Amazon EC2의 자격 증명 및 액세스 관리

보안 자격 증명은 AWS의 서비스에서 사용자를 식별하고 Amazon EC2 리소스와 같은 AWS 리소스의 제한 없는 사용을 허가하는 데 사용됩니다. Amazon EC2 및 AWS Identity and Access Management(IAM)의 기능을 사용하면 보안 자격 증명을 공유하지 않고도 다른 사용자, 서비스 및 애플리케이션에 Amazon EC2 리소스 사용을 허가할 수 있습니다. IAM을 사용하여 다른 사용자가 AWS 계정의 리소스를 사용하는 방법을 제어하고 보안 그룹을 사용하여 Amazon EC2 인스턴스에 대한 액세스를 제어할 수 있습니다. Amazon EC2 리소스의 전체 사용 또는 제한 사용을 허가할 수 있습니다.

IAM을 사용하는 AWS 리소스를 보안하기 위한 모범 사례의 경우 IAM 모범 사례를 참조하세요.

내용

• 인스턴스에 대한 네트워크 액세스
• Amazon EC2 권한 속성
• IAM 및 Amazon EC2
• Amazon EC2에 대한 IAM 정책
• Amazon EC2에 대한 AWS 관리형 정책
• Amazon EC2의 IAM 역할

인스턴스에 대한 네트워크 액세스

보안 그룹은 하나 이상의 인스턴스에 도달하도록 허용되는 트래픽을 제어하는 방화벽 역할을 합니다. 인스턴스를 시작할 때 하나 이상의 보안 그룹을 할당합니다. 각 보안 그룹에는 인스턴스의 트래픽을 제어하는 규칙을 추가합니다. 언제든지 보안 그룹에 대한 규칙을 수정할 수 있습니다. 새 규칙은 보안 그룹이 할당된 모든 인스턴스에 자동으로 적용됩니다.

자세한 내용은 보안 그룹 규칙 단원을 참조하십시오.

Amazon EC2 권한 속성

조직에는 여러 개의 AWS 계정이 있을 수 있습니다. Amazon EC2에서는 Amazon Machine Image(AMI) 및 Amazon EBS 스냅샷을 사용할 수 있는 추가 AWS 계정을 지정할 수 있습니다. 이러한 권한은 AWS 계정 수준으로만 적용되며, 지정된 AWS 계정에 속한 특정 사용자의 권한을 제한할 수는 없습니다. 지정한 AWS 계정의 모든 사용자가 AMI 또는 스냅샷을 사용할 수 있습니다.

각 AMI에는 AMI에 액세스할 수 있는 LaunchPermission 계정을 제어하는 AWS 속성이 있습니다. 자세한 내용은 AMI를 퍼블릭으로 설정 섹션을 참조하세요.

각 Amazon EBS 스냅샷에는 스냅샷을 사용할 수 있는 AWS 계정을 제어하는 createVolumePermission 속성이 있습니다. 자세한 내용은 Amazon EBS 사용 설명서의 Share an Amazon EBS snapshot을 참조하세요.

IAM 및 Amazon EC2

IAM을 사용하여 다음을 수행할 수 있습니다.

• AWS 계정의 사용자와 그룹 생성

• AWS 계정의 사용자 각각에 고유한 보안 자격 증명 할당

• 작업 수행 시 각 사용자의 AWS 리소스 사용 권한 제어

• 다른 AWS 계정의 사용자와 AWS 리소스 공유

• AWS 계정에 적용할 규칙 생성 및 규칙을 관리할 사용자나 서비스 규정

• 엔터프라이즈의 기존 자격 증명을 사용해 AWS 리소스를 사용하는 작업 권한 허용

IAM과 Amazon EC2를 함께 사용하면 조직 내 사용자별로 특정 Amazon EC2 API 작업을 사용하여 태스크를 수행할 수 있는지 여부와 특정 AWS 리소스를 사용할 수 있는지 여부를 제어할 수 있습니다.

이 항목에서는 다음과 같은 의문 사항을 해결해 줍니다.

• IAM에서 그룹과 사용자를 생성하려면 어떻게 해야 하나요?

• 정책을 생성하려면 어떻게 해야 하나요?

• IAM에서 작업을 수행하려면 어떠한 Amazon EC2 정책이 필요한가요?

• Amazon EC2에서 작업을 수행할 수 있는 권한을 부여하려면 어떻게 해야 하나요?

• Amazon EC2의 특정 리소스에 대해 작업을 수행할 수 있는 권한을 부여하려면 어떻게 해야 하나요?

사용자, 그룹 및 역할 생성

AWS 계정에 대한 사용자 및 그룹을 생성한 다음 필요한 권한을 할당할 수 있습니다. 가장 좋은 방법은 사용자가 IAM 역할을 수임하여 권한을 획득하는 것입니다.

IAM 역할은 계정에 생성할 수 있는, 특정 권한을 지닌 IAM 자격 증명입니다. IAM 역할은 AWS에서 자격 증명으로 할 수 있는 것과 없는 것을 결정하는 권한 정책을 갖춘 AWS 자격 증명이라는 점에서 IAM 사용자와 유사합니다. 그러나 역할은 한 사람하고만 연관되지 않고 해당 역할이 필요한 사람이라면 누구든지 맡을 수 있어야 합니다. 또한 역할에는 그와 연관된 암호 또는 액세스 키와 같은 표준 장기 자격 증명이 없습니다. 대신에 역할을 맡은 사람에게는 해당 역할 세션을 위한 임시 보안 자격 증명이 제공됩니다. IAM 역할을 생성하고 해당 역할에 대한 권한을 부여하는 방법에 대한 자세한 내용은 Amazon EC2의 IAM 역할 세션을 참조하세요.

관련 주제

IAM에 대한 자세한 내용은 다음을 참조하세요.

• Amazon EC2에 대한 IAM 정책

• Amazon EC2의 IAM 역할

• AWS Identity and Access Management(IAM)

• IAM 사용 설명서