16D. 사용자와 그룹을 생성하여 접근제어 및 권한관리를 제공하는 IAM

About 2 min

16D. 사용자와 그룹을 생성하여 접근제어 및 권한관리를 제공하는 IAM 관련

16장 - 4. 사용자와 그룹을 생성하여 접근제어 및 권한관리를 제공하는 IAM

IAM 역할 활용하기

IAM 역할^Role은 앞에서 설명한 것처럼 EC2 인스턴스, 다른 AWS 계정, Facebook, Google, Amazon.com 계정 전용으로 AWS 리소스에 대해 접근 권한을 설정할 수 있습니다. 이번에는 EC2 인스턴스 전용으로 IAM 역할을 생성하고, EC2 인스턴스에서 IAM 역할을 사용해보겠습니다.

EC2 인스턴스에서 API로 AWS 리소스에 접근하려면 항상 액세스 키와 시크릿 키를 설정해야만 했습니다. 나중에 Auto Scaling 기능으로 EC2 인스턴스를 자동으로 늘려나갈 때 액세스 키와 시크릿 키를 일일이 설정해주려면 상당히 귀찮습니다. 이런 부분을 따로 자동화하지 않아도 IAM 역할을 사용하면 EC2 인스턴스 생성 즉시 API로 AWS 리소스에 접근할 수 있습니다.

IAM 역할 생성하기

IAM 역할 목록([Details] → [Roles])에서 위쪽 Create New Role 버튼을 클릭합니다.

IAM 역할을 생성합니다.

Role Name: IAM 역할 이름입니다. ExampleEC2Role을 입력합니다.

Next Step 버튼을 클릭합니다.

IAM 역할 유형입니다. EC2 인스턴스용 IAM 역할을 생성하기로 했으므로 Amazon EC2의 [Select] 버튼을 클릭합니다(그림 16-32).

AWS Service Roles: AWS 리소스 전용 IAM 역할입니다. EC2, CloudHSM, Data Pipeline, Elastic Transcoder, OpsWorks 등을 선택할 수 있습니다.
Role for Cross-Account Access: 다른 AWS 계정 혹은 다른 AWS 계정에 속한 IAM 사용자를 설정할 수 있습니다.
Role for Identity Provider Access: Facebook, Google, Amazon.com 계정과 SAML(Security Asserting Markup Language) 프로토콜을 지원하는 Identity Provider를 설정할 수 있습니다.

IAM 역할이 S3에만 접근할 수 있도록 설정해보겠습니다. Select Policy Template에는 AWS의 모든 리소스에 대한 접근 권한을 Full Access, Read Only Access, 기타 Access로 구분하여 준비해놓았습니다. 개수가 상당히 많으므로 스크롤을 내려 Amazon S3 Full Access의 [Select] 버튼을 클릭합니다.

AWS Policy Generator나 직접 정책Custom Policy을 작성하여 설정할 수도 있습니다. — AWS Policy Generator나 직접 정책^Custom ^Policy을 작성하여 설정할 수도 있습니다.

S3에만 접근할 수 있도록 해주는 정책 파일^Policy ^Document이 자동으로 생성됩니다.

<FontIcon icon="iconfont icon-select"/> 버튼을 클릭합니다. — `[Next Step]` 버튼을 클릭합니다.

지금까지 설정한 내용에 이상이 없는지 확인합니다.

이상이 없으면 <FontIcon icon="iconfont icon-select"/> 버튼을 클릭합니다. — 이상이 없으면 `[Create Role]` 버튼을 클릭합니다.

IAM 역할 목록에 IAM 역할(ExampleEC2Role)이 생성되었습니다. IAM 역할(ExampleEC2Role)을 선택한 뒤 세부 내용을 보면 Permissions에 현재 설정된 정책이 표시됩니다.

<FontIcon icon="iconfont icon-select"/> 버튼으로 정책을 계속 추가할 수 있습니다. — `[Attach Role Policy]` 버튼으로 정책을 계속 추가할 수 있습니다.

IAM 역할을 사용하는 EC2 인스턴스 생성하기

16장 - 4.2. IAM 역할을 사용하는 EC2 인스턴스 생성하기

아마존 웹 서비스를 다루는 기술

EC2 인스턴스 전용 IAM 역할은 EC2 인스턴스를 생성할 때 설정해주어야 합니다. 이미 만들어진 EC2 인스턴스에는 IAM 역할을 설정할 수 없습니다.

EC2 인스턴스 페이지로 이동한 뒤 EC2 인스턴스 목록(<FontIcon icon="iconfont icon-select"/> → )에서 위쪽 <FontIcon icon="iconfont icon-select"/> 버튼을 클릭합니다. — EC2 인스턴스 페이지로 이동한 뒤 EC2 인스턴스 목록(`[INSTANCES]` → `[Instances]`)에서 위쪽 `[Launch Instance]` 버튼을 클릭합니다.

