AWS-IAM

aws iam aws console aws cli aws sdk 어떤방식으로든 api로 이루어진다 물론 리소르끼리의 응답도 api 매 api호출마다, aws cli 및 sdk 등에도 처리되는 인증 절차 access key로 요청 주체 (principal)을 인증 secret key hmac 서명값을 검증

X-Amz-Security-Token: Authorization:AWS4-HMAC-SHA256 credential signature

aws iam I(identity): aws로 요청을 할 수 있는 보안주체(Principal)를 AWS 어카운트 내에 생성 AM(Access Management): 누가 어떤 리소스들에 대해 어떤 일을 할 수 있는 권한을 가지느지를 정의 IAM은 AWS전체의 권한 통제 시스템 권한 제어는 인증과 인가 outhentiation authentication

iam 보안주체 (principal) aws 어카운트 내에 정의된 요청 주체(identity) CloudTrail “userIdentity” 요소 기준, 다음사용자 유형을 구별: root-api 요청이 aws acccount 자격증명을사용 iam User - api 요청이 ima user의 자격증명을 사용 assume role- api 요청이 aws sts AssumeRole을 통해 역할로 획득된 임시보안 자격증명을 사용 Federated User - api 요청이 AWS STS GetFederation Token을 통해 획득한 임시 보안 자격증명을 사용 AWS Account-다른 AWS Account에서 요청 AWS Service AWS 서비스에 속한 AWS 계정을 통해 요청

SAML이나 WebIdentity Federation을 하는 경우: SAMLUser- SAML 어설션이 이루어지는 요청 WebIDentitiyUser- 웹자격 증명 연동 제공업체로 이루어지는 요청