AWS Identity and Access Management
사용 설명서

AWS 계정 루트 사용자

Amazon Web Services(AWS) 계정을 처음 생성하면 전체 AWS 서비스 및 계정 리소스에 대한 완전한 액세스 권한을 지닌 단일 로그인 자격 증명으로 시작합니다. 이 자격 증명은 AWS 계정 루트 사용자라고 하며, 계정을 생성할 때 사용한 이메일 주소와 암호로 로그인하여 액세스합니다.

중요

일상적인 작업, 심지어 관리 작업의 경우에도 루트 사용자를 사용하지 마실 것을 강력히 권장합니다. 대신, IAM 사용자를 처음 생성할 때만 루트 사용자를 사용하는 모범 사례를 준수하십시오. 그런 다음 루트 사용자 자격 증명은 안전하게 보관하다가 몇몇 계정 및 서비스 관리 작업을 수행할 때만 사용하십시오. 루트 사용자로 로그인해야 하는 작업을 보려면 루트 사용자가 필요한 AWS 작업을 참조하십시오. 일상적 사용을 위해 관리자를 설정하는 방법에 대한 자습서는 첫 번째 IAM 관리자 및 그룹 생성 단원을 참조하십시오.

AWS 계정 루트 사용자에 대한 액세스 키(액세스 키 ID 및 보안 액세스 키)를 생성, 교체, 비활성화 또는 삭제할 수 있습니다. 루트 사용자 암호를 변경할 수도 있습니다. AWS 계정에 대한 루트 사용자 자격 증명을 보유한 사람은 누구든지 결제 정보를 포함하여 해당 계정의 모든 리소스에 무제한으로 액세스할 수 있습니다.

액세스 키를 만들 때 액세스 키 ID와 보안 액세스 키를 한 세트로 생성합니다. 액세스 키 생성 중에 AWS는 액세스 키의 보안 액세스 키 부분을 확인하고 다운로드할 기회를 한 번 부여합니다. 보안 액세스 키를 다운로드하지 않았거나 분실한 경우 액세스 키를 삭제한 다음 새로 생성할 수 있습니다. IAM콘솔, AWS CLI 또는 AWS API에서 IAM 사용자 액세스 키를 생성할 수 있습니다. 자세한 내용은 IAM 사용 설명서에서 IAM 사용자의 액세스 키 관리를 참조하십시오. AWS 계정 루트 사용자에 대한 액세스 키를 생성하려면 AWS Management 콘솔을 사용해야 합니다.

새로 생성한 액세스 키는 활성 상태입니다. 즉, CLI 및 API 호출에 대해 액세스 키를 사용할 수 있습니다. 각 IAM 사용자에 대한 액세스 키는 두 개로 제한됩니다. 이는 액세스 키를 교체하려는 경우에 유용합니다. 또한 루트 사용자에 최대 두 개의 액세스 키를 할당할 수 있습니다. 액세스 키를 비활성화한 경우 API 호출에 액세스 키를 사용할 수 없으며, 비활성 키는 제한에 포함됩니다. 언제든지 액세스 키를 생성하거나 삭제할 수 있습니다. 그러나 액세스 키를 삭제하면 영구 삭제되어 되돌릴 수 없습니다.

AWS 계정 루트 사용자의 MFA 활성화

루트 사용자 자격 증명을 계속 사용할 경우, 보안 모범 사례에 따라 계정에 대한 멀티 팩터 인증(MFA)을 활성화하는 것이 좋습니다. 루트 사용자는 계정에서 민감한 작업을 수행할 수 있기 때문에 인증 단계를 추가하면 계정의 보안을 강화하는 데 도움이 됩니다. 여러 유형의 MFA가 있습니다. MFA 활성화에 대한 자세한 내용은 다음을 참조하십시오.

루트 사용자를 위한 액세스 키 생성

AWS Management 콘솔 또는 AWS 프로그래밍 도구를 사용하여 루트 사용자에 대한 액세스 키를 생성할 수 있습니다.

AWS 계정 루트 사용자에 대한 액세스 키를 생성하려면(콘솔 사용)

  1. AWS 계정 이메일 주소와 암호를 사용하여 AWS Management 콘솔에 AWS 계정 루트 사용자로 로그인합니다.

    참고

    이전에 IAM 사용자 자격 증명으로 콘솔에 로그인한 경우 브라우저가 이 기본 설정을 기억하여 계정별 로그인 페이지를 열 수도 있습니다. IAM 사용자 로그인 페이지에서는 AWS 계정 루트 사용자 자격 증명으로 로그인할 수 없습니다. IAM 사용자 로그인 페이지가 나타날 경우에는 페이지 하단에 있는 Sign-in using 루트 사용자 credentials(루트 계정 자격 증명을 사용하여 로그인)를 선택하여 기본 로그인 페이지로 돌아갑니다. 기본 로그인 페이지에서 AWS 계정의 이메일 주소와 암호를 입력합니다.

