IAM 사용자 암호 관리 - AWS Identity and Access Management

IAM 사용자 암호 관리

AWS Management Console을 사용하여 AWS 리소스를 작업하는 IAM 사용자가 로그인하려면 암호가 필요합니다. AWS 계정에 속한 IAM 사용자의 암호를 생성, 변경 또는 삭제할 수 있습니다.

사용자에게 암호를 할당한 후 사용자는 다음과 같은 계정의 로그인 URL을 사용하여 AWS Management Console에 로그인할 수 있습니다.

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

IAM 사용자가 AWS Management Console에 로그인하는 방법에 대한 자세한 내용은 AWS 로그인 사용 설명서AWS에 로그인하는 방법을 참조하세요.

사용자에게 암호가 있더라도 AWS 리소스에 액세스하려면 권한이 필요합니다. 기본적으로 사용자에게는 권한이 없습니다. 사용자에게 필요한 권한을 부여하려면 해당 사용자 또는 사용자가 속한 그룹에 정책을 할당합니다. 사용자 및 그룹 만들기에 대한 자세한 내용은 IAM 자격 증명 을 참조하세요. 권한 설정을 위한 정책 사용에 대한 자세한 내용은 IAM 사용자의 권한 변경을 참조하세요.

자신의 암호를 변경할 권한을 사용자에게 부여할 수 있습니다. 자세한 내용은 IAM 사용자에게 자신의 암호 변경 허용 단원을 참조하십시오. 사용자가 계정 로그인 페이지에 액세스하는 방법에 대한 자세한 내용은 AWS 로그인 사용 설명서AWS에 로그인하는 방법을 참조하세요.

IAM 사용자 암호 생성, 변경 또는 삭제(콘솔)

AWS Management Console을 사용하여 IAM 사용자의 암호를 관리할 수 있습니다.

사용자가 조직을 떠나거나 AWS 액세스가 더 이상 필요하지 않은 경우 사용 중인 자격 증명을 찾아서 더 이상 작동하지 않도록 해야 합니다. 더 이상 필요 없는 자격 증명을 삭제하는 것이 가장 좋습니다. 나중에 필요한 경우가 생기면 언제든지 다시 생성할 수 있습니다. 적어도 그 자격 증명을 변경하여 이전 사용자가 더 이상 액세스할 수 없게 해야 합니다.

IAM 사용자의 암호를 추가하려면(콘솔)
  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 암호를 생성하려는 사용자의 이름을 선택합니다.

  4. 보안 자격 증명 탭을 선택한 다음 콘솔 로그인에서 콘솔 액세스 활성화를 선택합니다.

  5. 콘솔 액세스 활성화에서 콘솔 암호에 대해 IAM이 암호를 자동으로 생성할지, 아니면 사용자 지정 암호를 만들지를 선택합니다.

    • IAM에서 암호를 자동으로 생성하려면 자동 생성 암호(Autogenerated password)를 선택합니다.

    • 사용자 지정 암호를 만들려면 사용자 지정 암호(Custom password)를 선택하고 암호를 입력합니다.

      참고

      생성하는 암호는 계정의 암호 정책을 충족해야 합니다.

  6. 사용자가 로그인할 때 새 암호를 만들도록 요구하려면 다음 로그인 시 사용자가 새 암호를 생성해야 함을 선택합니다. 그런 다음 콘솔 액세스 활성화를 선택합니다.

    중요

    다음 로그인 시 사용자가 새 암호를 생성해야 함 옵션을 선택할 경우, 사용자에게 자신의 암호를 변경할 권한이 있는지 확인하세요. 자세한 내용은 IAM 사용자에게 자신의 암호 변경 허용 단원을 참조하십시오.

  7. 암호를 확인하고 사용자와 공유하려면 콘솔 암호 대화 상자에서 표시를 선택합니다.

    중요

    이 단계를 완료한 후에는 보안상의 이유로 암호에 액세스할 수 없지만, 언제든지 새 암호를 만들 수 있습니다.

IAM 사용자의 암호를 변경하려면(콘솔)
  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 암호를 변경할 사용자의 이름을 선택합니다.

  4. 보안 자격 증명 탭을 선택한 다음 콘솔 로그인에서 콘솔 액세스 관리를 선택합니다.

  5. 콘솔 액세스 관리에서 암호 재설정을 아직 선택하지 않은 경우 암호 재설정을 선택합니다. 콘솔 액세스가 비활성화되어 있는 경우에는 암호가 필요 없습니다.

  6. 콘솔 액세스에서 IAM이 암호를 자동으로 생성할지, 아니면 사용자 지정 암호를 만들지를 선택합니다.

    • IAM에서 암호를 자동으로 생성하려면 자동 생성 암호(Autogenerated password)를 선택합니다.

    • 사용자 지정 암호를 만들려면 사용자 지정 암호(Custom password)를 선택하고 암호를 입력합니다.

      참고

      만드는 암호는 계정의 암호 정책(정책을 설정한 경우)에 부합해야 합니다.

