# 멤버 계정에 대한 루트 액세스 중앙 집중화
루트 사용자 자격 증명은 계정의 모든 AWS 서비스 및 리소스에 대한 전체 액세스 권한이 있는 각 AWS 계정에 할당된 초기 자격 증명입니다. AWS Organizations를 활성화하면 중앙 관리를 위해 모든 AWS 계정을 조직으로 결합합니다. 각 멤버 계정에는 멤버 계정에서 작업을 수행할 수 있는 기본 권한이 있는 자체 루트 사용자가 있습니다. AWS Organizations를 사용하여 관리하는 AWS 계정의 루트 사용자 자격 증명을 중앙에서 보호하여 대규모 루트 사용자 자격 증명 복구 및 액세스를 방지하는 것이 좋습니다.
루트 액세스를 중앙 집중화한 후 조직의 멤버 계정에서 루트 사용자 자격 증명을 삭제하도록 선택할 수 있습니다. 루트 사용자 암호, 액세스 키, 서명 인증서를 제거하고, 다중 인증(MFA)을 비활성화할 수 있습니다. AWS Organizations에서 생성하는 새 계정에는 기본적으로 루트 사용자 자격 증명이 없습니다. 멤버 계정은 루트 사용자로 로그인하거나 루트 사용자의 암호 복구를 수행할 수 없습니다.
**참고**
일부 [루트 사용자 보안 인증이 필요한 작업](id_root-user.md#root-user-tasks)는 IAM의 관리 계정 또는 위임된 관리자가 수행할 수 있지만, 일부 태스크는 계정의 루트 사용자로 로그인할 때만 수행할 수 있습니다.
이러한 작업 중 하나를 수행하기 위해 멤버 계정의 루트 사용자 자격 증명을 복구해야 하는 경우, [권한 있는 태스크 수행](id_root-user-privileged-task.md)의 단계를 따르고 **암호 복구 허용**을 선택합니다. 그러면 멤버 계정의 루트 사용자 이메일 받은 편지함에 액세스할 수 있는 사람이 단계를 따라 [루트 사용자 암호를 재설정](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)하고 멤버 계정 루트 사용자로 로그인할 수 있습니다.
루트 사용자에 대한 액세스가 필요한 태스크를 완료한 후에는 루트 사용자 자격 증명을 삭제하는 것이 좋습니다.
## 사전 조건
루트 액세스를 중앙 집중화하기 전에 다음 설정으로 계정을 구성해야 합니다.
+ 이 경우 다음 IAM 권한이 있어야 합니다.
+ `iam:GetAccessKeyLastUsed`
+ `iam:GetAccountSummary`
+ `iam:GetLoginProfile`
+ `iam:GetUser`
+ `iam:ListAccessKeys`
+ `iam:ListMFADevices`
+ `iam:ListSigningCertificates`
+ `sts:AssumeRoot`
**참고**
멤버 계정의 루트 사용자 자격 증명 상태를 감사하려면 AWS Organizations 멤버 계정에서 권한 있는 태스크를 수행할 때 [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials) AWS 관리형 정책을 사용하여 권한 범위를 축소하거나 `iam:GetAccountSummary`에 액세스할 수 있는 정책을 사용합니다.
루트 사용자 자격 증명 정보 보고서를 생성하려면 다른 정책에 동일한 출력을 생성하는 `iam:GetAccountSummary` 작업만 있으면 됩니다. 다음을 비롯한 개별 루트 사용자 자격 증명 정보를 나열하거나 가져올 수 있습니다.
루트 사용자 암호가 있는지 여부
루트 사용자에게 액세스 키가 있는지 여부 및 해당 액세스 키를 마지막으로 사용한 시점
루트 사용자에게 서명 인증서가 연결되었는지 여부
루트 사용자에게 연결된 MFA 디바이스
통합 루트 사용자 자격 증명 상태 목록
+ [AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html)에서 AWS 계정을 관리해야 합니다.
+ 조직에서 이 기능을 활성화하려면 다음과 같은 권한이 있어야 합니다.
+ `iam:EnableOrganizationsRootCredentialsManagement`
+ `iam:EnableOrganizationsRootSessions`
+ `iam:ListOrganizationsFeatures`
+ `organizations:EnableAwsServiceAccess`
+ `organizations:ListAccountsForParent`
+ `organizations:RegisterDelegatedAdministrator`
+ 콘솔 기능을 최적화하려면 다음과 같은 추가 권한을 활성화하는 것이 좋습니다.
