IAM, Identity Center, STS, Cognito, CloudTrail (★★★)

← 블로그 목록으로 돌아가기

author

JSCODE 박재성

✅ IAM (Identity And Access Management)

IAM은 AWS 리소스에 접근할 권한들을 관리하는 서비스이다.

[기능]

IAM 사용자(User) : AWS 서비스를 사용할 특정 사용자 또는 애플리케이션

IAM 사용자는 AWS 서비스에 접근할 수 있는 Access Key(ex. AKIAIOSFODNN7EXAMPLE)를 발급받아 사용한다. 그런데 이 Access Key를 스스로 잘 관리해야 되는데, 관리를 못해 유출이 된다면 보안에 치명적이다. 그래서 최근에는 AWS 서비스를 사용할 수 있는 권한을 부여할 때 ‘IAM 사용자’를 사용하는 대신 ‘IAM 역할’을 사용하는 걸 권장한다.

Access Key는 한 번 발급하면 만료기간이 없기 때문에 장기적인 권한을 부여하는 방식이다. 그래서 Access Key를 보고 장기 자격 증명이라고 부른다. 장기 자격 증명은 유출되면 회수할 방법이 없어서 보안적으로 좋지 않다.

IAM 역할(Role) : AWS 리소스에 대한 접근 권한이 없는 사용자나 서비스에게 권한을 설정할 수 있다.

Access Key와 같은 자격 증명을 공유할 필요가 없어서 보안에 좋다.

Access Key와 같은 자격 증명을 발급해버리면 회수를 할 수가 없는데, IAM 역할은 언제든 역할을 해제할 수 있다.

✅ Identity Center

Identity Center는 여러 AWS 계정의 로그인과 권한을 중앙에서 관리하기 위한 서비스이다.

[기능]

로그인 처리

사용자 인증을 한 곳에서 일괄적으로 처리

권한 인가

사용자/그룹에 Permission Set 부여 (Permission Set : 허용할 권한을 정의해놓은 템플릿)

그룹 단위 권한 부여

여러 사용자를 하나의 그룹으로 묶어서 Permission Set 부여 가능 (사용자에게 일일이 권한을 부여하지 않아도 되기 때문에 훨신 편리함)

외부 IdP와 연동 가능

외부 IdP(Identity Provier)란 AWS가 아닌 곳에서 사용자의 신원을 인증해주는 시스템을 뜻한다. 외부 IdP 종류에는 Google Workspace, Microsoft Entra ID, 온프레미스 AD 등등이 있다. 이런 시스템들과 연동이 가능하다는 뜻이다.

MFA 설정을 강제

Identity Center에서 관리하는 모든 계정한테 보안을 위해 MFA(ex. OTP, SMS 인증 코드)를 필수적으로 사용하도록 강제할 수 있다.

✅ STS (Security Token Service)

STS는 임시 권한(Access Key, Token 등)을 발급해주는 서비스이다.

[특징]

STS에서 발급한 토큰은 만료 기간이 있어서 유출돼도 위험성이 비교적 덜하다.

✅ Cognito

Cognito는 웹/모바일 애플리케이션의 JWT 기반의 로그인/회원가입(인증, 인가)을 담당하는 서비스이다.

✅ CloudTrail

AWS CloudTrail은 AWS 계정에서 발생하는 모든 API 호출(이벤트)을 기록하는 서비스이다.

[특징]

어떤 계정이 AWS의 어떤 기능을 사용했는 지 로그를 남겨 감시하는 용도로 사용한다.

✅ AWS Config

AWS Config는 AWS 리소스의 설정(Configuration)이 시간에 따라 어떻게 변했는 지 기록/검사하는 서비스이다. 즉, AWS 리소스의 설정을 언제, 누가, 어떻게 변경했는 지에 대한 기록을 남기는 서비스이다.

author

✅ IAM (Identity And Access Management)

IAM은 AWS 리소스에 접근할 권한들을 관리하는 서비스이다.

[기능]

IAM 사용자(User) : AWS 서비스를 사용할 특정 사용자 또는 애플리케이션

IAM 사용자는 AWS 서비스에 접근할 수 있는 Access Key(ex. AKIAIOSFODNN7EXAMPLE)를 발급받아 사용한다. 그런데 이 Access Key를 스스로 잘 관리해야 되는데, 관리를 못해 유출이 된다면 보안에 치명적이다. 그래서 최근에는 AWS 서비스를 사용할 수 있는 권한을 부여할 때 ‘IAM 사용자’를 사용하는 대신 ‘IAM 역할’을 사용하는 걸 권장한다.

Access Key는 한 번 발급하면 만료기간이 없기 때문에 장기적인 권한을 부여하는 방식이다. 그래서 Access Key를 보고 장기 자격 증명이라고 부른다. 장기 자격 증명은 유출되면 회수할 방법이 없어서 보안적으로 좋지 않다.

IAM 역할(Role) : AWS 리소스에 대한 접근 권한이 없는 사용자나 서비스에게 권한을 설정할 수 있다.

Access Key와 같은 자격 증명을 공유할 필요가 없어서 보안에 좋다.

Access Key와 같은 자격 증명을 발급해버리면 회수를 할 수가 없는데, IAM 역할은 언제든 역할을 해제할 수 있다.

✅ Identity Center

Identity Center는 여러 AWS 계정의 로그인과 권한을 중앙에서 관리하기 위한 서비스이다.

[기능]

로그인 처리

사용자 인증을 한 곳에서 일괄적으로 처리

권한 인가

사용자/그룹에 Permission Set 부여 (Permission Set : 허용할 권한을 정의해놓은 템플릿)

그룹 단위 권한 부여

여러 사용자를 하나의 그룹으로 묶어서 Permission Set 부여 가능 (사용자에게 일일이 권한을 부여하지 않아도 되기 때문에 훨신 편리함)

외부 IdP와 연동 가능

MFA 설정을 강제

Identity Center에서 관리하는 모든 계정한테 보안을 위해 MFA(ex. OTP, SMS 인증 코드)를 필수적으로 사용하도록 강제할 수 있다.

✅ STS (Security Token Service)

STS는 임시 권한(Access Key, Token 등)을 발급해주는 서비스이다.

[특징]

STS에서 발급한 토큰은 만료 기간이 있어서 유출돼도 위험성이 비교적 덜하다.

✅ Cognito

Cognito는 웹/모바일 애플리케이션의 JWT 기반의 로그인/회원가입(인증, 인가)을 담당하는 서비스이다.

✅ CloudTrail

AWS CloudTrail은 AWS 계정에서 발생하는 모든 API 호출(이벤트)을 기록하는 서비스이다.

[특징]

어떤 계정이 AWS의 어떤 기능을 사용했는 지 로그를 남겨 감시하는 용도로 사용한다.