AWS IAM Access key 만들어보기, IAM Roles(IAM 역할)에 관해

 

Access key를 발급받는 방법과 명령 프롬포트 터미널인 CLI와 ColudShell에서 설정하는 두 가지 방법과 IAM Roles에 대해 정리해보려고 한다. 

#0 Access key 만들기🔑 - CLI 혹은 CloudShell로 적용

액세스 키를 만들기 전에 먼저 언급하자면 절대 IAM 사용자(users)와 액세스 키를 타인에게 공유해서는 안된다🙅🙅🙅

조심..!

1. 사용자 -> 해당사용자 이름(kellykim) -> 액세스 키 만들기

 

2. CLI 클릭 - CloudShell을 사용하면 좋다고 나오는데 바로 아래서 설명할 것이다.

3. 액세스 키와 비밀 액세스 키가 발급된 모습

이때 나오는 액세스 키와 비밀 액세스 키는 다시 조회할 수 없는데 .csv파일을 다운받아 가지고 있거나 따로 저장해둔다.

(잊었을 때 액세스 키를 새로 발급받아도 된다.)

 

< 1. CLI 이용하기 > 

CLI를 사용하려면 반드시 액세스 키를 입력해야 한다. 

로컬 명령 프롬포트(커멘드 라인)에서 aws --version으로 aws CLI 버전을 확인하고(생략가능) aws configure 명령어를 치고 아까 받은 액세스 키와 비밀 액세스 키를 입력한다. 그다음 default region은 지금 지역에서 가까운 region을 설정하면 되는데 대한민국 서울인 ap-northeast-2를 치면 된다. (format은 그냥 엔터로 넘어가면 된다.)

+) 추가로 aws iam list-users 명령어를 치면 유저의 목록들이 보여지게 된다.

 

< 2. CloudShell 이용하기 >

AWS 클라우드 내에서 무료로 사용가능한 터미널로 위와 같이 명령 프롬포트 외에 AWS 콘솔 내에서 사용할 수 있다.

AWS 가장 상단에 위치하고 있다.

좋은 점은 위와 같이 region을 직접 설정해주지 않아도 현재 지역과 비슷한 지역이 default로 설정되어있다.

 

그리고 CloudShell에는 전체저장소가 있는데 아래와 같이 txt파일도 Cloud 내에서 만들 수 있다.

hi라는 단어를 포함한 demo.txt를 생성하는 모습

위의 예제로 처음 ls 명령어로 리스트를 조회해봤지만 안 나오다가 echo "hi" > demo.txt 명령어를 통해 hi라는 단어를 포함한 demo.txt를 생성하는 모습이다.

그리고 오른쪽 위에 톱니바퀴를 클릭하면 터미널의 글자크기, 테마를 원하는대로 커스텀할 수 있다. 또한 생성했으니 Cloud환경에서 생성한 demo.txt같은 파일이 남아있다는 말이다. 그래서 파일들을 업로드하거나 만든 파일들(여기선 demo.txt)을 다운로드할 수 있다.

 

+) 다운로드 하는 방법 :

pwd 명령어를 치면 로컬 '파일 경로'가 뜨는데 그걸 복사한 뒤, Actions -> download files에 들어가서 파일경로/파일이름.파일타입을 넣으면 해당 경로에 파일이 저장되는 것을 확인할 수 있다.

=> 파일을 업로드하거나 다운로드할 때 CLI보다 CLoudShell로 하면 편하다👍

 

#1 IAM Roles (IAM 역할)

AWS 서비스에 권한을 부여해야 하는데 그러기위해서는 'IAM Roles'라는 것을 만들어야 한다. IAM Roles는 사용자와 같지만 실제 사람이 사용하도록 만들어진 것이 아니고 AWS 서비스에 의해 사용되도록 만들어졌다. 즉, IAM Roles(역할)은 AWS 서비스에서 사용할 'AWS 서비스 요청을 위한 권한 집합' 을 정의하는 IAM 엔티티이다.

자세한 설명은 아래와 같다.

예시 이미지 - 올바르면 aws로 통과

EC2 인스턴스라는 가상서버는 AWS에서 어떤 작업을 수행하려고 할 때에는 EC2 인스턴스에 권한(Role)을 부여해야 한다. 이를 위해 IAM Roles를 만들어 EC2 인스턴스와 IAM Roles 이 둘을 하나의 개체로 만든다. (EC2 인스턴스가 AWS에 있는 어떤 정보를 접근하려 할 때, IAM Roles을 사용하게 된다!)

 

< Roles 만들기 >

역할 -> 역할 생성에서 원하는 신뢰 엔티티 유형 선택(필자는 AWS서비스 선택)

그리고 하단에 역할을 부여할 서비스 종류를 선택하는데 원하는 서비스(필자는 EC2)를 선택한 후에 원하는 권한(필자는 IAMReadOnlyAccess)들을 선택한 후 역할 이름을 커스터마이징(필자는 DemoRoleForEC2)하면 아래 이미지와 같이 역할이 생긴다.

DemoRoleForEC2라는 역할이 생긴 모습

 

✅짤막한 개념 정리

IAM 사용자는 아이디와 비밀번호를 사용해서 AWS에 접근한다.

-> 루트 계정 자격 증명을 사용해서 AWS 서비스에 액세스하는 것이 아니다 XX..!

IAM Policy(정책)이란?

-> 사용자, 그룹 또는 역할 권한을 정의하기 위한 JSON문서이다.