보안도구 실습

2023-06-01

IAM MFA

정말 중요한 부분이다. 이 User에게는 MFA 설정이 안되어 있다. 털리기 딱 좋다(?)

Untitled 5

MFA는 Multi-Factor Authentication 으로 다중 인증을 말한다. 즉, 비밀번호로 인증한 이후에 인증 방식을 한가지 더 거칠 수 있다. AWS는 Authentication 앱, 보안 키, 하드웨어 토큰을 지원한다. 나는 MS의 Authentication 앱을 활용할 것이다.

일단 위의 사진 속의 MFA 없이 활성화됨을 클릭하여 MFA를 활성화해 주자!

Untitled 6

대충 알아볼 만한 이름을 적어주고,,

Untitled 7

QR 코드 표시를 누르거나 보안 키 보기로 앱에 아래와 같이 등록해 준다.

Untitled 8

그러고 나타나는 일회용 암호 코드를 MFA 코드1,2에 30초씩 기다려서 연달아 입력해 준다

Untitled 9

쨔잔~ 그럼 MFA 활성화 완!

IAM Role & Role Switch

Role Switch는 역할이라는 모자를 쓰고 잠시 권한을 빌려 들어 오는 것이다. 아래 모자처럼! 실제 IAM Role의 아이콘이다.

Untitled 10

engineer_yoo에게 아무런 권한을 안주었을 때, Role 하나를 만들어서 권한을 부여해 줄 수 있다.

Untitled 11

Role은 EC2와 같은 AWS 서비스를 대상으로 할 수 있지만 여기서 나는 AWS 계정으로 선택하겠다

현재 Account에 있는 User에게 부여해 줄거니까 이 계정 선택! 이 때 MFA 필요도 체크!

이번에도 정책은 IAMReadOnlyAccess으로 설정하였다. 역할 이름은 구분할 수 있는 네이밍으로 잘주고~ 역할 생성 클릭!

Untitled 12

이제 여기서 신뢰 관계를 들어가 편집을 해 줄 것이다.

기본 대상 arn은 root로 되어 있기 때문! (현재 root로 로긴되어 있음)

root 대신에 user/engineer_yoo로 수정하고 정책 업데이트!

Untitled 13

이제 됐당

User engineer_yoo의 콘솔로 돌아가 우측 상단에 역할 전환을 클릭해 보자!

Untitled 14

Untitled 15

계정과 역할명만 입력해 주면 표시 이름은 자동 기입된다. 이제 역할 전환을 눌러 주자!

Untitled 16

오… MFA 설정하고 나서 재로그인을 안해줬더니 입력이 잘못됐다는(?) 오류가 떴다.

IAMReadOnly라는 Role을 만들 때 MFA 필요를 체크했기 때문에, MFA로 로그인하지 않은 User는 역할 전환에 성공하지 못한다. 그리고 신뢰관계 Principal에서 ARN은 User engineer_yoo로 설정했기 때문에 다른 User나 Root가 이 역할로 역할 전환할 시엔 역시나 동일한 에러가 나면서 전환하지 못한다!

Untitled 17

IAM 보안 도구

보안 도구로는 IAM 자격 증명 보고서(IAM Credential Reports) 와 IAM 액세스 분석기(IAM Access Advisor) 가 있다

IAM 자격 증명 보고서(IAM Credential Reports)

Credential Report를 다운받으면 CSV 파일로 저장이 되고 현재 Account에 등록되어 있는 Root와 User 정보가 나온다.

다음 정보가 포함되어 있다.

ARN
User Creation Time
Password Enabled / Password Last Changed / Password Next Rotation
MFA Active
AccessKey Active / AccessKey Last Rotated / AccessKey Last Used Data / AccessKey Last Used Region / AccessKey Last Used Service

위 정보로 어떤 사용자가 계정을 어떻게 사용하는지 파악할 때 유용하다.

IAM 액세스 분석기(IAM Access Advisor)

Access Advisor은 사용자 메뉴의 액세스 관리자에서 확인할 수 있다.

Untitled 18

액세스 키를 언제 사용했는지, 언제 로그인했는지, 그리고 각 서비스에 언제 액세스했는지 날짜를 확인할 수 있다.

마지막 액세스 날짜를 통해 이 User에게 권한을 부여해 줄지 말지 결정할 수 있다

마무리….(?)

아직 IAM을 찍먹만 해 보았는데, 일단 실습을 하다 보니 각 어떤 목적으로 사용하는지 익혔다. AWS 서비스를 사용하다 보면 IAM을 제일 많이 설정할 것이라 생각한다. 차근차근 고민하고 적용해 봐야겠다!

Share on

Twitter Facebook LinkedIn

[AWS] IAM MFA/Role/보안도구 실습

IAM MFA

IAM Role & Role Switch

IAM 보안 도구

IAM 자격 증명 보고서(IAM Credential Reports)

IAM 액세스 분석기(IAM Access Advisor)

마무리….(?)

Share on

Leave a comment

You may also enjoy

[AEKS2] 6주차 - EKS Security: Kyverno

[AEKS2] 6주차 - EKS Security: K8S 보안 위협

[AEKS2] 6주차 - EKS Security: EKS IRSA & Pod Identity

[AEKS2] 6주차 - EKS Security: EKS API 인증 모드