AWS IAM Workshop - EC2 인스턴스에 Role 부여

CloudNet@가시다님이 진행하는 "AWS Hacking & Security Study" 1기 스터디입니다.
# AWS IAM Workshop 를 참조하였습니다.

✅ EC2 에 Role 부여

• EC2 인스턴스에 대한 IAM 역할 생성
• S3 버킷에 대한 전체 액세스 권한을 부여하는 역할에 IAM 정책을 연결
• EC2 인스턴스가 역할을 맡도록 허용

출처 : https://www.freecodecamp.org/news/aws-iam-explained/

 

---

 

• 사용자가 직접 S3에 접근하지 않고, EC2가 대신하여 S3에 접근하게 하고자 합니다.
• 전에 생성한 EC2에 S3 읽기 권한을 가진 Role을 생성하고, 그 Role을 EC2에 부여합니다.
• EC2는 해당 Role을 위임받아 S3에 접근할 수 있습니다.

✔ S3 읽기 권한을 가진 Role 생성 

• builders-role로 역할전환된 상태에서 IAM 좌측의 역할 선택 후 역할 만들기

✔ 신뢰할 수 있는 엔터티 선택

• AWS서비스 선택 후, 하단에서 EC2를 선택

✔ 권한 추가

• AmazonS3ReadOnlyAccess 권한을 검색 후 선택

✔ 이름 지정, 검토 및 생성

• 역할 이름에 builders-s3-read-role 입력 > 역할 생성

✔ EC2에서 S3 읽기

• builders-role로 역할전환된 상태에서 EC2서비스로 이동
• EC2 내부에서 aws s3 ls 명령어를 통해, S3 버킷 리스트를 출력을 시도해보면 인증 관련된 문구가 나오면서 리스트가 출력되지 않습니다.

✔ EC2 IAM 역활 수정

•  Actions → Security → Modify IAM role

• 변경된 IAM role 확인

• 다시 EC2 인스턴스에 접속 > aws s3 ls 명령어를 입력 > S3 버킷 리스트가 정상적으로 보이는 것을 확인

 

장점

1. 보안 향상	역할을 사용하면 보안을 향상시킬 수 있습니다. 역할은 IAM 사용자 또는 애플리케이션에서 직접적으로 자격 증명을 관리하지 않고, 임시 보안 자격 증명을 통해 액세스를 허용합니다.
2. 권한 관리 용이	역할은 AWS 리소스에 할당된 권한을 중앙에서 관리할 수 있어, IAM 정책(Policy)을 사용하여 어떤 작업과 리소스에 액세스 가능한지 더욱 쉽게 제어할 수 있습니다.
3. 임시 보안 자격 증명	역할을 사용하면 임시 보안 자격 증명을 생성하고 관리할 수 있습니다. 이로써 자격 증명의 노출을 최소화하고, 인스턴스나 애플리케이션에 엑세스를 안전하게 부여할 수 있습니다.
4. 크로스 서비스 액세스	역할은 여러 AWS 서비스 간의 상호 작용을 향상시킵니다. Lambda 함수, EC2 인스턴스 등이 다른 서비스에 액세스하기 위해 역할을 사용할 수 있습니다.
5. 크로스 계정 액세스	역할을 사용하여 다른 AWS 계정에서 자원에 액세스할 수 있습니다. 이를 통해 계정 간 협업 및 리소스 공유가 간편해집니다.

단점

1. 복잡성	역할을 구성하고 관리하는 것은 추가 복잡성을 초래할 수 있습니다. 역할의 신뢰 관계 및 정책 설정에 주의가 필요합니다.
2. 관리 오류 가능성	잘못된 역할 설정 또는 권한 부여로 인해 보안 문제가 발생할 수 있습니다. 역할을 신중하게 구성하고 검토해야 합니다.
3. IAM 정책 복잡성	역할을 사용하면 IAM 정책(Policy)을 관리해야 하므로, 복잡한 정책을 작성하거나 이해하는 것이 어려울 수 있습니다. 정책 작성에 시간이 소요될 수 있습니다.
4. 특정 시나리오에 적합	역할은 특정 시나리오에 더 적합하며, 모든 사용 사례에 적합하지는 않을 수 있습니다. 일부 시나리오에서는 IAM 사용자 또는 그룹이 더 적합할 수 있습니다.

 

역할을 AWS 서비스에 부여하는 것은 보안, 권한 관리 및 액세스 제어 측면에서 많은 이점을 제공하지만, 구성 및 관리의 복잡성과 IAM 정책의 이해도가 필요하다는 단점도 있습니다. 역할을 적절하게 활용하면 AWS 리소스의 보안을 향상시키고, 서비스 간 통합을 단순화할 수 있습니다.