AWS/AWS Identity and Access Management(6)
-
IAM User 리전별 제어 설정 방법 (IAM Permission boundary)
- 개요 https://happyengine.tistory.com/174에서 다룬 내용을 응용해서 IAM User를 리전별로 제어하는 방법은 여러 가지가 있지만, 간단히 하는 방법은 IAM permission boundary를 설정하는 방법이다. - policy { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudfront:*", "route53:*", "iam:*", "support:*", "access-analyzer:*", "route53domains:*", "sso:*", "sso-directory:*", "rolesanywhere:*", "rds-db:*", "elemental-support-cases:..
2023.10.18 -
Region Based IAM Policy example
- 개요 서비스중이 아닌 타 region에서 발생하는 event나 생성되는 resource들은 모드 보안 사고나 불필요한 과금으로 이어진다. 따라서 사용하는 리전이 아닌 리전은 권한을 제어하는 것이 안전하다. 아래는 사용하는 리전(ap-northeast-1)을 제외한 모든 리전을 제어하는 AdministratorAccess Policy Example이다. - AdministratorAccessOnlySeoul { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudfront:*", "route53:*", "iam:*", "support:*", "access-analyzer:*", "route53domains:*", ..
2023.10.18 -
Root User로만 할 수 있는 작업
- 개요 Root 계정은 무엇이든 할 수 있지만 일반적인 용도로 사용하는 것은 절대 추천하지 않고 AWS는 IAM User를 통해 작업을 처리하고 사용하는 게 원칙이다. 그러나 Root 계정만 할 수 있는 작업들이 존재한다. - Root User로만 할 수 있는 주요 작업 계정 기본 정보에 대한 변경 (name, email address, root user password & access keys) IAM admin 계정 복구 IAM 계정의 Billing 접근 허용 AWS 계정 삭제 AWS 계정을 타인이나 다른 회사로 양도 Amazon S3 MFA 활성화 Amazon SQS 전체 서비스 거부 정책 삭제 Amazon S3 전체 서비스 거부 정책 삭제 - 참고 https://docs.aws.amazon.co..
2023.10.12 -
AWS root password 분실 시 대처
- 개요 root 패스워드는 AWS 보안 운영상 회사의 대표님이나 임원급만 홀로 알고 있어야 해서 관리가 잘 안 될 확률이 높다. - 대처 AWS Console login 페이지에서 root의 경우는 e-mail을 통해 비밀번호 초기화가 가능하다. - reference https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys_retrieve.html - 기타 IAM계정의 경우는 admin에게 IAM 계정 초기화를 해야 한다.
2023.09.15 -
IAM policy for cloudfront invalidation
- 개요 CloudFront에서 S3 object에 대한 cache를 invalidation 하는 IAM policy 예제 이다. - IAM Policy { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3:::test" }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": "arn:aws:s3:::test/*" }, { "Effect": "Allow", "Action": [ "cloudfront:CreateInvalidat..
2022.07.22 -
IAM Granting access to your billing page
- 개요 Administrator 권한이라고 하더라도 IAM 계정이 바로 Billing Page에 접근이 불가하다. - IAM의 Billing 접근 활성화 방법 Root Login >> My Account >> IAM User and Role Access to Billing Information >> choose Edit >> Activate IAM Access >> Update - 참고 https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html
2022.07.21