AWS Identity and Access Management
사용 설명서

IAM 사용자의 액세스 키 관리

참고

웹 사이트에서 Amazon 제품을 팔기 위해 Product Advertising API를 구성하기 위해 이 주제를 찾았다면 다음 주제들을 참조하십시오.

액세스 키는 액세스 키 ID(예: AKIAIOSFODNN7EXAMPLE)와 보안 액세스 키(예: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)로 구성됩니다. AWS SDK, REST 또는 쿼리 API 작업을 사용하는 경우 AWS에 대한 프로그래밍 방식 요청에 서명하려면 액세스 키를 사용합니다. SDK에서는 액세스 키를 사용하여 요청에 자동으로 액세스하므로 사용자가 서명 프로세스를 처리할 필요가 없습니다. 요청에 수동으로 서명할 수도 있습니다. 액세스 키에 대한 자세한 내용은 Amazon Web Services 일반 참조에서 액세스 키(액세스 키 ID 및 보안 액세스 키)를 참조하십시오.

주의

모범 사례로서 계정 단계(루트 사용자)의 액세스 키를 생성하지 않도록 하고 액세스 키 대신에 임시 보안 자격 증명(IAM 역할)을 사용하고 액세스 키를 올바르게 관리해야 합니다. 자세한 내용은 Amazon Web Services 일반 참조AWS 액세스 키 관리 모범 사례 단원을 참조하십시오.

여전히 IAM 사용자에게 장기 액세스 키를 제공하고자 한다면 IAM 사용자에 대한 액세스 키(액세스 키 ID 및 보안 액세스 키)를 생성, 수정, 확인 또는 교체할 수 있습니다. IAM 사용자는 두 개의 액세스 키로 제한됩니다. 이렇게 하면 모범 사례에 따라 활성 키를 교체할 수 있습니다.

액세스 키를 만들면 IAM이 액세스 키 ID와 보안 액세스 키를 반환합니다. 이를 안전한 곳에 저장한 후 사용자에게 제공합니다.

중요

AWS 계정의 보안을 유지하기 위해 보안 액세스 키는 생성 시에만 액세스할 수 있습니다. 보안 액세스 키를 분실하면 연결된 사용자의 액세스 키를 삭제한 후 새 키를 만들어야 합니다. 자세한 내용은 분실하거나 잊어버린 암호 또는 액세스 키 재설정 단원을 참조하십시오.

액세스 키를 만들면 상태가 Active가 되어 사용자가 AWS CLI, Windows PowerShell용 도구 및 API 호출에 액세스 키를 사용할 수 있도록 기본 설정되어 있습니다. 각 사용자마다 2개의 활성 액세스 키를 가질 수 있고 이는 사용자의 액세스 키를 교체해야 할 때 유용합니다. 사용자의 액세스 키를 비활성화하면 API 호출에 사용할 수 없습니다. 키를 교체할 동안 또는 사용자의 API 액세스를 취소하기 위해 키를 비활성화할 수 있습니다.

액세스 키는 언제든지 삭제할 수 있습니다. 그러나 액세스 키를 삭제하면 영구 삭제되어 되돌릴 수 없습니다. (언제든지 새 키를 만들 수 있습니다.)

사용자가 직접 키를 나열, 교체 및 관리할 수 있는 권한을 부여할 수 있습니다. 자세한 내용은 사용자가 자신의 암호, 액세스 키, SSH 키를 관리할 수 있도록 허용 단원을 참조하십시오.

액세스 키 관리(콘솔)

AWS Management 콘솔을 이용해 IAM 사용자의 액세스 키를 관리할 수 있습니다.

여러 사용자의 액세스 키 ID 목록을 조회하려면(콘솔)

  1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 필요할 경우 다음 단계를 통해 사용자 테이블에 액세스 키 ID 열을 추가합니다.

    1. 테이블 위 맨 오른쪽에서 설정 아이콘( 
                  Settings icon
                )을 선택합니다.

    2. Manage columns(열 관리)에서 액세스 키 ID를 선택합니다.

    3. 닫기를 선택하여 사용자 목록으로 돌아갑니다.

