📅 12일 차 | AWS IAM — AWS 보안의 핵심

Source: Dev.to

IAM이란?

IAM (Identity and Access Management) 은 AWS의 보안 시스템입니다.
AWS 계정에서 누가 무엇에 접근할 수 있는지를 결정합니다.

IAM을 보안 요원에 비유하면:

• Users – 접근이 필요한 사람들
• Roles – AWS 서비스(EC2, Lambda, GitHub Actions, Terraform)를 위한 권한
• Policies – 어떤 행동이 허용되는지 정의하는 규칙
• Groups – 팀 단위 권한

IAM 사용 방법 (단계별 가이드)

1. IAM 사용자 생성 (사람용)

사용자는 사람의 접근을 위해 사용하고, 자동화에는 사용하지 않습니다.

절차

1. AWS Console → IAM → Users 로 이동
2. Create user 클릭
3. 이름 입력 (예: devops-user)
4. 권한 부여 (Admin 또는 커스텀)
5. 로그인 자격 증명 생성
6. MFA 활성화 (매우 중요!)

목적: 사람으로서 AWS에 로그인하기 위함.

2. 그룹 생성 (팀용)

그룹을 사용하면 여러 사용자에게 동일한 권한을 부여할 수 있습니다.

예시

• DevOps‑Team
• Developers
• Admin‑Team

절차

1. IAM → User groups → Create group
2. 공통 정책을 연결
3. 사용자를 그룹에 추가

3. IAM 역할 생성 (AWS 서비스용)

역할은 머신이 사용하며, 사람은 사용하지 않습니다.

예시

• EC2 인스턴스 역할
• Lambda 실행 역할
• GitHub Actions OIDC 역할
• Jenkins 역할
• Terraform 역할

절차

1. IAM → Roles → Create role
2. 서비스 선택 (EC2, Lambda 등)
3. 정책 연결 (S3, EC2, CloudWatch 등)
4. 역할을 해당 서비스에 연결

사용 사례

• EC2가 역할을 통해 S3 객체를 읽을 수 있음
• GitHub Actions가 역할을 사용해 AWS에 배포 (액세스 키 없음)

4. 정책 연결 (권한)

정책은 허용된 행동을 정의하는 JSON 문서입니다.

예시 정책

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::mybucket/*"
    }
  ]
}

절차

1. IAM → Policies → Create policy
2. 정책을 user, group, 혹은 role에 연결

5. MFA 활성화 (보안 강화)

MFA는 로그인 시 강력한 보호를 제공합니다.

절차

1. IAM → Users → Your user → Security credentials
2. Assign MFA device 클릭
3. Google Authenticator / Authy 로 QR 코드 스캔
4. 설정 완료

6. IAM Access Analyzer 사용

IAM Access Analyzer는 공개 S3 버킷이나 과도한 권한 정책과 같은 보안 위험을 식별합니다.

절차

1. IAM → Access Analyzer
2. Analyzer 활성화
3. 결과 검토
4. 과도한 권한 정책 수정

DevOps에서 IAM이 사용되는 경우

유용한 링크

• GitHub:
• Dev.to Blog:
• LinkedIn:
• Resume (Google Drive):