본문 바로가기

iam

(6)

[AWS] Multi Account에서 IAM 내역 감사하기 #4 - Lambda를 활용한 Slack Notification 아래의 글과 대략적인 흐름은 비슷하다. https://nyyang.tistory.com/126 [Lambda] IAM, SG 변경 사항을 Slack으로 알람 받기 개요 IAM 혹은 Security Group에서의 변경 사항이 감지되면 Slack으로 통보를 받고 싶습니다. ⇒ Notification을 받는 방법은 여러 가지가 있을 것이다. AWS Config를 통해 감지할 수도 있고, 필자의 방식대로 nyyang.tistory.com 1. 아키텍처 1. CloudTrail 추적을 활성화하면 Default EventBus에서 API가 감지된다. 2. Event Rule에서 Event Pattern에 의해 API를 필터링하면 Default EventBus에서 Capture 된다. (Security Accoun..

[AWS] Multi Account에서 IAM 내역 감사하기 #3 - 테라폼으로 인프라 프로비저닝 2 https://nyyang.tistory.com/145 [AWS] Multi Account에서 IAM 내역 감사하기 #2 - 테라폼으로 인프라 프로비저닝 1. 개요 Multi Account 환경에서 IAM 관련 Action에 대한 감사를 하기 위해서는 Log들을 Security 관련 Account에서 수집해야 한다. 이에 대한 인프라 프로비저닝은 Terraform을 사용하였다. (부분 부분 웹 콘솔 nyyang.tistory.com 위 글에 이어서 작성하는 글이며, Security Account 외 다른 어카운트들에서 동일한 Resource를 배포하기 위한 Terraform 코드이다. 가장 중요한 부분은 Provider Alias를 이해하는 부분이다. 아래 글을 읽으면 빠르게 이해가 될 것이라고 생각한다..

[AWS] Multi Account에서 IAM 내역 감사하기 #2 - 테라폼으로 인프라 프로비저닝 1. 개요 Multi Account 환경에서 IAM 관련 Action에 대한 감사를 하기 위해서는 Log들을 Security 관련 Account에서 수집해야 한다. 이에 대한 인프라 프로비저닝은 Terraform을 사용하였다. (부분 부분 웹 콘솔로 진행한 부분도 있기 때문에 참고만 하면 좋을 것이다.) 2. 구조 프로젝트의 폴더 구조는 아래와 같다. 별도의 모듈은 굳이 사용하지 않았으며, resource, data, variable, local 등을 활용하여 리소스를 Code로써 표현하였다. # another-accounts EventBridge에서 기 정의한 IAM Action이 Pattern에 걸릴 경우 Security Account의 EventBus로 전달한다. # security-accounts..

[IAM] A 계정의 IAM 유저 리스트를 B 계정의 Lambda에서 조회하기 (Cross account - STS Assume role) 동일 계정내에서 A 리소스 → B 리소스에 접근하기 위해서는 고려할 사항이 적지만 멀티 어카운트에서는 고려해야 할 사항이 늘어나게 된다. A계정에서 B계정을 신임해야 하며, B 계정에서도 A 계정을 신임해야 한다. ⇒ STS: Assume Role에 대해 이해해야 함 A 계정 : 1111111111 B 계정 : 2222222222 이라고 가정하겠음 A 계정 Role 1. A 계정의 IAM User, 각각 IAM User들의 Access Key를 확인하도록 허용해주는 Policy 추가 { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowListIAMUserandListAccessKeys", "Action": [ "iam:ListUsers", "iam:Lis..

AWS IAM을 통한 인증, 인가 IAM (Identity and Access Management) : AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스이다. IAM을 사용하여 리소스를 사용하도록 인증 및 권한 부여된 대상을 제어할 수 있다. ⇒ 인증 : 로그인 ⇒ 인가 : 권한 확인 IAM Group IAM User IAM Role IAM Policy IAM 정책 소개 IAM에서 자격 증명에 대한 권한을 설정할 경우 AWS 관리형 정책, 고객 관리형 정책 또는 인라인 정책 중 어떤 것을 사용할지 결정해야 한다. 자격 증명 기반 (Identity-based policies) AWS 관리형 정책 : AWS에서 제공하는 글로벌 적용 AWS 고객 관리형 정책 : 계정에서 직접 생성하여 사용 및 관리 AWS 인라인 정책 : 단일..

[AWS] IAM Policy JSON 알아보기 Example 먼저 아래의 예시를 살펴보자. 상위 레벨에는 Version, Statement가 있고 Statement는 List로 구성되어 있으며, 각 List의 Element에 Effect, Action, Resource, Condition, Principle 등으로 구성될 수 있다. { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::BUCKET-..

이전 1 다음

티스토리툴바