  4. 액세스 키 ID 열에는 각 액세스 키 ID가 표시되고 그 다음에 키의 상태가 표시됩니다. 예: 23478207027842073230762374023 (Active) 또는 22093740239670237024843420327 (Inactive).

    이 정보를 사용하여 한 개 또는 두 개의 액세스 키를 가진 사용자의 액세스 키를 보고 복사할 수 있습니다. 액세스 키가 없는 사용자는 이 열에 없음이라고 표시됩니다.

    참고

    사용자의 액세스 키 ID와 상태만 표시됩니다. 보안 액세스 키는 키를 만들 때만 가져올 수 있습니다.

어떤 사용자가 특정 액세스 키를 소유하고 있는지 확인하려면(콘솔)

  1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 검색 상자에 해당 사용자의 액세스 키 ID를 입력하거나 붙여 넣습니다.

  4. 필요할 경우 다음 단계를 통해 사용자 테이블에 액세스 키 ID 열을 추가합니다.

    1. 테이블 위 맨 오른쪽에서 설정 아이콘( 
                  Settings icon
                )을 선택합니다.

    2. Manage columns(열 관리)에서 액세스 키 ID를 선택합니다.

    3. 닫기를 선택하여 사용자 목록으로 돌아간 후 지정된 액세스 키를 소유하는 사용자로 필터링되었는지 확인합니다.

사용자의 액세스 키를 나열하려면

  1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 해당 사용자의 이름을 선택한 후 보안 자격 증명 탭을 선택합니다. 사용자의 액세스 키와 각 키의 상태가 표시됩니다.

    참고

    사용자의 액세스 키 ID만 표시됩니다. 보안 액세스 키는 키를 만들 때만 가져올 수 있습니다.

사용자의 액세스 키를 생성, 수정 또는 삭제하려면(콘솔)

  1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 원하는 사용자의 이름을 선택한 후 보안 자격 증명 탭을 선택합니다.

  4. 필요한 경우 액세스 키 섹션을 펼쳐서 다음 작업을 수행할 수 있습니다.

    • 액세스 키를 생성하려면 Create access key(액세스 키 생성)을 선택합니다. 그런 다음 .csv 파일 다운로드를 선택하여 액세스 키 ID 및 보안 액세스 키를 컴퓨터에 CSV 파일로 저장합니다. 안전한 위치에 파일을 저장합니다. 이 대화 상자를 닫은 후에는 보안 액세스 키에 다시 액세스할 수 없습니다. CSV 파일을 다운로드한 후 [Close]를 클릭합니다.

    • 활성 상태의 액세스 키를 비활성화하려면 비활성화를 선택합니다.

    • 비활성 상태의 액세스 키를 다시 활성화하려면 활성화를 선택합니다.

    • 액세스 키를 삭제하려면 행의 맨 왼쪽에 있는 X 버튼을 선택합니다. 삭제를 선택하여 확인합니다.

액세스 키 관리(AWS CLI)

AWS CLI에서 사용자의 액세스 키를 관리하려면 다음 명령을 실행합니다.

액세스 키 관리(AWS API)

AWS API에서 사용자의 액세스 키를 관리하려면 다음 연산을 호출합니다.

액세스 키 교체

보안 모범 사례로 관리자가 정기적으로 계정 내 각 IAM 사용자의 액세스 키를 교체(변경)할 것을 권장합니다. 사용자에게 필수 권한을 부여한 경우 사용자가 직접 액세스 키를 교체할 수 있습니다. 사용자가 직접 액세스 키를 교체할 수 있도록 권한을 부여하는 방법은 사용자가 자신의 암호, 액세스 키, SSH 키를 관리할 수 있도록 허용 단원을 참조하십시오.

또한, 모든 IAM 사용자가 주기적으로 암호를 교체하도록 요구하는 암호 정책을 계정에 적용할 수 있습니다. 얼마나 자주 교체하도록 할지 선택할 수 있습니다. 자세한 내용은 IAM 사용자의 계정 암호 정책 설정 단원을 참조하십시오.

