질문

Question

강사님 강의를 듣던중 의문이 생겼습니다.

강사님은 admin iam계정으로 developer그룹을 만들고 lukee1이라는 사용자를 만드셨잖아요?

그러면 EC2, S3, RDS각각 따로 3개의 그룹을 만들어서 3개의 사용자를 각각만든 다음 각권한을 사용하는 것보다

보통은 강사님처럼 developer라는 그룹을 만들고 powerㅕserAccess라는 권한을 가진 lukee1이라는 사용자계정 하나로 EC2도 만들고 S3도 만들고 ( lukee1에 admin권한을 가진 역할도 만들어서) RDS도 만들고 하나요?

즉 강사님처럼 lukee1이라는 사용자 계정 하나로 EC2, S3, RDS( admin 역할을 얻음으로)를 다 만드는것이 보통 쓰는 방식인지 궁금합니다!ㅎㅎ

Answer

안녕하세요? 회사의 규모에 따라 다른데, 실사용자에게 필요한 권한을 주는게 일반적입니다.

스타트업이라면 한 계정에서 많은 권한을 가지고 있습니다. 그리고 규모가 커질수록 개발자는 권한이 작아지게 됩니다.

중간 규모의 기업 A사를 들면 네트워크 어드민, 개발자, 시스템 admin, DBA가 각각 다른 직군으로 존재했는데, 이 경우 개발자는 ec2 생성 외에는 아무 권한이 없게 세팅을 합니다. 보안그룹이나, VPC에 대한 제어권도 주지 않더군요.

각각 사용예는 다르지만 원칙은 "최소권한부여의 원칙" 에 따라 필요한 만큼만 주는 것이 좋습니다.