본문 바로가기
Amazone Web Service

AWS Educate : Security 실습

by Seungyoon1786 2024. 5. 8.

AWS Educate에서 실습한Getting Started with security 실습을 블로깅 하여AWS Identity and Access Management(IAM) 서비스의 사용자, 그룹 및 정책을 살펴본다.

 

해당 실습은 다음을 목표로 한다.

  • 미리 생성된 IAM 사용자 및 그룹 알아보기
  • 미리 생성된 그룹에 적용되는 IAM 정책 검사
  • 실제 시나리오를 따라 특정 기능이 활성화된 그룹에 사용자 추가
  • IAM 로그인 URL 찾기 및 사용
  • 서비스 액세스에 대한 정책의 영향 실험

1: 사용자 및 그룹 살펴보기

Amazon management Console에 엑세스 한 다음, 먼저 사용자가 위치한 리전을 기록한다. 리젼은 오른쪽 상단에 있다.

 

 

Services 메뉴를 선택한 후 Security, Identity, & Compliance 서비스를 찾아 IAM을 선택한다.

왼쪽의 탐색 창에서 Users를 선택하면 user-1, user-2, user-3 이 생성되어있다.

 

user-1의 이름을 선택 후 요약 페이지에서 아무런 권한이 없음을 확인 할 수 있다.

보안자격증명 탭을 선택한다. user-1에 콘솔 암호가 할당되는데, 이를 통해 사용자가 AWS Management Console에 액세스할 수 있다.

왼쪽 탐색 창에서 사용자 그룹 선택하면 다음 그룹이 이미 생성되어 있다. EC2-Admin, EC2-Support, S3-Support

EC2-Support 그룹의 이름을 선택한 후 요약 페이지에서 권한을 확인한다. 

 

이 그룹에는 AmazonEC2ReadOnlyAccess라는 관리형 정책이 연결되어 있다. 관리형 정책은 IAM 사용자 및 그룹에 연결할 수 있는 사전 구성된 정책(AWS 또는 관리자가 작성)으로 정책이 업데이트되면 정책에 대한 변경 사항이 정책에 연결된 모든 사용자 및 그룹에 즉시 적용된다.

 

 

정책 이름 아래에서 AmazonEC2ReadOnlyAccess 정책에 대한 링크를 선택한다. {} JSON 탭을 선택한다.

 

정책은 특정 AWS 리소스에 대해 허용되거나 거부되는 작업을 정의한다.

 

다른 사용자 그룹의 정책도 확인해본다.

 

2: 그룹에 사용자 추가

사용자 그룹에서 S3-Support 그룹의 이름을 선택한다. 사용자 탭에서 Add users를 선택후 user-1을 선택하고 Add users를 선택한다

 

user-1을 S3-Support그룹에 추가한다

 

사용자 탭에서 user-1이 그룹에 추가된 것을 알 수 있다.

 

이전 단계에서 배운 내용을 바탕으로 user-2EC2-Support 그룹에 추가하고, user-3EC2-Admin 그룹에 추가한다.

 

 

사용자 그룹에서 각 그룹의 사용자 열에 1이 표시되어야 한다. 이것은 각 그룹의 사용자 수를 나타낸다.

 

3: 로그인 및 사용자 테스트

이 실습에서는 콘솔에서 각 IAM 사용자의 권한을 테스트한다.

 

왼쪽의 탐색 창에서 대시보드를 선택한다. 페이지 상단에 Sign-in URL for IAM users in this account 섹션이 표시된다.

 

로그인 링크를 텍스트 편집기에 복사해 둔다.

 

브라우저에서 프라이빗 또는 익명 창을 열고 로그인 링크를 프라이빗 브라우저에 붙여 넣는다. 보안 인증 정보를 통해 user-1로 로그인한다.

 

서비스에서 S3를 클릭하여 버킷 중 하나의 이름을 선택하고 콘텐츠를 찾아본다. 

 

 

이 사용자는 IAM에서 S3-Support 그룹의 일부이므로 Amazon S3 버킷 목록과 해당 콘텐츠를 볼 수 있는 권한이 있다.

하지만 이제 Amazon EC2에 액세스 권한이 없으므로 인스턴스를 볼 수 없다. 

 

 

이제 로그아웃 후 user-2의 권한을 확인해본다. 이전의 작업을 반복하여 user-2로 로그인한다. 로그인 후 EC2에서 인스턴스를 확인한다. EC2 인스턴스가 표시되지 않는 경우 리전이 잘못되었을 수 있다. 버지니아인지 확인해야한다. 

 

인스턴스를 중지 하려고 해도 user-2에는 권한이 없기 떄문에 You are not authorized to perform this operation라는 오류 메세지가 출력된다.

 

 

S3를 선택한다. user-2에게 Amazon S3 사용 권한이 없기 때문에 You don't have permissions to list buckets라는 오류 메시지가 표시된다.

 

 

user-3으로 이전의 과정을 반복하여 로그인한다. user-3은 EC2admin권한이 있기 때문에 인스턴스를 중지시킬 수 있다.

 

'Amazone Web Service' 카테고리의 다른 글

AWS Educate : DataBases 실습  (0) 2024.05.29
AWS Educate : Compute  (0) 2024.05.29
[AWS - SkillBuilder] Introduction to Amazon Aurora (Korean)  (0) 2024.05.24
AWS Educate : Storage 실습  (0) 2024.05.07
EC2 인스턴스의 요금  (0) 2024.05.01

관련글

티스토리툴바