RBAC이란? (Role-Based Access Control)
- 그룹이나 사용자에게 직접 권한을 주지 않고, 논리적인 집합들을 역할로 만들고 사용자나 그룹에게 연결 가능
- 필요에 따라 역할을 부여할 수 있으므로 관리하기에 편함
SuperUser 계정이 Dev 계정에게 S3 수정 정책이 있는 RBAC을 주는 시나리오를 실습해보자.
내가 가진 IAM USer 대상으로 진행해보겠다. (Cross-Account는 추후)
1. SuperUser에서 RBAC을 위한 Role 생성
1) IAM -> 좌측 카테고리의 역할(Role) 선택 -> 역할 만들기
- 신뢰할 수 있는 엔터티 유형 : AWS 계정
- AWS 계정 : 이 계정 (본인 AWS ID)
2) 다음
3) AdministratorAccess 권한(Policy) 추가
4) 이름 확인 후 생성이렇게 되면 RBAC을 위한 Role 생성 완료했다.
만들어진 Role의 ARN을 복사한다.
2.역할 위임을 위한 정책(Policy) 생성
1) IAM -> 좌측 정책(Policy) 선택 -> 정책 생성
- 서비스 : STS
- assumrole 쓰기
- 리소스 : ARN 추가
- 리소스 위치 : 이 계정
- ARN : 위의 복사한 ARN 선택
2) ARN 추가
3) 정책 생성정책까지 생성이 완료됐다.
이로써, 만든 정책을 해당 Role에 넣게 되었다.
3. Dev 계정에 만든 권한 (Role) 추가
1) IAM -> 사용자 선택
2) Dev 계정 선택 -> 권한 추가 -> 권한 추가
3) 직접 정책 연결
4) 방금 만든 권한 검색 후 다음이로써, Super User 권한을 Dev 계정에 넣었다. 이제 Role Switch를 해보자
4. Role Switch Test
1) 위임정책 할당된 Dev 로그인
2) 계정 ID 복사
3) 우측 상단의 사용자 -> 역할 전환 (Role-Switch) 선택
- 계정 : 복사한 본인 계정
- 역할 : SuperUser에서 만든 역할역할 전환 누르면 완료!
'Cloud Infra Architecture (AWS) > AWS Build' 카테고리의 다른 글
| AWS WAF에 들어오는 로그 수집하기 (로그 활성화하기) (0) | 2025.01.16 |
|---|---|
| AWS WAF에서 차단 페이지 생성하기 (0) | 2025.01.16 |
| AWS TGW (Transit Gateway)를 통해 VPC간 연결하는 방법 (0) | 2025.01.13 |
| AWS VPC Peering 하는 방법 (0) | 2025.01.13 |
| [AWS SecurityHub] AWS EKS Service Account 토큰 탈취시 조치 방법 [T] (2) | 2024.11.03 |