중요

AWS 계정 루트 사용자 자격 증명을 사용할 경우 그 자격 증명도 정기적으로 교체할 것을 권장합니다. 계정 암호 정책은 루트 사용자 자격 증명에는 적용되지 않습니다. IAM 사용자는 AWS 계정 루트 사용자의 자격 증명을 관리할 수 없으므로 루트 사용자의 자격 증명(사용자의 자격 증명이 아님)을 사용하여 루트 사용자 자격 증명을 변경해야 합니다. AWS의 일상적인 작업에서는 루트 사용자를 사용하지 않는 것이 좋습니다.

액세스 키 교체(콘솔)

AWS Management 콘솔에서 액세스 키를 교체할 수 있습니다.

액세스 키 교체 시점을 결정하려면(콘솔)

  1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 필요할 경우 다음 단계를 통해 사용자 테이블에 Access key age(액세스 키 수명) 열을 추가합니다.

    1. 테이블 위 맨 오른쪽에서 설정 아이콘( 
                    Settings icon
                  )을 선택합니다.

    2. Manage Columns(열 관리)에서 Access key age(액세스 키 수명)을 선택합니다.

    3. 닫기를 선택하여 사용자 목록으로 돌아갑니다.

  4. Access key age(액세스 키 수명) 열에는 가장 오래된 활성 액세스 키가 생성된 이후로 경과한 일수가 표시됩니다. 이 정보를 사용하여 교체가 필요한 액세스 키를 소유한 사용자를 확인할 수 있습니다. 액세스 키가 없는 사용자는 이 열에 없음이라고 표시됩니다.

애플리케이션을 중단하지 않고 액세스 키를 교체하려면(콘솔)

다음 단계는 애플리케이션 중단 없이 액세스 키를 교체하기 위한 일반적인 프로세스를 설명합니다.

  1. 최초 액세스 키가 활성 상태일 때 두 번째 액세스 키를 만들면 이 키도 기본적으로 활성 상태가 됩니다. 따라서 사용자에게 두 개의 활성 액세스 키가 생깁니다.

    1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

    2. 탐색 창에서 사용자를 선택합니다.

    3. 해당 사용자의 이름을 선택한 후 보안 자격 증명 탭을 선택합니다.

    4. Create access key(액세스 키 생성)을 선택하고 Download .csv file(.csv 파일 다운로드)를 선택하여 액세스 키 ID와 보안 액세스 키를 컴퓨터의 .csv 파일에 저장합니다. 안전한 위치에 파일을 저장합니다. 이 단계를 끝낸 후에는 보안 액세스 키에 다시 액세스할 수 없습니다. .csv 파일을 다운로드한 후 닫기를 클릭합니다.

  2. 새 액세스 키를 사용하도록 모든 애플리케이션과 도구를 업데이트합니다.

  3. 가장 오래된 액세스 키의 Last used(마지막 사용) 열을 검토하여 최초 액세스 키가 아직 사용 중인지 확인합니다. 한 가지 접근 방식은 며칠을 기다린 다음 계속하기 전에 사용된 적이 있는 기존 액세스 키가 있는지 확인하는 것입니다.

  4. Last used(마지막 사용) 열에 오래된 키가 사용된 적이 없다고 표시되더라도 최초 액세스 키를 바로 삭제하지 않는 것이 좋습니다. 대신 Make inactive(비활성화)를 선택하여 최초 액세스 키를 비활성화합니다.

  5. 새 액세스 키만 사용하여 애플리케이션이 작동 중인지 확인합니다. 원래 액세스 키를 계속 사용하는 어떤 애플리케이션도 AWS 리소스에 더 이상 액세스할 수 없기 때문에 이 시점에 작업을 중단합니다. 그러한 애플리케이션 또는 도구를 찾는다면 활성화(Make active)를 선택하여 최초 액세스 키를 다시 활성화할 수 있습니다. 그런 다음 단계 3 단원으로 돌아가 이 애플리케이션을 업데이트하여 새 키를 사용하십시오.

  6. 일정 기간 기다린 후 모든 애플리케이션과 도구가 업데이트되었는지 확인한 뒤에 최초 액세스 키를 삭제할 수 있습니다:

    1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

    2. 탐색 창에서 사용자를 선택합니다.

    3. 해당 사용자의 이름을 선택한 후 보안 자격 증명 탭을 선택합니다.

