AWS - ROOT사용자 MFA적용하기, IAM admin사용자 추가

root Acount는 이메일로 가입한 계정이다.

 

MFA(Multi Factor Authenticator)

보안 강화를 위해 멀티 팩터 인증(MFA)을 구성하여 AWS 리소스를 보호하는 것이 좋다. IAM 사용자 또는 AWS 계정 루트 사용자에 대해 MFA를 활성화할 수 있다. 루트 사용자에 대해 활성화한 MFA는 루트 사용자 자격 증명에만 영향을 준다. 계정의 IAM 사용자는 자신의 자격 증명에 더하여 별도로 자격 증명을 갖게 되며, 이 별도의 자격 증명에 고유의 MFA가 구성된다.

 

무료로 사용할 수 있는 Google OTP 사용 ⭐핸드폰 기기변경시 변경전에 OTP해제 할 것(마이그레이션 기능을 사용해도된다.)

 

IAM admin 사용자 추가하기

root Acount를 MFA를 사용해서 보안하는 것고 별도로 IAM이라는 서비스를 사용해서 admin을 생성 admin user의 권한 자체는 root Account의 권한과 거의 동일하다. 그럼에도 불구하고 root Acount가 아니라 admin을 사용해서 사용해야하는 이유는 해당계정이 노출되었을때 root Account를 이용하여 손쉽게 admin user를 제어할 수 있기 때문이다.

IAM(Identity and Access Management)

IAM은 AWS리소스에 대한 엑세스를 안전하게 제어할 수 있는 웹 서비스입니다. IAM을 사용하여 리소스를 사용하도록 인증(로그인)및 권한 부여(권한 있음)된 대상을 제어한다.

 

• 루트 사용자로 로그인
• IAM 서비스로 이동
• Admin 그룹 생성 및 권한 부여
• Admin 사용자 생성
• IAM 어드민 유저로 로그인

 

1. Admin 그룹 생성 및 권한 부여

사용자 그룹을 만든다고 해서 해당 사용자 그룹이 실제 admin 권한이 되는 것은 아니다. [권한 정책연결에서]  권한에 대한 정책이 쭉 나열되어 있는 것을 확인 할 수 있다. 해당 목록은 AWS측에서 미리 정해놓은 권하 목록이다.

 

AdministratorAccess라는 정책을 체크해서 새로 생성할 [사용자 그룹에]붙여준다. 그렇게 하면 해당 [사용자 그룹]은  AdministratorAccess라는 정책에서 지정해준 권한을 사용할 수 있게되는 것이다.

 

AdministratorAccess 정책 표시

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

JSON형식의 문서인 것을 확인 할 수있다.

 

2. Admin 사용자 생성

⭐[사용자 그룹]-[사용자]

사용자이름과 사용자 계정번호, 비밀번호 어딘가에 잘 기록하거나 기억해두기