[AWS] AWS Service에 대한 IAM Role & IAM 보안도구

AWS 환경에서 보안과 효율적인 리소스 관리는 IAM Roles의 적절한 활용에 크게 의존합니다. IAM Roles는 AWS 서비스가 사용자를 대신하여 작업을 수행할 때 필요한 권한을 안전하게 할당하는 데 중요한 역할을 합니다. 이 가이드에서는 IAM Roles의 개념과 생성, 할당, 실습 방법, 그리고 IAM 보안 도구 및 모범 사례에 대해 상세히 알아보겠습니다.

---

IAM Role의 이해

IAM Role이란?

IAM Role은 AWS 서비스가 사용자를 대신하여 작업을 수행할 때 필요한 권한을 부여하는 권한 집합입니다. IAM Role은 실제 사람이 아닌 AWS 서비스가 사용하도록 설계된 권한 집합으로, 특정 작업을 안전하게 수행할 수 있도록 권한을 할당합니다. 이는 보안성을 높이고, 권한 관리를 효율적으로 할 수 있게 도와줍니다.

IAM Role Example

EC2 인스턴스 를 생성한다고 가정해보겠습니다.
EC2 인스턴스는 AWS 서비스 내에서 특정 작업(예: S3에 파일 저장, DynamoDB에 데이터 읽기 등)을 수행하려고 할 수 있습니다. 하지만 이러한 작업을 수행하려면 권한이 필요합니다. 이때 IAM Role을 사용하여 필요한 권한을 할당할 수 있습니다.

---

일반적인 Roles의 예

AWS에는 다양한 서비스가 있으며, 각 서비스는 특정 역할을 수행할 때 필요한 권한이 다릅니다.
일반적인 Roles의 예는 다음과 같습니다.

• EC2 Instance Roles
  • EC2 인스턴스에 할당된 역할로, AWS 리소스(S3, DynamoDB 등)에 접근할 수 있도록 허용합니다.
• Lambda Function Roles
  • Lambda 함수가 특정 리소스에 접근하거나 작업을 수행할 수 있도록 허용하는 역할입니다.
• Roles for CloudFormation
  • CloudFormation 템플릿이 AWS 리소스를 프로비저닝하고 관리하도록 허용하는 역할입니다.

IAM Role의 작동 방식

IAM Role을 사용하여 AWS 서비스가 작업을 수행하는 과정은 다음과 같습니다.

1. IAM Role 생성: EC2 인스턴스 또는 다른 AWS 서비스가 수행해야 하는 작업에 맞는 권한을 정의합니다.
2. IAM Role 할당: 생성한 Role을 EC2 인스턴스에 연결합니다.
3. 작업 수행: EC2 인스턴스가 AWS 리소스에 접근하려고 할 때, 연결된 IAM Role의 권한을 사용하여 작업을 수행합니다.
4. 권한 검증: IAM Role에 올바른 권한이 부여되어 있다면, 인스턴스는 요청한 리소스에 접근할 수 있습니다.

---

IAM Role (역할) 할당해보기.

한번 IAM Role을 생성하고 EC2 인스턴스에 할당하는 과정을 단계별로 알아보겠습니다.

IAM Role 생성

• AWS Management Console에 로그인한 후, IAM 서비스를 선택합니다.
• 좌측 메뉴에서 Roles(역할)을 클릭합니다.

• Create role(역할 생성) 버튼을 클릭합니다.

역할은 AWS의 실체들에게 AWS에서 작업을 수행할 수 있는 권한을 부여하는 것입니다.
보시다시피 다양한 역할이 있습니다. 사용할 서비스에 따라서 규칙을 적용해야합니다.

• AWS service를 선택하고, EC2를 선택한 후 Next: Permissions(권한)을 클릭합니다.

이제 EC2 인스턴스에 대한 역할을 생성했으므로 정책을 연결해야 합니다.
따라서 EC2 인스턴스가 IAM에 있는 모든 내용을 읽을 수 있도록 IAMReadOnlyAccess 정책을 연결하겠습니다.

