본문 바로가기
공부/AWS

[AWS] Identity Center를 활용한 관리자 IAM 사용자 생성 (관리자 IAM 사용자를 사용하는 이유)

by 웅대 2023. 2. 22.
728x90
반응형

이전 포스팅에서 AWS에서 S3 스토리지를 생성하고 업로드 및 정책 설정을 해보았다.

 

루트 사용자 계정으로 콘솔에서 S3 스토리지를 생성하고 사용해보았는데 실제로는 이렇게 사용하는 경우가 많지는 않을 것이다.

 

이유는 다음과 같다.

루트 사용자 보안 인증은 AWS에서 권장하지 않는다.

 

AWS에 처음 가입하고 가입한 이메일로 로그인을 했다면 루트 사용자 보안 인증을 사용한 것이다.

 

루트 사용자의 경우 AWS의 모든 리소스에 무제한 접근이 가능하다. 

 

무제한 접근이 가능한 만큼 타인과 이 계정을 공유하기 어렵다는 단점이 있다.

 

그래서 AWS에서 권장하는 사항이 아니다.

 

AWS에서 권장하는 사항은 루트 계정을 통해 IAM 사용자를 만들어서 관리 권한을 주는 것이다.

 

여기서 IAM이란 Identity and Access Management의 약자로 사용자를 식별할 수 있다.

 

루트 계정 내에서 여러 IAM 사용자를 만들어서 권한들을 부여하고 관리를 할 수 있다.

 

 

 

우리가 원하는 방식은 콘솔에서 접근하는 것이 아니라 프로그래밍 코드를 통해 접근하는 것이다.

 

예를 들어 스프링 프레임워크를 쓴다고 하면 이미지 파일을 클라이언트로부터 받아서 S3에 업로드하는 비즈니스 로직이 존재할 것이다.

 

이럴 경우 콘솔로 접근하는 것이 아닌 코드로 접근을 하기 때문이다.

 

그래서 이번 포스팅에서는 루트 사용자 계정이 아닌 관리자 권한을 부여한 IAM 사용자를 만들고

 

다음 포스팅에서는 프로그래밍 코드로 S3에 접근할 수 있는 IAM 사용자를 만들어서 코드로 S3 버킷에 객체를 업로드하려고 한다.

 

먼저 루트 사용자 계정으로 로그인하고 IAM을 검색하여 대시보드에 들어간다.

 

처음 AWS에 가입했다면 위와 같은 모습일 것이다.

 

AWS에서는 루트 사용자에 대해서 MFA(다중 인증)를 추가하여 보안을 강화하는 것을 권장하는데 지금은 스킵하고 나중에 할 예정이다.

 

좌측의 사용자에 들어간다.

우측 상단의 사용자 추가를 클릭한다.

콘솔에 대한 사용자 액세스 권한 제공을 체크하고 다음을 누르면 Identity Center로 이동할 것이다.

활성화를 누른다.

조직 생성을 누른다.

사용자에 들어가서 사용자 추가를 진행한다.

기본 정보를 입력한다. 이 아래로 연락 방법, 주소 등등 선택 사항들이 있는데 필요한 선택 사항들이 있다면 작성하면 될 것 같다.

그룹을 생성한다.

 

그룸 이름과 설명란을 작성하고 그룹 생성을 누른다. 아직 사용자가 생성되지 않았기 때문에 추가할 수 있는 사용자는 없다.

생성한 그룹을 선택하고 다음으로 넘어간다.

 

입력한 정보들을 확인하고 수정 사항이 없다면 우측 하단의 사용자 추가를 누른다.

 

사용자가 생성되었다면 입력한 이메일 주소로 계정의 비밀번호를 설정할 수 있는 메일이 발송된다.

이메일의 Accept invitation을 누르면 비밀번호를 설정할 수 있다. 

 

참고로 로그인을 위해서는 Your AWS access portal URL로 접속을 해서 로그인을 해야하기 때문에 Your AWS access portal URL을 기억해두자.

사용자 이름과 설정한 비밀번호로 로그인을 하게 되므로 이름과 암호를 기억해둔다.

 

이처럼 Identity Center를 통해 IAM 사용자를 만들었다면

 

이메일로 받은 AWS access portal URL에 접속한다.

 

Identity Center를 통해서 사용자를 생성했기 때문에 aws 사이트에서 IAM 사용자로 로그인은 동작하지 않는다.

 

AWS access portal URL로 접속해야한다.

이름과 암호를 입력하여 로그인한다.

 

아직 권한을 부여하지 않았기 때문에 할 수 있는 것이 없다.

 

이제 관리 권한 세트를 생성할 차례이다.

권한 세트 생성을 누른다.

사전 정의된 권한 세트 -> AdministratorAccess를 선택 후 다음으로 넘어간다.

기본 설정을 유지하고 다음으로 넘어간다.

 

기본 설정을 유지하고 생성하면 권한 세트 생성이 완료된다.

 

이제 관리자 IAM 사용자에게 권한을 부여할 차례이다.

IAM Identity Center -> 다중 계정 권한 -> AWS 계정에서 관리 계정(루트 계정)로 들어간다.

사용자 또는 그룹 할당을 클릭한다.

이전에 IAM 사용자를 생성할 때 만들어둔 그룹을 선택하고 다음으로 넘어간다.

만들어둔 권한 세트를 선택하고 다음으로 넘어간다.

 

제출한다.

 

조금 기다리면 권한 부여가 완료된다.

 

이메일로 받은 Your AWS access portal URL로 접속하여 다시 로그인을 하면 Aws account가 생긴 것을 볼 수 있고 이를 클릭하면 관리자 IAM 계정으로 콘솔에 접근할 수 있다.

이전 포스팅에서는 루트 계정으로 S3 버킷을 생성하고 객체를 업로드 해보았는데 이렇게 관리자 IAM 사용자를 생성해서 이를 통해서 서비스에 접근하는 것이 권장하는 방식이다.

 

https://growth-coder.tistory.com/114

 

[AWS] Amazon S3 개념 및 파일 업로드 해보기

Amazon S3는 Amazon Simple Storage Service의 약자로 데이터를 객체 단위로 관리하는 오브젝트 스토리지 서비스이다. 가끔 프로젝트를 진행하다보면 이미지나 동영상 같은 파일들을 서버에 업로드하는 기

growth-coder.tistory.com

 

다음 포스팅에서는 S3 버킷에 객체를 업로드하기 위한 IAM 사용자 생성과 프로그래밍 코드로 이미지를 S3 버킷에 업로드를 해보려한다.

 

참고

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/introduction_identity-management.html

 

 

AWS 자격 증명 관리 개요: 사용자 - AWS Identity and Access Management

이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.

docs.aws.amazon.com

 

 

728x90
반응형

댓글