AWS 사용자
보안과 조직 관리에 대한 목적으로 AWS 계정에 대한 액세스 권한을 특정 사용자 자격 증명에 부여 할 수 있습니다. 또한 기존에 생성한 자격 증명을 AWS에 연동하여 사용자의 액세스를 더욱 간소화 할 수 있습니다. 여기서 자격 증명이란 암호, 액세스 키, Amazon CloudFront 키 페어, SSH 퍼블릭 키 등을 의미합니다. 사용자에게 주어지는 AWS 계정은 다음과 같습니다.
AWS 사용자 | 자격 증명 |
루트 사용자 | 이메일, 암호 등 |
IAM 사용자 | 암호, 액세스 키 등 |
기존 사용자 연동 | SAML 2.0(Serucirt Assertion Markup Language 2.0), Microsft Active Directory 등 |
루트 사용자 자격 증명
AWS를 최초로 이용할 때 루트 사용자에 대한 자격 증명을 생성합니다. 루트 사용자의 자격 증명은 계정을 생성 할 때 입력한 이메일 주소와 암호입니다. 이를 통해 루트 사용자는 AWS Management Console에 로그인 할 수 있습니다. 루트 사용자의 이메일과 암호의 조합을 루트 사용자 자격 증명이라고 부릅니다.
루트 사용자 자격 증명을 사용하면 AWS 계정의 모든 리소스, 결제 정보, 암호 변경 권한 등 모든 서비스를 완전히 제한 없이 액세스 할 수 있습니다. 루트 사용자에 부여된 액세스는 계정을 처음 설정할 때 필요한 것들을 포함(결제 정보 입력 등)하며, 일상적인 리소스(S3, EC2, RDS 등)에 대한 액세스에서는 루트 사용자 자격 증명을 사용하지 않는 것을 권장합니다. 루트 사용자의 액세스는 디폴트로 무한하며, 조직의 서비스 제어 정책(AWS SCPs, Service Control Policies)을 사용함으로써 루트 사용자에 부여되는 권한을 제한 할 수 있습니다.
IAM 사용자
IAM 자격 증명을 통해 사용자가 누구인지 확인하는 인증 과정을 거칩니다. 루트 사용자 자격 증명을 타인과 공유하는 대신, 조직 내 사용자에게 루트 계정 내 개별 IAM 사용자를 생성하여 부여합니다. 따라서 IAM 사용자는 개별 계정이 아니고, 루트 사용자 내의 또 다른 사용자로 볼 수 있습니다. 각 IAM 사용자는 AWS Management Console 액세스를 위한 고유의 암호를 가질 수 있습니다. 또한 사용자 계정이 액세스 할 수 있는 리소스에 대한 프로그래밍을 위해 고유의 액세스 키를 할당 받을 수 있습니다. 아래 그림에서는 AWS 루트 사용자(Account) 하나에 다수의 IAM 사용자를 생성하여 운용하는 것을 보여줍니다. 각 IAM 사용자는 고유의 암호와 액세스 키 등의 자격 증명을 부여 받습니다.
IAM 사용자는 항상 사람이라고 단정 지을 수 없습니다. 일부 IAM은 애플리케이션, 백앤드 서버 등에서 AWS 리소스에 액세스하기 위한 용도로 사용 될 수 있습니다.
기존 사용자 연동
조직 내 사용자에게 이미 인증 방법이 있는 경우(예:회사 네트워크에 로그인) 해당 사용자를 위해 별도의 IAM 사용자를 생성 할 필요가 없습니다. 이러한 조직 내 인증 방법을 AWS에 연동 할 수 있기 때문입니다.
'AWS > IAM' 카테고리의 다른 글
[AWS/IAM] IAM 튜토리얼#002.IAM 사용자와 그룹 생성 (0) | 2022.01.13 |
---|---|
[AWS/IAM] IAM 튜토리얼#001.IAM 사용하기 (0) | 2022.01.12 |
[AWS/IAM] 권한과 정책 (0) | 2022.01.12 |
[AWS/IAM] AWS IAM 동작 방식의 이해 (0) | 2022.01.10 |
[AWS/IAM] AWS IAM(Identity and Access Management) 소개 (0) | 2022.01.10 |