• Attach permissions policies(권한 정책 연결) 페이지에서 IAMReadOnlyAccess 정책을 선택합니다.

그후, Role의 이름, 신뢰할수 있는 엔티티 → 즉, EC2 서비스가 맡을수 있는 역할을 정의하는 것입니다.

• Next: Tags(태그)를 클릭하고, 원하는 태그를 추가한 후 Next: Review(검토)를 클릭합니다.
• Role name에 역할의 이름을 입력하고, Create role 버튼을 클릭하여 역할을 생성합니다.

그후, 생성한 역할을 보면 내 역할 목록에 표시되며 역할에 대한 권한이 올바른지 확인할 수 있습니다.

IAM Role 할당

1. EC2 서비스로 이동합니다.
2. 인스턴스를 선택한 후, Actions(작업) > Security(보안) > Modify IAM role(아이엠 역할 수정)을 클릭합니다.
3. 생성한 IAM Role을 선택하고 Update IAM role을 클릭하여 역할을 할당합니다.

작업 수행 및 권한 검증

1. EC2 인스턴스에 접속합니다.
2. 할당된 IAM Role의 권한을 사용하여 AWS 리소스에 접근합니다.
   • 예를 들어, S3 버킷의 객체를 읽어옵니다.
3. 권한이 올바르게 설정되었다면, 요청한 리소스에 정상적으로 접근할 수 있습니다.

---

IAM 보안도구

AWS는 IAM 사용자와 리소스의 보안을 강화하기 위해 다양한 보안 도구를 제공합니다.
IAM Credentials Report와 IAM Access Advisor에 대해 알아보고, 활용 방법을 살펴보겠습니다.

IAM Credentials Report

• 설명: 계정의 모든 사용자와 각 사용자의 다양한 자격 증명 상태를 나열한 보고서입니다.
• 활용 목적:
  • 계정 내 사용자 자격 증명(Access Keys, MFA 등)이 안전하게 관리되고 있는지 확인합니다.
  • 장기 미사용 자격 증명 또는 비활성화된 자격 증명을 점검하여 보안을 강화합니다.

IAM Access Advisor

• 설명: 특정 사용자가 부여받은 서비스 권한과 해당 서비스가 마지막으로 액세스된 시간을 보여줍니다.
• 활용 목적:
  • 사용자가 실제로 사용하는 서비스와 그렇지 않은 서비스를 파악합니다.
  • 정책 수정: 사용되지 않는 서비스 권한을 제거하여 최소 권한 원칙(Least Privilege Principle)을 준수하고 보안을 강화합니다.

IAM 보안도구 실습

IAM Credentials Report

1. IAM 서비스로 이동합니다.
2. 좌측 메뉴에서 Credential reports(자격 증명 보고서)를 클릭합니다.
3. Generate report(보고서 생성) 버튼을 클릭하여 보고서를 생성합니다.
4. 보고서가 생성되면 Download report(보고서 다운로드) 버튼을 클릭하여 CSV 파일을 다운로드합니다.

• 다운로드한 CSV 파일을 열어 계정의 모든 사용자와 자격 증명 상태를 확인합니다.

Credential report 에는 두 개의 행이 있습니다, 루트 계정과 IAM 계정 이름이 있습니다.

Credential report 예시.

사용자가 생성된 시기, 비밀번호가 활성화되었는지, 비밀번호가 마지막으로 사용된 시기와 마지막으로 변경된 시기.
만약, 비밀번호 교체를 활성화한 경우 다음 교체가 언제 예상되는지 MFA가 활성화되었는지 등 항목이 있습니다.

Crediential Report (보고서) 내용 예시

• 사용자 생성 시기
• 비밀번호 활성화 여부
• 비밀번호 마지막 사용 시기
• 비밀번호 마지막 변경 시기
• 비밀번호 교체 예상 시기 (비밀번호 교체 정책이 활성화된 경우)
• MFA 활성화 여부

 

---

IAM Access Advisor

생성한 IAM 계정 명에 들어가서 확인.

