AWS 계정 루트 사용자 - AWS Identity and Access Management

AWS 계정 루트 사용자

Amazon Web Services(AWS) 계정을 처음 생성할 때는 해당 계정의 모든 AWS 서비스 및 리소스에 대한 완전한 액세스 권한이 있는 Single Sign-In 자격 증명으로 시작합니다. 이 자격 증명은 AWS 계정 루트 사용자라고 하며, 계정을 생성할 때 사용한 이메일 주소와 암호로 로그인하여 액세스합니다.

중요

일상적인 작업, 심지어 관리 작업의 경우에도 루트 사용자를 사용하지 마실 것을 강력히 권장합니다. 대신, IAM 사용자를 처음 생성할 때만 루트 사용자를 사용하는 모범 사례를 준수합니다. 그런 다음 루트 사용자 자격 증명을 안전하게 보관하고 몇 가지 계정 및 서비스 관리 작업을 수행할 때만 사용합니다. 루트 사용자로 로그인해야 하는 작업을 보려면 루트 사용자가 필요한 AWS 작업을 참조하십시오. 일상적 사용을 위해 관리자를 설정하는 방법에 대한 자습서는 첫 번째 IAM 관리자 및 그룹 생성 단원을 참조하십시오.

AWS 계정 루트 사용자에 대한 액세스 키(액세스 키 ID 및 보안 액세스 키)를 생성, 교체, 비활성화 또는 삭제할 수 있습니다. 루트 사용자 암호를 변경할 수도 있습니다. AWS 계정에 대한 루트 사용자 자격 증명을 보유한 사람은 누구든지 결제 정보를 포함하여 해당 계정의 모든 리소스에 무제한으로 액세스할 수 있습니다.

액세스 키를 만들 때 액세스 키 ID와 보안 액세스 키를 한 세트로 생성합니다. 액세스 키 생성 중에 AWS는 액세스 키의 보안 액세스 키 부분을 확인하고 다운로드할 기회를 한 번 부여합니다. 보안 액세스 키를 다운로드하지 않았거나 분실한 경우 액세스 키를 삭제한 다음 새로 생성할 수 있습니다. IAM콘솔, AWS CLI 또는 AWS API를 사용해 루트 사용자 액세스 키를 생성할 수 있습니다.

새로 생성한 액세스 키는 활성 상태입니다. 즉, CLI 및 API 호출에 대해 액세스 키를 사용할 수 있습니다. 각 IAM 사용자에 대한 액세스 키는 두 개로 제한됩니다. 이는 액세스 키를 교체하려는 경우에 유용합니다. 또한 루트 사용자에 최대 두 개의 액세스 키를 할당할 수 있습니다. 액세스 키를 비활성화한 경우 API 호출에 액세스 키를 사용할 수 없으며, 비활성 키는 제한에 포함됩니다. 언제든지 액세스 키를 생성하거나 삭제할 수 있습니다. 그러나 액세스 키를 삭제하면 영구 삭제되어 되돌릴 수 없습니다.

보안 자격 증명 페이지에서 이메일 주소 및 암호를 변경할 수 있습니다. 또한 AWS 로그인 페이지에서 Forgot password?(암호 찾기)를 선택하여 암호를 재설정할 수 있습니다.

AWS 계정 생성 또는 삭제

자세한 내용은 AWS 지식 센터의 다음 문서를 참조하십시오.

AWS 계정 루트 사용자의 MFA 활성화

루트 사용자 자격 증명을 계속 사용할 경우, 보안 모범 사례에 따라 계정에 대한 멀티 팩터 인증(MFA)을 활성화하는 것이 좋습니다. 루트 사용자는 계정에서 민감한 작업을 수행할 수 있기 때문에 인증 단계를 추가하면 계정의 보안을 강화하는 데 도움이 됩니다. 여러 유형의 MFA가 있습니다. MFA 활성화에 대한 자세한 내용은 다음을 참조하십시오.

루트 사용자를 위한 액세스 키 생성

AWS Management 콘솔 또는 AWS 프로그래밍 도구를 사용하여 루트 사용자에 대한 액세스 키를 생성할 수 있습니다.

AWS 계정 루트 사용자에 대한 액세스 키를 생성하려면(콘솔 사용)

  1. [루트 사용자]를 선택하고 AWS 계정 이메일 주소를 입력하여 계정 소유자로 IAM 콘솔에 로그인합니다. 다음 페이지에서 암호를 입력합니다.

    참고

    텍스트 상자가 세 개 표시되면 이전에 IAM 사용자 자격 증명으로 콘솔에 로그인한 것입니다. 브라우저에서 이 기본 설정을 기억하고 로그인할 때마다 이 계정별 로그인 페이지를 열 수 있습니다. IAM 사용자 로그인 페이지에서는 계정 소유자로 로그인할 수 없습니다. IAM 사용자 로그인 페이지가 표시되면 페이지 하단에 있는 Sign in using 루트 사용자 email(이메일을 사용하여 로그인)을 선택하여 기본 로그인 페이지로 돌아갑니다. 기본 로그인 페이지에서 AWS 계정 이메일 주소와 암호를 입력하여 루트 사용자로 로그인합니다.