  7. 사용자가 로그인할 때 새 암호를 만들도록 요구하려면 다음 로그인 시 사용자가 새 암호를 생성해야 함을 선택합니다.

    중요

    다음 로그인 시 사용자가 새 암호를 생성해야 함 옵션을 선택할 경우, 사용자에게 자신의 암호를 변경할 권한이 있는지 확인하세요. 자세한 내용은 IAM 사용자에게 자신의 암호 변경 허용 단원을 참조하십시오.

  8. 사용자의 활성 콘솔 세션을 취소하려면 활성 콘솔 세션 취소를 선택합니다. 그런 다음, 적용을 선택합니다.

    사용자에 대한 활성 콘솔 세션을 취소하면 IAM은 모든 작업에 대한 모든 권한을 거부하는 새 인라인 정책을 해당 사용자에게 연결합니다. 여기에는 권한을 취소한 시점 이전에 생성된 세션과 약 30초 후의 세션에만 제한을 적용하는 조건이 포함됩니다. 사용자가 권한을 취소한 이후에 새로운 세션을 생성한 경우 이 사용자에게는 거부 정책이 적용되지 않습니다. 사용자가 이 방법을 사용하여 자신의 활성 콘솔 세션을 취소하면 즉시 AWS Management Console에서 로그아웃됩니다.

    중요

    사용자에 대한 활성 콘솔 세션을 취소하려면 해당 사용자에 대한 PutUserPolicy 권한이 있어야 합니다. 이렇게 하면 해당 사용자에게 AWSRevokeOlderSessions 인라인 정책을 연결할 수 있게 됩니다.

  9. 암호를 확인하고 사용자와 공유하려면 콘솔 암호 대화 상자에서 표시를 선택합니다.

    중요

    이 단계를 완료한 후에는 보안상의 이유로 암호에 액세스할 수 없지만, 언제든지 새 암호를 만들 수 있습니다.

IAM 사용자 암호를 삭제(비활성화)하려면(콘솔)
  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 암호를 삭제할 사용자의 이름을 선택합니다.

  4. 보안 자격 증명 탭을 선택한 다음 콘솔 로그인에서 콘솔 액세스 관리를 선택합니다.

  5. 콘솔 액세스 관리에서 콘솔 액세스 비활성화를 선택합니다(선택되어 있지 않은 경우). 콘솔 액세스가 비활성화되어 있는 경우에는 암호가 필요 없습니다.

  6. 사용자의 활성 콘솔 세션을 취소하려면 활성 콘솔 세션 취소를 선택합니다. 그런 다음 액세스 비활성화를 선택합니다.

    중요

    사용자에 대한 활성 콘솔 세션을 취소하려면 해당 사용자에 대한 PutUserPolicy 권한이 있어야 합니다. 이렇게 하면 해당 사용자에게 AWSRevokeOlderSessions 인라인 정책을 연결할 수 있게 됩니다.

    사용자에 대한 활성 콘솔 세션을 취소하면 IAM은 모든 작업에 대한 모든 권한을 거부하는 새 인라인 정책을 해당 IAM 사용자에게 삽입합니다. 여기에는 권한을 취소한 시점 이전에 생성된 세션과 약 30초 후의 세션에만 제한을 적용하는 조건이 포함됩니다. 사용자가 권한을 취소한 이후에 새로운 세션을 생성한 경우 이 사용자에게는 거부 정책이 적용되지 않습니다. 사용자가 이 방법을 사용하여 자신의 활성 콘솔 세션을 취소하면 즉시 AWS Management Console에서 로그아웃됩니다.

중요

사용자의 암호를 제거하여 IAM 사용자가 AWS Management Console에 액세스하지 못하도록 할 수 있습니다. 그러면 사용자는 자신의 로그인 보안 인증을 사용해 AWS Management Console에 로그인할 수 없습니다. 그렇더라도 사용자의 권한이 변경되거나 위임된 역할을 사용하여 콘솔에 액세스하지 못하게 되지는 않습니다. 사용자에게 활성 액세스 키가 있다면 해당 키는 계속 작동하고 AWS CLI, Tools for Windows PowerShell 또는 AWS API 또는 AWS Console Mobile Application을 통해 액세스를 허용합니다.

IAM 사용자 암호 생성, 변경 또는 삭제(AWS CLI)

AWS CLI API를 이용해 IAM 사용자의 암호를 관리할 수 있습니다.

암호를 생성하려면(AWS CLI)
  1. (선택 사항) 사용자에게 암호가 있는지 확인하려면 aws iam get-login-profile 명령을 실행합니다.

  2. 암호를 생성하려면 aws iam create-login-profile 명령을 실행합니다.

사용자의 암호를 변경하려면(AWS CLI)
  1. (선택 사항) 사용자에게 암호가 있는지 확인하려면 aws iam get-login-profile 명령을 실행합니다.

  2. 암호를 변경하려면 aws iam update-login-profile 명령을 실행합니다.

