Aws iam의 이해 slideshare 20160930
1 like620 views
Aws iam의 이해 slideshare 20160930
- 1. AWS 파트너와 함께하는 Partner Hands On Labs 2016. 09. 12 베스핀글로벌 신인철
- 2. AWS IAM(Identity and Access Management)의 이해
- 3. 1. AWS IAM(Identity and Access Management) 이점과 특징 2. 다양한 AWS credential method 3. AWS API 개념 4. Access Management 확인과 Reporting 기술 듣고 나면 이해할 수 있는 것들
- 4. 1. Secure Access Using IAM
- 5. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap 1. IAM(Identify and Access Management) 이점과 특징 2. IAM User, Group, Role 설명 3. AWS root 계정 신뢰의 중요성 설명 4. IAM 정책들과 정책 시뮬레이션의 통제 세부사항 설명 5. 비AWS 사용자들이 접근 권한의 신뢰하는 방법 Secure Access Using IAM
- 6. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap Secure Access Using IAM • IAM은 AWS 계정안에 각각의 Users의 관리와 생성을 중앙통제한다. • 여러 Users를 생성을 허용하고 그 권한을 관리한다. • User는 Unique security credentials 를 확인한다. • IAM은 Password 또는 keys를 공유할 필요없게 한다. • User’s access 를 활성화/비활성화를 쉽게 만든다. • 그들을 위한 User accounts와 roles와 configure permissions 를 생성할 수 있다. • IAM은 최소한의 권한같은 보안 모범사례 수행이 가능하다.
- 7. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap Secure Access Using IAM • AWS에 Sign in 할수 있는 식별되는 하나의 계정(Or root)를 생성한다. • AWS Management Console에 Email Address와 비밀번호를 사용하여 Sign in 할수 있다. • Email Address와 Password로 root 식별 Or root 계정의 credentials 형식 • AWS Account에 모든 Resource 접속을 제한없이 완전히 허용 • Best practices는 매일 접속을 위히 root 계정 credentials 을 사용하지 않는 다. • Best practices는 어떤 누구와 root 계정 credentials 를 공유하지 않는 다. • Root 계정에서 부여되는 허가에 대한 제한은 가능하지 않다.
- 8. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap Secure Access Using IAM • 사용자는 AWS Resource들과 모든 개인, 시스템 Or Application 상호운영이 가능하다 • 유일의 이름과 Security credentials를 가지는 각 사용자는 다른 사용자와 공유하지 않는 다. • Passwords Or keys를 공유하지 않는 다. • Root AWS 계정 credentials의 사용은 최소화 한다. • Groups는 사용자의 비슷한 Type을 위한 특정 permissions을 허용한다. • Group의 각 사용자는 group에 할당된 permissions가 자동적으로 자격을 받는 다. • Groups안에 users의 권한 추가/제거가 변경을 할수 있다.
- 9. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap Secure Access Using IAM • AWS managed policies • 식별(Users, Groups, Role)된 것만 적용 • Policy 이름에 포함된 Amazon Resource Name(ARN)을 가지고 있다. • 많은 일반적 사용 사례를 위한 허가를 지원하는 구성이다. • New Policies 를 작성이 필요없이 접근 가능한 허가를 할당하여 허용한다. • JSON을 사용한 생성된다. • 하나 또는 그 이상의 문장, 허가를 설정한 각각의 설명을 고려한다.
- 10. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap Secure Access Using IAM JSON 형식
- 11. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap Secure Access Using IAM
- 12. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap Secure Access Using IAM 간단한 Test
- 13. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap Secure Access Using IAM JSON 형식 OR Policy 선택
- 14. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap Secure Access Using IAM 흐름도
- 15. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap Secure Access Using IAM
- 16. 2. Secure Access Using AWS Credentials
- 17. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap 이번 과정에서는 다양한 AWS credential 방법에 대해 설명합니다. Secure Access Using AWS Credentials
- 18. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap 외부 보안을 위해, IAM user 권한을 위한 MFA를 활성화 할수 있다. 특정 API Calls 시 강제적으로 MFA 정책을 생성할 수 있다. MFA Device 는 각 user 마다 unique 해야 한다. AWS는 Gemalto라는 Hardware MFA Device와 몇몇 Software MFA Device 를 지원한다. Secure Access Using AWS Credentials
- 19. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap • Key pairs • 1024, 2048, and 4096-bit SSH-2 RSA Keys • SSH Connection 상의 Linux Authenticate • Windows에서 RDP Connections을 위한 administrator passwd 복호화 • Amazon EC2 instance는 public/private를 사용해 public AMI로부터 생성한다. • Key Pairs는 다음처럼 생성할 수 있다. • Automatically • Manually uploaded • System 상의 안전한 곳에 Private key 를 저장한다. Secure Access Using AWS Credentials
- 20. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap • Access keys는 AWS를 만드는 것을 요청하는 Programmatic 한 것이다. • AWS는 digital signature를 포함한 모든 API requests를 요청한다. • Signing process 는 다음과 같은 내용을 차단에 의해 통합적 message 보호하는 데 도움을 준다. • Man In The Middle(MITM) Attacks • Replay Attacks • Signature Version 4, HMAC-SHA256 Protocal 등 최신 버전을 사용한다. • 자신의 code를 내장하지 않고 safe place에 access key를 저장해야 한다. • Users는 한번은 Access keys 활동 설정을 두번 가질수 있다. • Best practices에 의해, users는 정기적으로 Access keys를 순환 시켜야 한다. Secure Access Using AWS Credentials
- 21. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap Secure Access Using AWS Credentials
- 22. 3. AWS API Concept
- 23. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap AWS API Concept 이번 과정에서는 API calls, API endpoints, AWS CLI와 AWS CLI Command 를 설명합니다.
