섹션 25 identity and Access Management (IAM) - 고급

AWS Organizations

• allows to manage multiple AWS accounts
• 조직의 메인 계정이 관리계정이 된다.
• 다른 계정은 멤버 계정
• 모든 계정의 비용을 한번에 지불 가능
• share reserved instances and Savings Plans discounts across accounts

security :Service control policies (SCP)

특정 OU 또는 계정에 적용되는 IAM 정책

해당 사용자와 역할 모두가 계정 내에서 할수 있는 일을 제한

영구적인 관리자 권한을 갖는 관리 계정에는 적용되지 않는다.

SCP에는 차단목록과 허용목록이 있다.

IAM Roles vs Resource -Based Policies

• when you assume a role ,you give up your original permissions and take the permissions assigned to the role
• when using a resource -based policy , the principal doesn’t have to give up his permissions
• 예 user in account A needs to scan a DynamoDB table in Account A and dump it in an s3 bucket in Account B

Amazon Cognito

사용자에게 웹 및 모바일 앱과 상호 작용할수 있는 자격 증명을 부여한다

Cognito User Pools:

• sign in functionality for app users
• integrate with API Gateway & Application Load Balancer

웹 및 모바일 대상으로 하는 서버리스 사용자 데이터베이스

Cognito identity Pools :

• provide AWS credentials to users so they can access AWS resources directly

aws IAM identity center

한번만 로그인 하면 모든 것에 엑세스

AWS Directory Services

• aws managed microsoft AD
  • AWS에 자체 액티브 디렉터리를 생성 로컬에서 관ㄹ리
• AD Connector
  • 디렉터리 게이트웨이 ,프록시로 온프레미스 ad에 리다이렉트
  • MFA 사용
• simple AD
  • 온프레미스 AD 없음 독립형인 simple ad 사용

AWS Control Tower

모범 사례를 기반으로 안전하고 규정을 준수하는 다중 계정 aws환경을 손쉽게 설정하고 관리할수 있다.

Guardrails

control tower 환경 내의 모든 계쩡에 관한 거버넌스를 얻을수 있다

• preventive guardrails
  • using SCPs
• detective guardrails
  • using AWS Config