aws codestar를 배우러 들어갔는데.

AWS codestar 설정 단계를 먼저 하래서

설정단계 왔더니 1단계 AWS계정 만들기는 했고, 2단계, AWS CodeStar 서비스 역할 만들기 -> 첫 번째 IAM 사용자 및 그룹 생성하기를 참조하십시오. 여기를 먼저 참조하래서 들어왔더니

documentation에 AWS Identity and Access Management이걸 먼저 다 봐야할 것 같아서 보는 중인다. .

Video Introduction to IAM에서 들으러 갔더니

aws training and certification에 있는 무료 강의더라…. 로그인을 하라는데 aws콘솔이랑 분리돼있는건가보다… . .그래서 비번을 겨우 찾아서 들어감.

introduction to aws identity and access management 강의 내용을 적어보려 한다.

iam 아이엠이라고 읽음.

service introduction overview use case순으로 강의 진행함.

securely control individual and group access to your aws resources

user - iam - database, compute ,storage, networking……blabla

iam을 사용하면 user permission을 줄 수 있다.

fine grade control federal grade제공

유저 혹은 그룹마다 iam을 만들 수 있다. 각각은 credential을 가진다.

사람이 많으면 iam group으로 관리할 수 있음. . 여러명을 그룹지어서 권한을 줌.

iam policies라는 것은 json document를 말하는 건데 여기에 aws와 관련된 허가사항들이 적혀있다. 유저 혹은 그룹마다 iam policies라는 것을 줘야한다. 왜냐하면 각각의 유저 혹은 그룹이 iam을 가지고 있고 credential을 가지고 있기 때문. -> affect action 허가되는것 안되는 것 구분.

example)

“Sid” : “Stmt1505076701000”, -> who/ what is authorized “Effect”: “Allow”, “Action”: [ “s3:DeleteObject”, “s3:GetObject” -> which task(s) are allowed this case 2api call amazon aws s3 ], “Condition”: { “IpAddress”:{ “aws:SourceIP”: “10.14.8.0/24” -> which condition(s) need to be met for authorization this case : only call from 10.14.8.0/24 allowed. } }, “Resource”:[ “arn:aws:s3:::billing-marketing”, “arn:aws:s3:::billing-sales” -> Resources to which authorized tasks are performed ]

Bringing it all Togeter

step1: IAM group -> 그룹으로 관리하는 걸 추천. step2: IAMpolicy를 IAMgroup에게 준다. step3: IAM user들을 추가. 개개인마다 만들어줌.

root는 사용하지 않기를 권장한다.

IAM policy는 IAM Role 도 assign한다.

IAM Role : IAM users, applications, and servies may assume IAM roles Uses an IAM policy for permissions 그니까 역할임.

iam policy를 유저한테도 줄 수 있고 역할한테도 줄 수 있음.. 역할을 유저에 매핑하면 그 policy가 적용되는 거임.

예를 들어

amazon ec2 instance 에서 호스팅되는 application이 있다고 해보자. 이게 amazon s3 bucket에 있는 object에 접근해야한다고 해보자.

바로 접근하는 것보다는 중간에 iam role을 통해서

iam role이 임시 security credential을 as part of the instance profile로 bucket에 보내고 application은 identity assumed by instance를 사용해서 amazon s3 bucket에 접근하다.

다른 예로

Iam Restriced policy를 가진 iam user가 amazon s3 bucket에 restriced access를 한다고 해보자. 그런데 만약 이 유저가 admin권한이 필요해지면

iam admin policy를 가진 iam adminrole을 생성해서 이 role을 iam use에게 주고 이 유저가 역할을 끝내면 role을 분리하면 된다.

role을 가지만 그때그때 user에게 지정된 iam admin policy를 수정할 필요가 없어진다.

aws commnad line interface는 cli기반에서 aws에 접근할 수 있는 것이다.

콘솔은 사이트상에서 접근하는거고
comman dline interface는 명령어 창에서 접근하는 것.

root user를 통해 유저와 그룹을 만들고 유저를 클릭하면 accesskey와 secret key를 발급받을 수 있다. 이 것들을 가지고 cmd에서 접근할 수 있음.

aws configure을 통해서 access key, secret key, region output 형태를 이제 해당 유저로 접근할 수 있다는 것이다.

aws iam create-group –group-name {name}을 통해서 그룹을 만들 수 있고

aws iam list-groups를 통해 group들을 볼 수 있다.

aws iam attach-group-policy –group-name Admins –policy-arn arn:aws:iam::aws:policy/AdministratorAccess

를통해서 관리자 권한을 Admins에게 줬다.

aws iam list-attached-group-policies –group-name Admins 를 통해 Admins에게 준 policy들의 리스트를 볼 수 있다.

콘솔에서 제한 적인 policy를 가진 그룹에 유저를 배분하기. ]

https://account-ID-or-alias.signin.aws.amazon.com/console
sign-in url for iam user은 위와 같다.

---