# IAM(Identity and Access Management)
- AWS IAM(Identity and Access Management)은 AWS 리소스에 대한 인증과 권한 관리를 중앙에서 담당하는 서비스다
- AWS 계정 하나에서 IAM 사용자 1,000명 이상 생성 가능하다.
- 각각의 IAM 사용자 별로 각 리소스에 대한 권한을 설정할 수있고 그룹별로 묶어서 설정할 수도 있다.
    - 예를 들어 개발자는 EC2 인스턴스 접근 권한만 부여하고, 데이터 분석가는 Athena와 Glue 접근 권한만 할당 할 수 있다.

## 루트 사용자(root)와 IAM 일반 사용자의 차이

### 루트 사용자(root)
- AWS 계정을 처음 생성할 때 자동으로 만들어지는 **최상위 권한 계정**.  
- **모든 서비스, 리소스, 청구(결제) 정보**에 접근 가능.  
- **무제한적 권한**을 보유하며, 모든 IAM 보안 정책을 무시하고 모든 작업 수행 가능.  
- **보안 위험**: 계정 정보(비밀번호, 액세스 키 등)가 유출되면, 계정의 **모든 리소스 삭제 및 훼손** 가능.  
- **베스트 프랙티스**:  
   - 루트 사용자 사용 최소화(계정 생성, MFA 설정, 청구 관련 작업에만 사용)  
   - **MFA(다중 인증)** 필수 활성화  
   - 루트 계정의 **액세스 키 발급 금지 및 기존 키 삭제**

### 일반 User(IAM User)
- **필요한 권한만 부여**받아 특정 서비스만 사용할 수 있는 사용자.  
- 루트 사용자 혹은 **관리자 권한**이 있는 사용자가 생성 가능.  
- **권한을 세부적으로 제한 가능**(예: S3 읽기 전용, EC2 인스턴스 시작·중지 권한만 부여).  
- **보안 강화**: 각 사용자마다 **고유한 자격 증명**(비밀번호, 액세스 키) 사용.  
- **계정 관리 유연성**: 필요에 따라 **계정 생성 및 삭제** 용이.  
- **다중 사용자 환경**: IAM 그룹과 역할을 사용해 **대규모 사용자 관리** 가능.  

### 차이점 요약
| 구분                        | 루트 사용자                          | IAM 사용자                         |
| -------------------------- | ------------------------------------ | ---------------------------------- |
| **생성 시점**               | AWS 계정 생성 시 자동 생성          | 필요에 따라 루트/관리자가 생성    |
| **권한 범위**               | **무제한 권한**                     | **부여된 권한**만 사용 가능        |
| **보안 위험**               | **매우 높음** (최상위 계정 해킹 시 전체 제어 가능) | 보안 위험이 낮음 (권한 제한 가능) |
| **사용 권장 여부**           | 최소 사용, MFA 필수                 | 권장 사용, 최소 권한 원칙 적용     |
| **주요 용도**               | 청구 관리, 계정 설정, 루트 MFA 활성화 | 일상적 AWS 리소스 관리 및 운영    |

## IAM 관리자 권한 User 생성

- 청구(Billing) 관리를 제외한 모든 권한을 가지는 User 

1. **Root 계정으로 로그인**
2. **IAM 메뉴 선택**

   ![img](figures/IAM/iam1.png)

3. **사용자 선택**

   ![img](figures/IAM/iam2.png)

4. 왼쪽 상단의 **사용자 생성** 버튼 클릭
5. 사용자 세부 정보 지정
    - **사용자 이름** 등록
    - **AWS Management Console에 대한 사용자 액세스 권한 제공** 체크
    - **IAM 사용자를 생성하고 싶음** 체크
    - **사용자 지정 암호** 에 암호 입력
    - **사용자는 다음 로그인 시 새 암호를 생성해야 합니다.** 체크 하면 처음 로그인 한 뒤 암호를 변경하는 화면이 실행된다.
      
![img](figures/IAM/iam3.png)

6. 권한 설정
    - **직접 정책 연결** 선택해서 권한 정책을 등록한다.
    - **그룹에 사용자 추가**
       - 그룹에 사용자를 추가해 그룹 단위로 권한 정책을 등록한다.
       - 그룹에 권한 정책을 등록하면 그 그룹에 속한 모든 사용자에게 동일한 권한을 줄 수있다.
    - **AdministratorAccess** 정책 등록
        - billing을 제외한 모든 권한을 가지는 **관리자 권한** 

![img](figures/IAM/iam4.png)

7. **검토 및 생성**에서 **사용자 생성**
8. 마지막 **암호 검색** 에서 **사용자 목록으로 돌아가기** 선택
   - **.csv 파일 다운로드** 를 실행하면 생성한 계정의 **사용자 이름, 암호** 등 정보를 csv 파일로 다운받는다.
   

## MFA 설정
1. 사용자 목록에서 생성한 계정을 선택해 상세 페이지로 들어간다.
2. **요약**  에서 **콘솔 액세스>MFA 없이 활성화됨** 선택한다.

![img](figures/IAM/iam5.png)

3. **MFA 디바이스 선택**
   - 01_AWS가입_로그인 에서와 같이 MFA 디바이스를 설정한다.

## 로그인

- Root 사용자에서 **계정 ID** 확인

![img](figures/IAM/iam6.png)


- 로그인
    - **계정 ID(12자리) 또는 계정 별칭** 에 위의 계정 ID입력

![img](figures/IAM/iam7.png)