[AWS] IAM을 활용한 사용자 계정관리 (+ MFA 디바이스 설정)

#들어가며

  수업용으로 주어진 AWS계정을 떠나 개인용 AWS계정을 생성했다. 막상 내 계정의 '관리자'가 되니 그동안 간과하던 비용이나 보안 등 여러 측면으로 관리가 필요하겠다는 생각이 들어, 그중 가장 중요한 IAM에 관한 관리내용을 정리해보았다.

 

[작성 참고] https://brunch.co.kr/@topasvga/481

59. AWS계정관리 IAM 이해하기

  AWS를 생성하면 처음 부여받는 계정은 Root계정이다. 다른 사용자뿐 아니라 계정을 삭제할 수 있는 절대 권한을 가지기 때문에 참고한 브런치 글에선 기본적으로 '관리자' 그룹을 만들어 사용하길 권장하고 있다. 또한 root계정과 관리자 그룹 계정들에는 *MFA기능을 추가한 로그인 보안 강화 방법을 소개해서 그대로 적용했다.

*MFA: 멀티팩터인증으로 정규 로그인 외에도 추가적인 사전 인증 제출 요청을 말한다.

 

계정 설정계획

Root계정 - MFA만 걸어두고 사용하지 않는다.

관리자 계정 - MFA추가, CLI원격 접속 권한 할당

(추가) 관리자 계정에 대한 Access Key 삭제하기

일반 사용자 계정 - 권한 최소화 (생성 보류)

---

1. 사용자 추가 (관리자용)

---

2. 로그인 설정

 

- 비밀번호 설정 (콘솔 액세스 활성화)

사용자 > 사용자 계정 선택 > 보안자격증명 > 콘솔 엑세스 관리 (비밀번호 설정)

- MFA설정 (구글 OTP)

사용자 > 사용자 계정 선택 > 보안자격증명 > '할당된 MFA 디바이스' 관리 선택

구글OTP 어플로 스캔하면 해당 계정전용 OTP가 발급된다. 연속 된 두개의 번호를 입력한다.

계정접속 시 등록된 디바이스의 OTP를 입력해야 로그인이 가능하다.

---

참고자료

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_credentials_mfa_disable.html

MFA 디바이스 비활성화 - AWS Identity and Access Management