IAM 사용자의 계정 암호 정책 설정 - AWS Identity and Access Management

IAM 사용자의 계정 암호 정책 설정

AWS 계정에서 사용자 지정 암호 정책을 설정하여 IAM 사용자 암호의 복잡성 요건과 의무적인 교체 주기를 지정할 수 있습니다. 사용자 지정 암호 정책을 설정하지 않은 경우 IAM 사용자 암호는 기본 AWS 암호 정책을 충족해야 합니다. 자세한 내용은 사용자 지정 암호 정책 옵션 섹션을 참조하세요.

암호 정책 설정에 대한 규칙

IAM 암호 정책은 AWS 계정 루트 사용자 암호 또는 IAM 사용자 액세스 키에 적용되지 않습니다. 암호가 만료되면 IAM 사용자는 AWS Management Console에 로그인할 수 없지만 액세스 키를 계속 사용할 수 있습니다.

암호 정책을 생성 또는 변경하더라도 대부분의 암호 정책 설정은 사용자가 다음에 자신의 암호를 변경할 때 적용됩니다. 하지만 일부 설정은 바로 적용됩니다. 예:

  • 최소 길이 및 문자 유형 요건이 변경되는 경우 이러한 설정은 다음 번에 사용자가 자신의 암호를 변경할 때 적용됩니다. 기존 암호가 업데이트된 암호 정책을 따르지 않는 경우에도 사용자들은 기존 암호를 변경할 필요는 없습니다.

  • 암호 만료 기간을 설정하면 만료 기간이 바로 적용됩니다. 예를 들어 암호 만료 기간을 90일로 설정한 경우, 기존 암호가 90일보다 오래된 모든 IAM 사용자의 암호가 만료됩니다. 이러한 사용자는 다음에 로그인할 때 암호를 변경해야 합니다.

지정된 횟수의 로그인 시도가 실패한 후 계정에서 사용자를 잠그는 “잠금 정책”을 생성할 수 없습니다. 보안을 강화하려면 멀티 팩터 인증(MFA)과 함께 강력한 암호 정책을 사용하는 것이 좋습니다. MFA에 대한 자세한 내용은 AWS에서 Multi-Factor Authentication(MFA) 사용 단원을 참조하십시오.

암호 정책을 설정하는 데 필요한 권한

IAM 엔터티(사용자 또는 역할)가 계정 암호 정책을 보거나 편집하도록 허용하려면 권한을 구성해야 합니다. IAM 정책에 다음과 같은 암호 정책 작업을 포함할 수 있습니다.

  • iam:GetAccountPasswordPolicy – 엔터티가 계정에 대한 암호 정책을 볼 수 있도록 허용합니다.

  • iam:DeleteAccountPasswordPolicy – 엔터티가 계정에 대한 사용자 지정 암호 정책을 삭제하고 기본 암호 정책으로 되돌릴 수 있도록 허용합니다.

  • iam:UpdateAccountPasswordPolicy – 엔터티가 계정에 대한 사용자 지정 암호 정책을 생성하거나 변경할 수 있도록 허용합니다.

다음 정책은 계정 암호 정책을 보고 편집할 수 있는 모든 액세스 권한을 허용합니다. 이 예제 JSON 정책 문서를 사용하여 IAM 정책을 생성하는 방법에 대해 자세히 알아보려면 JSON 탭에서 정책 만들기 섹션을 참조하세요.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "FullAccessPasswordPolicy", "Effect": "Allow", "Action": [ "iam:GetAccountPasswordPolicy", "iam:DeleteAccountPasswordPolicy", "iam:UpdateAccountPasswordPolicy" ], "Resource": "*" } ] }

IAM 사용자가 자신의 암호를 변경하는 데 필요한 권한에 대한 자세한 내용은 IAM 사용자에게 자신의 암호 변경 허용 섹션을 참조하세요.

기본 암호 정책

관리자가 사용자 지정 암호 정책을 설정하지 않은 경우 IAM 사용자 암호는 기본 AWS 암호 정책을 충족해야 합니다. 기본 암호 정책은 다음 조건을 적용합니다.

  • 최소 8자부터 최대 128자의 암호 길이

  • 대문자, 소문자, 숫자 및 ! @ # $ % ^ & * ( ) _ + - = [ ] { } | ' 기호 중에서 세 가지 이상의 문자 유형 혼합

  • AWS 계정 이름 또는 이메일 주소와 동일하지 않아야 함

사용자 지정 암호 정책 옵션

계정에 대한 사용자 지정 암호 정책을 구성할 때 다음 조건을 지정할 수 있습니다.

