[AWS] IAM MFA/Role/보안도구 실습
IAM MFA
정말 중요한 부분이다. 이 User에게는 MFA 설정이 안되어 있다. 털리기 딱 좋다(?)
MFA는 Multi-Factor Authentication 으로 다중 인증을 말한다. 즉, 비밀번호로 인증한 이후에 인증 방식을 한가지 더 거칠 수 있다. AWS는 Authentication 앱, 보안 키, 하드웨어 토큰을 지원한다. 나는 MS의 Authentication 앱을 활용할 것이다.
일단 위의 사진 속의 MFA 없이 활성화됨
을 클릭하여 MFA를 활성화해 주자!
대충 알아볼 만한 이름을 적어주고,,
QR 코드 표시
를 누르거나 보안 키 보기
로 앱에 아래와 같이 등록해 준다.
그러고 나타나는 일회용 암호 코드를 MFA 코드1,2에 30초씩 기다려서 연달아 입력해 준다
쨔잔~ 그럼 MFA 활성화 완!
IAM Role & Role Switch
Role Switch는 역할이라는 모자를 쓰고 잠시 권한을 빌려 들어 오는 것이다. 아래 모자처럼! 실제 IAM Role의 아이콘이다.
engineer_yoo
에게 아무런 권한을 안주었을 때, Role 하나를 만들어서 권한을 부여해 줄 수 있다.
Role은 EC2와 같은 AWS 서비스를 대상으로 할 수 있지만 여기서 나는 AWS 계정으로 선택하겠다
현재 Account에 있는 User에게 부여해 줄거니까 이 계정
선택! 이 때 MFA 필요
도 체크!
이번에도 정책은 IAMReadOnlyAccess
으로 설정하였다. 역할 이름은 구분할 수 있는 네이밍으로 잘주고~ 역할 생성 클릭!
이제 여기서 신뢰 관계를 들어가 편집을 해 줄 것이다.
기본 대상 arn은 root로 되어 있기 때문! (현재 root로 로긴되어 있음)
root 대신에 user/engineer_yoo
로 수정하고 정책 업데이트!
이제 됐당
User engineer_yoo
의 콘솔로 돌아가 우측 상단에 역할 전환을 클릭해 보자!
계정과 역할명만 입력해 주면 표시 이름은 자동 기입된다. 이제 역할 전환을 눌러 주자!
오… MFA 설정하고 나서 재로그인을 안해줬더니 입력이 잘못됐다는(?) 오류가 떴다.
IAMReadOnly
라는 Role을 만들 때 MFA 필요
를 체크했기 때문에, MFA로 로그인하지 않은 User는 역할 전환에 성공하지 못한다. 그리고 신뢰관계 Principal에서 ARN은 User engineer_yoo
로 설정했기 때문에 다른 User나 Root가 이 역할로 역할 전환할 시엔 역시나 동일한 에러가 나면서 전환하지 못한다!
IAM 보안 도구
보안 도구로는 IAM 자격 증명 보고서(IAM Credential Reports) 와 IAM 액세스 분석기(IAM Access Advisor) 가 있다
IAM 자격 증명 보고서(IAM Credential Reports)
Credential Report를 다운받으면 CSV 파일로 저장이 되고 현재 Account에 등록되어 있는 Root와 User 정보가 나온다.
다음 정보가 포함되어 있다.
- ARN
- User Creation Time
- Password Enabled / Password Last Changed / Password Next Rotation
- MFA Active
- AccessKey Active / AccessKey Last Rotated / AccessKey Last Used Data / AccessKey Last Used Region / AccessKey Last Used Service
위 정보로 어떤 사용자가 계정을 어떻게 사용하는지 파악할 때 유용하다.
IAM 액세스 분석기(IAM Access Advisor)
Access Advisor은 사용자 메뉴의 액세스 관리자에서 확인할 수 있다.
액세스 키를 언제 사용했는지, 언제 로그인했는지, 그리고 각 서비스에 언제 액세스했는지 날짜를 확인할 수 있다.
마지막 액세스 날짜를 통해 이 User에게 권한을 부여해 줄지 말지 결정할 수 있다
마무리….(?)
아직 IAM을 찍먹만 해 보았는데, 일단 실습을 하다 보니 각 어떤 목적으로 사용하는지 익혔다. AWS 서비스를 사용하다 보면 IAM을 제일 많이 설정할 것이라 생각한다. 차근차근 고민하고 적용해 봐야겠다!
Leave a comment