Always-Try(정보보안 및 일상)

[AWS][IAM] AWS IAM과 친해지기 본문

AWS

[AWS][IAM] AWS IAM과 친해지기

Always-Try 2022. 1. 31. 21:02
https://www.youtube.com/watch?v=zIZ6_tYujts

 

 

위 유튜브 방송을 본 후 기억에 남는 것들을 정리한다.

 

 

  • In-Account일때는 Identity-based policy에 대해서만 정책을 부여해도 요청이 허용되지만, Cross-Account 환경에서는 Resource-based Policy 까지 정책을 부여해야 요청이 허용된다.
  • 명시적 정책이 Deny, Allow로 되어 있을 경우에는 Deny 정책이 우선된다.
  • IAM 모범사례

 

  • IAM Role을 부여한는 액션 그 자체에도 제어가 필요하다 -> IAM:PassRole
  • Cross Account 환경에서도 Role을 사용하여 권한을 위임함으로써, 장기 Credential 사용을 지양한다.
  • IAM 생성 시 정책 조건을 사용한다.


  • IAM Access Advisor
    • 정책에 포함된 각 서비스를 실제 보안 주체가 언제 마지막을 접근했는지 추적한다. 특히, S3 등 중요 정보를 담고 있는 정책들은 해당 기능을 통한 세분화 된 관리가 필요하다.
  • AWS 계정의 활동 모니터링 및 감사
  • ABAC
Comments