AWS SAA 자격증 : 섹션 4:IAM 및 AWS CLI 편 정리.txt

AWS SAA 자격증 

IAM 모범 사례 (IAM Guidelines & Best Practices)

하나의 aws 사용자는 한명의 실제 사용자를 의미한다.

 

따라서 친구가 나의 AWS를 이용하고 싶다면 나의 자격증명을 주지 말고 새로운 사용자를 만들어주어야 한다.

 

사용자를 그룹에 넣어 해당 그룹에 권한을 부여할 수 있다. 

따라서 그룹 수준에서 보안을 관리 할 수 있다.

또한 비밀번호 정책을 강력하게 만들어야 한다. 

만약 다요소 인증(MFA)을  사용한다면, 해커들로부터 계정을 지킬 수 있을 것입니다.

또한 AWS 서비스에 권한을 부여할때마다 역할을 만들고 사용해야 한다. 가상 서버인 EC2 인스턴스를 포함해서!

 

AWS를 프로그래밍 할 경우 , 즉, CLI 나 SDK를 사용할 경우, 반드시 액세스 키를 만들어야 한다.

액세스 키는 비밀번호와 같습니다. 기밀이고 나만 알고 있어야 한다.

 

마지막으로 계정의 권한을 감사할때는 IAM 자격증명 보고서와 IAM 액세스 분석기를 사용할 수 있다.

마지막으로 절대로 IAM 사용자와 액세스 키를 공유해서는 안된다.

 

29. IAM 요약

나의 회사 내 실제 사용자 와 IAM 사용자가 매핑이 된다.

사용자는 AWS 콘솔에 대한 비밀번호를 가질 것이고, 

 

모범 사례는 사용자를 그룹에 두는 것입니다. 

- 그룹은 사용자만을 포함할 수 있다. 다른 그룹을포함 할 수 없다. 그리고 사용자나 그룹에 권한을 부여합니다.

- IAM 정책을 만들 것인데 JSON 문서입니다.  사용자나 그룹이 할 수 있는 권한을 알려주는 문서입니다.

- ROLE(역할) : 또한 AWS에서 역할을 사용할 수 있습니다. 다음 섹션에서 다룰 EC2 인스턴스를 생성하거나, AWS 서비스가 다른 AWS서비스에 무언가를 하게 하는 어떤 권한을 주려고 할때 IAM 역할을 만들어야 합니다.

- 보안 관련해서 사용자를 안전하게 하기 위해서는 다요소 인증(MFA)를 활성화하여 로그인할 때 두번째 장치를 이용하도록 하고 강한 비밀번호 정책을 가져가야 합니다.

- 코딩을 하기 위해 CLI 또는 명령어 인터페이스를 이용하거나 SDK를 이용하여 AWS에 액세스한다면 반드시 액세스 키를 만들어야 합니다. (액세스 키 ID 와 비밀인 액세스키) 이를 통해 AWS를 프로그래밍 방식으로 접근할 수 있다.

- IAM 대시보드를 감사하고 싶다면 자격증명 보고서를 만들어 사용자 관련정보를 볼 수 있고

IAM의 특정 사용자를 감사하고 싶다면 IAM 액세스 관리자를 사용하여 사용자의 최근 권한의 사용내역을 확인할 수 있습니다.

 

IAM 퀴즈

 

1. 다음 중 IAM 역할의 올바른 정의는 무엇일까요?

 

1) 다중 사용자 그룹에 속한 IAM 사용자

2) IAM 사용자들을 위한 비밀번호 정책을 정의하는 IAM 개체

3) AWS 서비스에 요청을 생성하기 위한 일련의 권한을 정의하고, AWS 서비스에 의해 사용될 IAM 개체

4) 특정 행동 수행을 위해 IAM 사용자에게 할당된 권한

 

일부 AWS 서비스는 여러분을 위해 특정 행동을 수행해야 합니다. IAM 역할은 이러한 권한을 할당하기 위해 사용됩니다.

질문 2:

다음 중 IAM 보안 도구에 해당되는 것은 무엇인가요?

