IAM USER GROUP POLICY

AWS IAM 기초: Users, Groups, Policies 완벽 가이드

AWS에서 자격증 시험 대비와 실무 모두에 필수적인 IAM (Identity and Access Management) 개념을 체계적으로 정리합니다.

---

1. 각 요소에 대한 자세한 설명

1-1. IAM이란?

IAM은 AWS 리소스에 대한 접근 제어를 관리하는 서비스입니다. 인증(Authentication)과 인가(Authorization)를 담당합니다.

1-2. User (사용자)

IAM User는 AWS에 로그인할 수 있는 개별 엔터티(사용자 계정)입니다. 일반적으로 사람이 사용할 계정을 말하며, Access Key, Secret Key 또는 콘솔 비밀번호로 인증합니다.

1-3. Group (그룹)

IAM Group은 여러 사용자에게 동일한 권한을 일괄 부여하기 위한 컨테이너입니다. 그룹 자체에는 권한이 있지만 직접 리소스에 접근하지는 않으며, 구성원인 User가 권한을 가집니다.

1-4. Policy (정책)

Policy는 JSON 형식의 권한 정의 문서입니다. 어떤 작업(Action)을 어떤 리소스(Resource)에 허용 또는 거부(Deny)할지 명시합니다.

---

2. 용어 정리

• IAM: Identity and Access Management
• IAM User: AWS 리소스에 접근 가능한 계정
• IAM Group: 동일 권한을 부여받은 사용자들의 집합
• Policy: JSON 형식의 권한 정의 문서
• Principal: 리소스에 접근하는 주체 (User, Role, Application)
• Action: 허용 또는 거부할 수 있는 API 작업
• Resource: 권한을 적용할 대상 (예: S3 버킷, EC2 인스턴스 등)

---

3. 예시 및 사용법

✅ 올바른 예시

[User]          →        [Group]          →         [Policy]
------------------------------------------------------------
dev-user        →       Developers        →   AmazonEC2FullAccess
qa-user         →       QA_Team           →   AmazonRDSReadOnlyAccess
admin-user      →       Admins            →   AdministratorAccess

❌ 잘못된 예시

• 사용자에게 직접 복수 정책을 수동으로 연결: 관리가 복잡해짐
• 정책 없이 사용자만 생성: 아무 작업도 할 수 없음

---

4. 시각화 요약 그림

IAM 구성도:

          +--------------+         +--------------+       +------------------------+
          |   IAM User   | ---->   |   IAM Group  | --->  |      Policy           |
          +--------------+         +--------------+       +------------------------+
         (dev-user, qa-user)     (Developers, Admins)   (AmazonEC2FullAccess 등)
  

---

5. 핵심 포인트 요약 정리

• IAM은 AWS 보안 관리의 핵심으로, 인증/인가를 책임진다.
• IAM User는 실제 작업 주체이며, 그룹을 통해 권한을 상속받는다.
• Policy는 JSON 형식으로 Action, Resource, Effect를 정의한다.
• 가능하면 Group + Policy 조합으로 사용자 권한을 관리한다.
• 사용자 생성 후 필수적으로 정책을 연결해야 접근 가능하다.

💡 주의사항

• 정책은 기본적으로 명시적 허용(Allow)이 없으면 거부(Deny)된다.
• 명시적 Deny가 하나라도 있으면 무조건 거부된다.
• Root 계정 사용은 최소화하고, IAM Admin User를 생성해서 사용하자.

---

6. 시험에 자주 나오는 문제 유형

1. Q: IAM User가 아무 작업도 못하는 이유는?
   A: 정책이 연결되지 않아서이다.
2. Q: Group을 사용하는 이유는?
   A: 여러 사용자에게 효율적으로 동일 권한을 부여하기 위해서이다.
3. Q: 아래 JSON Policy의 효과는?

   {
     "Effect": "Deny",
     "Action": "s3:*",
     "Resource": "*"
   }

   A: 모든 S3 작업을 명시적으로 거부한다. 이 정책이 있다면 어떤 허용도 무력화된다.

---