IAM 사용자의 권한 변경 - AWS Identity and Access Management

IAM 사용자의 권한 변경

AWS 계정에서 IAM 사용자의 권한을 변경하려면 사용자의 그룹 멤버십을 변경하거나, 기존 사용자의 권한을 복사하거나, 사용자에 정책을 직접 연결하거나, 권한 경계를 설정할 수 있습니다. 이 권한 경계는 사용자가 가질 수 있는 최대 권한을 관리합니다. 권한 경계는 고급 AWS 기능입니다.

사용자의 권한을 수정하기 위해 필요한 권한에 대한 자세한 내용은 IAM 리소스에 액세스하는 데 필요한 권한 단원을 참조하십시오.

사용자 액세스 보기

사용자에 대한 권한을 변경하기 전에 최근 서비스 수준 활동을 검토해야 합니다. 이 기능은 사용 중인 보안 주체(사람 또는 애플리케이션)의 액세스 권한을 제거하지 않으려는 경우 중요합니다. 마지막으로 액세스한 정보 보기에 대한 자세한 내용은 마지막으로 액세스한 정보를 사용하여 AWS에서의 권한 재정의 단원을 참조하십시오.

사용자의 액세스 활동을 기반으로 정책 생성

때로는 IAM 엔터티(사용자 또는 역할)에 필요한 것보다 많은 권한을 부여할 수도 있습니다. 부여하는 권한을 세분화할 수 있도록 엔터티의 액세스 활동을 기반으로 IAM 정책을 생성할 수 있습니다. IAM Access Analyzer는 사용자의 AWS CloudTrail 로그를 검토하고 지정된 날짜 범위에 엔터티에서 사용한 권한을 포함하는 정책 템플릿을 생성합니다. 이 템플릿을 사용하여 세분화된 권한이 포함된 관리형 정책을 생성한 다음 IAM 엔터티에 연결할 수 있습니다. 이렇게 하면 특정 사용 사례에 사용자나 역할이 AWS 리소스와 상호 작용하는 데 필요한 권한만 부여됩니다. 자세한 내용은 액세스 활동을 기반으로 정책 생성 단원을 참조하세요.

사용자에 권한 추가(콘솔)

IAM은 사용자에 권한 정책을 추가하는 세 가지 방법을 제공합니다.

  • 그룹에 사용자 추가 - 사용자를 그룹의 구성원으로 만듭니다. 그룹의 정책은 사용자로 연결됩니다.

  • 기존 사용자의 권한 복사 - 소스 사용자의 모든 그룹 멤버십, 연결된 관리형 정책, 인라인 정책 및 모든 기존 권한 경계를 복사합니다.

  • 정책을 사용자에 직접 연결 - 관리형 정책을 사용자에 직접 연결합니다. 그 대신에 그룹에 정책을 연결한 다음, 사용자들을 적절한 그룹의 구성원으로 만드는 것이 바람직한 모범 사례입니다.

중요

사용자에게 권한 경계가 있다면 권한 경계가 허용한 권한보다 더 많은 권한을 추가할 수 없습니다.

사용자를 그룹에 추가하여 권한 추가

사용자를 그룹에 추가하여 사용자에게 바로 영향을 줍니다.

사용자를 그룹에 추가하여 사용자에게 권한을 추가하려면

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 콘솔의 그룹 열에서 사용자에 대한 현재 그룹 멤버십을 검토합니다. 필요할 경우 다음 단계를 통해 사용자 테이블에 열을 추가합니다.

    1. 테이블 위 맨 오른쪽에서 설정 기호( 
                    Settings icon
                  )를 선택합니다.

    2. 열 관리(Manage Columns) 대화 상자에서 그룹(Groups) 열을 선택합니다. 필요할 경우 사용자 테이블에 표시하지 않으려는 열이 있으면 해당 열의 확인란 선택을 취소하면 됩니다.

    3. 닫기를 선택하여 사용자 목록으로 돌아갑니다.

    그룹 열에는 사용자가 속한 그룹이 표시됩니다. 열에는 최대 2개 그룹에 대한 그룹 이름이 표시됩니다. 사용자가 3개 이상 그룹의 구성원인 경우 처음 두 개 그룹만 알파벳 순서대로 표시되고 나머지 그룹 멤버십 수가 표시됩니다. 예를 들어 사용자가 그룹 A, 그룹 B, 그룹 C, 그룹 D에 속한 경우 필드에 Group A, Group B + 2 more(그룹 A, 그룹 B 외 2개)라고 표시됩니다. 사용자가 속한 총 그룹 수를 보려면 사용자 테이블에 Group count(그룹 수) 열을 추가합니다.

  4. 권한을 수정하려는 사용자의 이름을 선택합니다.

  5. 권한 탭을 선택한 다음 Add permissions(권한 추가)를 선택합니다. [Add user to group]을 선택합니다.