- 24. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap AWS API Concept • API calls은 AWS service와 applications가 통신에 의한 software 방법이다. • API calls는 한 AWS Service의 계정 대신인 root 계정, role, IAM user 권한에의해 만들어질수 있다. • API calls는 AWS Services와 함께 모든 다중활동을 위한 사용한다. • 다음으로부터 AWS Service 관리를 할수 있다. • Application, Third-party tools, SDKs, AWS command line tools • AWS APIs는 HTTPS 상의 web service이다. • S니/TLS sessio은 clien와 APIs 사용에 따른 특정 AWS Service endpoint 접속한다.
- 25. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap AWS API Concept • AWS의 모든 part와 함께 상호작용하기 위한 interface 고려 제공하는 통합 tool이다 • Multiple AWS Service 통제할 수 있고 Scripts를 통하여 automate 할 수 있다. • 지속적인 configuration, CLI 요청 사항은 • AWS Access key ID • AWS secret access key • Default region • Default output format
- 26. Amazon AWS Virtualized Machine Hardware Machine Platform Hypervisor OS OS Applications Applications
- 27. Interactive Hypervisor Hardware Machine Platform Hypervisor OS OS Applications Applications Control Interface
- 28. Add Virtual Machine Hardware Machine Platform Hypervisor OS OS Applications Applications Control Interface Add
- 29. New Virtual Machine added Hardware Machine Platform Hypervisor OS OS Applications Applications Applications OS Control Interface
- 30. Managing Large Deployments Hardware Machine Platform Hypervisor OS OSProvisioning Node ApplicationsApplications Control Interface Network Connection
- 31. Managing Large Deployments Hardware Machine Platform Hypervisor OS OSProvisioning Node ApplicationsApplications Web Server Control Interface Requests from The InternetInternet Provisioning Node
- 32. Amazon AWS Applications Operation Internet Load Balancing DNS FrontEnd WEB WEB WEB S3 Bucket Monitoring EC2 Provisioning System
- 33. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap AWS API Concept • aws configure
- 34. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap AWS API Concept • aws ec2 describe -instances
- 35. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap AWS API Concept • aws s3 ls
- 36. 4. Access Management - Report
- 37. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap Access Management - Report 이번 과정에서는 다양한 Access Management와 Reporting 기술을 설명합니다.
- 38. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap Access Management - Report • AWS CloudTrail은 한 AWS Resource에서 매 API call에 대한 정보를 capture 한다. • CloudTrail은 authorization 실패를 포함하는 것 API 요청 errors의 설명을 제공한다. • AWS Management Console에 sign in 한 모든 users들로 부터 logs 를 한다. • AWS CloudTrail은log files 을 Multiple regions or 계정들로부터 분석한 단일 bucket안에 통합할 수 있다.
- 39. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap Access Management - Report • 다음과 같이 구성중인 CloudTrail Service를 위한 user interfac와 수행중인 많은 CloudTrail은 제공한다. • Turning on or CloudTrail editing • 한 개의 S3 bucket 선택 • Prefix 설정 • IAM 같은 global service 로 부터 API calls을 including or preventing • Log file 전달을 위해 Amazon SNS 안내를 receiving
- 40. 2016 ⓒ A 3C COMPANY | BESPIN GLOBAL | BESPIN CHINA | HOSTWAY | Vsystems | WhaTap Access Management - Report
- 41. Thank you