AWS Identity and Access Management
사용 설명서

AWS 계정의 IAM 사용자 생성

AWS 계정에서 하나 이상의 IAM 사용자를 만들 수 있습니다. 팀에 새로 합류하는 사람이 있거나 AWS에 대한 API 호출이 필요한 새 애플리케이션을 생성할 때 IAM 사용자를 생성할 수 있습니다.

중요

애플리케이션이나 웹 사이트에 Amazon 광고를 설정하는 동안 이 페이지로 오게 된 경우, Product Advertising API 개발자 되기 단원을 참조하십시오.

IAM 콘솔에서 이 페이지로 이동했을 경우 로그인을 했더라도 계정에 IAM 사용자가 포함되지 않을 수 있습니다. 역할을 사용하거나, 임시 자격 증명으로 로그인하여 AWS 계정 루트 사용자로 로그인할 수 있습니다. 이러한 IAM 자격 증명에 대한 자세한 내용은 자격 증명(사용자, 그룹, 및 역할) 단원을 참조하십시오.

다음 단계에 따라 사용자를 생성하고 사용자가 작업을 수행할 수 있습니다.

  1. AWS Management 콘솔, AWS CLI, Windows PowerShell용 도구 또는 AWS API 작업을 사용하여 사용자를 생성합니다. AWS Management 콘솔에서 사용자를 생성하면, 자신의 선택에 따라 1–4단계는 자동으로 처리됩니다. 프로그래밍 방식으로 사용자를 생성하는 경우, 각 단계를 개별적으로 수행해야 합니다.

  2. 사용자에게 필요한 액세스 유형에 따라 사용자의 자격 증명을 생성합니다.

    • 프로그래밍 방식으로 액세스: IAM 사용자가 API를 호출해야 하거나, AWS CLI 또는 Windows PowerShell용 도구을 사용해야 할 수 있습니다. 이 경우 해당 사용자의 액세스 키를 만드십시오(액세스 키 ID 및 보안 액세스 키).

    • AWS Management 콘솔 액세스: 사용자가 AWS Management 콘솔에서 액세스해야 할 경우, 에서 해당 사용자의 암호를 생성합니다.

    사용자가 필요한 자격 증명만 생성하는 것이 가장 좋습니다. 예를 들어, AWS Management 콘솔을 통해서만 액세스해야 하는 사용자에게는 액세스 키를 생성해서는 안 됩니다.

  3. 해당 사용자를 하나 이상의 그룹에 추가하여 필요한 작업을 수행할 수 있는 권한을 부여합니다. 권한 정책을 사용자에게 직접 연결하여 권한을 부여할 수 있습니다. 하지만, 사용자를 그룹에 추가한 후 그 그룹에 연결된 정책을 통해 정책과 권한을 관리하는 것이 좋습니다. 권한 경계를 사용하여 일반적이지는 않지만 사용자에게 있는 권한을 제한할 수 있습니다.

  4. (선택 사항) 태그를 연결하여 메타데이터를 사용자에게 추가합니다. IAM에서의 태그 사용에 대한 자세한 내용은 IAM 엔터티 태그 지정 단원을 참조하십시오.

  5. 사용자에게 필요한 로그인 정보를 제공합니다. 여기에는 암호를 비롯해 사용자가 자격 증명을 제공하는 계정 로그인 웹 페이지의 콘솔 URL이 포함됩니다. 자세한 내용은 IAM 사용자가 AWS에 로그인하는 방법 단원을 참조하십시오.

  6. (선택 사항) 사용자에 대한 멀티 팩터 인증(MFA)을 구성합니다. MFA의 경우, 사용자가 AWS Management 콘솔에 로그인할 때마다 일회용 코드를 입력해야 합니다.

  7. (선택 사항) 사용자에게 자신의 보안 자격 증명을 관리할 권한을 부여합니다. (기본적으로 사용자는 자신의 자격 증명을 관리할 권한이 없습니다.) 자세한 내용은 IAM 사용자에게 자신의 암호 변경 허용하기 단원을 참조하십시오.

