첫 번째 IAM 관리자 및 사용자 그룹 생성 - AWS Identity and Access Management

첫 번째 IAM 관리자 및 사용자 그룹 생성

중요

웹 사이트에서 Amazon 제품을 판매하고자 Product Advertising API에 대한 정보를 찾고 있기 때문에 이 페이지를 발견한 경우 Product Advertising API 5.0 설명서를 참조하세요.

AWS 계정 루트 사용자가 필요하지 않은 작업에는 루트 사용자를 사용하지 않는 것이 바람직한 모범 사례입니다. 그 대신에 관리자 액세스 권한이 필요한 사람마다 새 IAM 사용자를 생성합니다. 그런 다음 AdministratorAccess 관리형 정책을 연결하는 "관리자" 사용자 그룹에 사용자를 배치하여 그 사용자들을 관리자로 만듭니다.

그 후에 관리자 그룹에 속한 사용자들은 AWS 계정에 대한 사용자 그룹, 사용자 등을 설정해야 합니다. 향후 모든 상호작용은 루트 사용자 대신에 AWS 계정 사용자와 그들의 고유 키를 통해 이루어져야 합니다. 하지만 일부 계정 및 서비스 관리 작업을 수행하려면 루트 사용자 자격 증명을 사용하여 로그인해야 합니다. 루트 사용자로 로그인해야 하는 작업을 보려면 루트 사용자 계정이 필요한 AWS 작업을 참조하세요.

관리자 IAM 사용자 및 사용자 그룹 생성(콘솔)

이번 섹션에서는 AWS Management Console을 사용해 IAM 사용자를 직접 생성하고 그 사용자를 연결된 관리형 정책에 따라 관리자 권한을 보유한 사용자 그룹에 추가하는 방법에 대해 살펴보겠습니다.

관리자를 직접 생성하여 관리자 그룹에 추가하려면(콘솔)

  1. 루트 사용자(Root user)를 선택하고 AWS 계정 계정 이메일 주소를 입력하여 IAM 콘솔에 계정 소유자로 로그인합니다. 다음 페이지에서 암호를 입력합니다.

    참고

    Administrator IAM 사용자를 사용하는 아래 모범 사례를 준수하고, 루트 사용자 자격 증명을 안전하게 보관해 두는 것이 좋습니다. 몇 가지 계정 및 서비스 관리 태스크를 수행하려면 반드시 루트 사용자로 로그인해야 합니다.

  2. 다음과 같이 생성할 IAM 관리자에 대한 결제 데이터 액세스를 활성화합니다.

    1. 탐색 표시줄에서 계정 이름을 선택한 다음 계정(Account)을 선택합니다.

    2. 결제 정보에 대한 IAM 사용자 및 역할 액세스 옆에 있는 편집을 선택합니다. 계정 페이지에 이 섹션을 표시하려면 루트 사용자로 로그인해야 합니다.

    3. IAM 액세스 활성화(Activate IAM Access) 확인란을 선택하고 업데이트(Update)를 선택합니다.

    4. 탐색 표시줄에서 서비스(Services)를 선택한 다음, IAM을 선택해 IAM 콘솔로 돌아갑니다.

  3. 탐색 창에서 사용자(Users)사용자 추가(Add users)를 차례로 선택합니다.

  4. 세부 정보 페이지에서 다음을 수행합니다.

    1. [User name]에 Administrator를 입력합니다.

    2. AWS Management Console 액세스 옆의 확인란을 선택하고 사용자 지정 암호를 선택한 다음 텍스트 상자에 새 암호를 입력합니다.

    3. 초기 상태는 AWS가 새로운 사용자가 로그인할 때 새 암호를 만들도록 요구합니다. 선택적으로 User must create a new password at next sign-in(사용자는 다음번 로그인 시 새 암호를 생성해야 합니다) 옆 확인란의 선택을 취소하여 새로운 사용자가 로그인한 후 암호를 재설정할 수 있습니다.

    4. Next: Permissions(다음: 권한)를 선택합니다.

  5. 권한 페이지에서 다음을 수행합니다.

    1. [Add user to group]을 선택합니다.

    2. 그룹 생성(Create group)을 선택합니다.

    3. 그룹 생성 대화 상자의 그룹 이름Administrators를 입력합니다.

    4. AdministratorAccess 정책 옆의 확인란을 선택합니다.

    5. 그룹 생성(Create group)을 선택합니다.

    6. 사용자 그룹 목록이 있는 페이지로 돌아가 새 사용자 그룹 옆의 확인란을 선택합니다. 목록에 새 사용자 그룹이 표시되지 않으면 새로 고침(Refresh)을 선택합니다.

    7. 다음: 태그(Next: Tags)를 선택합니다.

  6. (선택 사항) 태그 페이지에서 태그를 키 값 페어로 연결하여 메타데이터를 사용자에게 추가합니다. 자세한 정보는 IAM 리소스에 태깅을 참조하십시오.

  7. 다음: 검토(Next: Review)를 선택합니다. 새 사용자에게 추가할 사용자 그룹 멤버십을 확인합니다. 계속 진행할 준비가 되었으면 사용자 생성(Create user)을 선택합니다.

  8. (선택 사항) 완료 페이지에서 사용자의 로그인 정보가 포함된 .csv 파일을 다운로드하거나 로그인 지침이 포함된 이메일을 사용자에게 보낼 수 있습니다.

