메뉴
AWS Identity and Access Management
사용 설명서

IAM 사용자의 액세스 키 관리

참고

웹 사이트에서 Amazon 제품을 팔기 위해 Product Advertising API를 구성하려고 애쓰다가 이 주제를 찾았다면 다음 주제들을 참조하십시오:

사용자는 AWS Command Line Interface (AWS CLI), Windows PowerShell용 도구, AWS SDK 또는 개별 AWS 서비스의 API를 사용한 직접 HTTP 호출을 통해 AWS에 대한 호출을 프로그래밍 방식으로 하려면 사용자의 개별 액세스 키가 필요합니다. 이 요구를 충족하기 위해 IAM 사용자에 대한 액세스 키(액세스 키 ID 및 보안 액세스 키)를 생성, 수정, 확인 또는 교체할 수 있습니다.

액세스 키를 만들면 IAM이 액세스 키 ID와 보안 액세스 키를 반환합니다. 이를 안전한 곳에 저장한 후 사용자에게 제공합니다.

중요

AWS 계정의 보안을 유지하기 위해 보안 액세스 키는 생성 시에만 액세스할 수 있습니다. 보안 액세스 키를 분실하면 연결된 사용자의 액세스 키를 삭제한 후 새 키를 만들어야 합니다. 자세한 내용은 분실하거나 잊어버린 암호나 액세스 키 복구을 참조하십시오.

액세스 키를 만들면 상태가 Active가 되어 사용자가 AWS CLI, Windows PowerShell용 도구 및 API 호출에 액세스 키를 사용할 수 있도록 기본 설정되어 있습니다. 각 사용자마다 2개의 활성 액세스 키를 가질 수 있고 이는 사용자의 액세스 키를 교체해야 할 때 유용합니다. 사용자의 액세스 키를 비활성화하면 API 호출에 사용할 수 없습니다. 키를 교체할 동안 또는 사용자의 API 액세스를 취소하기 위해 키를 비활성화할 수 있습니다.

액세스 키는 언제든지 삭제할 수 있습니다. 그러나 액세스 키를 삭제하면 영구 삭제되어 되돌릴 수 없습니다. (언제든지 새 키를 만들 수 있습니다.)

사용자가 직접 키를 나열, 교체 및 관리할 수 있는 권한을 부여할 수 있습니다. 자세한 내용은 사용자가 자신의 암호, 액세스 키, SSH 키를 관리할 수 있도록 허용 단원을 참조하십시오.

AWS 및 IAM에 사용되는 자격 증명에 대한 자세한 내용은 임시 보안 자격 증명Amazon Web Services 일반 참조보안 자격 증명 유형을 참조하십시오.

액세스 키 생성, 수정 및 확인(AWS Management Console)

AWS Management Console을 이용해 IAM 사용자의 액세스 키를 관리할 수 있습니다.

사용자의 액세스 키를 나열하려면

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔에 로그인합니다.

  2. 탐색 창에서 [Users]를 선택합니다.

  3. 해당 사용자의 이름을 선택한 후 [Security Credentials] 탭을 선택합니다. 사용자의 액세스 키와 각 키의 상태가 표시됩니다.

    참고

    사용자의 액세스 키 ID만 표시됩니다. 보안 액세스 키는 키를 만들 때만 가져올 수 있습니다.

사용자의 액세스 키를 생성, 수정 또는 삭제하려면

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔에 로그인합니다.

  2. 탐색 창에서 [Users]를 선택합니다.

  3. 해당 사용자의 이름을 선택한 후 [Security Credentials] 탭을 선택합니다.

  4. 필요한 경우 [Access Keys] 섹션을 펼쳐서 다음 작업을 할 수 있습니다.

    • 액세스 키를 만들려면 [Create Access Key]와 [Download Credentials]를 선택한 후 액세스 키 ID와 보안 액세스 키를 컴퓨터의 CSV 파일에 저장합니다. 안전한 위치에 파일을 저장합니다. 이 대화 상자를 닫은 후에는 보안 액세스 키에 다시 액세스할 수 없습니다. CSV 파일을 다운로드한 후 [Close]를 클릭합니다.

    • 활성 상태의 액세스 키를 비활성화하려면 [Make Inactive]를 선택합니다.

    • 비활성 상태의 액세스 키를 재활성화하려면 [Make Active]를 선택합니다.

    • 액세스 키를 삭제하려면 [Delete]를 선택한 후 [Delete]를 선택하여 확정합니다.

액세스 키 생성, 수정 및 확인(AWS CLI, Windows PowerShell용 도구, 및 AWS API)

AWS CLI, Windows PowerShell용 도구 또는 AWS API에서 사용자의 액세스 키를 관리하려면 다음 명령을 사용하십시오.

