메뉴
AWS Identity and Access Management
사용 설명서

IAM 사용자의 액세스 키 관리

참고

웹 사이트에서 Amazon 제품을 팔기 위해 Product Advertising API를 구성하기 위해 이 주제를 찾았다면 다음 주제들을 참조하십시오.

사용자는 AWS Command Line Interface (AWS CLI), Windows PowerShell용 도구, AWS SDK 또는 개별 AWS 서비스의 API를 사용한 직접 HTTP 호출을 통해 AWS에 대한 호출을 프로그래밍 방식으로 하려면 사용자의 개별 액세스 키가 필요합니다. 이 요구를 충족하기 위해 IAM 사용자에 대한 액세스 키(액세스 키 ID 및 보안 액세스 키)를 생성, 수정, 확인 또는 교체할 수 있습니다.

액세스 키를 만들면 IAM이 액세스 키 ID와 보안 액세스 키를 반환합니다. 이를 안전한 곳에 저장한 후 사용자에게 제공합니다.

중요

AWS 계정의 보안을 유지하기 위해 보안 액세스 키는 생성 시에만 액세스할 수 있습니다. 보안 액세스 키를 분실하면 연결된 사용자의 액세스 키를 삭제한 후 새 키를 만들어야 합니다. 자세한 내용은 분실하거나 잊어버린 암호나 액세스 키 복구을 참조하십시오.

액세스 키를 만들면 상태가 Active가 되어 사용자가 AWS CLI, Windows PowerShell용 도구 및 API 호출에 액세스 키를 사용할 수 있도록 기본 설정되어 있습니다. 각 사용자마다 2개의 활성 액세스 키를 가질 수 있고 이는 사용자의 액세스 키를 교체해야 할 때 유용합니다. 사용자의 액세스 키를 비활성화하면 API 호출에 사용할 수 없습니다. 키를 교체할 동안 또는 사용자의 API 액세스를 취소하기 위해 키를 비활성화할 수 있습니다.

액세스 키는 언제든지 삭제할 수 있습니다. 그러나 액세스 키를 삭제하면 영구 삭제되어 되돌릴 수 없습니다. (언제든지 새 키를 만들 수 있습니다.)

사용자가 직접 키를 나열, 교체 및 관리할 수 있는 권한을 부여할 수 있습니다. 자세한 내용은 사용자가 자신의 암호, 액세스 키, SSH 키를 관리할 수 있도록 허용 단원을 참조하십시오.

AWS 및 IAM에 사용되는 자격 증명에 대한 자세한 내용은 임시 보안 자격 증명Amazon Web Services 일반 참조보안 자격 증명 유형을 참조하십시오.

액세스 키 생성, 수정 및 확인(콘솔)

AWS Management Console을 이용해 IAM 사용자의 액세스 키를 관리할 수 있습니다.

여러 사용자의 액세스 키 ID 목록을 조회하려면

  1. AWS Management Console에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 [Users]를 선택합니다.

  3. 필요할 경우 다음 단계를 통해 사용자 테이블에 [Access key ID] 열을 추가합니다.

    1. 테이블 위 맨 오른쪽에서 설정 아이콘( 설정 아이콘 )를 선택합니다.

    2. [Manage Columns]에서 [Access key ID]를 선택합니다.

    3. [Close]를 선택하여 사용자 목록으로 돌아갑니다.

  4. [Access key ID] 열에 액세스 키 ID가 표시됩니다. 이 정보를 사용하여 한 개 또는 두 개의 액세스 키를 가진 사용자의 액세스 키를 보고 복사할 수 있습니다. 이 열에는 또한 액세스 키가 [(Active)]인지 또는 [(Inactive)]인지가 표시됩니다. 액세스 키가 없는 사용자는 이 열에 [None]이라고 표시됩니다.

    참고

    사용자의 액세스 키 ID와 상태만 표시됩니다. 보안 액세스 키는 키를 만들 때만 가져올 수 있습니다.

어떤 사용자가 특정 액세스 키를 소유하고 있는지 확인하려면

  1. AWS Management Console에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 [Users]를 선택합니다.

  3. 검색 상자에 해당 사용자의 액세스 키 ID를 입력하거나 붙여 넣습니다.

  4. 필요할 경우 다음 단계를 통해 사용자 테이블에 [Access key ID] 열을 추가합니다.

    1. 테이블 위 맨 오른쪽에서 설정 아이콘( 설정 아이콘 )를 선택합니다.

    2. [Manage Columns]에서 [Access key ID]를 선택합니다.

    3. [Close]를 선택하여 사용자 목록으로 돌아간 후 지정된 액세스 키를 소유하는 사용자로 필터링되었는지 확인합니다.