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListOrganizationalUnitsForParent`
+ `organizations:ListParents`
+ `organizations:ListTagsForResource`
## 중앙 집중식 루트 액세스 활성화(콘솔)
**AWS Management Console에서 멤버 계정에 대해 이 기능을 활성화하려면 다음을 수행하세요.**
1. AWS Management Console에 로그인하여 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. 콘솔의 탐색 창에서 **루트 액세스 관리**를 선택하고 **활성화**를 선택합니다.
**참고**
**루트 액세스 관리가 비활성화**되어 있는 경우 AWS Organizations에서 AWS Identity and Access Management에 대해 신뢰할 수 있는 액세스를 활성화하세요. 자세한 내용은 *AWS Organizations 사용 설명서*의 [AWS IAM and AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-iam.html)를 참조하세요.
1. 활성화할 수 있는 기능 섹션에서 활성화할 기능을 선택합니다.
+ IAM에 대한 관리 계정과 위임된 관리자가 멤버 계정의 루트 사용자 자격 증명을 삭제할 수 있도록 허용하려면 **루트 자격 증명 관리**를 선택하세요. 멤버 계정에서 권한 있는 루트 작업을 활성화해야 멤버 계정이 루트 사용자 자격 증명을 삭제한 후에도 복구할 수 있습니다.
+ **멤버 계정의 권한 있는 루트 작업**을 선택하여 IAM에 대한 관리 계정과 위임된 관리자가 루트 사용자 자격 증명이 필요한 특정 작업을 수행할 수 있도록 허용하세요.
1. (선택 사항) 루트 사용자 액세스를 관리하고 멤버 계정에 대한 권한 있는 작업을 수행할 권한이 있는 **위임된 관리자**의 계정 ID를 입력합니다. 보안이나 관리 목적으로 사용되는 계정을 권장합니다.
1. **활성화**를 선택합니다.
## 중앙 집중식 루트 액세스 활성화(AWS CLI)
**AWS Command Line Interface(AWS CLI)에서 중앙 집중식 루트 액세스를 활성화하려면 다음을 수행하세요.**
1. AWS Organizations에서 AWS Identity and Access Management에 대해 신뢰할 수 있는 액세스를 아직 활성화하지 않은 경우 [aws organizations enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html) 명령을 사용합니다.
1. [aws iam enable-organizations-root-credentials-management](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-credentials-management.html) 명령을 사용하여 관리 계정과 위임된 관리자가 멤버 계정의 루트 사용자 자격 증명을 삭제하도록 허용하세요.
1. [aws iam enable-organizations-root-sessions](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-sessions.html) 명령을 사용하여 관리 계정과 위임된 관리자가 루트 사용자 자격 증명이 필요한 특정 작업을 수행하도록 허용하세요.
1. (선택 사항) [aws organizations register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html) 명령을 사용하여 위임된 관리자를 등록합니다.
다음 예에서는 계정 111111111111을 IAM 서비스에 대한 위임된 관리자로 할당합니다.
```
aws organizations register-delegated-administrator
--service-principal iam.amazonaws.com
--account-id 111111111111
```
## 중앙 집중식 루트 액세스 활성화(AWS API)
**AWS API에서 중앙 집중식 루트 액세스를 활성화하려면 다음을 수행하세요.**
1. AWS Organizations에서 AWS Identity and Access Management에 대해 신뢰할 수 있는 액세스를 아직 활성화하지 않은 경우 [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) 명령을 사용합니다.
1. [EnableOrganizationsRootCredentialsManagement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootCredentialsManagement.html) 명령을 사용하여 관리 계정과 위임된 관리자가 멤버 계정의 루트 사용자 자격 증명을 삭제하도록 허용하세요.
1. [EnableOrganizationsRootSessions](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootSessions.html) 명령을 사용하여 관리 계정과 위임된 관리자가 루트 사용자 자격 증명이 필요한 특정 작업을 수행하도록 허용하세요.
1. (선택 사항) [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html) 명령을 사용하여 위임된 관리자를 등록합니다.
## 다음 단계
조직의 멤버 계정에 대한 권한 있는 자격 증명을 중앙에서 보호한 후에는 [권한 있는 태스크 수행](id_root-user-privileged-task.md) 섹션을 참조하여 멤버 계정에서 권한 있는 작업을 수행하세요.