AWS 계정에서 IAM 사용자 생성

중요

IAM 모범 사례는 장기 보안 인증 정보가 있는 IAM 사용자를 사용하는 대신, 인간 사용자가 자격 증명 공급자와의 페더레이션을 사용하여 임시 보안 인증으로 AWS에 액세스하도록 하는 것입니다.

참고

웹 사이트에서 Amazon 제품을 판매하고자 Product Advertising API에 대한 정보를 찾고 있기 때문에 이 페이지를 발견한 경우 Product Advertising API 5.0 설명서를 참조하세요.

IAM 콘솔에서 이 페이지로 이동했을 경우 로그인을 했더라도 계정에 IAM 사용자가 포함되지 않을 수 있습니다. 역할을 사용하거나, 임시 자격 증명으로 로그인하여 AWS 계정 루트 사용자로 로그인할 수 있습니다. 이러한 IAM 자격 증명에 대한 자세한 내용은 IAM 자격 증명(사용자, 사용자 그룹 및 역할) 섹션을 참조하세요.

다음 단계에 따라 사용자를 생성하고 사용자가 작업을 수행할 수 있습니다.

1. AWS Management Console, AWS CLI 또는 Tools for Windows PowerShell에서나 AWS API 작업을 사용하여 사용자를 생성합니다. AWS Management Console에서 사용자를 생성하면 선택한 항목에 따라 1~4단계는 자동으로 처리됩니다. 프로그래밍 방식으로 사용자를 생성하는 경우, 각 단계를 개별적으로 수행해야 합니다.

2. 사용자에게 필요한 액세스 유형에 따라 사용자의 자격 증명을 생성합니다.

   • 콘솔 액세스 활성화 – 선택 사항: 사용자가 AWS Management Console에 액세스해야 할 경우, 해당 사용자의 암호를 생성합니다. 사용자의 콘솔 액세스를 비활성화하면 사용자가 사용자 이름과 암호를 사용하여 AWS Management Console에 로그인하지 못합니다. 그렇더라도 사용자의 권한이 변경되거나 위임된 역할을 사용하여 콘솔에 액세스하는 것을 방지하지는 않습니다.

   작은 정보

   사용자에게 필요한 보안 인증만 생성하세요. 예를 들어, AWS Management Console을 통해서만 액세스해야 하는 사용자에게는 액세스 키를 생성해서는 안 됩니다.

3. 해당 사용자를 하나 이상의 그룹에 추가하여 필요한 작업을 수행할 수 있는 권한을 부여합니다. 권한 정책을 사용자에게 직접 연결하여 권한을 부여할 수도 있습니다. 하지만, 사용자를 그룹에 추가한 후 그 그룹에 연결된 정책을 통해 정책과 권한을 관리하는 것이 좋습니다. 권한 경계를 사용하여 일반적이지는 않지만 사용자에게 있는 권한을 제한할 수 있습니다.

4. (선택 사항) 태그를 연결하여 메타데이터를 사용자에게 추가합니다. IAM에서의 태그 사용에 대한 자세한 내용은 IAM 리소스에 태그 지정 섹션을 참조하세요.

5. 사용자에게 필요한 로그인 정보를 제공합니다. 여기에는 암호를 비롯해 사용자가 자격 증명을 제공하는 계정 로그인 웹 페이지의 콘솔 URL이 포함됩니다. 자세한 내용은 IAM 사용자가 AWS에 로그인하는 방법 섹션을 참조하세요.

6. (선택 사항) 사용자에 대한 멀티 팩터 인증(MFA)을 구성합니다. MFA의 경우, 사용자가 AWS Management Console에 로그인할 때마다 일회용 코드를 입력해야 합니다.

7. (선택 사항) 사용자에게 자신의 보안 자격 증명을 관리할 권한을 부여합니다. (기본적으로 사용자는 자신의 자격 증명을 관리할 권한이 없습니다.) 자세한 내용은 IAM 사용자에게 자신의 암호 변경 허용 섹션을 참조하세요.

사용자를 생성하기 위해 필요한 권한에 대한 자세한 내용은 IAM 리소스에 액세스하는 데 필요한 권한 섹션을 참조하세요.

IAM 사용자 생성(콘솔)

AWS Management Console을 사용하여 IAM 사용자를 생성할 수 있습니다.