사용자의 암호를 삭제(비활성화)하려면(AWS CLI)
  1. (선택 사항) 사용자에게 암호가 있는지 확인하려면 aws iam get-login-profile 명령을 실행합니다.

  2. (선택 사항) 사용자의 암호가 마지막으로 사용된 시간을 확인하려면 aws iam get-user 명령을 실행합니다.

  3. 암호를 삭제하려면 aws iam delete-login-profile 명령을 실행합니다.

중요

사용자의 암호를 삭제하면 해당 사용자가 더 이상 AWS Management Console에 로그인할 수 없습니다. 사용자에게 활성 액세스 키가 있다면 해당 키는 계속 작동하고 AWS CLI, Tools for Windows PowerShell 또는 AWS API 함수 호출을 통해 액세스를 허용합니다. AWS CLI, Tools for Windows PowerShell 또는 AWS API를 사용하여 AWS 계정에서 사용자를 삭제하는 경우 먼저 이 작업을 사용하여 암호를 삭제해야 합니다. 자세한 내용은 IAM 사용자 삭제(AWS CLI) 단원을 참조하십시오.

지정된 시간 이전에 사용자의 활성 콘솔 세션을 취소하려면(AWS CLI)
  1. 지정된 시간 전에 IAM 사용자의 활성 콘솔 세션을 취소하는 인라인 정책을 내장하려면 다음 인라인 정책을 사용하고 aws iam put-user-policy 명령을 실행합니다.

    이 인라인 정책은 모든 권한을 거부하며 aws:TokenIssueTime 조건 키를 포함합니다. 인라인 정책의 Condition 요소에 지정된 시간이 지나기 전에 사용자의 활성 콘솔 세션을 취소합니다. aws:TokenIssueTime 조건 키 값을 사용자의 고유한 값으로 교체합니다.

    { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": { "aws:TokenIssueTime": "2014-05-07T23:47:00Z" } } } }
  2. (선택 사항) IAM 사용자에게 포함된 인라인 정책의 이름을 나열하려면 aws iam list-user-policies 명령을 실행하세요.

  3. (선택 사항) IAM 사용자에 포함된 명명된 인라인 정책을 보려면 aws iam get-user-policy 명령을 실행합니다.

IAM 사용자 암호 생성, 변경 또는 삭제(AWS API)

AWS API를 이용해 IAM 사용자의 암호를 관리할 수 있습니다.

암호를 생성하려면(AWS API)
  1. (선택 사항) 사용자에게 암호가 있는지 확인하려면 GetLoginProfile 연산을 호출합니다.

  2. 암호를 생성하려면 CreateLoginProfile 연산을 호출합니다.

사용자의 암호를 변경하려면(AWS API)
  1. (선택 사항) 사용자에게 암호가 있는지 확인하려면 GetLoginProfile 연산을 호출합니다.

  2. 암호를 변경하려면 UpdateLoginProfile 연산을 호출합니다.

사용자의 암호를 삭제(비활성화)하려면(AWS API)
  1. (선택 사항) 사용자에게 암호가 있는지 확인하려면 GetLoginProfile 명령을 실행합니다.

  2. (선택 사항) 사용자의 암호가 마지막으로 사용된 시간을 확인하려면 GetUser 명령을 실행합니다.

  3. 암호를 삭제하려면 DeleteLoginProfile 명령을 실행합니다.

중요

사용자의 암호를 삭제하면 해당 사용자가 더 이상 AWS Management Console에 로그인할 수 없습니다. 사용자에게 활성 액세스 키가 있다면 해당 키는 계속 작동하고 AWS CLI, Tools for Windows PowerShell 또는 AWS API 함수 호출을 통해 액세스를 허용합니다. AWS CLI, Tools for Windows PowerShell 또는 AWS API를 사용하여 AWS 계정에서 사용자를 삭제하는 경우 먼저 이 작업을 사용하여 암호를 삭제해야 합니다. 자세한 내용은 IAM 사용자 삭제(AWS CLI) 단원을 참조하십시오.

지정된 시간 이전에 사용자의 활성 콘솔 세션을 취소하려면(AWS API)
  1. 지정된 시간 전에 IAM 사용자의 활성 콘솔 세션을 취소하는 인라인 정책을 내장하려면 다음 인라인 정책을 사용하고 PutUserPolicy 명령을 실행하세요.

    이 인라인 정책은 모든 권한을 거부하며 aws:TokenIssueTime 조건 키를 포함합니다. 인라인 정책의 Condition 요소에 지정된 시간이 지나기 전에 사용자의 활성 콘솔 세션을 취소합니다. aws:TokenIssueTime 조건 키 값을 사용자의 고유한 값으로 교체합니다.

    { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": { "aws:TokenIssueTime": "2014-05-07T23:47:00Z" } } } }
  2. (선택 사항) IAM 사용자에 포함된 인라인 정책의 이름을 나열하려면 ListUserPolicies 명령을 실행합니다.

  3. (선택 사항) IAM 사용자에 포함된 명명된 인라인 정책을 보려면 GetUserPolicy 명령을 실행합니다.