AWS IAM 식별자 이해하기

Source: Dev.to

AWS IAM 식별자는 무엇인가요?

AWS Identity and Access Management (IAM)에서는 모든 식별자와 리소스가 고유하게 식별되어야 합니다. AWS는 이를 위해 각각 특정 목적을 가진 다양한 유형의 식별자를 사용합니다:

간단히 말하면:

• Friendly Name = 표시 이름
• ARN = 전체 주소
• Unique ID = 정부에서 발급한 ID 번호

1. Friendly Name

Friendly name은 사용자, 역할, 그룹, 정책 등 IAM 리소스에 부여하는 이름입니다.

예시

IAM user = "mayur"
IAM role = "ec2-s3-readonly-role"

Friendly name이 존재하는 이유

• 사람이 읽고 기억하기 쉬움
• AWS 콘솔에서 사용됨
• CLI 명령 및 스크립트에서 사용됨

중요 사항

• 동일한 계정 내에서만 고유해야 함(전역적으로 고유할 필요는 없음). 두 개의 AWS 계정은 같은 Friendly name을 가질 수 있습니다.

2. ARN

ARN(Amazon Resource Name)은 전역적으로 고유한 식별자로, 완전한 도메인 이름과 비슷합니다.

예시

arn:aws:iam::123456789012:user/mayur

ARN 구조

arn:partition:service:region:account-id:resource

ARN이 중요한 이유

• IAM 정책에서 사용됨
• AWS 서비스 내부에서 사용됨
• 교차 계정 접근에 필요함

AWS는 Friendly name이 아니라 ARN을 신뢰합니다.

3. Unique ID

모든 IAM 리소스에는 AWS가 할당하는 고유 ID도 존재합니다.

예시

AIDAJQABLZS4A3QDU576Q

AWS가 이를 사용하는 이유

• Friendly name은 변경될 수 있음
• 경로가 바뀌면 ARN도 변경될 수 있음
• Unique ID는 일관성을 보장함

보통 직접 사용할 일은 없지만, AWS 내부에서는 이 ID에 의존합니다. 리소스가 삭제되더라도 이 ID는 변경되거나 재사용될 수 없습니다.

4. Paths

Paths는 IAM 리소스를 논리적으로 그룹화할 수 있게 해줍니다.

예시

/dev/admins/dev-admin

Paths

• 권한에 영향을 주지 않음
• 조직화에 도움을 줌
• ARN에 포함됨

Paths가 유용한 경우

• 대규모 기업
• 여러 팀이 존재할 때
• 환경별 구분이 필요할 때

이러한 식별자가 함께 작동하는 방식

각 식별자는 서로 다른 대상에게 사용됩니다:

• 사람 → Friendly Names
• 정책 및 서비스 → ARN
• AWS 내부 시스템 → Unique IDs

피해야 할 일반적인 실수

• Friendly name이 전역적으로 고유하다고 가정하기
• 다른 리소스에 미치는 영향을 확인하지 않고 IAM 리소스 이름 변경하기
• 역할 ARN과 인스턴스 프로파일 ARN을 혼동하기
• ARN 기반 정책에서 와일드카드를 부주의하게 사용하기

각 식별자가 왜 존재하는지 이해하면 IAM을 더 쉽고 안전하게 관리할 수 있습니다.