[AWS] AWS 이해하기: IAM 유저 생성

 

AWS(Amazon Web Services)의 중요한 개념인 IAM 유저(IAM User) 생성 과정에 대해 자세히 알아보겠습니다. 

---

IAM 유저 생성

AWS에서 IAM 유저를 생성하여 팀원별로 필요한 권한을 부여하고, 보안을 강화하는 방법을 단계별로 살펴보겠습니다.

무료 클라우드 컴퓨팅 서비스 - AWS 프리 티어

1. IAM 유저 생성 시작

1. AWS 콘솔에 로그인한 후, IAM 서비스로 이동합니다.
2. 좌측 메뉴에서 사용자(User)를 선택한 후, 사용자 추가(Add user) 버튼을 클릭합니다.

왜 콘솔은 선택사항일까요?

AWS는 프로그래밍 언어를 통해서도 접근 가능하기 때문에, 굳이 콘솔을 사용할 필요는 없습니다.
하지만 초보자에게는 콘솔을 통한 시각적 접근이 더 편리할 수 있습니다.
여기서는 AWS Console을 이용하여 해보겠습니다.

2. 사용자 세부 정보 지정

1. 사용자 이름(User name): 생성할 유저의 이름을 입력합니다. 예: developer
2. 액세스 유형 선택: 프로그래밍 방식 액세스(Programmatic access)와 AWS Management Console 액세스(AWS Management Console access) 중 필요한 옵션을 선택합니다.
   • 프로그래밍 방식 액세스: AWS CLI, SDK, API를 통해 AWS 리소스에 접근할 수 있는 키를 제공합니다.
   • AWS Management Console 액세스: AWS 콘솔에 로그인할 수 있는 비밀번호를 설정합니다.

3. 권한 설정

그룹에 사용자 추가

IAM 유저에게 권한을 부여하는 가장 효과적인 방법은 그룹(Group)을 사용하는 것입니다.
그룹에 정책을 연결하면, 그룹에 속한 모든 유저에게 동일한 권한이 부여됩니다.

 

그룹에 사용자 추가 - IAM 그룹에 사용자 추가

• AWS는 예를 들어 개발팀과 같이 비슷한 권한을 필요로 하는 유저들을 그룹으로 묶어 정책을 적용할 수 있습니다.
• 이렇게 하면 개별 유저에게 직접 권한을 부여하지 않고, 그룹 단위로 관리할 수 있어 효율적입니다.

그룹에 권한 부여

• AWS 관리형 정책 선택: AWS에서 제공하는 미리 정의된 정책을 선택할 수 있습니다.
  • IAMFullAccess
  • AmazonEC2FullAccess
  • EC2InstanceConnect
  • AmazonS3FullAccess
  • AmazonRDSFullAccess

1. IAMFullAccess
설명: AWS IAM(사용자, 그룹, 역할, 정책)을 완전히 관리할 수 있는 권한.
가능한 작업: 사용자 생성/삭제, 권한 설정, MFA 관리. 위험: 권한을 잘못 부여하면 보안 문제가 발생할 수 있음.

2. AmazonEC2FullAccess
설명: EC2 인스턴스를 완벽히 관리할 수 있는 권한.
가능한 작업: EC2 생성/삭제, 보안 그룹 및 키 관리, 로드 밸런서 설정. 위험: 중요한 서버를 삭제하거나 비용이 많이 드는 인스턴스를 생성할 수 있음.

3. EC2InstanceConnect
설명: EC2 인스턴스에 SSH로 접속할 수 있는 권한.
가능한 작업: AWS 콘솔을 통해 SSH로 임시 접속. 위험: 권한이 유출되면 서버에 접근해 민감한 작업을 수행할 수 있음.


4. AmazonS3FullAccess
설명: S3 버킷과 객체를 완벽히 관리할 수 있는 권한.
가능한 작업: 버킷 생성/삭제, 객체 업로드/삭제, 권한 및 정책 관리. 위험: 데이터를 잘못 삭제하거나 공개 버킷 설정으로 데이터가 유출될 수 있음.

5. AmazonRDSFullAccess
설명: RDS(데이터베이스 서비스)를 완벽히 관리할 수 있는 권한.
가능한 작업: RDS 생성/삭제, 백업/스냅샷 관리, 보안 설정 변경. 위험: 데이터베이스를 삭제하거나 설정을 잘못 변경해 장애가 발생할 수 있음.

• 정책 확인: 선택한 정책을 JSON 형식으로 확인할 수 있습니다.

그룹 생성 완료

1. 그룹 이름 지정: 예를 들어 Developers와 같이 그룹의 목적을 나타내는 이름을 지정합니다.
2. 사용자 그룹 생성: 생성한 그룹을 확인하고, 다음 단계로 넘어갑니다.

생성한 그룹을 체크한 후, 다음 단계로 넘어가면 태그를 추가할 수 있습니다.

• 예시: 키는 부서, 값은 개발팀과 같이 지정할 수 있습니다.
• 태그는 리소스 관리를 용이하게 하고, 비용 할당을 명확하게 할 수 있도록 도와줍니다.

4. IAM 유저 생성 완료 및 로그인 정보 확인

• 유저 생성 완료: IAM 유저가 성공적으로 생성되면, 액세스 키(ID 및 Secret)와 로그인 URL을 확인할 수 있습니다.
• 계정 ID: ex) 982534367401
  • 이 정보는 IAM 유저가 AWS 콘솔에 로그인할 때 필요합니다.

5. IAM 로그인으로 로그인

생성한 IAM 유저의 자격 증명을 사용하여 AWS 콘솔에 로그인할 수 있습니다.
로그인 후, 해당 유저는 할당된 권한에 따라 AWS 리소스에 접근하고 관리할 수 있습니다.

 

비용 및 사용량과 같은 민감한 정보는 IAM 유저가 확인할 수 없습니다.
필요 시, 루트 유저나 특정 권한을 가진 IAM 유저에게만 접근 권한을 부여해야 합니다.

---

 

참고 자료

• AWS 공식 문서 - IAM 사용자 및 그룹: IAM User Guide
• AWS 공식 문서 - IAM 정책: IAM Policies
• AWS 공식 문서 - 정책 평가 로직: IAM Policy Evaluation Logic
• AWS 정책 샘플: AWS Managed Policies
• JSON 정책 예제: IAM JSON Policy Examples