IAM 사용자 생성하는 방법(콘솔)

1. AWS 로그인 사용 설명서의 AWS에 로그인하는 방법 항목에 설명된 대로 사용자 유형에 맞는 로그인 절차를 따르세요.

2. 콘솔 홈 페이지에서 IAM 서비스를 선택합니다.

3. 탐색 창에서 사용자와 사용자 추가를 차례로 선택합니다.

4. 사용자 세부 정보 지정 페이지의 사용자 세부 정보 아래에 있는 사용자 이름에 새 사용자의 이름을 입력합니다. 이것은 AWS에 로그인할 때 사용하는 이름입니다.

   참고

   AWS 계정의 IAM 리소스 수와 크기는 제한되어 있습니다. 자세한 내용은 IAM 및 AWS STS 할당량 섹션을 참조하세요. 사용자 이름에는 최대 64개의 문자, 숫자 및 더하기(+), 등호(=), 쉼표(,), 마침표(.), 앳(@) 및 하이픈(-) 조합을 사용할 수 있습니다. 이름은 계정 내에서 고유해야 합니다. 대소문자는 구별하지 않습니다. 예를 들어 "TESTUSER"와 "testuser"라는 두 사용자를 만들 수는 없습니다. 사용자 이름이 정책에서 또는 ARN의 일부로 사용되는 경우 이름은 대소문자를 구분합니다. 콘솔에서 고객에게 사용자 이름이 표시되는 경우(예: 로그인 프로세스 중) 사용자 이름은 대소문자를 구분하지 않습니다.

5. AWS Management Console에 사용자 액세스 제공 선택 사항을 선택하면 새 사용자의 AWS Management Console 로그인 보안 인증이 생성됩니다.

   콘솔 액세스 권한을 제공하려는지 여부를 묻는 메시지가 표시됩니다. IAM이 아니라 IAM Identity Center에서 사용자를 생성하는 것이 좋습니다.

   • IAM Identity Center에서 사용자를 생성하도록 전환하려면 Identity Center에서 사용자 지정을 선택합니다.

     IAM Identity Center를 활성화하지 않은 경우 이 옵션을 선택하면 서비스를 활성화할 수 있도록 콘솔의 서비스 페이지로 이동합니다. 이 절차에 대한 자세한 내용은 AWS IAM Identity Center 사용 설명서의 https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html 내용을 참조하세요.

     IAM Identity Center를 활성화한 경우 이 옵션을 선택하면 IAM Identity Center의 사용자 세부 정보 지정 페이지로 이동합니다. 이 절차에 대한 자세한 내용은 AWS IAM Identity Center 사용 설명서의 https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html 내용을 참조하세요.

   • IAM Identity Center를 사용할 수 없는 경우 IAM 사용자를 생성하고 싶음을 선택하고 절차를 계속 진행하세요.

   1. 콘솔 암호의 경우 다음 중 하나를 선택합니다.

      • 자동 생성된 비밀 번호 – 각 사용자는 계정 암호 정책에 따라 임의로 생성되는 암호를 받습니다. 암호 검색 페이지에 이르면 암호를 보거나 다운로드할 수 있습니다.

      • 사용자 지정 비밀 번호 – 입력란에 입력하는 암호가 각 사용자에게 할당됩니다.

   2. (선택 사항) 사용자가 처음으로 로그인할 때 암호를 변경하게 하기 위해, 기본값으로 다음에 로그인할 때 사용자가 새 암호를 생성해야 함(권장)이 선택됩니다.

      참고

      관리자가 사용자 자신의 비밀번호 변경 허용 계정 암호 정책 설정을 활성화한 경우 이 확인란은 아무 작업도 수행하지 않습니다. 그렇지 않은 경우에는 새 사용자에게 IAMUserChangePassword라는 AWS 관리형 정책이 자동으로 연결됩니다. 이 정책은 사용자에게 자신의 암호를 변경할 수 있는 권한을 부여합니다.

6. 다음(Next)을 선택합니다.

7. 권한 설정 페이지에서 이 사용자에 권한을 할당하는 방식을 지정합니다. 다음 세 가지 옵션 중 하나를 선택합니다.

