IAM (Identity and Access Management) 예시 - 권한제한

해당 페이지에서는 IAM 기초 개념을 이용한 간단한 예시 계정생성 및 이에 대한 권한 제한을 만드는 과정을 다룬다.

 

참고 자료

 

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/introduction.html

이 페이지는 아래의 자료를 먼저 참고하고 보면 좋다

 

2021.11.26 - [AWS 및 클라우드 지식/AWS 지식] - IAM (Identity and Access Management) 개념 및 의의

 

 

 

 

수행 해 볼  테스트는 IAM 계정을 생성 하고 이 계정이 EC2 서비스를 사용하는 것을 제한하도록 설정하는 과정이다. 이 테스트는 서비스 인스턴스를 만드는 과정이 없기에 무료로 수행 할 수 있다.

(해당 예시 화면들은 직접 캡처한 화면들이다.)

 

 

- 우선 aws 에서 회원가입을 한 후, 루트 사용자로 접속한다.

 

 

- 그 후 왼쪽 상단의 검색 창에서 IAM 을 검색한다.

 

 

 

- IAM 을 검색해서 들어오면 메인화면에 아래와 같이 리소스 현황이 나오는 것을 볼 수 있다.

여기서 사용자 아래에 있는 숫자를 클릭한다.

 

 

 

- 그러면 아래와 같이 사용자 리스트가 나온데 여기서 오른쪽 상단의 '사용자 추가' 를 클릭한다.

 

 

 

- 그러면 아래의 화면과 같이 사용자 추가 과정을 시작한다. 이 테스트에 사용 할 계정을 ec2test 로 설정했다.

그 후 아래에서 로그인 방식을 고를 수 있는데, 여기서는 단순 암호 로그인으로 설정하여 접속을 수행 하도록 했다.

 

 

 

- 그 후 아래 오른쪽화면에서 '다음:권한' 을 눌러서 다음 화면으로 넘어가면 아래 화면과 같이 만들 계정에 부여할 권한을 설정 할 수 있다. 이 테스트에서는 '기존 정책 직접 연결' 을 선택 한다. 그 후 아래화면에서 기존 aws 가 기본으로 가지고 있는 정책들을 볼 수 있는데 이 테스트에서는 '정책 생성' 을 통하여 직접 만들어본다.

 

 

- 그러면 인터넷 브라우저에서 아래 화면이 새창으로 뜨게 된다. 이 테스트에서는 생성하는 IAM 유저가 EC2 서비스를 사용하지 못하게 하기 위해서 제한을 해야 한다. 서비스는 ec2 로 설정하고, 우측에 있는 '권한 거부로 전환' 을 클릭한다.

 

 

 

- 그러면 좌측에 거부로 설정이 바뀐다. 여기서 작업은 아래와 같이 수동작업의 모든 EC2 작업을 클릭한다.

 

 

- 리소스는 특정 IP 나 환경에서만 이 권한을 제한할지에 대한 부분이다. 여기서는 모든 리소스를 선택한다. 아래에 요청조건 항목이 추가로 있으나 선택사항이므로 생략하고 '다음:태그' 를 클릭한다.

 

 

 

- 태그 추가는 label 로 생각하면 된다. 여기서 설정된 값을 통하여 나중에 자신이 소속된 그룹이나 회사에 맞는 naming 규칙에 맞춰 설정하면 된다. 이 테스트에서는 필수 과정이 아니기에 생략한다. 그후 우측 하단에서 '태그:검토' 를 클릭한다.

 

 

 

- 정책 설정이 완료되면 아래와 같이 정책명을 설정 할 수 있다. 여기서는 'ec2reject' 로 설정하겠다.

나머지는 확인 후 우측 하단에서 '정책 생성' 을 눌러 정책을 만든다.

 

 

 

- 정상적으로 정책이 만들어지면 위의 권한 설정 화면에서 이와 같은 결과가 나온다. 또한 새로고침 버튼을 클릭하고

만든 정책명을 검색하면 유저가 만든 정책을 볼 수 있다. (ec2reject) 체크 후 우측 하단의 '다음:태그' 를 클릭한다.

 

 

 

- 마찬가지로 태그를 추가 할 수 있는데 생략하고 '다음:검토' 를 클릭한다.

 

 

 

- 아래와 같이 최종 설정을 확인 후 우측 하단의 '사용자 만들기' 를 클릭한다.

 

 

 

- 사용자가 정상적으로 생성되면 아래의 결과로 넘어가게 된다. 이제 생성된 유저로 로그인하기 위해서 아래의 링크를 클릭하면 된다.

 

 

 

- 그러면 이와 같이 IAM 사용자 로그인 화면으로 넘어오는데 계정 ID 의 12자리는 미리 채워져 있다. 이는 나중에 실제 사용할 유저가 로그인 할 때는 공란이 되므로 이때는 해당 ID 숫자를 찾아야하는데 이는 콘솔 우측 상단의 로그인한 유저란에 부여된 12자리 코드를 확인 후 기입해야 한다. (보통은 관리자 계정을 사용하는 관리자에게 물어서 확인 하거나 해당 계정을 발급 받을 때 관리자가 알려준다.)

 

 

 

- 이제 만든 ec2test 계정으로 ec2 를 사용 할 수 있는지 보면된다. 위에서 IAM 을 검색했듯이 이번에는 EC2 를 검색해서 EC2 콘솔화면으로 들어오면 된다. 그 후 아래에서 인스턴스를 클릭 후, 우측 상단에서 인스턴스 시작을 클릭한다.

 

 

 

- 인스턴스 시작을 누르면 EC2 에 사용할 인스턴스 유형을 선택 할 수 있다. 여기서는 맨위에 있는 Amazon Linux 2 를 선택한다.

 

 

 

- 그러면 콘솔 상단에 아래와 같이 권한이 없다는 에러 메세지가 나오며 EC2 생성을 할 수 없도록 권한제한이 되었다는 것을 알 수 있다.

 

 

이러한 예시같이 관리자는 IAM 을 통하여 각 유저에 권한을 부여하거나 제한을 할 수 있다.