사용자를 생성하기 위해 필요한 권한에 대한 자세한 내용은 IAM 리소스에 액세스하는 데 필요한 권한 단원을 참조하십시오.

IAM 사용자 생성(콘솔)

AWS Management 콘솔을 사용하여 IAM 사용자를 생성할 수 있습니다.

한 명 이상의 IAM 사용자를 생성하려면(콘솔)

  1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자Add user(사용자 추가)를 차례로 선택합니다.

  3. 신규 사용자의 사용자 이름을 입력합니다. 이것은 AWS에 로그인할 때 사용하는 이름입니다. 하나 이상의 사용자를 동시에 추가하려면, 추가하는 각 사용자에 대해 Add another user(다른 사용자 추가)를 선택한 후 사용자 이름을 입력합니다. 한 번에 최대 10명까지 사용자를 추가할 수 있습니다.

    참고

    사용자 이름에는 최대 64개의 알파벳, 숫자 및 더하기(+), 등호(=), 쉼표(,), 마침표(.), 앳(@), 그리고 하이픈(-) 조합을 사용할 수 있습니다. 이름은 계정 내에서 고유해야 합니다. 대소문자는 구별하지 않습니다. 예를 들어 "TESTUSER""testuser"라는 두 사용자를 만들 수는 없습니다. IAM 엔터티 관련 제한에 대한 자세한 내용은 IAM 개체 및 객체에 대한 제한 단원을 참조하십시오.

  4. 이 사용자 세트에게 부여할 액세스 권한의 유형을 선택합니다. 프로그래밍 방식 액세스나 AWS Management 콘솔에 대한 액세스 또는 둘 다를 선택할 수 있습니다.

    • 사용자가 API, AWS CLI, 또는 Windows PowerShell용 도구에 대한 액세스 권한이 필요한 경우, Programmatic access(프로그래밍 방식 액세스)를 선택합니다. 이렇게 하면 각 사용자에 대한 액세스 키가 생성됩니다. 최종(Final) 페이지에 이르면 액세스 키를 보거나 다운로드할 수 있습니다.

    • 사용자에게 AWS Management 콘솔에 대한 액세스 권한이 필요한 경우, AWS Management 콘솔 access(콘솔 액세스)를 선택합니다. 이렇게 하면 각 신규 사용자에 대한 암호가 생성됩니다.

    1. 콘솔 암호의 경우 다음 중 하나를 선택합니다.

      • Autogenerated password(자동 생성된 비밀 번호). 각 사용자는 유효한 계정 암호 정책(있는 경우)에 따라 임의로 생성되는 암호를 받습니다. Final(최종) 페이지에 이르면 암호를 보거나 다운로드할 수 있습니다.

      • Custom password(사용자 지정 비밀 번호). 입력란에 입력하는 암호가 각 사용자에게 할당됩니다.

    2. (선택 사항) 암호 재설정 필요를 선택하여 사용자가 처음 로그인할 때 의무적으로 암호를 변경하도록 설정하는 것이 바람직합니다.

      참고

      Allow users to change their own password(사용자 자신의 암호 변경 허용)으로 설정된 계정 수준 암호 정책을 활성화하지 않은 경우, Require password reset(암호 재설정 필요)를 선택하면 자신의 암호를 변경할 수 있는 권한을 부여하는 IAMUserChangePassword라는 AWS 관리형 정책이 신규 사용자에게 자동 연결됩니다.

  5. Next: Permissions(다음: 권한)을 선택합니다.

  6. 권한 설정 페이지에서 이 신규 사용자 세트에 권한을 할당하는 방식을 지정합니다. 다음 세 가지 옵션 중 하나를 선택합니다.