사용자의 액세스 키를 나열하려면

  1. AWS Management Console에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 [Users]를 선택합니다.

  3. 해당 사용자의 이름을 선택한 후 [Security Credentials] 탭을 선택합니다. 사용자의 액세스 키와 각 키의 상태가 표시됩니다.

    참고

    사용자의 액세스 키 ID만 표시됩니다. 보안 액세스 키는 키를 만들 때만 가져올 수 있습니다.

사용자의 액세스 키를 생성, 수정 또는 삭제하려면

  1. AWS Management Console에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 [Users]를 선택합니다.

  3. 해당 사용자의 이름을 선택한 후 [Security Credentials] 탭을 선택합니다.

  4. 필요한 경우 [Access Keys] 섹션을 펼쳐서 다음 작업을 할 수 있습니다.

    • 액세스 키를 만들려면 [Create Access Key]와 [Download Credentials]를 선택합니다. 그런 다음 액세스 키 ID와 보안 액세스 키를 컴퓨터의 CSV 파일에 저장합니다. 안전한 위치에 파일을 저장합니다. 이 대화 상자를 닫은 후에는 보안 액세스 키에 다시 액세스할 수 없습니다. CSV 파일을 다운로드한 후 [Close]를 클릭합니다.

    • 활성 상태의 액세스 키를 비활성화하려면 [Make Inactive]를 선택합니다.

    • 비활성 상태의 액세스 키를 다시 활성화하려면 [Make Active]를 선택합니다.

    • 액세스 키를 삭제하려면 [Delete]를 선택한 후 [Delete]를 선택하여 확정합니다.

액세스 키 생성, 수정 및 확인(API, CLI, PowerShell)

AWS CLI, Windows PowerShell용 도구 또는 AWS API에서 사용자의 액세스 키를 관리하려면 다음 명령을 사용하십시오.

액세스 키 생성

액세스 키 비활성화 또는 다시 활성화

사용자의 액세스 키를 나열하려면

가장 최근에 액세스 키를 사용한 시기 확인

액세스 키 삭제

액세스 키 교체

보안 모범 사례로 관리자가 정기적으로 계정 내 각 IAM 사용자의 액세스 키를 교체(변경)할 것을 권장합니다. 사용자에게 필수 권한을 부여한 경우 사용자가 직접 액세스 키를 교체할 수 있습니다. 사용자가 직접 액세스 키를 교체할 수 있도록 권한을 부여하는 방법은 사용자가 자신의 암호, 액세스 키, SSH 키를 관리할 수 있도록 허용 단원을 참조하십시오.

또한, 모든 IAM 사용자가 주기적으로 암호를 교체하도록 요구하는 암호 정책을 계정에 적용할 수 있습니다. 얼마나 자주 교체하도록 할지 선택할 수 있습니다. 자세한 내용은 IAM 사용자의 계정 암호 정책 설정 단원을 참조하십시오.

중요

AWS 계정 루트 사용자 자격 증명을 사용할 경우 그 자격 증명도 정기적으로 교체할 것을 권장합니다. 계정 암호 정책은 루트 사용자 자격 증명에는 적용되지 않습니다. IAM 사용자는 AWS 계정 루트 사용자의 자격 증명을 관리할 수 없으므로 루트 사용자의 자격 증명(사용자의 자격 증명이 아님)을 사용하여 루트 사용자 자격 증명을 변경해야 합니다. AWS의 일상적인 작업에서는 루트 사용자를 사용하지 않는 것이 좋습니다.

액세스 키 교체 시점을 결정하려면(콘솔)

  1. AWS Management Console에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 [Users]를 선택합니다.

  3. 필요할 경우 다음 단계를 통해 사용자 테이블에 [Access key age] 열을 추가합니다.

    1. 테이블 위 맨 오른쪽에서 설정 아이콘( 설정 아이콘 )를 선택합니다.

    2. [Manage Columns]에서 [Access key age]를 선택합니다.

    3. [Close]를 선택하여 사용자 목록으로 돌아갑니다.

  4. [Access key age] 열에는 가장 오래된 활성 액세스 키가 생성된 이후로 경과한 일수가 표시됩니다. 이 정보를 사용하여 교체가 필요한 액세스 키를 소유한 사용자를 확인할 수 있습니다. 액세스 키가 없는 사용자는 이 열에 [None]이라고 표시됩니다.

애플리케이션을 중단하지 않고 액세스 키를 교체하려면(콘솔)

다음 단계는 애플리케이션 중단 없이 액세스 키를 교체하기 위한 일반적인 프로세스를 설명합니다. 이 절차는 액세스 키를 교체하기 위한 AWS CLI, Windows PowerShell용 도구 및 AWS API 명령을 보여줍니다. 이러한 작업은 콘솔을 사용하여 수행할 수도 있습니다. 자세한 내용은 위의 액세스 키 생성, 수정 및 확인(콘솔)을 참조하십시오.