  2. 탐색 표시줄에서 계정 이름을 선택한 다음 내 보안 자격 증명을 선택합니다.

  3. AWS 계정의 보안 자격 증명에 대한 액세스와 관련해 경고가 나타나면, Continue to Security Credentials(보안 자격 증명으로 계속)을 선택하십시오.

  4. Access keys(access key ID and secret access key)(액세스 키(액세스 키 ID 및 보안 액세스 키)) 섹션을 확장합니다.

  5. Create New Access Key(새 액세스 키 생성)을 선택하십시오. 이 기능이 비활성화되면 새 키를 생성할 수 있기 전에 기존 액세스 키 중 하나를 삭제해야 합니다. 자세한 내용은 IAM 사용 설명서IAM 엔터티 객체 제한을 참조하십시오.

    보안 액세스 키를 보거나 다운로드할 수 있는 기회는 이번 한 번뿐이라는 경고가 표시됩니다. 나중에는 조회할 수 없습니다.

    • Show Access Key(액세스 키 표시)를 선택하면 브라우저 창에서 액세스 키 ID 및 보안 키를 복사해 다른 곳에 붙여넣기할 수 있습니다.

    • Download Key File(키 파일 다운로드)을 선택하면 액세스 키 ID 및 보안 키가 저장된 rootkey.csv라는 이름의 파일을 받게 됩니다. 파일을 안전한 곳에 저장합니다.

  6. 액세스 키를 더 이상 사용하지 않을 때는 오용되지 않도록 삭제하거나 Make Inactive(비활성화)를 선택하여 비활성 상태로 표시할 것을 권합니다.

루트 사용자에 대한 액세스 키(AWS CLI 또는 AWS API)를 생성하려면

다음 중 하나를 사용하십시오.

루트 사용자를 위한 액세스 키 삭제

AWS Management 콘솔 또는 다양한 프로그래밍 도구를 사용하여 루트 사용자에 대한 액세스 키를 삭제할 수 있습니다.

AWS 계정 루트 사용자(콘솔)에서 액세스 키를 삭제하려면

  1. AWS 계정 이메일 주소와 암호를 사용하여 AWS Management 콘솔에 AWS 계정 루트 사용자로 로그인합니다.

    참고

    텍스트 상자가 세 개 표시되면 이전에 IAM 사용자 자격 증명으로 콘솔에 로그인한 것입니다. 브라우저에서 이 기본 설정을 기억하고 로그인할 때마다 이 계정별 로그인 페이지를 열 수 있습니다. IAM 사용자 로그인 페이지에서는 계정 소유자로 로그인할 수 없습니다. IAM 사용자 로그인 페이지가 표시되면 페이지 하단에 있는 Sign in using 루트 사용자 email(이메일을 사용하여 로그인)을 선택하여 기본 로그인 페이지로 돌아갑니다. 기본 로그인 페이지에서 AWS 계정 이메일 주소와 암호를 입력하여 루트 사용자로 로그인합니다.

  2. 탐색 표시줄에서 계정 이름을 선택한 다음 내 보안 자격 증명을 선택합니다.

  3. AWS 계정의 보안 자격 증명에 대한 액세스와 관련해 경고가 나타나면, Continue to Security Credentials(보안 자격 증명으로 계속)을 선택하십시오.

  4. Access keys(access key ID and secret access key)(액세스 키(액세스 키 ID 및 보안 액세스 키)) 섹션을 확장합니다.

  5. 삭제하고자 하는 액세스 키를 찾은 다음, 작업 열에서 삭제를 선택합니다.

    참고

    액세스 키를 삭제하는 대신에 비활성 상태로 표시할 수 있습니다. 이렇게 하면 키 ID나 보안 키를 변경하지 않고도 나중에 액세스 키를 다시 사용할 수 있습니다. 비활성 상태에 있는 동안에는 AWS API에 대한 요청을 통해 액세스 키를 사용하려는 시도는 액세스 거부 상태로 인해 실패합니다.

루트 사용자에 대한 액세스 키(AWS CLI 또는 AWS API)를 삭제하려면

다음 중 하나를 사용하십시오.

루트 사용자의 암호 변경

루트 사용자의 암호 변경에 대한 자세한 내용은 AWS 계정 루트 사용자 암호 변경 단원을 참조하십시오. 루트 사용자를 변경하려면 루트 사용자 자격 증명을 사용하여 로그인해야 합니다. 루트 사용자로 로그인해야 하는 작업을 보려면 루트 사용자가 필요한 AWS 작업을 참조하십시오.

루트 사용자에 대한 자격 증명 보호

AWS 계정 루트 사용자의 자격 증명 보호에 대한 자세한 내용은 AWS 계정 루트 사용자 액세스 키 잠금 단원을 참조하십시오.