    • Add user to group(그룹에 사용자 추가). 이미 권한 정책을 보유한 하나 이상의 그룹에 사용자를 할당하고자 하는 경우, 이 옵션을 선택합니다. IAM에 계정 그룹의 목록이 연결된 정책과 함께 표시됩니다. 기존의 보안 그룹을 한 개 이상 선택하거나 그룹 생성을 선택하여 새 그룹을 만들 수 있습니다. 자세한 내용은 IAM 사용자의 권한 변경 단원을 참조하십시오.

    • Copy permissions from existing user(기존 사용자에서 권한 복사). 이 옵션을 선택하여 그룹 멤버십, 연결된 관리형 정책, 포함된 인라인 정책 및 기존 권한 경계를 기존 사용자에게서 신규 사용자로 모두 복사합니다. IAM는 계정에 속한 사용자 목록을 보여줍니다. 보유한 권한이 새로운 사용자의 요구 사항과 가장 근접하는 사용자를 선택합니다.

    • Attach existing policies to user directly(기존 정책을 사용자에게 직접 연결). 이 옵션을 선택하여 계정의 AWS 관리형 또는 사용자 관리형 정책 목록을 봅니다. 신규 사용자에게 연결하려는 정책을 선택하거나 정책 생성을 선택하여 새 브라우저 탭을 열고 완전히 새로운 정책을 생성합니다. 자세한 내용은 IAM 정책 만들기(콘솔) 절차의 4단계 단원을 참조하십시오. 정책을 생성하면 탭을 닫고 원래 탭으로 돌아와 신규 사용자에게 정책을 추가합니다. 그 대신에 그룹에 정책을 연결한 다음, 사용자들을 적절한 그룹의 구성원으로 만드는 것이 바람직한 모범 사례입니다.

  7. (선택 사항) 권한 경계로서 설정됨. 이는 고급 기능입니다.

    Set permissions boundary(권한 경계 설정) 섹션을 열고 Use a permissions boundary to control the maximum user permissions(최대 사용자 권한을 관리하기 위한 권한 경계 사용)을 선택합니다. IAM은 계정의 AWS 관리형 또는 사용자 관리형 정책 목록을 보여줍니다. 권한 경계를 사용하기 위한 정책을 선택하거나 정책 생성을 선택하여 새 브라우저 탭을 열고 완전히 새로운 정책을 생성합니다. 자세한 내용은 IAM 정책 만들기(콘솔) 절차의 4단계 단원을 참조하십시오. 정책을 생성하면 탭을 닫고 원래 탭으로 돌아와 권한 경계에 사용할 정책을 선택합니다.

  8. Next: Tags(다음: 태그)를 선택합니다.

  9. (선택 사항) 태그를 키-값 페어로 연결하여 메타데이터를 사용자에게 추가합니다. IAM에서의 태그 사용에 대한 자세한 내용은 IAM 엔터티 태그 지정 단원을 참조하십시오.

  10. Next: Review(다음: 검토)를 선택하여 이 시점까지 한 선택을 모두 확인합니다. 계속 진행할 준비가 되었으면 Create user를 선택합니다.

  11. 사용자의 액세스 키(액세스 키 ID와 보안 액세스 키)를 보려면 보고 싶은 각 암호와 액세스 키 옆에 있는 표시를 선택합니다. 액세스 키를 저장하려면 Download .csv(csv 다운로드)를 선택한 후 안전한 위치에 파일을 저장합니다.

    중요

    보안 액세스 키는 이 때만 확인 및 다운로드가 가능하기 때문에 사용자에게 AWS API를 사용하도록 하려면 이 정보를 제공해야 합니다. 사용자의 새 액세스 키 ID와 보안 액세스 키를 안전한 장소에 보관하십시오. 이 단계가 지난 후에는 보안 키에 다시 액세스할 수 없습니다.