    4. 삭제할 액세스 키를 찾아 해당 행 맨 오른쪽에 있는 X 버튼을 선택합니다. 삭제를 선택하여 확인합니다.

액세스 키 교체(AWS CLI)

AWS Command Line Interface에서 액세스 키를 교체할 수 있습니다.

애플리케이션을 중단하지 않고 액세스 키를 교체하려면(AWS CLI)

  1. 최초 액세스 키가 활성 상태일 때 두 번째 액세스 키를 만들면 이 키도 기본적으로 활성 상태가 됩니다. 다음 명령을 실행합니다.

  2. 새 액세스 키를 사용하도록 모든 애플리케이션과 도구를 업데이트합니다.

  3. 다음 명령을 사용하여 최초 액세스 키가 아직 사용 중인지 확인합니다.

    한 가지 접근 방식은 며칠을 기다린 다음 계속하기 전에 사용된 적이 있는 기존 액세스 키가 있는지 확인하는 것입니다.

  4. 단계 3 단계를 통해 기존 키를 사용한 적이 없다는 것이 밝혀진 경우 최초의 액세스 키를 즉시 삭제하지 말 것을 권장합니다. 그 대신 다음 명령을 사용하여 최초 액세스 키의 상태를 Inactive로 변경하십시오.

  5. 새 액세스 키만 사용하여 애플리케이션이 작동 중인지 확인합니다. 원래 액세스 키를 계속 사용하는 어떤 애플리케이션도 AWS 리소스에 더 이상 액세스할 수 없기 때문에 이 시점에 작업을 중단합니다. 그러한 애플리케이션 또는 도구를 찾는다면 그 상태를 Active로 되돌려 최초 액세스 키를 다시 활성화할 수 있습니다. 그런 다음 단계 2 단계로 돌아가 이 애플리케이션을 업데이트해 새 키를 사용하십시오.

  6. 일정 기간 기다린 후 모든 애플리케이션과 도구가 업데이트되었는지 확인한 뒤에 다음 명령을 사용하여 최초 액세스 키를 삭제할 수 있습니다.

자세한 내용은 다음을 참조하십시오.

액세스 키 교체(AWS API)

AWS API를 사용하여 액세스 키를 교체할 수 있습니다.

애플리케이션을 중단하지 않고 액세스 키를 교체하려면(AWS API)

  1. 최초 액세스 키가 활성 상태일 때 두 번째 액세스 키를 만들면 이 키도 기본적으로 활성 상태가 됩니다. 다음 작업을 호출합니다.

    • CreateAccessKey

      따라서 사용자에게 두 개의 활성 액세스 키가 생깁니다.

  2. 새 액세스 키를 사용하도록 모든 애플리케이션과 도구를 업데이트합니다.

  3. 다음 연산을 호출하여 최초 액세스 키가 아직 사용 중인지 확인합니다.

    한 가지 접근 방식은 며칠을 기다린 다음 계속하기 전에 사용된 적이 있는 기존 액세스 키가 있는지 확인하는 것입니다.

  4. 단계 3 단계를 통해 기존 키를 사용한 적이 없다는 것이 밝혀진 경우 최초의 액세스 키를 즉시 삭제하지 말 것을 권장합니다. 그 대신 다음 연산을 호출하여 최초 액세스 키의 상태를 Inactive로 변경하십시오.

  5. 새 액세스 키만 사용하여 애플리케이션이 작동 중인지 확인합니다. 원래 액세스 키를 계속 사용하는 어떤 애플리케이션도 AWS 리소스에 더 이상 액세스할 수 없기 때문에 이 시점에 작업을 중단합니다. 그러한 애플리케이션 또는 도구를 찾는다면 그 상태를 Active로 되돌려 최초 액세스 키를 다시 활성화할 수 있습니다. 그런 다음 단계 2 단계로 돌아가 이 애플리케이션을 업데이트해 새 키를 사용하십시오.

  6. 일정 기간 기다린 후 모든 애플리케이션과 도구가 업데이트되었는지 확인한 뒤에 다음 연산을 호출하여 최초 액세스 키를 삭제할 수 있습니다.

자세한 내용은 다음을 참조하십시오.