1. 개요

글 제목만 거창하고 일단 IAM을 잘 사용하기 위한 방법을 논하려고 합니다.


2. IAM

  • 루트 계정을 쓰지 말자.
  • 패스워드는 절대 어려운 것으로 설정하자.
  • MFA 를 사용하자. 모바일, OTP 등등..
  • 권한은 무조건 최소한만 부여한다. 필요한건만 add하자.
  • 권한을 조직 or 역할 등 group 단위로 관리하자.
  • 권한 공유는 role에 의해서만 하자.
  • role은 사람에만 쓸 수 있는 것이 아니다. EC2도 role 기반으로 관리하자.

3. STS (부록)

AWS는 Security Token Service라는 것을 제공한다. AWS 리소스에 대한 억세스를 제공하는데 임시 보안 자격 증명이다. IAM과 유사하지만 그 차이점은..

  • 효력이 단기적 (몇분 ~ 몇시간)
  • 동적으로 생성된다. 

어떨 때 사용할까? 또 이점은?

  • 장기 AWS 보안 자격 증명을 배포할 정도는 아닌 애플리케이션에
  • 사용자에 대한 AWS 보안 자격 증명 없이도 리소스에 대한 억세르릊 제공하고자 할 때
  • 어차피 수명이 제한되어 있어서 명시적으로 관리할 필요는 없음. 

# 업데이트

  • 2018년 7월 31일부터 STS 서비스가 Oregon 리전에서 AWS PrivateLink를 지원하게 됨
  • 따라서 VPC와 STS간 모든 데이터를 AWS 네트웍 내에서 라우팅할 수 있게 됨
  • 출처 : https://aws.amazon.com/ko/about-aws/whats-new/2018/07/aws-sts-support-for-privatelink-us-west-2/