  2. 탐색 표시줄에서 계정 이름을 선택한 다음 내 보안 자격 증명을 선택합니다.

  3. AWS 계정의 보안 자격 증명에 대한 액세스와 관련해 경고가 나타나면, Continue to Security Credentials(보안 자격 증명으로 계속)을 선택하십시오.

  4. Access keys(access key ID and secret access key)(액세스 키(액세스 키 ID 및 보안 액세스 키)) 섹션을 확장합니다.

  5. Create New Access Key(새 액세스 키 생성)을 선택하십시오. 이 기능이 비활성화되면 새 키를 생성할 수 있기 전에 기존 액세스 키 중 하나를 삭제해야 합니다. 자세한 내용은 IAM 사용 설명서IAM 엔터티 객체 제한을 참조하십시오.

    보안 액세스 키를 보거나 다운로드할 수 있는 기회는 이번 한 번뿐이라는 경고가 표시됩니다. 나중에는 조회할 수 없습니다.

    • Show Access Key(액세스 키 표시)를 선택하면 브라우저 창에서 액세스 키 ID 및 보안 키를 복사해 다른 곳에 붙여넣기할 수 있습니다.

    • Download Key File(키 파일 다운로드)을 선택하면 액세스 키 ID 및 보안 키가 저장된 rootkey.csv라는 이름의 파일을 받게 됩니다. 파일을 안전한 곳에 저장합니다.

  6. 액세스 키를 더 이상 사용하지 않을 때는 오용되지 않도록 삭제하거나 Make Inactive(비활성화)를 선택하여 비활성 상태로 표시할 것을 권합니다.

루트 사용자에 대한 액세스 키(AWS CLI 또는 AWS API)를 생성하려면

다음 중 하나를 사용하십시오.

루트 사용자로부터 액세스 키 삭제하기

AWS Management 콘솔 또는 다양한 프로그래밍 도구를 사용하여 루트 사용자에 대한 액세스 키를 삭제할 수 있습니다.

AWS 계정 루트 사용자(콘솔)에서 액세스 키를 삭제하려면

  1. AWS 계정 이메일 주소와 암호를 사용하여 AWS Management 콘솔에 루트 사용자로 로그인합니다.

    참고

    이전에 IAM 사용자 자격 증명으로 콘솔에 로그인한 경우, 브라우저가 이 설정을 기억하여 계정별 로그인 페이지를 열 수도 있습니다. IAM 사용자 로그인 페이지에서는 AWS 계정 루트 사용자 자격 증명으로 로그인할 수 없습니다. IAM 사용자 로그인 페이지가 나타날 경우에는 페이지 하단에 있는 [Sign in using root account credentials]를 선택하여 기본 로그인 페이지로 돌아갑니다. 기본 로그인 페이지에서 AWS 계정의 이메일 주소와 암호를 입력합니다.

  2. 탐색 표시줄에서 계정 이름을 선택한 다음 내 보안 자격 증명을 선택합니다.

  3. AWS 계정의 보안 자격 증명에 대한 액세스와 관련해 경고가 나타나면, Continue to Security Credentials(보안 자격 증명으로 계속)을 선택하십시오.

  4. Access keys(access key ID and secret access key)(액세스 키(액세스 키 ID 및 보안 액세스 키)) 섹션을 확장합니다.

  5. 삭제하고자 하는 액세스 키를 찾은 다음, 작업 열에서 삭제를 선택합니다.

    참고

    액세스 키를 삭제하는 대신에 비활성 상태로 표시할 수 있습니다. 이렇게 하면 키 ID나 보안 키를 변경하지 않고도 나중에 액세스 키를 다시 사용할 수 있습니다. 비활성 상태에 있는 동안에는 AWS API에 대한 요청을 통해 액세스 키를 사용하려는 시도는 액세스 거부 상태로 인해 실패합니다.

루트 사용자에 대한 액세스 키(AWS CLI 또는 AWS API)를 삭제하려면

다음 중 하나를 사용하십시오.

루트 사용자의 암호 변경

루트 사용자의 암호 변경에 대한 자세한 내용은 AWS 계정 루트 사용자 암호 변경 단원을 참조하십시오. 루트 사용자를 변경하려면 루트 사용자 자격 증명을 사용하여 로그인해야 합니다. 루트 사용자로 로그인해야 하는 작업을 보려면 루트 사용자가 필요한 AWS 작업을 참조하십시오.