   • 그룹에 사용자 추가 – 이미 권한 정책을 보유한 하나 이상의 그룹에 사용자를 할당하고자 하는 경우, 이 옵션을 선택합니다. IAM에 계정의 그룹 목록이 연결된 정책과 함께 표시됩니다. 기존의 보안 그룹을 한 개 이상 선택하거나 그룹 생성을 선택하여 새 그룹을 만들 수 있습니다. 자세한 내용은 IAM 사용자의 권한 변경 섹션을 참조하세요.

   • 권한 복사 – 기존 사용자의 그룹 멤버십, 연결된 관리형 정책, 포함된 인라인 정책 및 기존 권한 경계를 새로운 사용자로 모두 복사하려면 이 옵션을 선택합니다. IAM에 계정의 사용자 목록이 표시됩니다. 보유한 권한이 새로운 사용자의 요구 사항과 가장 근접하는 사용자를 선택합니다.

   • 직접 정책 연결 – 이 옵션을 선택하여 계정의 AWS 관리형 또는 사용자 관리형 정책 목록을 봅니다. 사용자에게 연결하려는 정책을 선택하거나 정책 생성을 선택하여 새 브라우저 탭을 열고 새로운 정책을 생성합니다. 자세한 내용은 IAM 정책 생성 절차의 4단계 섹션을 참조하세요. 정책을 생성하면 탭을 닫고 원래 탭으로 돌아와 사용자에게 정책을 추가합니다.

     작은 정보

     가능하면 정책을 그룹에 연결한 다음 사용자를 적절한 그룹의 멤버로 만드세요.

8. (선택 사항) 권한 경계로서 설정됨. 이는 고급 기능입니다.

   권한 경계 섹션을 열고 최대 권한을 관리하기 위한 권한 경계 사용을 선택합니다. IAM에 계정의 AWS 관리형 또는 사용자 관리형 정책의 목록이 표시됩니다. 권한 경계를 사용하기 위한 정책을 선택하거나 정책 생성을 선택하여 새 브라우저 탭을 열고 새로운 정책을 생성합니다. 자세한 내용은 IAM 정책 생성 절차의 4단계 섹션을 참조하세요. 정책을 생성하면 탭을 닫고 원래 탭으로 돌아와 권한 경계에 사용할 정책을 선택합니다.

9. 다음(Next)을 선택합니다.

10. (선택 사항) 검토 및 생성 페이지의 태그에서 새 태그 추가를 선택하여 태그를 키 값 페어로 연결해 메타데이터를 사용자에게 추가합니다. IAM에서의 태그 사용에 대한 자세한 내용은 IAM 리소스에 태그 지정 섹션을 참조하세요.

11. 이 시점까지 한 선택을 모두 검토합니다. 계속 진행할 준비가 되었으면 사용자 생성을 선택합니다.

12. 비밀번호 검색 페이지에서 사용자에게 할당된 비밀번호를 가져옵니다.

    • 암호 옆에 있는 보기를 선택하여 사용자 암호를 보고 수동으로 기록할 수 있습니다.

    • .csv 다운로드를 선택하여 안전한 위치에 저장할 수 있는.csv 파일로 사용자의 로그인 보안 인증을 다운로드합니다.

13. 이메일 로그인 지침을 선택합니다. 로컬 메일 클라이언트는 사용자 지정을 거쳐 사용자에게 발송할 수 있는 초안 형태로 열립니다. 이메일 템플릿에는 각 사용자에 대한 세부 정보가 다음과 같이 포함되어 있습니다.

    • 사용자 이름

    • 계정 로그인 페이지의 URL. 다음 예를 사용하여 정확한 계정 ID 번호 또는 계정 별칭으로 대치합니다.

      https://AWS-account-ID or alias.signin.aws.amazon.com/console

    중요

    생성된 이메일에는 사용자 암호가 포함되어 있지 않습니다. 조직의 보안 지침을 준수하는 방식으로 사용자에게 암호를 제공해야 합니다.

14. 사용자에게 액세스 키도 필요한 경우 IAM 사용자의 액세스 키 관리의 내용을 참조하세요.

IAM 사용자 생성(AWS CLI)

AWS CLI를 사용하여 IAM 사용자를 생성할 수 있습니다.

IAM 사용자를 생성하려면(AWS CLI)

1. 사용자를 생성합니다.

