[AWS IAM] 보안 모범 사례 I - 루트 계정

AWS IAM

IAM의 보안 모범 사례 I - 루트 계정

1. 루트 액세스 키 삭제
2. MFA 활성화
3. IAM 사용자 및 그룹 관리 (개별 IAM 사용자 생성, 그룹을 사용한 권한 할당)
4. IAM 비밀번호 정책 적용

루트 액세스 키 삭제

루트 계정에 해당하는 보안 항목

 

루트 계정으로 로그인 > IAM 콘솔 접속

AWS 계정 생성 후 첫 로그인 시에는 취약한 보안 상태를 확인할 수 있음

 

추후 모범 사례에 따른 보안 설정을 마친다면 안전한 상태가 됨

 

액세스 키 존재 여부 확인

 

액세스 키가 존재한다면 해당 키를 삭제한다.

 

MFA 활성화

루트 계정과 사용자 계정 모두 적용되는 항목

 

MFA 호환 앱 확인

AWS 공식 홈페이지에서 안내하는 가상 MFA 디바이스 설정과 호환되는 애플리케이션 목록 확인

 

여러 개의 애플리케이션 중 한 가지를 선택하여 설치

 

루트 계정에서 MFA 활성화

 

가상 MFA 디바이스 선택

 

다운로드한 어플리케이션 실행 > 바코드 스캔

 

QR 코드 표시 > QR 코드 스캔 > MFA 코드 두 번 입력 > MFA 할당

MFA 활성화 완료

 

IAM 사용자 및 그룹 관리

 

결제 정보에 대해 IAM 사용자 접근 권한을 부여하는 설정 (루트 계정에서만 설정 가능)

 

내 계정

 

편집

 

IAM 액세스 활성화 체크 > IAM 사용자가 결제 대시 보드에 액세스할 수 있음

 

사용자와 그룹을 직무 또는 역할따라 생성하고 그룹 단위로 정책을 할당하여 관리한다.

AWS에서는 루트 계정 사용을 최소화하고 IAM 사용자와 그룹을 이용하여 관리자 IAM 사용자 및 그룹을 생성하여 사용하는 것을 권장한다. (단, AdministratorAccess 정책은 관리자 사용자 및 그룹에게만 부여할 것을 주의한다)

 

관리자 사용자 추가

관리자 그룹 생성

AdministratorAccess 정책을 연결하여 관리자 권한 부여

.csv 파일은 추후 액세스 키 재발급 등으로 주기적인 교체를 해주는 것을 권장한다.

 

IAM 비밀번호 정책 적용