들어가며
AWS IAM(Identify and Access Management)는 AWS 리소스를 안전하게 이용할 수 있도록 도와주는 AWS 서비스 입니다.
기본적으로 AWS 서비스를 이용하기 위해 가입한 계정은 Root계정으로써 모든 AWS 리소스에 접근이 가능한대요. IAM을 이용하면 여러 사용자를 생성하여 AWS 리소스를 이용할 수 있게 됩니다. 이렇게 생성한 계정은 IAM 유저가 됩니다.
Root계정으로 AWS의 리소스를 이용하는 것은 AWS가 권장하지 않는 방법입니다. Root계정의 권한이 너무나 막강하므로 Root계정이 탈취당했을 때의 피해가 엄청나기 때문이죠. 그래서 보통은 리소스를 접근하려는 IAM 계정을 생성하여 리소스를 이용하는 것이 AWS에서 권장하는 방법입니다. IAM 계정은 탈취당하면 삭제가 가능하기 때문입니다. 하지만, Root계정이 탈취되면 이를 위한 복구나 삭제가 꽤 복잡합니다.
ADMIN 계정 생성하기
Root 계정의 권한은 너무나 막강합니다. 그래서 Root계정의 권한을 모두 전달한 Admin계정을 생성하여 중앙에서 리소스를 관리할 수 있도록 해보겠습니다.
처음 Root 계정으로 콘솔에 접속하여 상단의 검색바를 이용하여 IAM을 입력한 후 서비스를 선택하면 IAM 대시보드로 이동할 수 있습니다.
이곳에서 IAM 계정들을 생성할 수 있습니다. 이제 사용자 탭을 선택해서 Admin 계정을 생성하겠습니다.
우측 상단에 사용자 생성을 눌러줍니다.
여기서 AWS Management Console에 대한 사용자 액세스 권한 제공을 선택하면 AWS Console 즉, 루트 계정이 로그인하는 것처럼 로그인이 가능해집니다.
그리고 IAM 사용자를 생성하고 싶음을 선택한 후 콘솔 암호를 만들어낼 수 있는데요. 자동 생성된 암호로 초기 암호를 설정하고 다음 로그인에서 admin 계정 이용자가 비밀번호를 변경할 수 있도록 해줍니다. 이러한 설정을 이용하면 다른 팀원들에게 IAM 계정을 생성해서 나눠주기가 편합니다.
직접 정책 연결을 선택해서 admin 권한을 사용자에게 연결해주면 이제 Root계정과 동일하게 admin 권한을 갖게 됩니다. 이제 다음 단계에서 검토 후 생성을 하면 IAM 계정 생성이 완료됩니다.!
주의 사항
AWS에서는 모든 계정에 대한 MFA를 지정하는 것을 권장하고 있습니다. MFA는 Multi Factor Authentication을 의미하는데 2차 인증 수단입니다.
생성한 Admin 계정과 Root 계정에는 반드시 MFA를 지정해줍니다. 그리고 MFA를 보통 Google Authenticator를 많이 이용하는데요. 여기서 MFA를 지정하기 위해 사용했던 QR코드는 반드시 따로 스크린샷을 찍어둔 후 보관해주세요. 그래야 핸드폰을 바꾸거나 할 때 쉽게 이식할 수 있습니다.
