액세스 키 업데이트 - AWS Identity and Access Management
IAM 사용자 액세스 키 업데이트(콘솔)액세스 키 업데이트(AWS CLI)액세스 키 업데이트(AWS API)

액세스 키 업데이트

보안 모범 사례로, 필요할 때(예: 직원 퇴사) IAM 사용자 액세스 키를 업데이트하는 것이 좋습니다. 필요한 권한이 부여되면 IAM 사용자는 자신의 액세스 키를 업데이트할 수 있습니다.

IAM 사용자에게 자신의 액세스 키를 업데이트할 수 있는 권한을 부여하는 방법에 대한 자세한 내용은 AWS: IAM 사용자가 보안 인증 페이지에서 자신의 암호, 액세스 키 및 SSH 퍼블릭 키를 관리할 수 있도록 허용 섹션을 참조하세요. 모든 IAM 사용자가 주기적으로 암호를 업데이트하도록 요구하는 암호 정책(빈도 포함)을 계정에 적용할 수도 있습니다. 자세한 내용은 IAM 사용자의 계정 암호 정책 설정 단원을 참조하십시오.

참고

이 절차를 사용하여 손실된 액세스 키를 비활성화하고, 새 자격 증명으로 바꿉니다.

IAM 사용자 액세스 키 업데이트(콘솔)

AWS Management Console에서 액세스 키를 업데이트할 수 있습니다.

애플리케이션을 중단하지 않고 IAM 사용자의 액세스 키를 업데이트하려면(콘솔)

  1. 최초 액세스 키가 활성 상태일 때 두 번째 액세스 키를 만듭니다.

    1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

    2. 탐색 창에서 사용자를 선택합니다.

    3. 해당 사용자의 이름을 선택한 후 보안 자격 증명 탭을 선택합니다.

    4. 액세스 키 섹션에서 액세스 키 생성을 선택합니다. Access key best practices & alternatives(액세스 키 모범 사례 및 대안) 페이지에서 Other(기타), Next(다음)를 차례로 선택합니다.

    5. (선택 사항) 액세스 키에 대한 설명 태그 값을 설정하여 이 IAM 사용자에게 태그 키-값 페어를 추가합니다. 이는 나중에 액세스 키를 식별하고 업데이트하는 데 도움이 됩니다. 태그 키는 액세스 키 ID로 설정됩니다. 태그 값은 사용자가 지정하는 액세스 키 설명으로 설정됩니다. 모두 마쳤으면 Create access key(액세스 키 생성)를 선택합니다.

    6. Retrieve access keys(액세스 키 검색) 페이지에서 Show(표시)를 선택하여 사용자의 비밀 액세스 키 값을 표시하거나 Download .csv file(.csv 파일 다운로드)을 선택합니다. 이것이 비밀 액세스 키를 저장할 수 있는 유일한 기회입니다. 비밀 액세스 키를 안전한 위치에 저장한 후 Done(완료)을 선택합니다.

      사용자를 위한 액세스 키를 생성하면 해당 키 페어가 기본적으로 활성화되며 사용자는 이 페어를 즉시 사용할 수 있습니다. 따라서 사용자에게 두 개의 활성 액세스 키가 생깁니다.

  2. 새 액세스 키를 사용하도록 모든 애플리케이션과 도구를 업데이트합니다.

  3. 가장 오래된 액세스 키의 Last used(마지막 사용) 정보를 검토하여 최초 액세스 키가 아직 사용 중인지 확인합니다. 한 가지 접근 방식은 며칠을 기다린 다음 계속하기 전에 사용된 적이 있는 기존 액세스 키가 있는지 확인하는 것입니다.

  4. Last used(마지막 사용) 정보에 오래된 키가 사용된 적이 없다고 표시되더라도 최초 액세스 키를 바로 삭제하지 않는 것이 좋습니다. 대신 Actions(작업), Deactivate(비활성화)를 차례로 선택하여 첫 번째 액세스 키를 비활성화합니다.

  5. 새 액세스 키만 사용하여 애플리케이션이 작동 중인지 확인합니다. 원래 액세스 키를 계속 사용하는 어떤 애플리케이션도 AWS 리소스에 더 이상 액세스할 수 없기 때문에 이 시점에 작업을 중단합니다. 그러한 애플리케이션 또는 도구를 찾는다면 최초 액세스 키를 다시 활성화할 수 있습니다. 그런 다음 단계 3 단원으로 돌아가 이 애플리케이션을 업데이트하여 새 키를 사용하세요.

  6. 일정 기간 기다린 후 모든 애플리케이션과 도구가 업데이트되었는지 확인한 뒤에 최초 액세스 키를 삭제할 수 있습니다:

    1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

    2. 탐색 창에서 사용자를 선택합니다.

    3. 해당 사용자의 이름을 선택한 후 보안 자격 증명 탭을 선택합니다.