EC2 가상 서버에 설치될 운영체제를 선택합니다. AWS 명령행 인터페이스^AWS ^CLI가 미리 설치되어 있는 Amazon Linux를 사용하겠습니다.

Free tier only에 체크하고, Amazon Linux AMI의 <FontIcon icon="iconfont icon-select"/> 버튼을 클릭합니다. — Free tier only에 체크하고, Amazon Linux AMI의 `[Select]` 버튼을 클릭합니다.

EC2 인스턴스 유형을 선택합니다. 기본적으로 Free tier용인 Micro Instance가 선택되어 있습니다.

EC2 인스턴스 세부 설정에서 IAM 역할을 설정할 수 있습니다. IAM role 부분에서 IAM 역할 목록이 표시됩니다. 앞에서 생성한 ExampleEC2Role을 선택합니다. 나머지 설정은 기본값 그대로 사용하고 Review and Launch 버튼을 클릭합니다(나머지 세부 설정은 생략하겠습니다. 자세한 내용은 '4.3 EC2 인스턴스 생성하기'를 참조하기 바랍니다).

지금까지 설정한 값들이 정상적으로 설정되었는지 확인합니다.

문제가 없다면 <FontIcon icon="iconfont icon-select"/> 버튼을 클릭합니다. — 문제가 없다면 `[Launch]` 버튼을 클릭합니다.

앞에서 EC2 인스턴스를 생성해보았다면 EC2 인스턴스 접속을 위한 키가 이미 있을 것입니다.

를 선택한 뒤 <FontIcon icon="iconfont icon-select"/>를 체크하고 <FontIcon icon="iconfont icon-select"/> 버튼을 클릭합니다 (EC2 인스턴스 접속을 위한 키가 없다면 '4.3 EC2 인스턴스 생성하기' 또는 '7장 EC2 인스턴스 접속을 위한 키 쌍'을 참조하여 키를 생성하기 바랍니다). — `awskeypair`를 선택한 뒤 `[I acknowledge that I have...]`를 체크하고 `[Launch Instances]` 버튼을 클릭합니다 (EC2 인스턴스 접속을 위한 키가 없다면 '4.3 EC2 인스턴스 생성하기' 또는 '7장 EC2 인스턴스 접속을 위한 키 쌍'을 참조하여 키를 생성하기 바랍니다).

잠시 기다리면 EC2 인스턴스가 생성되었다는 화면이 나옵니다.

EC2 인스턴스가 완전히 생성되었습니다.

방금 생성한 EC2 인스턴스를 선택하고 아래 세부 내용에서 Public IP를 확인합니다.

SSH로 위에서 확인한 Public IP에 접속한 뒤 다음 명령을 입력합니다(SSH 접속 방법은 '4.4 EC2 인스턴스에 접속하기'를 참조하기 바랍니다). aws s3 ls는 S3의 파일 목록을 보는 명령입니다. 앞에서 생성한 S3 버킷(examplebucket10)의 파일 목록을 출력해보겠습니다(S3 버킷을 생성하지 않았다면 '11.1 S3 버킷 생성하기', '11.2 S3 버킷에 파일 올리기/받기'를 참조하여 S3 버킷을 생성하고 파일을 올리기 바랍니다).

aws s3 ls s3://examplebucket10
#
#                            PRE logs/
# 2014-04-22 10:17:48     775702 Jellyfish.jpg
# 2014-04-22 10:28:52     620888 Tulips.jpg

앞에서 IAM 역할에 S3에 접근할 수 있는 Amazon S3 Full Access를 설정했기 때문에 S3 버킷의 파일 목록을 볼 수 있습니다. 또한, EC2 인스턴스를 생성할 때 IAM 역할을 사용하도록 설정했기 때문에 액세스 키와 시크릿 키를 따로 설정하지 않아도 aws s3 명령이 잘 동작합니다.

IAM 역할 삭제

EC2 인스턴스에서 IAM 역할을 사용하고 있을 때 IAM 역할을 삭제하면 안됩니다. IAM 역할을 삭제하는 즉시 EC2 인스턴스에서 AWS 리소스로 접근하는 권한이 사라지니 주의하기 바랍니다.

다음 명령을 입력하여 DynamoDB에 접근합니다. IAM 역할(ExampleEC2Role)에는 DynamoDB에 접근할 수 있는 권한이 없기 때문에 Access Denied 에러가 발생합니다.

aws --region ap-northeast-1 dynamodb scan --table-name UsersLeaderboard
# 
# A client error (AccessDeniedException) occurred when calling the Scan operation: User: arn:aws:sts::232075047203:assumed-role/ExampleEC2Role/i-d7027cd1 is not authorized to perform: dynamodb:Scan on resource: arn:aws:dynamodb:ap-northeast-1:232075047203:table/UsersLeaderboard