액세스 관리자는 내 사용자가 언제 어떤 서비스에 액세스했는지 보여줍니다.
조직, 건강, 아이덴티티 및 액세스 관리, IAM 서비스, EC2, 리소스 탐색기 등..
따라서 액세스 관리자를 사용하면, IAM 사용자가 올바른 권한을 가지고 있는지 여부를 실제로 확인할 수 있습니다

1. IAM 서비스로 이동합니다.
2. 좌측 메뉴에서 Users(사용자)를 클릭하고, 특정 사용자를 선택합니다.
3. Access Advisor 탭으로 이동합니다.
4. 선택한 사용자가 접근한 AWS 서비스와 마지막 액세스 시간을 확인합니다.

• Access Advisor를 사용하면 사용자가 실제로 사용하는 서비스와 그렇지 않은 서비스를 파악할 수 있어, 불필요한 권한을 제거하여 보안을 강화할 수 있습니다.

요약하자면, 액세스 관리자는 AWS에서 세부적인 사용자 액세스 권한을 수행해야 할 때 매우 유용합니다.

---

IAM 가이드 라인 & 모범 사례

AWS 환경에서 IAM을 효과적으로 관리하고 보안을 강화하기 위해서는 다음의 보안 모범 사례를 준수하는 것이 중요합니다.

AWS 보안 모범 사례

1. Root Account 사용 최소화: Root 계정은 AWS 계정 설정 시에만 사용하고, 이후에는 사용하지 않습니다.
2. 사용자별 AWS User 생성: 한 명의 물리적 사용자에 대해 하나의 AWS 사용자를 생성합니다.
3. 그룹을 활용한 권한 관리: 개별 사용자 대신 그룹을 생성하고, 권한을 그룹에 할당하여 사용자 관리 및 권한 설정을 효율화합니다.
4. 강력한 비밀번호 정책 설정: 비밀번호 복잡성, 최소 길이, 만료 기간 등을 포함한 강력한 비밀번호 정책을 설정합니다.
5. Multi-Factor Authentication (MFA) 사용ㅣ MFA를 사용하도록 설정하고, 모든 사용자에게 적용을 강제합니다.
6. IAM Roles 활용: AWS 서비스에 권한을 부여할 때는 IAM Roles를 사용합니다.
7. Access Keys로 프로그래밍 방식 접근: CLI 또는 SDK를 통한 프로그램 접근에는 Access Keys를 사용합니다.
8. IAM 보안 도구를 통한 권한 감사: IAM Credentials Report와 IAM Access Advisor를 사용하여 계정의 권한 상태를 정기적으로 점검합니다.
9. IAM 사용자와 Access Keys 공유 금지: IAM 사용자 계정 및 Access Keys를 다른 사람과 절대 공유하지 않습니다.

---

AWS 환경에서 IAM Roles와 보안 도구를 적절히 활용하는 것은 클라우드 인프라의 보안과 효율성을 유지하는 데 필수적입니다.

IAM Roles를 통해 AWS 서비스가 안전하게 작업을 수행할 수 있도록 권한을 할당하고, IAM 보안 도구를 사용하여 권한 상태를 정기적으로 점검함으로써 보안을 강화할 수 있습니다. 또한, 보안 모범 사례를 준수하여 IAM 관리를 체계적으로 수행하는 것이 중요합니다.

Tip: 정기적으로 IAM Roles와 권한을 검토하고, 불필요한 권한을 제거하여 최소 권한 원칙을 준수하세요. IAM 보안 도구를 활용하여 계정의 보안 상태를 지속적으로 모니터링하고, 보안 위협에 신속하게 대응할 수 있도록 준비하시기 바랍니다.

---

참고 자료

• AWS 공식 문서 - IAM Roles: IAM Roles
• AWS 공식 문서 - IAM Credentials Report: Generating a Credential Report
• AWS 공식 문서 - IAM Access Advisor: Using IAM Access Advisor
• AWS 보안 모범 사례: AWS Security Best Practices
• AWS 공식 문서 - IAM User Guide: IAM User Guide