   • aws iam create-user

2. (선택 사항) 사용자에게 AWS Management Console에 대한 액세스 권한 부여. 이를 위해서는 암호가 필요합니다. 또한 사용자에게 계정 로그인 페이지의 URL도 제공해야 합니다.

   • aws iam create-login-profile

3. (선택 사항) 사용자에게 프로그래밍 방식 액세스 권한 부여. 이를 위해서는 액세스 키가 필요합니다.

   • aws iam create-access-key

   • Tools for Windows PowerShell: New-IAMAccessKey

   • IAM API: CreateAccessKey

     중요

     보안 액세스 키는 이 때만 확인 및 다운로드가 가능하기 때문에 사용자에게 AWS API를 사용하도록 하려면 이 정보를 제공해야 합니다. 사용자의 새 액세스 키 ID와 보안 액세스 키를 안전한 장소에 보관하세요. 이 단계 이후에는 보안 키에 다시 액세스할 수 없습니다.

4. 사용자를 하나 이상의 그룹에 추가합니다. 지정하는 그룹에는 사용자에게 적절한 권한을 부여하는 연결된 정책이 있어야 합니다.

   • aws iam add-user-to-group

5. (선택 사항) 사용자 권한을 정의한 정책을 사용자에게 추가합니다. 주의:사용자에게 직접 정책을 추가하는 대신 그룹에 사용자를 추가하고 그 그룹에 정책을 추가하여 사용자 권한을 관리하시는 것이 좋습니다.

   • aws iam attach-user-policy

6. (선택 사항) 태그를 연결하여 사용자 지정 속성을 사용자에게 추가합니다. 자세한 내용은 IAM 사용자의 태그 관리(AWS CLI 또는 AWS API) 섹션을 참조하세요.

7. (선택 사항) 사용자에게 자신의 보안 자격 증명을 관리할 수 있는 권한을 부여합니다. 자세한 내용은 AWS: MFA 인증 IAM 사용자가 보안 인증 페이지에서 자신의 보안 인증을 관리할 수 있도록 허용 섹션을 참조하세요.

IAM 사용자 생성(AWS API)

AWS API를 사용하여 IAM 사용자를 생성할 수 있습니다.

AWS API에서 IAM 사용자를 생성하려면

1. 사용자를 생성합니다.

   • CreateUser

2. (선택 사항) 사용자에게 AWS Management Console에 대한 액세스 권한 부여. 이를 위해서는 암호가 필요합니다. 또한 사용자에게 계정 로그인 페이지의 URL도 제공해야 합니다.

   • CreateLoginProfile

3. (선택 사항) 사용자에게 프로그래밍 방식 액세스 권한 부여. 이를 위해서는 액세스 키가 필요합니다.

   • CreateAccessKey

     중요

     보안 액세스 키는 이 때만 확인 및 다운로드가 가능하기 때문에 사용자에게 AWS API를 사용하도록 하려면 이 정보를 제공해야 합니다. 사용자의 새 액세스 키 ID와 보안 액세스 키를 안전한 장소에 보관하세요. 이 단계 이후에는 보안 키에 다시 액세스할 수 없습니다.

4. 사용자를 하나 이상의 그룹에 추가합니다. 지정하는 그룹에는 사용자에게 적절한 권한을 부여하는 연결된 정책이 있어야 합니다.

   • AddUserToGroup

5. (선택 사항) 사용자 권한을 정의한 정책을 사용자에게 추가합니다. 주의:사용자에게 직접 정책을 추가하는 대신 그룹에 사용자를 추가하고 그 그룹에 정책을 추가하여 사용자 권한을 관리하시는 것이 좋습니다.

   • AttachUserPolicy

6. (선택 사항) 태그를 연결하여 사용자 지정 속성을 사용자에게 추가합니다. 자세한 내용은 IAM 사용자의 태그 관리(AWS CLI 또는 AWS API) 섹션을 참조하세요.

7. (선택 사항) 사용자에게 자신의 보안 자격 증명을 관리할 수 있는 권한을 부여합니다. 자세한 내용은 AWS: MFA 인증 IAM 사용자가 보안 인증 페이지에서 자신의 보안 인증을 관리할 수 있도록 허용 섹션을 참조하세요.