  • 암호 최소 길이 – 최소 6자부터 최대 128자를 지정할 수 있습니다.

  • 암호 강도 – 다음 확인란을 선택하여 IAM 사용자 암호의 강도를 정의할 수 있습니다.

    • 라틴 문자에서 하나 이상의 대문자 필요(A–Z)

    • 라틴 문자에서 하나 이상의 소문자 필요(a–z)

    • 1개 이상의 숫자 필수

    • 영숫자가 아닌 하나 이상의 문자 필요(! @ # $ % ^ & * ( ) _ + - = [ ] { } | ')

  • 암호 만료 활성화 – IAM 사용자 암호가 설정된 후 유효한 기간(최소 1일부터 최대 1,095일)을 선택하여 지정할 수 있습니다. 예를 들어 90일이 지나면 사용자의 암호가 만료되며 AWS Management Console에 액세스하기 전에 새 암호를 설정해야 합니다. 암호 만료까지 15일이 남으면 AWS Management Console이 IAM 사용자에게 경고를 보냅니다. 권한이 있는 IAM 사용자는 언제든지 자신의 암호를 변경할 수 있습니다. 새 암호를 설정하면 암호 만료 기간이 다시 시작됩니다. IAM 사용자는 한 번에 유효 암호 하나만 사용할 수 있습니다.

  • 암호 만료 시 관리자 재설정 필요 – 암호가 만료된 후 IAM 사용자가 자신의 암호를 업데이트하지 못하도록 하려면 이 옵션을 선택합니다. 이 옵션을 선택하기 전에 AWS 계정에 IAM 사용자 암호 재설정을 위한 관리자 권한을 가진 사용자가 2명 이상인지 확인해야 합니다. 또한 관리자가 프로그래밍 방식으로 IAM 사용자 암호를 재설정할 수 있도록 액세스 키를 제공하는 것도 고려해 보십시오. 이 확인란의 선택을 취소하면 암호가 만료된 IAM 사용자가 AWS Management Console에 액세스하기 전에 새 암호를 설정해야 합니다.

  • 사용자 자신의 암호 변경 허용 – 계정의 모든 IAM 사용자가 IAM 콘솔을 사용하여 자신의 암호를 변경하는 것을 허용할 수 있습니다(IAM 사용자에게 자신의 암호 변경 허용의 설명 참조). 일부 사용자에게만 자신 또는 다른 사용자의 암호를 관리할 수 있는 권한을 제공할 수도 있습니다. 이렇게 하려면 이 확인란을 선택 취소합니다. 암호 관리 제한 정책의 사용에 대한 자세한 내용은 IAM 사용자에게 자신의 암호 변경 허용 단원을 참조하십시오.

  • 암호 재사용 제한 – IAM 사용자가 이전 암호를 지정한 수만큼 재사용하지 못하도록 제한할 수 있습니다. 최소 1부터 최대 24개의 반복할 수 없는 이전 암호를 지정할 수 있습니다.

암호 정책 설정(콘솔)

AWS Management Console에서 사용자 지정 암호 정책을 생성, 변경 또는 삭제할 수 있습니다.

사용자 지정 암호 정책을 생성하려면(콘솔)

  1. AWS Management Console에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 계정 설정를 선택합니다.

  3. [암호 정책(Password policy)] 섹션에서 [암호 정책 변경(Change password policy)]을 선택합니다.

  4. 암호 정책에 적용할 옵션을 선택하고 [변경 사항 저장(Save changes)]을 선택합니다.

사용자 지정 암호 정책을 변경하려면(콘솔)

  1. AWS Management Console에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 계정 설정를 선택합니다.

  3. [암호 정책(Password policy)] 섹션에서 [변경(Change)]을 선택합니다.

  4. 암호 정책에 적용할 옵션을 선택하고 [변경 사항 저장(Save changes)]을 선택합니다.

암호 정책을 삭제하려면(콘솔)

  1. AWS Management Console에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 계정 설정를 선택합니다.

  3. [암호 정책(Password policy)] 섹션에서 [삭제(Delete)]를 선택합니다.

  4. [사용자 지정 삭제(Delete custom)]를 선택하여 사용자 지정 암호 정책의 삭제를 확인합니다.

암호 정책 설정(AWS CLI)

AWS Command Line Interface를 사용하여 암호 정책을 설정할 수 있습니다.

AWS CLI에서 사용자 지정 계정 암호 정책을 관리하려면

다음 명령을 실행합니다:

암호 정책 설정(AWS API)

AWS API 작업을 사용하여 암호 정책을 설정할 수 있습니다.

AWS API에서 사용자 지정 계정 암호 정책을 관리하려면

다음 연산을 호출합니다.