[AWS] 4. AWS - IAM 유저 생성 하기
4. AWS - IAM 유저 생성 하기
안녕하세요. 갓대희 입니다. 이번 포스팅은 [ AWS - IAM 유저 생성 해보기 ] 입니다. : )
- AWS Console에 로그인하려고 보면 2가지 방식이 있는것을 보았을 것이다. (ROOT 계정, IAM계정 2가지 )
1) ROOT 계정
- 모든 권한을 가지고 있는 계정이다. 보안상 ROOT계정은 최대한 사용을 자제해야하고, IAM키로 제한된 기능을 사용해야 한다고 가이드 하고 있다.
- 계정 설정, AWS 지원 플랜, IAM 사용자 권한, 특정 세금 계산서 조회 및 결제, 비용관리 코솔에 대한 IAM 엑세스 등 은 ROOT 사용자만 할 수 있다.
2) IAM 계정
- AWS 리소스를 안전하게 관리하기 위한 서비스.
- ROOT 계정 혹은 다른 IAM 계정으로부터 권한을 부여 받으며, 주어진 권한 내의 작업만 할 수 있다.
회사에서 AWS를 다룰 때 모든 개발자들이 Root 계정을 사용하는 것은 말해 뭐해 ~ 안되는 일임은 알고 있을 것 이다.
특정 목적에 따라 해당하는 권한을 부여하여 작업 할 수 있도록 IAM 계정을 생성해야 한다.
이번엔, IAM 계정 생성에 대한 내용을 실습하려 하며 공식 문서도 참고 하도록 하자.
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_users_create.html
1. IAM이란?
1. AWS IAM
- Identity and Access Management (IAM)
- AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스.
- AWS 계정 및 권한 관리 서비스 ( 서비스와 리소스에 대한 엑세스 관리를 IAM을 통해 제한 )
- 루트 사용자를 사용하지 않는 것을 강력히 권장. 최대한 IAM 사용자를 처음 생성할 때만 루트 사용자를 사용하며, ROOT 사용자는 몇 가지 계정 및 서비스 관리 작업을 수행할 때만 사용 하도록 한다.
- 공식 문서 참고
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/introduction.html
2. IAM 액세스 관리
- IAM 엑세스 관리를 위해 하기 기준을 구분 하고 있다.
1) IAM User - 사용자(User) : 사람, ID, 계정
2) IAM Group - 사용자 그룹(Group) : 사용자의 모음, 그룹에 정책을 정의하면 그룹원 모두가 영향을 받는다.
3) IAM Role - 역할 이자 권한 : AWS 리소스에서 사용하는 자격증명을 뜻한다.
ex) EC2에서 실행되는 애플리케이션이 S3, RDS 등 AWS 리소스에 엑세스 하는 권한
4) IAM Policy - 정책 : 사용자, 그룹, 역할에 대한 권한 정의, JSON 형태로 저장되며 각 그룹, 역할, 사용자에 부여할 수 있다.
- 공식 문서 참고
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/introduction_access-management.html
위의 4가지를 실습을 통해 조금 더 살펴보도록 하자.
2. IAM 사용자 만들기
- 먼저 관리용 IAM 사용자 만들어 보자.
1. IAM 대시보드 접속
- https://console.aws.amazon.com/iam/
- 액세스 관리 > [ 사용자 ] 클릭 > [ 새용자 생성 ] 을 클릭 한다.
1) 1단계 : 사용자 세부 정보 지정
- 사용자 이름 : 신규 생성하려는 IAM 사용자명을 작성한다.
- AWS Management Console 체크 하자. ( AWS Management Console (웹페이지)로 로그인을 가능 하도록 설정 )
- identity Center 에서 사용자 지정을 권장 하고 있는데, 이를 통해 사용자를 추가 해 보자.
- 다음을 누르면 Identity Center로 이동할 것이다.
- identity Center에 대해선 다음 내용 참고 : https://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/what-is.html
- [ 활성화 ] 를 클릭 한다.
- [ AWS 조직 생성 ] 클릭하면, 조금 후 IAM 자격 증명 센터 관리 페이지로 이동 한다.
