AWS QnA - IAM(Identity and Access Management)

1. How do I assume an IAM role using the AWS CLI?

AWS CLI를 사용하여 IAM 역할을 가정하려면 어떻게 해야 합니까?

https://aws.amazon.com/premiumsupport/knowledge-center/iam-assume-role-cli/

AWS CLI를 사용하여 IAM 역할 위임 | AWS re:Post

 

 

AWS CLI를 사용하여 IAM 사용자를 생성

AWS CLI를 사용하여 권한을 부여하는 IAM 정책을 생성(aws iam create-policy 명령어 사용)

IAM 역할의 신뢰 관계를 정의하는 JSON 파일 생성

IAM 역할 생성 및 정책 연결(aws iam create-role 명령어 사용)

액세스 키 구성

AWS CLI 명령이 호출되는지 확인 후 IAM 사용자 액세스를 확인(aws sts get-caller-identity 명령어 사용)

IAM 역할 위임

IAM 역할을 위임하도록 환경 변수 생성 및 액세스 확인

 

2. How can I resolve access denied issues caused by permissions boundaries?

권한 경계로 인해 발생하는 액세스 거부 문제를 해결하려면 어떻게 해야 합니까?

https://aws.amazon.com/premiumsupport/knowledge-center/iam-access-denied-permissions-boundary/

Resolve access denied issues caused by permissions boundaries | AWS re:Post

 

 

계정의 서비스 제어 정책(SCP)을 검토한 다음, 리소스 기반 정책에 거부가 없는지 확인

이렇게 해도 오류가 해결되지 않으면 권한 경계가 있어 문제가 발생

권한 부여 오류 해결 방법

1. 작업이 IAM 정책에서는 허용되지만 권한 경계에서는 허용되지 않는지 확인

2. IAM 콘솔을 사용하여 모든 필요한 작업을 권한 경계에 포함

3. IAM 정책에서 ‘iam:PermissionsBoundary’ 조건 키 사용

 

 

3. How do I reset a lost or broken MFA device for my AWS root user account?

내 AWS 루트 사용자 계정에 대해 분실 또는 고장난 MFA 디바이스를 재설정하려면 어떻게 해야 합니까?

https://aws.amazon.com/premiumsupport/knowledge-center/reset-root-user-mfa-device/

AWS 루트 계정의 MFA 디바이스 재설정 | AWS re:Post

 

 

AWS 루트 사용자 계정에 액세스(루트 사용자 이메일 주소와 전화번호 참고 가능) 권한 얻기

MFA 디바이스 재설정

 

 

4. How can I provide cross-account access to objects that are in Amazon S3 buckets?

Amazon S3 버킷에 있는 객체에 대한 교차 계정 액세스 권한을 제공하려면 어떻게 해야 하나요?

https://aws.amazon.com/premiumsupport/knowledge-center/cross-account-access-s3/

Amazon S3 버킷의 객체에 대한 교차 계정 액세스 제공 | AWS re:Post

 

 

IAM 정책 및 리소스 기반 버킷 정책으로 S3 버킷 객체에 대한 프로그래밍 방식의 액세스만 허용

IAM 정책 및 리소스 기반 ACL로 S3 버킷 객체에 대한 프로그래밍 방식의 액세스만 허용

S3 버킷 객체에 대한 프로그래밍 방식 및 콘솔 액세스를 위한 교차 계정 IAM 역할 부여

 

5. Why is my Amazon EC2 instance using IAM user credentials instead of role credentials?

Amazon EC2 인스턴스에 역할 자격 증명이 아니라 IAM 사용자 자격 증명이 사용되는 이유는 무엇입니까?

https://aws.amazon.com/premiumsupport/knowledge-center/iam-ec2-user-role-credentials/

EC2 인스턴스가 역할 자격 증명이 아니라 IAM 사용자 자격 증명을 사용하는 이유 | AWS re:Post

 

AWS CLI는 일련의 자격 증명 공급자를 사용하여 AWS 자격 증명을 순서대로 찾음

사용되는 자격 증명은 우선순위에 따라서 결정. IAM 사용자 자격 증명의 우선순위가 높아서 그럼

AWS CLI를 사용하여 IAM 자격 증명을 관리하고 우선순위가 높은 설정을 폐기하면서 해결

 

6. How can I troubleshoot access denied or unauthorized operation errors with an IAM policy?

IAM 정책으로 액세스 거부 또는 승인되지 않은 작업 오류를 해결하려면 어떻게 해야 하나요?

https://aws.amazon.com/premiumsupport/knowledge-center/troubleshoot-iam-policy-issues/

IAM 정책 액세스 거부 또는 승인되지 않은 작업 오류 문제 해결 | AWS re:Post

 

 

API 호출자 식별

IAM 정책 권한 검토

SCP(서비스 제어 정책) 평가

ID 기반 및 리소스 기반 정책 검토

권한 경계 확인

세션 정책 평가

정책의 조건 키가 API에서 지원되는지 확인

IAM 정책 오류 및 문제 해결 예시를 검토

 

7. How can I use IAM roles to restrict API calls from specific IP addresses to the AWS Management Console?

IAM 역할을 사용하여 특정 IP 주소에서 AWS Management 콘솔로의 API 호출을 제한하려면 어떻게 해야 합니까?

https://aws.amazon.com/premiumsupport/knowledge-center/iam-restrict-calls-ip-addresses/

IAM 역할을 사용하여 특정 IP 주소에서 전송되는 API 호출을 제한 | AWS re:Post

 

 

IAM 사용자에 연결된 IAM 정책과 동일한 권한 세트가 연결된 IAM 역할을 생성

다음 IAM 정책을 생성한 후 이 정책을 프로그래밍 방식의 액세스 권한을 가진 IAM 사용자에 연결

 

 

8. How can I restrict access to AWS resources based on the AWS Region, source IP address, or Amazon VPC?

AWS 리전, 소스 IP 주소 또는 Amazon VPC를 기반으로 AWS 리소스에 대한 액세스를 제한하려면 어떻게 해야 합니까?

https://aws.amazon.com/premiumsupport/knowledge-center/iam-restrict-access-policy/

리전, IP 또는 VPC에 따라 AWS 리소스에 대한 액세스 제한 | AWS re:Post

 

 

요청된 AWS 리전을 기준으로 AWS 리소스에 대한 액세스 거부(IAM aws:RequestedRegion 조건 키 사용하여 자격 증명 기반 정책 생성)

소스 IP 주소를 기반으로 AWS 리소스에 대한 액세스 거부(IAM aws:SourceIp 및 aws:ViaAWSService 조건 키 사용하여 자격 증명 기반 정책 생성)

Amazon S3 버킷 정책으로 Amazon VPC로부터의 액세스 제어(IAM aws:SourceVpce 또는 aws:SourceVpc 조건 키로 Amazon S3 버킷 정책을 생성하여 특정 Amazon VPC 엔드포인트의 버킷에 대한 액세스를 제한)