[Cloud] IAM, Policy, Role, 권한 권장 가이드, 권한 경계, CloudWatch, CloudTrail, Billing and Cost Management

공부한 내용 정리하는 공간입니다.

틀린 내용이 있을 수 있습니다.

모든 지적, 첨언 환영합니다.

IAM

사용자 인증 및 권한 관리 서비스

AWS 리소스에 대한 접근 제어 가능

 

---

Policy (권한 정책)

JSON 형식

    >필수 키 : Effect, Action, Resource

    >필요 시 : Condition (조건이 true일 때만 정책 적용)

최소 권한 부여 원칙

AWS에서 관리형 정책 템플릿, 정책 생성기 제공

user, group, rule에 정책 부여

정책 충돌이 일어날 경우 정책 평가 우선순위에 따라 적용

    >명시적 Deny 확인 > 명시적 Allow 확인 > 둘 다 해당되지 않으면 암시적 Deny 처리

 

ex1) 

"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::example_bucket"

S3의 버킷 example_bucket의 목록을 확인하는 작업 허용

ex2)

"Effect": "Deny",
"Action": "ec2:*",
"Resource": "*"

EC2의 모든 리소스에 대한 모든 작업 거부

ex3)

"Effect": "Allow",
"Action": ["s3:*"],
"Resource": ["*"]

S3의 모든 리소스에 대한 모든 작업 허용

ex4)

"Action": ["s3:*"],
"Effect": "Deny",
"Resource": ["arn:aws:s3:::customer", "arn:aws:s3:::customer/*" ]

S3의 버킷 customer와 customer의 모든 객체에 대한 모든 작업 거부

ex5)

"Action": [
	"ec2:RunInstances",
	"ec2:StartInstances",
	"ec2:StopInstances",
	"ec2:RebootInstances"
	],
"Resource": "*",
"Effect": "Allow",
"Condition": {
	"StringEquals": {
		"ec2:Region": "us-east-2"
        }
    }

EC2의 리전이 us-east-2이면 모든 리소스에 대해 EC2의 생성, 시작, 중지, 리부트 작업 허용

 

---

Role

권한을 부여할 수 있는 개체

user가 일시적으로 권한이 필요할 경우

서비스가 서비스에 접근할 경우

자격 증명 연동이 필요할 경우

 

---

권한 권장 가이드

root 계정 사용 금지

최소 권한 원칙 적용

인라인 정책 보다는 관리형 정책 사용

사용하지 않는 유저, 정책 삭제

일시적으로 권한이 필요하면 role 이용

MFA (다단계 인증) 활성화

IAM 정책 시뮬레이터로 권한을 주기적으로 검증

 

---

권한 경계

권한 최대 범위 제한

IAM 정책과 권한 경계 정책에서 모두 허용인 작업만 수행 허용 (교집합)

개별 사용자가 과도한 권한을 갖지 않도록 제한 가능

 

ex)

IAM 정책 : S3, EC2, CloudWatch의 모든 작업 허용

권한 경계 정책 : S3 read만 허용

이 유저는 IAM과 권한 경계의 교집합인 S3 read만 허용

 

---

CloudWatch

AWS 리소스 모니터링 서비스

AWS 인프라의 성능 및 상태를 모니터링하는 서비스

지표 : 준실시간 데이터 시각화

경보 : 임계치 알람 설정

 

---

CloudTrail

AWS 이벤트 로그

누가, 언제, 무엇을 (Who, When, What)

 

---

Billing and Cost Management

비용 관리 도구

Cost Explorer : 비용 분석 및 시각화

Budgets : 예산 설정 및 초과 시 알림

비용 활용 보고서 : 서비스별 비용 상세 내역 제공