    4. Access keys(액세스 키) 섹션에서 삭제하려는 액세스 키에 대해 Actions(작업), Delete(삭제)를 차례로 선택합니다. 대화 상자의 지침에 따라 먼저 Deactivate(비활성화)를 수행한 다음 삭제를 확인합니다.

업데이트하거나 삭제해야 하는 액세스 키를 결정하려면(콘솔)

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 필요할 경우 다음 단계를 통해 사용자 테이블에 Access key age(액세스 키 수명) 열을 추가합니다.

    1. 테이블 위 맨 오른쪽에서 설정 아이콘( Settings icon )을 선택합니다.

    2. Manage Columns(열 관리)에서 Access key age(액세스 키 수명)을 선택합니다.

    3. 닫기를 선택하여 사용자 목록으로 돌아갑니다.

  4. Access key age(액세스 키 수명) 열에는 가장 오래된 활성 액세스 키가 생성된 이후로 경과한 일수가 표시됩니다. 이 정보를 사용하여 업데이트하거나 삭제해야 하는 액세스 키를 소유한 사용자를 찾을 수 있습니다. 액세스 키가 없는 사용자는 이 열에 없음이라고 표시됩니다.

액세스 키 업데이트(AWS CLI)

AWS Command Line Interface에서 액세스 키를 업데이트할 수 있습니다.

애플리케이션을 중단하지 않고 액세스 키를 업데이트하려면(AWS CLI)

  1. 최초 액세스 키가 활성 상태일 때 두 번째 액세스 키를 만들면 이 키도 기본적으로 활성 상태가 됩니다. 다음 명령 실행:

  2. 새 액세스 키를 사용하도록 모든 애플리케이션과 도구를 업데이트합니다.

  3. 다음 명령을 사용하여 최초 액세스 키가 아직 사용 중인지 확인합니다.

    한 가지 접근 방식은 며칠을 기다린 다음 계속하기 전에 사용된 적이 있는 기존 액세스 키가 있는지 확인하는 것입니다.

  4. 단계 3 단계를 통해 기존 키를 사용한 적이 없다는 것이 밝혀진 경우 최초의 액세스 키를 즉시 삭제하지 말 것을 권장합니다. 그 대신 다음 명령을 사용하여 최초 액세스 키의 상태를 Inactive로 변경하세요.

  5. 새 액세스 키만 사용하여 애플리케이션이 작동 중인지 확인합니다. 원래 액세스 키를 계속 사용하는 어떤 애플리케이션도 AWS 리소스에 더 이상 액세스할 수 없기 때문에 이 시점에 작업을 중단합니다. 그러한 애플리케이션 또는 도구를 찾는다면 그 상태를 Active로 되돌려 최초 액세스 키를 다시 활성화할 수 있습니다. 그런 다음 단계 2 단계로 돌아가 이 애플리케이션을 업데이트해 새 키를 사용하세요.

  6. 일정 기간 기다린 후 모든 애플리케이션과 도구가 업데이트되었는지 확인한 뒤에 다음 명령을 사용하여 최초 액세스 키를 삭제할 수 있습니다.

액세스 키 업데이트(AWS API)

AWS API를 사용하여 액세스 키를 업데이트할 수 있습니다.

애플리케이션을 중단하지 않고 액세스 키를 업데이트하려면(AWS API)

  1. 최초 액세스 키가 활성 상태일 때 두 번째 액세스 키를 만들면 이 키도 기본적으로 활성 상태가 됩니다. 다음 작업을 호출합니다.

    • CreateAccessKey

      따라서 사용자에게 두 개의 활성 액세스 키가 생깁니다.

  2. 새 액세스 키를 사용하도록 모든 애플리케이션과 도구를 업데이트합니다.

  3. 다음 연산을 호출하여 최초 액세스 키가 아직 사용 중인지 확인합니다.

    한 가지 접근 방식은 며칠을 기다린 다음 계속하기 전에 사용된 적이 있는 기존 액세스 키가 있는지 확인하는 것입니다.

  4. 단계 3 단계를 통해 기존 키를 사용한 적이 없다는 것이 밝혀진 경우 최초의 액세스 키를 즉시 삭제하지 말 것을 권장합니다. 그 대신 다음 연산을 호출하여 최초 액세스 키의 상태를 Inactive로 변경하세요.

  5. 새 액세스 키만 사용하여 애플리케이션이 작동 중인지 확인합니다. 원래 액세스 키를 계속 사용하는 어떤 애플리케이션도 AWS 리소스에 더 이상 액세스할 수 없기 때문에 이 시점에 작업을 중단합니다. 그러한 애플리케이션 또는 도구를 찾는다면 그 상태를 Active로 되돌려 최초 액세스 키를 다시 활성화할 수 있습니다. 그런 다음 단계 2 단계로 돌아가 이 애플리케이션을 업데이트해 새 키를 사용하세요.

  6. 일정 기간 기다린 후 모든 애플리케이션과 도구가 업데이트되었는지 확인한 뒤에 다음 연산을 호출하여 최초 액세스 키를 삭제할 수 있습니다.