이와 동일한 절차에 따라 사용자 그룹이나 사용자를 추가 생성하여 사용자에게 AWS 계정 리소스에 액세스할 수 있는 권한을 부여할 수 있습니다. 사용자 권한을 특정 AWS 리소스로 제한하는 정책을 사용하는 방법은 AWS리소스에 대한 액세스 관리IAM 자격 증명 기반 정책의 예 단원을 참조하십시오. 사용자 그룹을 생성한 후 추가로 사용자를 추가하려면 IAM 사용자 그룹에서 사용자 추가 및 제거 섹션을 참조하세요.

IAM 사용자 및 사용자 그룹(AWS CLI) 생성

앞 섹션의 절차를 따랐다면, AWS Management Console을 사용하여 AWS 계정에 IAM 사용자를 생성하는 한편, 관리자 그룹을 설정했을 것입니다. 이 섹션에서는 사용자 그룹을 생성하는 다른 방법을 소개합니다.

개요: 관리자 그룹 설정

  1. 사용자 그룹을 생성하고 이름을 지정합니다(예: Admin). 자세한 정보는 사용자 그룹 생성(AWS CLI)을 참조하십시오.

  2. 사용자 그룹 관리 권한(모든 AWS 작업 및 리소스에 대한 액세스 권한)을 부여하는 정책을 연결합니다. 자세한 정보는 사용자 그룹에 정책 연결(AWS CLI)을 참조하십시오.

  3. 사용자 그룹에 한 명 이상의 사용자를 추가합니다. 자세한 정보는 AWS 계정의 IAM 사용자 생성을 참조하십시오.

사용자 그룹 생성(AWS CLI)

이 섹션에서는 IAM 시스템에 사용자 그룹을 생성하는 방법을 소개합니다.

요구 사항

AWS Command Line Interface(AWS CLI)를 설치합니다. 자세한 내용은 AWS Command Line Interface 사용 설명서에서 AWS CLI 설치를 참조하세요.

관리자 그룹을 생성하려면(AWS CLI)

  1. aws iam create-group 명령과 선택한 사용자 그룹 이름을 입력합니다. 사용자 그룹 이름에 경로를 포함시킬 수도 있습니다. 경로에 대한 자세한 정보는 표시 이름 및 경로 단원을 참조하십시오. 이름은 문자, 숫자, 그리고 다음과 같은 기호로 구성될 수 있습니다. 더하기(+), 등호(=), 쉼표(,), 마침표(.), 앳(@), 밑줄(_), 하이픈(-). 이름은 대소문자를 구분하지 않으며 최대 128자입니다.

    이 예제에서는 Admins라는 사용자 그룹을 생성합니다.

    aws iam create-group --group-name Admins { "Group": { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } }
  2. aws iam list-groups 명령을 입력하여 AWS 계정의 사용자 그룹을 나열하고 해당 사용자 그룹이 생성되었는지 확인합니다.

    aws iam list-groups { "Groups": [ { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } ] }

    응답에는 새 사용자 그룹에 대한 Amazon 리소스 이름(ARN)이 포함되어 있습니다. ARN은 AWS에서 리소스를 식별하는 데 사용하는 표준 형식입니다. ARN의 12자리 숫자는 AWS 계정 ID입니다. 사용자 그룹에 할당한 표시 이름(Admins)은 사용자 그룹 ARN의 끝에 나타납니다.

사용자 그룹에 정책 연결(AWS CLI)

이 섹션에서는 사용자 그룹의 사용자가 AWS 계정의 리소스에 대해 작업을 수행할 수 있도록 허용하는 정책의 연결 방법을 보여줍니다. 방법은 Admins 사용자 그룹에 AdministratorAccess라는 AWS 관리형 정책을 연결하는 것입니다. 정책에 대한 자세한 정보는 AWS리소스에 대한 액세스 관리 단원을 참조하십시오.

모든 관리자 권한을 부여하는 정책을 추가하려면(AWS CLI)

  1. aws iam attach-group-policy 명령을 입력하여 Admins 사용자 그룹에 AdministratorAccess라는 정책을 연결합니다. 이 명령은 AdministratorAccess라는 AWS 관리형 정책의 ARN을 사용합니다.

    aws iam attach-group-policy --group-name Admins --policy-arn arn:aws:iam::aws:policy/AdministratorAccess

    명령이 성공하면 응답이 없습니다.

  2. aws iam list-attached-group-policies 명령을 입력하여 Admins 사용자 그룹에 정책이 연결되었는지 확인합니다.

    aws iam list-attached-group-policies --group-name Admins

    응답에는 Admins 사용자 그룹에 연결된 정책 이름이 나열됩니다. 다음과 같은 응답은 Admins 사용자 그룹에 AdministratorAccess라는 정책이 연결되었다는 것을 알려줍니다.

    { "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" } ], "IsTruncated": false }

aws iam get-policy 명령을 통해 특정 정책의 콘텐츠를 확인할 수 있습니다.

중요

관리자 그룹을 설정한 후, 한 명 이상의 사용자를 추가해야 합니다. 사용자 그룹에 사용자를 추가하는 방법에 대한 자세한 정보는 AWS 계정의 IAM 사용자 생성 섹션을 참조하세요.

관련 리소스

Amazon Web Services 일반 참조에 대한 자세한 내용은 다음 리소스를 참조하세요.

IAM 사용 설명서에 수록된 관련 내용은 다음 리소스 단원을 참조하십시오.