AWS IAM, Organizations 요약

시작하기, 뭐든 - 기록 4일차

 

오늘도 aws 기초 자격증 요약본을 들고왔다.

aws 강의를 듣는데 IAM과 Organizations가 묘~하게 비슷하고 묘~하게 헷갈리는거 같아서 이 둘을 요약해봤다.

	기능	설명
IAM	사용자	AWS 서비스, 리소스와 상호작용하는 사람 또는 애플리케이션
		사용자가 AWS에 생성하는 자격 증명
		구성 : 이름 + 자격증명
		신규 생성 시 연결된 권한이 없음(최소권한원칙)
	그룹	IAM 사용자의 모음
		그룹 내 모든 사용자는 할당된 정책이 작동
	역할	임시로 권한에 엑세스 하기 위한 자격 증명
		새로운 역할을 부여받으면 이전 역할은 자동으로 사라짐
	정책	AWS 서비스 및 리소스에 대한 권한 허용 및 거부 문서
		json 파일로 생성
		사용자, 그룹에 할당 가능
	Multi-Factor Authentication	IAM에서 제공하는 추가 보안 계층
		Root 계정이 로그인할 때 설정하는게 좋음.

IAM만 두고 보면, 명확한 느낌이다.

권한 및 엑세스에 대한 내용이고 뭔가 SQL의 grant 할 때 role로 묶어서 주는 거하고 비슷한 느낌도 들고. 

 

문제는,, Organozations이있다,,,!

Organozations의 키포인트는 "중앙제어"인거 같은데, 역할은 IAM과 은근히 비슷하단 말이다..

	기능	설명
AWS Organizations	SCP (서비스 제어 정책)	조직의 계정에 대한 권한을 중앙에서 제어
		사용자 및 역할이 엑세스할 수 있는 AWS 서비스, 리소스 및 개별 API 작업을 제한
	OU (조직 단위)	계정을 OU로 그룹화
		OU에 정책 적용  -> OU의 모든 계정이 정책에 지정된 권한 상속

 

aws 강의에 안나온 내용들 중에서 두 개의 차이점을 찾아봤는데도 확실하게 느껴지는 차이점을 아직 없는거 같다.

	Organozations	IAM
정책 적용 대상	AWS 계정	사용자,그룹, 역할
우선순위	1 (IAM보다 우선)	2
루트 사용자 제한	SCP로 가능	IAM 정책으로 불가능

 

공부를 더 하다보면, 더 명확해지는 날이 있기를 바라면서!

오늘 기록은 여기까지~