AWS IAM 관리에서 해방되기 1/2 - 역할 기반 엑세스(RBAC)
팔로우역할 기반 엑세스(RBAC)로 개인 IAM User 제거 하기
개발자, 엔지니어, 디자이너, 운영자 등 필요한 역할을 등록하고 각 직무 별 담당자에게 역할을 할당합니다.
관리자는 더이상 개인에게 발급된 계정을 관리할 필요가 없어지고,
실무자는 PoPs Launcher 에서 클릭만으로 부여받은 역할로 AWS 에 접근할 수 있게됩니다.
사전조건
- AWS Account
Step 1. AWS 앱 인스턴스 만들기
- https://login.megazone.com 에 접근하여 로그인합니다.
- 우측 상단의 몽키스패너 아이콘을 클릭하여 워크스페이스 관리자 콘솔에 접근합니다.
- 좌측 메뉴에서 앱 인스턴스 메뉴를 선택합니다.
- 앱 카탈로그 보기 버튼을 선택합니다.
- AWS로 검색 후 AWS를 선택합니다.
- 앱 인스턴스 추가 버튼을 선택합니다.
- 추가할 앱 인스턴스의 이름과 담당자를 '앱 인스턴스 소유자'로 지정한 후 '앱 인스턴스 추가' 버튼을 선택합니다.
Step 2. 메타데이터 다운로드 하기
- #Step 1 에서 만든 앱 인스턴스 상세로 진입합니다.
- 통합탭을 선택합니다.
- 접속 방식 설정을 선택합니다.
- SAML 2.0을 선택합니다.
- 메타데이터 다운로드를 선택하여 파일을 다운로드 합니다.
이 파일은 이 후 과정에서 AWS Identity Provider 를 등록할 때 사용됩니다. - 하단의 고급 설정은 다음 단계를 진행한 후 이어서 하도록 하겠습니다.
Step 3. AWS > Identity Provider 등록하기
- AWS 에 로그인 후 IAM 서비스에 진입합니다.
- Access management > Identity providers 메뉴를 선택합니다.
- Add provider 를 선택합니다.
- 이름을 입력하고 Metadata document 에 #Step 2-5에서 다운로드 한 파일을 업로드 합니다.
- Add provider 를 선택하여 마무리합니다.
Step 4. AWS > Role 등록하여 Identity Provider 와 연결하기
-
Access management > Roles 메뉴를 선택합니다.
- Create role 을 선택합니다.
- Trusted entity type 중 SAML 2.0 federation 을 선택합니다.
- SAML 2.0-based provider 는 #Step 3에서 등록한 Identity Provider 를 선택합니다.
- Access to be allowed 에서는 접속 가능 방식과 조건을 설정하고, 다음을 선택합니다.
- 역할에 적용할 정책을 선택한 후 다음을 선택합니다.
- 역할 이름을 입력하고 Identity Provider 를 통해 이 역할을 부여받기 위해 통과해야하는 조건을 확인하고 역할을 생성합니다.
- 이 단계를 반복하여 필요한 역할들을 생성합니다.
e.g) iam-role-developer, iam-role-deployer, iam-role-devops
Step 5. SSO 설정 마무리하기
- 이제 AWS 에서 해야할 일은 모두 끝났습니다. #Step 2로 돌아옵니다.
- 고급설정에서 아래 정보를 참고하여 설정을 마무리합니다.
- Session Duration : SSO 한 세션의 유효시간입니다. 이 시간이 지나면 AWS 에서 로그아웃됩니다.
- Role session name : AWS 에 전달될 사용자의 정보입니다. 이 이름은 활동 이력에 포함되어 저장됩니다. 기본값으로 설정된 USERNAME 은 이메일을 뜻합니다.
- Role pair : {Role ARN},{IdentityProvider ARN} 패턴으로 사용자에게 부여할 역할들을 입력합니다. 이 때 입력이 가능한 방식은 아래와 같습니다.
- 앱 인스턴스 할당 시 값을 고정하여 할당 : 하나의 역할만 사용하고자 할 때 적합합니다. 사용자에게 할당될 역할을 미리 입력해두면, 이 앱을 할당받은 모든 사용자는 미리 입력해둔 역할을 부여받게됩니다.
- 앱 인스턴스 할당 시 값을 직접 입력하여 할당 : 미리 입력하지 않고 사용자나 그룹, 조직 단위에 할당하는 시점에 Role pair 를 입력합니다.
- 앱 인스턴스 할당 시 값을 선택하여 할당 : 여러 역할을 사용하고자 할 때 적합한 방식입니다. 여러 Role pair 를 미리 입력하고, 할당하는 시점에 대상에게 부여할 역할들을 선택하게 됩니다.
- 설정한 내용을 확인 후 저장을 눌러 마무리합니다.
- 모든 설정이 완료되었습니다. 이제 역할 할당만 남았습니다.
Step 6. 할당하기
- 사용자탭으로 이동합니다.
- 우측에 있는 할당버튼을 선택하여 역할을 부여할 대상 유형을 선택합니다.
- 사용자에 할당 : 사용자를 직접 선택하여 역할을 부여합니다.
- 그룹에 할당 : 그룹을 선택하여 역할을 부여합니다. 그룹에 사용자가 추가되거나 삭제됨에 따라 역할이 부여되기도 하고 회수되기도 합니다.
- 조직 단위에 할당 : 조직 단위를 선택하여 역할을 부여합니다. 조직 단위의 설정은 기본적으로 상속이 이뤄집니다. 따라서 별도의 설정이 없는 하위 조직 단위는 부모의 역할을 상속받게됩니다.
- 유형에 맞게 대상을 선택하여 할당할 역할을 입력하거나 선택하고 저장합니다.
Step 7. AWS Console 접속하기
- 역할을 부여받은 사용자로 로그인합니다.
- 런처로 이동합니다.
- 할당 받은 AWS 앱을 선택하여 접속합니다.
댓글
댓글 0개
댓글을 남기려면 로그인하세요.