  6. 사용자를 귀속시키려는 각 그룹의 확인란을 선택합니다. 그 목록에는 각 그룹의 이름과 사용자가 그 그룹의 구성원이 되면 받는 정책이 표시됩니다.

  7. (선택 사항) 기존 그룹에서 선택할 수 있을 뿐 아니라 다음과 같이 그룹 생성을 선택하여 새 그룹을 정의할 수 있습니다.

    1. 새로운 탭에서 그룹 이름으로 새로운 그룹의 이름을 입력합니다.

      참고

      AWS 계정의 IAM 리소스 수와 크기는 제한되어 있습니다. 자세한 내용은 IAM 및 AWS STS 할당량 섹션을 참조하세요. 그룹 이름에는 최대 128개의 알파벳, 숫자 및 더하기(+), 등호(=), 쉼표(,), 마침표(.), 앳(@), 그리고 하이픈(-) 조합을 사용할 수 있습니다. 이름은 계정 내에서 고유해야 합니다. 대소문자는 구별하지 않습니다. 예를 들어 "TESTGROUP""testgroup"이라는 두 그룹을 만들 수는 없습니다.

    2. 그룹에 연결하고자 하는 관리형 정책에 대해 한 개 이상의 확인란을 선택합니다. 정책 생성을 선택하여 새로운 관리형 정책을 만들 수도 있습니다. 이렇게 하는 경우, 새 정책이 완료되면 이 브라우저 탭 또는 창으로 돌아가 새로 고침을 선택한 다음, 그룹에 연결할 새로운 정책을 선택합니다. 자세한 내용은 IAM 정책 생성 섹션을 참조하세요.

    3. 그룹 생성을 선택합니다.

    4. 기존 탭으로 반환하고 그룹 목록을 새로 고침합니다. 새로운 그룹에 대한 확인란을 선택합니다.

  8. Next: Review(다음: 검토)를 선택하여 사용자에 추가될 그룹 멤버십의 목록을 확인합니다. 그런 다음 Add permissions(권한 추가)를 선택합니다.

다른 사용자에게서 복사하여 권한 추가

권한 복사는 사용자에게 바로 적용됩니다.

다른 사용자에게서 권한을 복사하여 사용자에게 권한을 추가하려면

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택한 다음, 권한을 수정할 사용자의 이름을 선택하고 권한 탭을 선택합니다.

  3. Add permissions(권한 추가)를 선택한 다음, Copy permissions from existing user(기존 사용자에서 권한 복사)를 선택합니다. 목록에는 사용 가능한 사용자들이 그들의 그룹 멤버십 및 연결된 정책과 함께 표시됩니다. 그룹 또는 정책의 전체 목록이 한 줄에 표시되지 않는 경우 n개 더(and n more) 링크를 선택할 수 있습니다. 그러면 새 브라우저 탭이 열리고 정책(권한 탭) 및 그룹(그룹 탭)의 전체 목록을 볼 수 있습니다.

  4. 복사하고자 하는 권한을 보유한 사용자 옆에 있는 라디오 버튼을 선택합니다.

  5. Next: Review(다음: 검토)를 선택하여 사용자에 대한 변경 사항의 목록을 확인합니다. 그런 다음 Add permissions(권한 추가)를 선택합니다.

사용자에 정책을 직접 연결하여 권한 추가

정책 연결은 사용자에게 바로 적용됩니다.

관리형 정책을 직접 연결하여 사용자에게 권한을 추가하려면

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택한 다음, 권한을 수정할 사용자의 이름을 선택하고 권한 탭을 선택합니다.

  3. Add permissions(권한 추가)를 선택한 다음, Attach existing policies directly to user(기존 정책을 사용자에게 직접 연결)를 선택합니다.

  4. 사용자에 연결하고자 하는 관리형 정책에 대해 한 개 이상의 확인란을 선택합니다. 정책 생성을 선택하여 새로운 관리형 정책을 만들 수도 있습니다. 이렇게 하는 경우, 새 정책이 완료되면 이 브라우저 탭 또는 창으로 돌아가 새로 고침을 선택한 다음, 사용자에게 연결할 새로운 정책 확인란을 선택합니다. 자세한 내용은 IAM 정책 생성 섹션을 참조하세요.

  5. Next: Review(다음: 검토)를 선택하여 사용자에 연결될 정책의 목록을 확인합니다. 그런 다음 Add permissions(권한 추가)를 선택합니다.

사용자의 권한 경계 설정

권한 경계 설정은 사용자에게 바로 적용됩니다.

사용자에 대한 권한 경계를 설정하려면

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 권한 경계를 변경하려는 사용자의 이름을 선택합니다.

  4. [Permissions] 탭을 선택합니다. 필요하다면 Permissions boundary(권한 경계) 섹션을 열고 Set boundary(경계 설정)를 선택합니다.

  5. 정책을 선택하여 원하는 권한 경계를 사용하십시오.

