[AWS] IAM : 새로운 사용자 권한 설정

◎ 사용자 그룹 : 사용자별로 묶기

◎ 역할 : 역할별로 묶기

◎ 정책

 

》 제일 중요한 건 ~ 루트 사용자

》 루트 사용자가 아닌 최소한의 권한만 가진 새로운 사용자를 생성해 사용

》 로그인 시 IAM 사용자로 로그인

 

 

[ IAM 사용자로 로그인 ]

① 사용자 추가

》 AWS 》 IAM 》 사용자 》 사용자 추가 》 AWS Management Console에 대한 사용자 액세스 권한 제공

》 직접 정책 연결 : AmazonEC2ReadOnlyAccess 

》 시크릿 모드로 전환한 탭에서 추가한 사용자 로그인

 

② 루트 사용자로 EC2 인스턴스 생성

 

③ 추가한 사용자로 확인

IAM 사용자로 EC2 인스턴스 추가 불가~

IAM 사용자로 EC2 인스턴스 삭제 불가~

 

[ 사용자 그룹에 사용자 추가 ]

① 사용자 그룹 생성

》 AWS 》 IAM 》 액세스 관리 》 사용자 그룹 》 그룹 생성 》 사용자 선택

》 권한 정책 연결 : AmazonEC2FullAccess, AmazonS3FullAccess 

 

② 추가했던 사용자로 그룹 권한 확인해보기

》 사용자 권한 :  AmazonEC2ReadOnlyAccess 

》 사용자 그룹 권한 : AmazonEC2FullAccess, AmazonS3FullAccess 

》 사용자는 EC2 전체 권한이 없지만 그룹에 속하기 때문에 그룹에 적용된 권한으로 접근이 가능

루트 사용자가 만든 EC2 인스턴스 삭제 가능!

 

[ 사용자에 역할 설정 ]

① 역할 생성

》 AWS 》 IAM 》 액세스 관리 》 역할 》 역할 추가 》 계정 추가 》 이 계정 》 권한 정책 : AmazonS3FullAccess

 

② 정책 생성

》 AWS 》 IAM 》 액세스 관리 》 정책 》 정책 생성

》 서비스 : STS

》 STS 에서 허용되는 작업 지정 : AssumeRole

》 arn 추가 : arn:aws:iam::[계정ID]:role/[역할 이름] 

 

③ 사용자에게 정책 권한 부여

》 정책 》 권한 사용 》 연결 》 사용자 선택 후 정책 연결

》 기존의 사용자 권한 : AmazonEC2FullAccess

》 정책 연결 후 사용자 권한 : AmazonEC2FullAccess + s3role (새로 추가한 정책 - S3FullAccess)

 

④ 사용자 역할 전환하기

》 우측 상단 이름 클릭 》 역할 전환 

》 계정 : 계정ID

》 역할 : 만들었던 역할 (ex. s3admin)

사용자가 S3 정책을 위임받아 버킷 상태 변경 가능!