사용자 그룹
IAM 사용자 그룹은 IAM 사용자의 집합이다. 사용자 그룹을 활용하면 다수의 사용자들에 대한 권한을 지정함으로써 해당 사용자들에 대한 권한을 더 쉽게 관리할 수 있다. 예를 들어, Admins라는 사용자 그룹이 있고 해당 사용자 그룹에 일반 관리자 권한을 부여할 수 있다. 해당 사용자 그룹의 모든 사용자는 자동으로 Admins 그룹 권한을 가진다. 관리자 권한을 필요로 하는 새로운 사용자가 조직에 들어올 경우 해당 사용자를 Admins 사용자 그룹에 추가하여 적절한 권한을 할당할 수 있다. 조직에서 직원의 업무가 바뀌면 해당 사용자의 권한을 편집하는 대신 이전 사용자 그룹에서 해당 사용자를 제거한 후 적절한 새 사용자 그룹에 추가하면 된다.
사용자 그룹의 모든 사용자가 정책의 권한을 받도록 아이덴터티 기반 정책을 사용자 그룹에 연결할 수 있다. 그룹은 인증이 아니라 권한과 관련이 있고 보안 주체는 인증된 IAM 엔터티이기 때문에 정책(예: 리소스 기반 정책)에서 사용자 그룹을 Principal로 식별할 수 없다.
다음은 사용자 그룹이 갖는 몇 가지 중요한 특징이다.
-
한 사용자 그룹에 여러 사용자가 포함될 수 있으며 한 사용자가 다중 사용자 그룹에 속할 수 있다.
-
사용자 그룹은 중첩될 수 없다. 즉, 사용자 그룹은 사용자만 포함할 수 있으며 다른 그룹은 포함할 수 없다.
-
AWS 계정의 모든 사용자를 자동으로 포함하는 기본 사용자 그룹은 없다. 이러한 사용자 그룹이 필요한 경우 하나 만들어 새로운 사용자를 각각 해당 그룹에 할당해야 한다.
-
그룹 수, 사용자가 멤버가 될 수 있는 그룹 수와 같이 AWS 계정에 있는 IAM 리소스의 수와 크기는 제한되어 있다.
다음 다이어그램에서는 어느 작은 회사의 간단한 예제를 보여준다. 회사 소유주는 Admins 사용자 그룹을 생성해 회사가 성장함에 따라 사용자들이 다른 사용자들을 생성하고 관리하도록 한다. Admins 사용자 그룹은 Developers 사용자 그룹 및 Test 사용자 그룹을 생성한다. 이러한 각 사용자 그룹은 AWS와 상호 작용하는 사용자(사람 및 애플리케이션: Jim, Brad, DevApp1 등)들로 구성된다. 사용자마다 개별적인 보안 크레덴셜 세트가 있다. 이 예제에서는 각 사용자가 단일 사용자 그룹에 속한다. 하지만 사용자는 다중 사용자 그룹에 속할 수 있다.
주제