  6. Set boundary(경계 설정)을 선택합니다.

사용자의 권한 변경(콘솔)

IAM을 사용하면 다음과 같은 방법으로 사용자와 연결된 권한을 변경할 수 있습니다.

  • 권한 정책 편집 - 사용자 인라인 정책, 사용자 그룹의 인라인 정책을 편집하거나 사용자에 직접 연결되거나 그룹에서 연결된 관리형 정책을 편집합니다. 사용자에게 권한 경계가 있다면 권한 경계로 사용된 정책이 허용한 권한보다 더 많은 권한을 제공할 수 없습니다.

  • 권한 경계 변경 - 사용자의 권한 경계로 사용되는 정책을 변경합니다. 이로써 사용자가 가질 수 있는 최대 권한을 확장 또는 제한할 수 있습니다.

사용자에 연결된 권한 정책 편집

권한 변경은 사용자에게 바로 적용됩니다.

사용자의 연결된 관리형 정책을 편집하려면

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 권한 정책을 변경하려는 사용자의 이름을 선택합니다.

  4. [Permissions] 탭을 선택합니다. 필요하다면 Permissions policies(권한 정책) 부분을 엽니다.

  5. 정책에 대한 세부 정보를 보기 위해서 편집하고자 하는 정책 이름을 선택합니다. Used as(다음과 같이 사용됨) 탭을 선택하여 정책을 편집함으로써 영향을 받을 다른 개체를 봅니다.

  6. 그런 다음 Permissions tab(권한 탭)을 정책이 허용한 권한을 검토합니다. 그런 다음 정책 편집을 선택합니다.

  7. 시각적 편집기(Visual editor) 탭 또는 JSON 탭을 사용하여 정책을 편집하고 정책 검증 권장 사항을 모두 해결합니다. 자세한 내용은 IAM 정책 편집 섹션을 참조하세요.

  8. 정책 검토를 선택한 다음 정책 요약을 검토한 후 변경 사항 저장을 선택합니다.

사용자의 권한 경계 변경

권한 경계 변경은 사용자에게 바로 적용됩니다.

사용자의 권한 경계 설정에 사용된 정책을 변경하려면

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 권한 경계를 변경하려는 사용자의 이름을 선택합니다.

  4. [Permissions] 탭을 선택합니다. 필요하다면 Permissions boundary(권한 경계) 섹션을 열고 Change boundary(경계 변경)을 선택합니다.

  5. 정책을 선택하여 원하는 권한 경계를 사용하십시오.

  6. Change boundary(경계 변경)을 선택합니다.

사용자에게서 권한 정책 제거(콘솔)

정책 제거는 사용자에게 바로 적용됩니다.

IAM 사용자의 권한을 취소하려면

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 권한 경계를 제거하려는 사용자의 이름을 선택합니다.

  4. [Permissions] 탭을 선택합니다.

  5. 기존 정책을 제거하여 사용 권한을 취소하려면 X를 선택하여 정책을 제거하기 전에 정책 유형(Policy type)을 보고 사용자가 해당 정책을 가져오는 방법을 파악합니다.

    • 그 정책이 그룹 멤버십 때문에 적용되는 경우, X를 선택하면 사용자가 그룹에서 제거됩니다. 한 그룹에 여러 정책이 연결될 수 있습니다. 따라서 그룹에서 사용자를 제거할 경우 사용자는 그 그룹의 멤버십을 통해 받은 모든 정책에 대한 액세스 권한을 잃게 됩니다.

    • 정책이 사용자에 직접 연결된 관리형 정책인 경우 X를 선택하면 정책이 사용자와 분리됩니다. 이렇게 해도 정책 자체 또는 그 정책이 연결되어 있을 수 있는 다른 개체에는 영향을 미치지 않습니다.

    • 정책이 인라인 포함 정책인 경우, X를 선택하면 정책이 IAM에서 제거됩니다. 사용자에 직접 연결된 인라인 정책은 해당 사용자에만 존재합니다.

사용자에게서 권한 경계 제거(콘솔)

권한 경계 제거는 사용자에게 바로 적용됩니다.

사용자(콘솔)에게서 권한 경계를 제거하려면

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 권한 경계를 제거하려는 사용자의 이름을 선택합니다.

  4. [Permissions] 탭을 선택합니다. 필요하다면 Permissions boundary(권한 경계) 섹션을 열고 Remove boundary(경계 제거)를 선택합니다.

  5. 제거를 선택하여 권한 경계를 제거합니다.

사용자 권한 추가 및 제거(AWS CLI 또는 AWS API)

프로그래밍 방식으로 권한을 추가 또는 제거하려면 그룹 멤버십을 추가 또는 제거하거나 관리형 정책을 연결 또는 분리하거나 인라인 정책을 추가 또는 삭제해야 합니다. 자세한 정보는 다음 주제를 참조하세요.