AWS - Certificate Manager, IAM

Certificate Manager

AWS의 내부 리소스에 사용할 공인 및 사설 SSL/TLS 인증서를 손쉽게 프로비저닝, 관리 배포할 수 있도록 지원하는 서비스다. AWS Certificate Manager는 SSL/TLS 인증서를 구매, 업로드, 갱신하는데 드는 시간과 수동 프로세스를 처리해준다.

ACM

1) 사용할 TLS?SSL 인증서를 AWS 계정으로 요청하거나 가져온다.
2) DNS 또는 이메일 검증을 통해서 요청된 인증서의 도메인 소유권을 검증하여 인증서 발급을 완료한다.
3) ELB, CloudFront 등의 다양한 AWS 서비스에서 새로 바급하거나 가져온 인증서를 사용한다.

---

IAM(Identity and Access Management)

AWS 서비스와 리소스에 대한 액세스를 안전하게 관리 가능하며, 사용자와 그룹을 만들고 관리하여 AWS 리소스에 대한 액세스를 허용 및 거부할 수 있다.

- AWS 어카운트 고나리 및 리소스/사용자/서비스의 권한 제어

- 사용자의 생성 및 관리 및 계정 보안 설정

- 다른 계정과 리소스 공유(Facebook 로그인, 구글 로그인)

- 계정에 별명이 부여 가능

- IAM은 글로벌 서비스(Region 별 서비스가 아니다)

I AM 구성
사용자(User) - 실제 AWS를 사용하는 사람 및 어플리케이션	그룹(Group) - 사용자의 집합 - 그룹에 속한 사용자는 그룹에 부여된 권한을 행사
정책(Policy) - 사용자와 그룹, 역할이 무엇을 할 수 있는지 정의 - JSON 형식으로 정의	역할(Role) - AWS 리소스에 부여하여 AWS 리소스가 무엇을 할 수 있는지를 정의 - 다른 사용자가 역할을 부여 받아 사용 - 다른 자격에 대해서 신뢰관계를 구축 - 역할을 바꾸어가며 서비스를 사용 가능

JSON으로 정의한 정책 예시

정책은 사용자와 그룹에 부여된다. 역할은 서비스에 붙어서 서비스의 역할이 정해진다.

사용자가 S3를 사용하고 싶을 경우

사용자의 종류

루트 사용자

- 결제 관리를 포함한 계정의 모든 권한을 가지고 있다.
- 관리 목적 이외에 다른 용도로 사용하지 않는 것을 권장
- 탈취 되었을 때 복구가 매우 어려움 (MFA 설정 권장)
- MFA(Multi-factor Authentication) : 일회용 패스워드를 생성하여 로그인

IAM 사용자

- 한 사람, 혹은 하나의 어플리케이션을 의미
- 설정 시 콘솔 로그인 권한 부여 가능
- 설정 시 AWS 서비스를 이용가능(Access Key, Secret Access Key)
- AdminAccess를 부여하더라도 Root 사용자로 별도의 설정을 하지 않으면 Billing 기능 사용이 불가함

IAM 자격 증명 보고서

- 계정의 모든 사용자와 암호, 액세스 키, MFA 자아치 등의 증명 상태를 나열하는 보고서를 생성하고 다운로드
- 4시간에 한번씩 생성
- AWS 콘솔, CLI, API 에서 생성 요청 및 다운로드 가능

암호	액세스키	기타
- 암호의 활성화 여부 - 마지막 사용시간 - 마지막 변경시간 - 언제 변경되어야하는지	- 액세스키 활성화 여부 - 마지막 사용시간 - 마지막 변경시간 - 어떤 서비스에 마지막으로 사용되었는지	- MFA 사용 여부 - 사용자 생성시간