AWS 클라우드 구축 (1) - IAM User 생성과 MFA 설정

2021. 07. 25.

 PROJECT

• 가상의 고객사 시스템 구축과 운영

• SI

  • AWS 클라우드 환경 구성
  • 쿠버네티스 기반 EKS 환경 구성, 웹서비스 구축

• SM

  • 로그 수집을 위한 EFK Stack 구축
  • CloudWatch 알람을 Slack으로 전송하여 실시간 모니터링

 Work

• AWS IAM 계정 생성
• MFA 설정

 AWS란?

AWS

Amazon에서 개발한 클라우드 컴퓨팅 플랫폼으로, 인프라(컴퓨팅, 네트워크, 스토리지), 플랫폼(DB, 분석, 배포관리) 등 다양한 서비스를 클라우드로 제공한다.

AWS에서 제공하는 서비스 

1. 컴퓨팅 - EC2, Lambda

2. 네트워킹 - VPC, Route53, Direct Connect

3. 스토리지 – S3, EFS

4. 데이터베이스 – RDS, DynamoDB, ElastiCache

5. 관리도구 – CloudWatch, Config, Cloudtrail 

6. 보안 – IAM, WAF&Shield, Certificate Manger

 IAM User 생성

IAM

Identity and Access Management. AWS 리소스에 대한 액세스를 제어할 수 있는 AWS 서비스이다. IAM을 통해 AWS 리소스 사용 권한을 부여하고 제어한다. AWS는 보안상의 이유로 운영 환경에서 root 계정(처음 회원가입한 계정)을 사용하지 못한다. root 계정은 IAM 계정을 생성할 때만 사용된다. 협업 시에는 1인 1계정을 생성하여 장애 발생 시 책임의 소재를 명확히 할 수 있다. 

1. AWS에 회원가입하고 IAM 서비스로 들어간다.

2. 현재 IAM 사용자는 비어있는 상태이므로 사용자를 추가해줄 것이다. [액세스 관리 > 사용자 > 사용자 추가]

3. 사용자 세부 정보 설정
[이름 입력 > AWS Management Console 액세스 체크 > 사용자 지정 비밀번호 입력 > 비밀번호 재설정 체크]

4. 권한 설정
[기존 정책 직접 연결 > AdministratorAccess 체크]

5. 태그 추가는 패스

6. 다시 사용자 화면으로 돌아가면 admin 사용자가 생성된 것을 확인할 수 있다. 

7. 프로필을 누르고 내 계정의 12자리 숫자를 복사하고 로그아웃한다. 앞으로 이 12자리 숫자를 통해 IAM 계정에 로그인하게 될 것이다.

8. IAM 사용자로 로그인한다.

9. 비밀번호를 재설정해준다. 이전과 같은 것을 사용해도 무방하다.

 MFA 설정

MFA

Multi-Factor Authentication. 사용자 이름과 암호에 OTP 인증을 추가하여 로그인하는 서비스이다. 보안상의 이유로 운영환경에서 IAM 개별 계정에 MFA를 설정할 것을 권고한다.

1. 모바일에서 Google Authenticator를 설치한다.

2. IAM 계정에서 내 보안 자격 증명으로 들어간다.

3. [MFA 디바이스 할당 > 가상 MFA 디바이스]

4. QR코드를 표시하고 Google Authentication에서 QR 코드를 스캔한다.

5. Google Authentication에서 생성된 코드를 입력한다. 코드는 일정 시간마다 갱신되므로 시간이 초과되기 전에 입력해야 한다. MFA 코드 두 개를 입력해야 되는데 한 개의 코드를 입력한 뒤 바로 다음으로 생성되는 코드를 두 번째에 입력하면 된다. 

6. IAM 사용자에서 MFA가 설정된 것을 확인할 수 있다.

7. 다음 로그인부터는 MFA로 인증한 뒤 로그인할 수 있다.