[AWS] 루트 유저, IAM에 대해서 알아보자

이 글은 유튜브 AWS 강의실 채널의 "쉽게 설명하는 AWS 기초강좌"의 내용을 정리한 글입니다

AWS 계정 생성

• 처음 생성할 때, 본인 명의의 신용카드 필요
• AWS 계정을 생성하면 루트 유저와 기본 리소스(기본 VPC)등 이 생성됨
• AWS 계정 아이디가 부여됨(숫자)
  • 추후 AWS 계정에 별명 지정 가능(문자)

루트 유저

• 생성한 계정의 모든 권한을 자동으로 가지고 있음
• 생성 시 만든 "이메일 주소"로 로그인
• 탈취 당했을 때 복구가 매우 힘듬 : 사용을 자제하고, MFA 설정 필요
• 루트 유저는 관리용으로만 이용 : 계정 설정 변경, 빌링
• AWS API 호출 불가(AccessKey, Secret AccessKey 부여 불가)

IAM

• IAM(Identity and Access Management) 서비스를 통해 생성한 유저
  • AWS의 모든 권한을 관리하는 서비스
• 만들때 주어진 "아이디"로 로그인
• 기본 권한 없음 : 따로 권한을 부여해야 함
  • 관리자 IAM user, 개발자 IAM user, 디자이너 IAM user
• 꼭 사람이 아닌 어플리케이션 등의 가상의 주체를 대표할 수도 있음
• AWS API 호출 가능
  • Access Key
    • 아이디 개념
    • 공개되어도 됨
  • Secret Access Key
    • 패스워드 개념
    • 공개되지 않음
    • 한번 발급 받을때 이외에는 확인할 수 없음
• AWS의 관리를 제외한 모든 작업은 관리용 IAM User를 만들어 사용
• 권한 부여시 루트 유저와 같이 모든 권한을 가질 수 있지만, 빌링 관련 권한은 루트 유저가 허용해야 함

MFA

• 다중 인증(multi-factor authentication)
• 사용자에게 암호 이외의 추가 정보를 입력하도록 요구하는 다중 단계 계정 로그인 과정이다
• 이메일로 전송된 코드, 보안 암호 질문에 응답, 지문 스캔 등을 추가로 요청
• 시스템 암호 도용 시, 무단 계정 액세스를 방지하는데 도움
• aws MFA란?
• username > Securuty credentials > Multi-factor authentication (MFA) 에서 생성 가능