  1. 최초 액세스 키가 활성 상태일 때 두 번째 액세스 키를 만들면 이 키도 기본적으로 활성 상태가 됩니다. 따라서 사용자에게 두 개의 활성 액세스 키가 생깁니다.

    1. AWS Management Console에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

    2. 탐색 창에서 [Users]를 선택합니다.

    3. 해당 사용자의 이름을 선택한 후 [Security Credentials] 탭을 선택합니다.

    4. [Create Access Key]를 선택하고 [Download Credentials]를 선택하여 액세스 키 ID와 보안 액세스 키를 컴퓨터의 .csv 파일에 저장합니다. 안전한 위치에 파일을 저장합니다. 이 단계를 끝낸 후에는 보안 액세스 키에 다시 액세스할 수 없습니다. .csv 파일을 다운로드한 후 [Close]를 클릭합니다.

  2. 새 액세스 키를 사용하도록 모든 애플리케이션과 도구를 업데이트합니다.

  3. 가장 오래된 액세스 키의 [Last used] 열을 검토하여 최초 액세스 키가 아직 사용 중인지 확인합니다. 한 가지 접근 방식은 며칠을 기다린 다음 계속하기 전에 사용된 적이 있는 기존 액세스 키가 있는지 확인하는 것입니다.

  4. [Last used] 열에 오래된 키가 사용된 적이 없다고 표시되더라도 최초 액세스 키를 바로 삭제하지 않는 것이 좋습니다. 대신 [Make inactive]를 선택하여 최초 액세스 키를 비활성화합니다.

  5. 새 액세스 키만 사용하여 애플리케이션이 작동 중인지 확인합니다. 원래 액세스 키를 계속 사용하는 어떤 애플리케이션도 AWS 리소스에 더 이상 액세스할 수 없기 때문에 이 시점에 작업을 중단합니다. 그러한 애플리케이션 또는 도구를 찾는다면 [Make active]를 선택하여 최초 액세스 키를 다시 활성화할 수 있습니다. 그런 다음 단계 3 단원으로 돌아가 이 애플리케이션을 업데이트하여 새 키를 사용하십시오.

  6. 일정 기간 기다린 후 모든 애플리케이션과 도구가 업데이트되었는지 확인한 뒤에 최초 액세스 키를 삭제할 수 있습니다:

    1. AWS Management Console에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

    2. 탐색 창에서 [Users]를 선택합니다.

    3. 해당 사용자의 이름을 선택한 후 [Security Credentials] 탭을 선택합니다.

    4. [Create Access Key]를 선택하고 [Delete]를 선택한 후 [Delete]를 선택하여 확정합니다.

애플리케이션을 중단하지 않고 액세스 키를 교체하려면(API, CLI, PowerShell)

  1. 최초 액세스 키가 활성 상태일 때 두 번째 액세스 키를 만들면 이 키도 기본적으로 활성 상태가 됩니다. 따라서 사용자에게 두 개의 활성 액세스 키가 생깁니다.

  2. 새 액세스 키를 사용하도록 모든 애플리케이션과 도구를 업데이트합니다.

  3. 최초 액세스 키가 아직 사용 중인지 확인합니다.

    한 가지 접근 방식은 며칠을 기다린 다음 계속하기 전에 사용된 적이 있는 기존 액세스 키가 있는지 확인하는 것입니다.

  4. 단계 3 단계를 통해 기존 키를 사용한 적이 없다는 것이 밝혀진 경우 최초의 액세스 키를 즉시 삭제하지 말 것을 권장합니다. 그 대신 최초 액세스 키의 상태를 Inactive로 변경하십시오.

  5. 새 액세스 키만 사용하여 애플리케이션이 작동 중인지 확인합니다. 원래 액세스 키를 계속 사용하는 어떤 애플리케이션도 AWS 리소스에 더 이상 액세스할 수 없기 때문에 이 시점에 작업을 중단합니다. 그러한 애플리케이션 또는 도구를 찾는다면 그 상태를 Active로 되돌려 최초 액세스 키를 다시 활성화할 수 있습니다. 그런 다음 단계 2 단계로 돌아가 이 애플리케이션을 업데이트해 새 키를 사용하십시오.

  6. 일정 기간 기다린 후 모든 애플리케이션과 도구가 업데이트되었는지 확인한 뒤에 최초 액세스 키를 삭제할 수 있습니다.

자세한 내용은 다음을 참조하십시오.