[AWS] AWS 알아보기 Part 2 - AWS 계정, Root user, IAM user, MFA 설정

2022.06.04.

AWS 알아보기 Part 2

(AWS 계정, Root user, IAM user, MFA 설정)

 

 

 

 

 

AWS 계정

• 소개

- 처음 계정을 생성할 때 본인 명의 신용카드가 필요함.

- 계정을 처음 생성하면 root user와 기본 resource(기본 VPC) 등이 생성됨.

 

AWS 계정을 처음 만들었을 때 제공되는 것들

 

 

• Root user

- 계정 생성시 만든 e-mail 주소로 log-in

- 생성한 계정의 모든 권한을 자동으로 가지고 있음.

- 탈취당했을 때 복구가 매우 힘듦 => 사용을 자제하고 MFA 설정이 필요함

- root user는 관리용으로만 이용하는 것이 좋음 (ex. 계정 설정 변경, billing)

- AWS API 호출 불가 => AccessKey, Secret AccessKey 부여가 불가함

 

 

• IAM(Identity and Access Management) user

- 만들 때 주어진 ID로 log-in

- 기본 권한이 없음 => 따로 권한을 부여해야 함 (ex. 개발자 IAM, 디자이너 IAM, 회계팀 IAM)

- AWS API 호출 가능 => AccessKey = ID 개념, Secret AccessKey = PW 개념

- AWS 관리를 제외한 모든 작업은 관리용 IAM user를 만들어 사용함.

- 권한 부여시 root user와 같이 모든 권한을 가질 수 있지만 billing 관련 권한은 root user가 허용해야 함.

 

 

 

AWS 계정 생성하기

• AWS 계정 생성 후 root user로 log-in

- 아직 IAM user를 만들지 않았기 때문에 root user로 log-in

 

 

 

• region 변경

- 오른쪽 상단에서 region을 서울로 변경

 

 

 

• MFA(Multi-Factor Authentication) 설정

- 오른쪽 상단에서 '보안 자격 증명' 선택 => '멀티 팩터 인증(MFA)' 선택 => 'MFA 활성화' 선택

- '가상 MFA 디바이스' 선택 => 나중에 휴대폰을 잃어버렸을 때를 대비하여 QR code의 사진을 저장 후 보관

- 휴대폰에 '구글 OTP' application download => QR code scan 후 MFA code 입력

 

 

 

 

• IAM user 생성

- 왼쪽에 '대시보드' 선택 => 오른쪽 'AWS 계정'에서 '계정 별칭' 설정. IAM 계정 log-in시 계정 별칭으로 log-in 가능함.

- 왼쪽에 '사용자' 선택 => 오른쪽 위에 '사용자 추가' 선택 => '액세스 키', '암호' 선택 => '사용자 지정 비밀번호' 설정 => 나만 사용할 것이니 '비밀번호 재설정 필요' 미선택. 만약 선택한다면, 다른 사람한테 넘겨주었을 때 그 사람이 log-in할 때 비밀번호를 재설정해서 사용할 수 있음. => '권한 설정'에서 '기존 정책 직접 연결' 선택 => 'AdministratorAccess' 선택. billing을 제외한 AWS의 모든 권한을 부여하는 것임. => 사용자 생성 완료하기

 

 

 

 

• IAM user에 MFA 설정

- 왼쪽에 '사용자' 선택 => MFA를 설정할 user 선택 => '보안 자격 증명' 선택 => '할당된 MFA 디바이스'에 '관리' 선택

 

 

• root user log-out 후 IAM user log-in

- root user로 할 일이 모두 끝남 => 앞으로는 IAM user로 log-in

 

 

 

IAM(Identity and Access Management) User

• 구성

- User: 실제 AWS를 사용하는 사람 또는 application을 의미

 

- Group: user의 집합. group에 속한 user는 group에 부여된 권한을 행사함.

 

- Role: AWS resource에 부여하여 AWS resource가 무엇을 할 수 있는지를 정의함. 또는 다른 user가 role을 부여받아 사용 가능함. 다른 자격에 대해 신뢰관계를 구축 가능함. role을 바꾸어가며 service를 사용 가능함.

 

- Policy: user와 group, role이 무엇을 할 수 있는지에 관한 문서. JSON 형식으로 정의됨.

 

 

• IAM 모범 사용 사례

- root user는 사용하지 않기

- 불필요한 user를 만들지 않기

- 가능하면 group과 policy를 사용하기

- 최소한의 권한만을 허용하는 습관을 들이기 (Principle of least privilege)

- MFA를 활성화하기

- AccessKey 대신 role을 활용하기

- IAM Credential Report(자격 증명 보고서) 활용하기

 

 

 

 

 

참고: AWS 강의실(https://www.youtube.com/c/AAAWS)