS 서비스에 접속할 수 있습니다.
  2. 그룹화: 그룹을 생성하여 사용자를 묶고, 그룹 단위로 권한을 할당할 수 있습니다. 이를 통해 권한 관리를 효율적으로 수행할 수 있습니다.
  3. 역할 (Role): 역할은 AWS 리소스에 안전한 방식으로 접근하기 위해 사용됩니다. 특정 작업이나 서비스에서 역할을 사용하여 인증 및 권한을 관리할 수 있습니다.

리소스 기반 정책

리소스 기반 정책은 특정 AWS 리소스에 대한 접근 및 작업 권한을 정의하는 데 사용됩니다. 리소스 기반 정책의 주요 특징은 다음과 같습니다:

  1. 세부적인 제어: 리소스 기반 정책은 특정 리소스에 대한 접근 권한을 세밀하게 제어할 수 있습니다. 예를 들어, 특정 S3 버킷의 읽기 및 쓰기 권한을 다른 S3 버킷과 다르게 할당할 수 있습니다.
  2. 서비스별 권한: 각 서비스마다 리소스 기반 정책을 통해 접근 권한을 관리할 수 있습니다. S3, Lambda, DynamoDB 등 다양한 AWS 서비스에 대한 접근을 세밀하게 제어할 수 있습니다.
  3. 리소스 간 연결: 여러 리소스 간의 관계를 고려하여 권한을 부여할 수 있습니다. 이로써 한 리소스의 작업이 다른 리소스에 영향을 미치는 경우에도 적절한 권한을 설정할 수 있습니다.

 

AWS IAM 평가 로직:

  1. 인증 처리: 사용자 또는 역할이 AWS에 접근할 때, 해당 신원을 인증합니다. 이때 사용자의 액세스 키와 비밀 키, 또는 역할의 임시 자격 증명 등이 사용될 수 있습니다.
  2. 정책 평가: 인증된 사용자 또는 역할에게 연결된 정책들이 평가됩니다. 이는 명시적으로 연결된 정책뿐만 아니라 그룹과 인라인 정책도 포함됩니다.
  3. 효과 평가: 정책 평가 후에는 "허용" 또는 "거부"와 같은 효과를 결정합니다. 모든 정책을 평가하고 나면, 가장 허용되는 동작만이 허용됩니다.
  4. 데니드 상속: 만약 어떤 정책에서 거부(Deny)가 발생하면, 이 거부 상태는 다른 정책에도 상속됩니다. 이것은 거부 권한이 상위 수준 정책에 의해 무시되지 않는다는 의미입니다.

리소스 기반 정책 평가 로직:

  1. 리소스 식별: 정책에 정의된 리소스가 어떤 것인지 확인합니다. 이는 S3 버킷, DynamoDB 테이블, Lambda 함수 등의 특정 AWS 리소스를 의미합니다.
  2. 작업 식별: 사용자 또는 역할이 수행하려는 작업을 확인합니다. 이는 특정 작업이 AWS 리소스에 수행되는 것을 의미하며, 이 작업은 정책에 명시적으로 기술되어야 합니다.
  3. 조건 평가: 정책에 정의된 조건부 요소들을 평가합니다. 이 조건은 사용자의 IP 주소, 시간, 요청 소스 등과 같은 추가 정보를 활용하여 접근을 제한하거나 허용합니다.
  4. 허용 또는 거부 판단: 정책에 정의된 조건이 충족되면, 해당 작업이 허용되거나 거부됩니다. 리소스 기반 정책의 목적은 특정 리소스의 특정 작업에 대한 접근을 통제하는 것입니다.

 

 

결론

IAM과 리소스 기반 정책은 AWS에서 리소스에 대한 접근과 권한을 관리하는 데 사용되는 도구입니다. IAM은 사용자 및 그룹 관리, 역할 할당 등을 통해 계정 전체의 보안을 관리하며, 리소스 기반 정책은 특정 리소스에 대한 접근을 미세하게 제어합니다. 이 두 가지 접근 방식을 조합하여 클라우드 환경에서 보안을 강화하고 필요한 권한을 효과적으로 관리할 수 있습니다.

AWS에서는 IAM과 리소스 기반 정책을 통해 엄격한 보안 모델을 구축하여 클라우드 리소스를 안전하게 활용할 수 있습니다. 이는 보안 및 권한 관리를 체계적으로 수행하여 데이터의 안전성을 보장하는 데 도움을 줄 것입니다.

 

 

참조

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/reference_policies_evaluation-logic.html

저작자표시 비영리

'CSP (Cloud Service Provider) > AWS' 카테고리의 다른 글

[AWS] EIP 복원  (0) 2023.08.21
[AWS] ALB에 EIP를 부여하는 방법  (0) 2023.08.18
[AWS] RDS snapshot 공유  (0) 2023.08.18
AWS SigV4와 JWT  (0) 2023.08.18
[AWS] AWS CodeArtifact  (0) 2023.08.18

관련글

댓글

티스토리툴바