본문 바로가기
CSP (Cloud Service Provider)/AWS

AWS IAM 정책

by BTC_티모 2023. 12. 26.

탑신병자 듀오 팀 티모입니다.

이번 시간에는 AWS IAM 정책에 대해 알아보겠습니다.


 

IAM 정책은 AWS 서비스에 하나 이상의 권한을 부여해 리소스에 액세스 여부를 정의하는 개념입니다.

크게 권한을 제한하는 용도(Guardrail)와 권한을 부여하는 용도(Grant)로 나눌 수 있습니다.

권한을 제한하는 정책과 관련해서 조직 SCP 정책(Organization SCPs), 권한 경계 정책, 세션 정책이 있고

권한을 부여하는 정책으로는 크게 자격증명 기반 정책, 리소스 기반 정책, 액세스 제어 목록(ACLs)이 있습니다.


먼저, 권한을 제한하는 정책부터 알아보겠습니다.

조직 SCP 정책은(이하 SCP) 조직 및 조직 단위(OU)의 계정 멤버에 대한 최대 권한을 정의합니다.
SCP는 자격증명 기반 정책 및 리소스 기반 정책을 통해 계정 내 엔터티(사용자, 역할 등)에 부여하는 권한을 제한합니다.

 

권한 경계 정책은 자격증명 기반 정책을 통해 IAM 엔터티에 부여할 수 있는 최대 권한을 설정하는 기능입니다.

권한 경계를 설정하면 해당 엔터티는 자격증명 기반 정책과 권한 경계 모두에 허용되는 작업만 수행할 수 있습니다.

 

세션 정책은 역할이나 사용자의 자격증명 기반 정책을 통해 세션에 부여하는 권한을 제한하는 기능을 말합니다.

 

 


다음은 권한을 부여하는 정책들입니다.

자격증명 기반 정책은 보안의 주체가 수행할 수 있는 작업이나 리소스, 조건 등을 제어하는 JSON 권한 정책 문서입니다.

아래 3가지 정책으로 분류할 수 있으며, 이들을 사용자, 그룹, 역할에 연결합니다.

  1. AWS 관리형 정책 : AWS에서 자체적으로 생성 및 관리하는 독립적인 정책입니다.
    여기서 독립적이란, 각 정책에 정책 이름이 포함된 ARN을 갖고 있음을 의미합니다.
    AWS에서 제공하므로 글로벌로 적용됩니다.
    정책 리스트에서 이름 앞에 AWS 아이콘이 표시되어져 있는 것들이 여기에 속합니다.
  2. 고객 관리형 정책 : 사용자 자신의 AWS 계정에서 생성 및 관리할 수 있는 정책입니다.
    이렇게 생성된 정책은 AWS 계정에 속한 다수의 보안 주체에 추가할 수 있습니다.
    정책을 보안 주체 엔터티에 추가하면 그 정책에서 정의한 권한까지 부여됩니다.
  3. 인라인 정책 : 사용자, 그룹, 역할에 1대 1 관계로 명시적으로 할당하는 정책입니다.

리소스 기반 정책은 인라인 정책을 리소스에 연결해, 해당 리소스에 액세스할 수 있는 대상이 그 리소스에서 가능한 지정할 수 있습니다. 즉, 이 정책들은 해당하는 리소스에 직접 정의해야 하며, 이 정책이 적용되어 리소스를 사용하는 대상(Principal)이 무엇인지도 추가해야 합니다.

 

액세스 제어 목록(ACL)은 번호나 이름을 이용 정책을 생성해, 이를 기반으로 특정 사용자 및 서비스가 라우터나 네트워크에 접근하는 것을 허용/거부하기 위한 기능입니다. 


AWS IAM 정책에 대해 간단히 알아보았습니다.

감사합니다.

 

댓글