IAM 사용자란?

IAM 사용자는 AWS의 IAM(Identity and Access Management) 서비스에서 생성된 개체로, AWS 리소스에 접근하기 위한 개별적인 사용자 계정입니다. 각 IAM 사용자는 자신의 자격 증명(사용자 이름, 비밀번호 또는 액세스 키)을 가지고 있으며, 이를 통해 AWS 서비스와 리소스에 접근할 수 있습니다.

IAM 사용자의 주요 특징

  1. 개별 사용자 계정:
    • IAM 사용자는 조직 내의 각 개별 사용자(사람) 또는 애플리케이션(프로세스)을 위한 고유한 계정입니다.
    • 사용자는 자신의 AWS Management Console에 로그인하거나 AWS API/CLI를 통해 작업할 수 있습니다.
  2. 정확한 권한 제어:
    • IAM 사용자는 특정 권한 정책을 통해 허용된 작업만 수행할 수 있습니다.
    • 필요에 따라 읽기, 쓰기, 삭제 등 권한을 제한하여 보안을 강화할 수 있습니다.
  3. 자격 증명:
    • AWS에 접근할 수 있도록 IAM 사용자에게 두 가지 자격 증명을 제공합니다:
      1. 비밀번호: AWS Management Console에 로그인할 때 사용.
      2. 액세스 키: AWS CLI, SDK, 또는 API를 통해 AWS 서비스에 접근할 때 사용.
  4. IAM 그룹과 연결 가능:
    • IAM 사용자는 IAM 그룹에 속할 수 있으며, 그룹에 연결된 권한 정책을 상속받습니다.
    • 이를 통해 여러 사용자의 권한을 일괄적으로 관리할 수 있습니다.

IAM 사용자와 Root 사용자 비교

AWS 계정 생성 시, 기본적으로 Root 사용자가 생성됩니다. 하지만 Root 사용자는 강력한 권한을 가지고 있으므로 일상적인 작업에는 사용하지 않는 것이 좋습니다.

항목 Root 사용자 IAM 사용자

역할AWS 계정 소유자로서 모든 작업 가능특정 권한만 부여받아 작업 수행
사용 범위계정 관리 및 중요한 설정 작업에만 사용일반적인 AWS 리소스 관리
보안자주 사용하면 보안 위험이 높아짐권한을 최소화하여 보안 위험 감소

2. IAM 사용자에게 AWS 계정 권한 부여

IAM 사용자가 AWS 서비스를 사용하려면 적절한 권한이 필요합니다. 아래는 IAM 사용자가 AWS 계정을 활용할 수 있도록 권한을 부여하는 방법입니다.

(1) 기존 사용자에게 관리자 권한 부여

  1. AWS Management Console에서 IAM 서비스로 이동합니다.
  2. 왼쪽 메뉴에서 **사용자(User)**를 클릭합니다.
  3. 권한을 부여할 사용자를 선택합니다.
  4. 권한 추가 버튼을 클릭합니다.
  5. 아래 방법 중 하나를 선택:
    • 기존 정책 직접 연결:
      • AdministratorAccess를 선택하여 모든 AWS 리소스와 서비스에 대한 액세스를 허용.
    • 그룹에 사용자 추가:
      • 권한이 미리 설정된 그룹(예: 관리자 그룹)에 사용자를 추가.
IAM 대시보드

(2) 특정 권한만 부여

모든 권한을 주기보다 사용자의 역할에 맞는 최소한의 권한만 부여하세요.

  1. 정책 연결:
    • AWS에서 미리 정의된 정책을 사용합니다.
      • 예: AmazonS3ReadOnlyAccess – S3 버킷 읽기 전용 권한.
    • 정책 이름을 검색하고 연결합니다.
  2. 커스텀 정책 작성:
    • 사용자 또는 그룹에 필요한 작업만 포함된 JSON 형식의 정책을 작성합니다.
      • 예: S3의 특정 버킷에서 파일을 읽고 쓰는 권한만 부여.

IAM 사용자의 주요 사용 사례

  1. 조직 내 직원 계정 관리:
    • 직원마다 개별적인 IAM 사용자를 생성하고 역할에 따라 필요한 권한만 부여.
  2. 애플리케이션 및 서비스 계정:
    • 애플리케이션이 S3에 파일을 업로드하거나 EC2 인스턴스를 관리할 때 IAM 사용자를 생성하여 자격 증명을 제공.
  3. 권한 분리 및 보안 강화:
    • AWS 리소스에 대한 접근 권한을 최소화하여 보안을 강화.

IAM 사용자 생성 방법 (AWS Management Console)

  1. IAM 서비스로 이동:
    • AWS Management Console에 로그인 후, IAM 서비스를 선택합니다.
  2. 사용자 추가:
    • 왼쪽 메뉴에서 “사용자”를 클릭한 다음 사용자 추가 버튼을 클릭합니다.
  3. 세부 정보 입력:
    • 사용자 이름: 고유한 이름을 입력합니다.
    • AWS Management Console 액세스 또는 프로그래밍 방식 액세스를 선택합니다.
      • Management Console 액세스: AWS 콘솔에 로그인할 비밀번호를 생성.
      • 프로그래밍 방식 액세스: 액세스 키 ID 및 비밀 액세스 키 발급.
로그인 URL은 대시보드에서 제공됨
  1. 권한 설정:
    • 사용자에게 권한 부여 방법을 선택합니다:
      • 기존 그룹에 추가.
      • 직접 권한 정책 연결.
      • 나중에 설정.
  2. 태그 추가 (선택 사항):
    • 태그를 추가하여 사용자 메타데이터를 관리합니다(예: 부서, 프로젝트).
  3. 검토 및 생성:
    • 설정을 검토한 후 사용자 생성 버튼을 클릭합니다.
  4. 자격 증명 확인:
    • 사용자의 액세스 키 및 비밀번호를 다운로드하거나 복사합니다.

IAM 사용자 관리 팁

  1. 최소 권한 원칙 적용:
    • 사용자에게 필요한 권한만 부여하여 보안을 강화합니다.
    • 예: 읽기 권한만 필요한 사용자에게는 쓰기 권한을 제거.
  2. 개별 사용자 생성:
    • 사용자를 공유하지 말고, 각 사용자마다 고유한 IAM 계정을 생성합니다.
  3. 비밀번호 정책 설정:
    • IAM 비밀번호 정책을 설정하여 강력한 비밀번호 사용을 요구합니다.
  4. 액세스 키 관리:
    • 액세스 키를 주기적으로 교체하고, 사용하지 않는 키는 비활성화합니다.
  5. CloudTrail 사용:
    • CloudTrail을 활성화하여 IAM 사용자의 활동을 모니터링합니다.