IAM은 AWS Identity and Access Management의 약자로, 사용자 및 그룹을 만들어서 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스이다.
AWS에는 두 가지 유형의 사용자(계정)가 있다.
AWS 계정이 생성될 때, 해당 계정의 모든 AWS 서비스 및 리소스에 대한 완전한 액세스 권한이 있는 단일 로그인 ID를 받는다. 이전 글에서 이메일과 비밀번호를 사용하여 로그인한 계정이 바로 루트 사용자다.
AWS에서는 일반적인 작업에 루트 사용자를 사용하지 않는 것을 "강력하게" 권고하고 있다. 루트 사용자 보안 인증 정보를 보호하고 루트 사용자만 수행할 수 있는 작업을 수행할 때만 사용해야 한다. 루트 사용자 보안 인증이 필요한 작업은 아래 링크에서 확인할 수 있다.
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/root-user-tasks.html
IAM 사용자는 단일 개인 또는 애플리케이션에 대한 특정 권한을 가지고 있는 AWS 계정 내 자격 증명이다. 각 사용자 별로 AWS 서비스 또는 리소스 액세스에 제한을 둘 수 있다. 액세스 가능한 수준을 그룹으로 만들고 각 사용자를 적당한 그룹에 등록하는 방식으로 제한을 제어한다.
루트 사용자는 맨 처음 관리자 계정을 생성할 때에만 사용하고, 그 다음부터는 IAM 사용자로 이용하는 것이 모범적인 이용 방법이다. 그런 다음 루트 사용자 자격 증명을 안전하게 보관해 두고, 몇 가지 계정 및 서비스 관리 작업을 수행할 때만 해당 자격 증명을 사용하는 것이 좋다.
아직은 IAM 계정을 만들지 않은 상태이므로 먼저 루트 계정으로 로그인해준다.
로그인 이후 우측 상단의 닉네임 선택 후 계정
버튼을 클릭하여 아래의 옵션을 찾아주고 IAM 액세스 활성화
를 체크하고 업데이트 해준다.
좌측 상단의 서비스 검색 창(Alt + S)에서 IAM을 검색해주고 해당 페이지에 접속한다.
액세스 관리
- 사용자
에서 사용자 생성
버튼을 눌러준다.
Identity Center에서 콘솔 액세스 권한을 줄 것이므르로 사용자 유형은 상단의 것을 선택한다.
위의 Identity Center에서 관리
버튼을 누르면 Identity Center 페이지가 뜨는데, 이 때 활성화 버튼을 눌러준다.
이 화면은 이전에 설정했을 때는 못 봤던거라서 어떤 것인지 잘 모르겠다. 우선 권장되는 옵션을 선택하자. (AWS Organizations에 대해 자세히 알아보기)
사용자에 대한 정보를 기입한다. 이메일 주소는 인증 메일을 받아야하기 때문에 주의해서 입력한다. 아래의 연락 방법이나 주소는 필요에 따라 추가로 입력해주면 될 것 같다.
관리자 계정용 그룹을 생성해주고
사용자를 추가해준다.
별 다른 수정사항이 없으면 사용자 추가 버튼을 누른다.
참고로 사용자 이름이나 이름에 "Administrator"라는 단어가 들어가면 아래와 같은 에러가 발생하는 것 같다. 내부에서 사용하는 예약어라 그런 것 같으니 기입 시 주의하자.
이렇게 사용자를 추가하고 나면 메일이 오는데, Accept Invitation 버튼을 누르면 비밀번호를 설정할 수 있다. 나중에 AWS 콘솔에서 해당 IAM 계정으로 로그인하려면 access portal URL이 필요하므로 따로 저장해두자.
비밀번호 설정해준다.
본인의 상황에 맞게 MFA 인증 방식을 선택한다. 나는 기존에 사용하던 Microsoft의 Authenticator
라는 앱이 있어 그것을 사용했다.
이후 완료 버튼을 누르거나 위의 access portal URL을 통해 로그인을 해도 아래와 같은 화면이 뜬다. 아직 설정해준 권한이 아무것도 없기 때문이다.
이를 위해 권한 세트
를 설정해주자
루트 계정을 제외한 가장 높은 등급의 관리자 계정을 만들어줄 것이므로 AdministratorAccess를 선택한다. 여기서 다른 AWS 관리형 정책도 있으니 나중에 필요할 때 보면 좋을 것 같다.
난 별다른 옵션은 건들지 않았다.
아까 생성한 권한 세트를 IAM 계정에 할당해주자. 다중 계정 권한
- AWS 계정
페이지에 들어가서 사용자 또는 그룹 할당
을 클릭한다.
아까 만들어준 그룹을 선택해주고
권한 세트를 선택한다.
이후 제출 버튼까지 눌러주고 잠시 후 IAM 계정 페이지에 다시 들어가보면, 이렇게 새로운 항목이 뜬 것을 볼 수 있다. 이제 루트 계정을 사용하지 않아도 AWS의 대부분의 기능을 이 IAM 계정으로 사용할 수 있게 되었다.
IAM이란 무엇입니까?
IAM 자격 증명
AWS IAM 사용자 만들기
[AWS] Identity Center를 활용한 관리자 IAM 사용자 생성 (관리자 IAM 사용자를 사용하는 이유)
덕분에 잘 했습니다. 감사합니다