1) IAM 자격 증명보고서

2) IAM 루트 계정 관리자

3) IAM 서비스 보고서

4) IAM 보안 관리자

IAM 자격 증명 보고서에는 AWS 계정의 모든 IAM 사용자와 이들의 다양한 자격 증명 상태가 포함되어 있습니다.

질문 3:

IAM 사용자에 대해 잘못 서술된 내용을 고르세요.

1) IAM 사용자들은 다중사용자 그룹에 속할 수 있습니다.

2) IAM 사용자들이 사용자 그룹에 속할 필요는 없습니다.

3) IAM 정책은 IAM 사용자에게 직접 연결될 수 있습니다.

4) IAM 사용자들은 루트 계정 자격증명을 통해 AWS 서비스에 액세스합니다.

IAM 사용자들은 자신만의 자격 증명(사용자 이름 & 비밀번호, 혹은 액세스 키)을 통해 AWS 서비스에 액세스합니다.

질문 4:

다음 중 IAM 모범 사례에 해당하는 것은 무엇인가요?

1) 한 사람에게 다수의 IAM 사용자 생성하기

2) 루트 계정 사용하지 않기

3) 동료들이 업무를 대신 수행할 수 있도록 AWS 계정 자격증명을 공유하기

4) 보다 쉬운 액세스를 위해 MFA를 활성화하지 않기

루트 계정은 최초 IAM 사용자 생성과 일부 계정/서비스 관리 업무에만 사용됩니다. 일상적인 업무에는 IAM 사용자를 사용하셔야 합니다.

질문 5:

IAM 정책은 무엇인가요?

1) AWS 계정들이 상호작용하는 방법을 정의하는 일련의 정책

2) AWS 서비스에 요청을 생성하기 위한 일련의 권한을 정의하며, IAM 사용자, 사용자 그룹 및 IAM 역할에서 사용하게 될 JSON 문서

3) IAM 사용자들의 비밀번호를 정의하는 일련의 정책

4) 고객들이 AWS와 상호작용하는 방법을 보여주는, AWS에서 정의한 일련의 정책 

 AWS 서비스에 요청을 생성하기 위한 일련의 권한을 정의하며, IAM 사용자, 사용자 그룹 및 IAM 역할에서 사용하게 될 JSON 문서

질문 6:

IAM 권한에는 다음 중 어떤 원칙이 적용되어야 할까요?

1) 최대 권한 부여하기

2) 직원의 요청이 있을 경우, 더 많은 권한 부여하기

3) 최소 권한 부여하기

4) 루트 계정 권한 제한하기

사용자에게 필요 이상의 권한을 부여하지 마세요.

질문 7:

루트 계정 보안을 향상시키기 위해서는 어떤 작업을 수행해야 할까요?

1) 루트 계정에서 권한 제거하기

2) AWS 명령줄 인터페이스(CLI)를 통해서만 AWS서비스에 액세스 하기

3) IAM 사용자를 생성하지 않고, 루트계정으로만 AWS 계정에 액세스 하기

4) 다중 인증(MFA) 활성화 하기

MFA를 활성화할 경우, 보안에 하나의 층을 더 추가하게 됩니다. 비밀번호가 유출되었거나 도용을 당한 경우에도, 여러분의 계정은 안전합니다.

질문 8:

(참/거짓) IAM 사용자 그룹은 IAM 사용자 및 기타 사용자 그룹을 포함할 수 있습니다.

=> 거짓

IAM 사용자 그룹은 IAM 사용자만을 포함할 수 있습니다.

질문 9:

IAM 정책은 하나 이상의 문장으로 구성됩니다. 다음 중 IAM 정책 내 문장의 구성 요소가 아닌 것을 고르세요.

1) 효과

2) 원칙

3) 버전

4) 조치

5) 리소스

IAM 정책의 문장은 시드, 효과, 원칙, 조치, 리소스, 그리고 조건으로 구성됩니다. 버전은 IAM 정책 자체의 일부이지, 문장의 일부가 아닙니다.