AWS - IAM (2)

Login..에는 기본적으로 아래와 같이 2가지 방법이 존재한다.(Access Portal을 통한 접근은..별도로 다루자..)

 

[루트 사용자]

• Chat GPT : AWS 계정을 생성할 때 생성되는 기본 관리자 계정입니다. 이 계정은 해당 AWS 계정의 모든 리소스와 서비스에 대한 최상위 권한을 가지고 있습니다. 즉, AWS 계정의 모든 기능에 대한 접근 및 제어 권한이 있습니다.
• Account를 새로 만들었다(신규 가입)을 했다면 그때의 이메일 주소가 루트가 되는것 같다.
• 우선 AWS 공식 Docs에서 해당 루트 사용자로는 자원을 만들고 하는 것을 권장하지 않고, 또한 루트 사용자가 있는 계정(Account / 사용자가 아님)에서는 사용자를 만들고 비용을 관리하고.. 그런것들을 하는 관리 성격으로 사용하도록 권장 하는것 같다.
  • 실무에서도 마찬가지 인것 같다.
  • 예외로 PoC나 간단히 할때는 해당 Account에서 자원을 만들기도 한다.

[IAM 사용자]

• Chat GPT : AWS 계정에서 리소스에 대한 액세스를 관리하는 데 사용되는 개체입니다. IAM 사용자는 AWS 계정의 일반 사용자로서, AWS 서비스 및 리소스에 대한 액세스를 하나 이상의 보안 자격 증명을 사용하여 수행할 수 있습니다. 각 IAM 사용자는 고유한 액세스 키(ID 및 비밀 액세스 키 또는 액세스 토큰)를 가지고 있습니다.
• Account를 새로 만들어서 생긴 루트 사용자로 IAM에 들어가서 Full Access 권한을 부여한 임의의 Admin 사용자를 만들어내고 해당 Admin으로 이것저것 관리하는 것을 권장한다.

의문..

• userA@gmail.com으로 Account A를 만들어서 루트 사용자가 userA이고, userB@gmail.com으로 Account B를 만들어서 루트 사용자는 userB인 서로 독립적일때
  • 루트 사용자 A가 Account B에 권한을 얻어서 접근할 수 있을까?
    • 보통 글에 나와있는건.. Account A에 IAM User를 별도로 Admin_A를 만들고 Admin_A가 Account B에도 접근 할 수있도록 Role을 부여하는것들은 본것같다..
• 위 예시는 IAM에서 User를 만들었을 때다..
  • 조직이란 메뉴에서 Account를 만들때 신규가 아닌 초대하는 방식도 있다.. 그건 뭘까?
• 추가로.. 로그인이 저렇게 있는데.. Identity Center에서 사용자를 만들고.. 거기서 다른 Account에 사용자를 추가해줄수있다.
  • 그러면.. Access Portal이라는 별도의 URL이 있고 해당 URL을 통해 로그인하면 내가 접근 가능한 Account 목록들이 보인다.
    • 근데 ? IAM User 로그인 방식으로 해보면.. 오류가 뜨면서 접근을 못한다..