액세스 키 생성

액세스 키 비활성화 또는 재활성화

사용자의 액세스 키를 나열하려면

가장 최근에 액세스 키를 사용한 시기 확인

액세스 키 삭제

액세스 키 교체(AWS CLI, Windows PowerShell용 도구 및 AWS API)

보안 모범 사례로 관리자가 정기적으로 계정 내 각 IAM 사용자의 액세스 키를 교체(변경)할 것을 권장합니다. 사용자에게 필수 권한을 부여한 경우 사용자가 직접 액세스 키를 교체할 수 있습니다. 사용자가 직접 액세스 키를 교체할 수 있도록 권한을 부여하는 방법은 사용자가 자신의 암호, 액세스 키, SSH 키를 관리할 수 있도록 허용 단원을 참조하십시오.

또한, 모든 IAM 사용자가 주기적으로 암호를 교체하도록 요구하는 암호 정책을 계정에 적용할 수 있습니다. 얼마나 자주 교체하도록 할지 선택할 수 있습니다. 자세한 내용은 IAM 사용자의 계정 암호 정책 설정 단원을 참조하십시오.

중요

AWS 루트 계정 자격 증명을 정기적으로 사용할 경우 그 자격 증명도 정기적으로 교체할 것을 권장합니다. AWS 루트 계정 자격 증명에는 계정 암호 정책이 적용되지 않습니다. IAM 사용자는 AWS 루트 계정의 자격 증명을 관리할 수 없으므로 AWS 루트 계정의 자격 증명(사용자의 자격 증명이 아님)을 사용하여 AWS 루트 계정 자격 증명을 변경해야 합니다. AWS의 일상적인 작업에서는 AWS 루트 계정을 사용하지 않는 것이 좋다는 점에 유의하십시오.

다음 단계는 애플리케이션 중단 없이 액세스 키를 교체하기 위한 일반적인 프로세스를 설명합니다. 이 절차는 액세스 키를 교체하기 위한 AWS CLI, Windows PowerShell용 도구 및 AWS API 명령을 보여줍니다. 이러한 작업은 콘솔을 사용하여 수행할 수도 있습니다. 자세한 내용은 위의 액세스 키 생성, 수정 및 확인(AWS Management Console)을 참조하십시오.

  1. 첫 번째 액세스 키가 활성 상태일 때 두 번째 액세스 키를 만들면 이 키도 기본적으로 활성 상태가 됩니다. 따라서 사용자에게 두 개의 활성 액세스 키가 생깁니다.

  2. 새 액세스 키를 사용하도록 모든 애플리케이션과 도구를 업데이트합니다.

  3. 첫 번째 액세스 키가 아직 사용 중인지 확인합니다.

    한 가지 접근 방식은 며칠을 기다린 다음 계속하기 전에 사용된 적이 있는 기존 액세스 키가 있는지 확인하는 것입니다.

  4. [ERROR]: xref (step-determine-use) does not have an endterm or text for the link (target element: listitem). See id_credentials_access-keys to view the link "" found under "IAM 사용자의 액세스 키 관리" id="id_credentials_access-keys" in file 'id_credentials_access-keys.xml'. 단계를 통해 기존 키를 사용한 적이 없다는 것이 밝혀진 경우 최초의 액세스 키를 즉시 삭제하지 말 것을 권장합니다. 그 대신 최초 액세스 키의 상태를 Inactive로 변경하십시오.

  5. 새 액세스 키만 사용하여 애플리케이션이 작동 중인지 확인합니다. 원래 액세스 키를 계속 사용하는 어떤 애플리케이션도 AWS 리소스에 더 이상 액세스할 수 없기 때문에 이 시점에 작업을 중단합니다. 그런 애플리케이션 또는 도구를 찾는다면 그 상태를 다시 Active로 되돌려 최초 액세스 키를 재활성화할 수 있습니다. 그런 다음 [ERROR]: xref (step-update-apps) does not have an endterm or text for the link (target element: listitem). See id_credentials_access-keys to view the link "" found under "IAM 사용자의 액세스 키 관리" id="id_credentials_access-keys" in file 'id_credentials_access-keys.xml'. 단계로 돌아가 이 애플리케이션을 업데이트해 새 키를 사용하십시오.

  6. 일정 기간 기다린 후 모든 애플리케이션과 도구가 업데이트되었는지 확인한 뒤에 최초 액세스 키를 삭제할 수 있습니다.

자세한 내용은 다음 자료를 참조하십시오.