AWS IAM 정책

탑신병자 듀오 팀 티모입니다.

이번 시간에는 AWS IAM 정책에 대해 알아보겠습니다.

---

 

IAM 정책은 AWS 서비스에 하나 이상의 권한을 부여해 리소스에 액세스 여부를 정의하는 개념입니다.

크게 권한을 제한하는 용도(Guardrail)와 권한을 부여하는 용도(Grant)로 나눌 수 있습니다.

권한을 제한하는 정책과 관련해서 조직 SCP 정책(Organization SCPs), 권한 경계 정책, 세션 정책이 있고

권한을 부여하는 정책으로는 크게 자격증명 기반 정책, 리소스 기반 정책, 액세스 제어 목록(ACLs)이 있습니다.

---

먼저, 권한을 제한하는 정책부터 알아보겠습니다.

조직 SCP 정책은(이하 SCP) 조직 및 조직 단위(OU)의 계정 멤버에 대한 최대 권한을 정의합니다.
SCP는 자격증명 기반 정책 및 리소스 기반 정책을 통해 계정 내 엔터티(사용자, 역할 등)에 부여하는 권한을 제한합니다.

 

권한 경계 정책은 자격증명 기반 정책을 통해 IAM 엔터티에 부여할 수 있는 최대 권한을 설정하는 기능입니다.

권한 경계를 설정하면 해당 엔터티는 자격증명 기반 정책과 권한 경계 모두에 허용되는 작업만 수행할 수 있습니다.

 

세션 정책은 역할이나 사용자의 자격증명 기반 정책을 통해 세션에 부여하는 권한을 제한하는 기능을 말합니다.

 

 

---

다음은 권한을 부여하는 정책들입니다.

자격증명 기반 정책은 보안의 주체가 수행할 수 있는 작업이나 리소스, 조건 등을 제어하는 JSON 권한 정책 문서입니다.

아래 3가지 정책으로 분류할 수 있으며, 이들을 사용자, 그룹, 역할에 연결합니다.

1. AWS 관리형 정책 : AWS에서 자체적으로 생성 및 관리하는 독립적인 정책입니다.
   여기서 독립적이란, 각 정책에 정책 이름이 포함된 ARN을 갖고 있음을 의미합니다.
   AWS에서 제공하므로 글로벌로 적용됩니다.
   정책 리스트에서 이름 앞에 AWS 아이콘이 표시되어져 있는 것들이 여기에 속합니다.
2. 고객 관리형 정책 : 사용자 자신의 AWS 계정에서 생성 및 관리할 수 있는 정책입니다.
   이렇게 생성된 정책은 AWS 계정에 속한 다수의 보안 주체에 추가할 수 있습니다.
   정책을 보안 주체 엔터티에 추가하면 그 정책에서 정의한 권한까지 부여됩니다.
3. 인라인 정책 : 사용자, 그룹, 역할에 1대 1 관계로 명시적으로 할당하는 정책입니다.

리소스 기반 정책은 인라인 정책을 리소스에 연결해, 해당 리소스에 액세스할 수 있는 대상이 그 리소스에서 가능한 지정할 수 있습니다. 즉, 이 정책들은 해당하는 리소스에 직접 정의해야 하며, 이 정책이 적용되어 리소스를 사용하는 대상(Principal)이 무엇인지도 추가해야 합니다.

 

액세스 제어 목록(ACL)은 번호나 이름을 이용 정책을 생성해, 이를 기반으로 특정 사용자 및 서비스가 라우터나 네트워크에 접근하는 것을 허용/거부하기 위한 기능입니다. 

---

AWS IAM 정책에 대해 간단히 알아보았습니다.

감사합니다.