- [ 그룹 ] > [ 그룹 생성 ] 클릭.
- [ 해당 그룹 ] 상세 페이지에서 사용자를 추가 하도록 한다.
- 기본 정보 및 필요시 추가 정보를 입력 한다.
- 사용자가 정상적으로 추가 된 것을 볼 수 있다.
- 사용자가 생성되었다면 해당 이메일 주소로 계정 비밀번호를 설정할 수 있는 메일이 발송된다.
- AWS access portal URL로 접속 해야 한다.
- 비밀번호 설정을 하고 넘어간다.
- 기본 비밀번호 규칙은 다음과 같이 되어있는데, 필요시 변경 가능 하다.
- 정상 적으로 접속은 되었다. 권한 설정으로 넘어가보자.
- 권한 세트 > [ 권한 세트 설정 ] 클릭
- [ 사전 정의된 권한 세트 ] > [ Administragor Access ] > 다음 클릭
- 기본 설정 그대로 넘어 가자.
- 기본 설정을 유지하며 [ 생성 ] 클릭 후 권한 세트가 생성 된다.
- 그다음 IAM 사용자에게 방성 생성한 어드민 권한을 부여 하자.
- [다중 계정 권한 ] > [ 본인의 AWS 관리자 계정 ] > 클릭
- [ 사용자 또는 그룹 할당 ]
- 기존에 생성한 관리 그룹을 선택 > [ 다음 ] 클릭
- 기존에 생성한 관리 권한 선택 > [ 다음 ] 클릭
- 최종 검토 후 제출 하도록 한다.
- 조금 기다리면 권한 부여가 완료된다.
- 이메일로 받은 Your AWS access portal URL로 접속하여 로그인 해보자.
- Aws account가 생겼고, 이를 클릭하면 관리자 IAM 계정으로 콘솔에 접근 할 수 있다.
- 이런 방식으로 IAM 사용자를 목적과, 역할에 맞게 설정하여 사용 할 수 있다.
※ 나와같은 경우 기존의 IAM 생성, 관리 방식이 익숙하여 Identity Center를 사용하지 않고
기존의 방식으로 IAM 사용자를 추가 할 예정이다.
3. 기존 방식으로 IAM 사용자 만들기
1. IAM 대시보드 접속
- https://console.aws.amazon.com/iam/
- 액세스 관리 > [ 사용자 ] 클릭 > [ 새용자 생성 ] 을 클릭 한다.
1) 1단계 : 사용자 세부 정보 지정
- 사용자 이름 : 신규 생성하려는 IAM 사용자명을 작성한다.
- AWS Management Console 체크 하자. ( AWS Management Console (웹페이지)로 로그인을 가능 하도록 설정 )
- 기존의 방식인 "IAM 사용자를 생성하고 싶음"을 클릭 한다.
- 나머지는 Default설정을 유지한 후 "다음" 버튼을 클릭 한다.
2) 2단계 : 권한 설정
- "그룹 생성" 버튼을 클릭하여 IAM 그룹을 만들어 주자.
- 그룹명을 지정 한 후 해당 그룹에 등록할 정책을 선택한다. (루트권한인 AdministratorAccess 권한을 선택하였다.)
그리고 "사용자 그룹 생성" 버튼 클릭.
- 방금 생성한 그룹을 체크 후 "다음" 버튼 클릭.
(물론, "직접 정책 연결"을 사용하여 그룹을 생성하지 않고 직접 계정별로 권할 설정을 할 수도 있긴 하다.)
3) 3단계 : 검토 및 생성
- 이상이 없는지 확인 후 "사용자 생성"을 클릭 한다.
4) 4단계 : 암호 검색
- 다른 사용자에게 "이메일 로그인 지정"을 통해 회사 email을 통해 지침을 보낼 수도 있다.
- 나의 경우 .csv 파일을 다운로드 하여 관련 정보를 확인해 보도록 하겠다.
- 다운로드한 csv파일을 확인해 보면 위 이미지 에서의 콘솔 로그인 URL, 사용자 이름, 콘솔 암호 등이 표기되는 것을 볼 수 있다.
- 해당 접속 정보를 통해 로그인 하면 된다.