  12. 각 사용자에게 해당 자격 증명을 제공합니다. 최종 페이지에서 각 사용자 옆에 있는 Send email(이메일 전송)을 선택합니다. 로컬 메일 클라이언트는 사용자 지정을 거쳐 발송할 수 있는 초안 형태로 열립니다. 이메일 템플릿에는 각 사용자에 대한 세부 정보가 다음과 같이 포함되어 있습니다.

    • 사용자 이름

    • 계정 로그인 페이지의 URL. 다음 예를 사용하여 정확한 계정 ID 번호 또는 계정 별칭으로 대치합니다.

      https://AWS-account-ID or alias.signin.aws.amazon.com/console

    자세한 내용은 IAM 사용자가 AWS에 로그인하는 방법 단원을 참조하십시오.

    중요

    생성된 이메일에는 사용자 암호가 포함되어 있지 않습니다. 고객에게 보내는 이메일은 소속된 조직의 보안 지침을 준수하는 방식으로 제공되어야 합니다.

IAM 사용자 만들기(AWS CLI)

AWS CLI를 사용하여 IAM 사용자를 생성할 수 있습니다.

IAM 사용자를 생성하려면(AWS CLI)

  1. 사용자를 생성합니다.

  2. (선택 사항) 사용자에게 AWS Management 콘솔에 대한 액세스 권한 부여. 이를 위해서는 암호가 필요합니다. 또한 사용자에게 계정 로그인 페이지의 URL도 제공해야 합니다.

  3. (선택 사항) 사용자에게 프로그래밍 방식 액세스 권한 부여. 이를 위해서는 액세스 키가 필요합니다.

    • aws iam create-access-key

    • Windows PowerShell용 도구: New-IAMAccessKey

    • IAM API: CreateAccessKey

      중요

      보안 액세스 키는 이 때만 확인 및 다운로드가 가능하기 때문에 사용자에게 AWS API를 사용하도록 하려면 이 정보를 제공해야 합니다. 사용자의 새 액세스 키 ID와 보안 액세스 키를 안전한 장소에 보관하십시오. 이 단계가 지난 후에는 보안 키에 다시 액세스할 수 없습니다.

  4. 사용자를 하나 이상의 그룹에 추가합니다. 지정하는 그룹에는 사용자에게 적절한 권한을 부여하는 연결된 정책이 있어야 합니다.

  5. (선택 사항) 사용자 권한을 정의한 정책을 사용자에게 추가합니다. 주의:사용자에게 직접 정책을 추가하는 대신 그룹에 사용자를 추가하고 그 그룹에 정책을 추가하여 사용자 권한을 관리하시는 것이 좋습니다.

  6. (선택 사항) 태그를 연결하여 사용자 지정 속성을 사용자에게 추가합니다. 자세한 내용은 IAM 엔터티에 대한 태그 관리(AWS CLI 또는 AWS API) 단원을 참조하십시오.

  7. (선택 사항) 사용자에게 자신의 보안 자격 증명을 관리할 수 있는 권한을 부여합니다. 자세한 내용은 AWS: MFA 인증 IAM 사용자가 My Security Credentials(내 보안 자격 증명) 페이지에서 자신의 자격 증명을 관리할 수 있도록 허용합니다. 단원을 참조하십시오.

IAM 사용자 만들기(AWS API)

AWS API를 사용하여 IAM 사용자를 생성할 수 있습니다.

(AWS API)에서 IAM 사용자를 생성하려면

  1. 사용자를 생성합니다.

  2. (선택 사항) 사용자에게 AWS Management 콘솔에 대한 액세스 권한 부여. 이를 위해서는 암호가 필요합니다. 또한 사용자에게 계정 로그인 페이지의 URL도 제공해야 합니다.

  3. (선택 사항) 사용자에게 프로그래밍 방식 액세스 권한 부여. 이를 위해서는 액세스 키가 필요합니다.

    • CreateAccessKey

      중요

      보안 액세스 키는 이 때만 확인 및 다운로드가 가능하기 때문에 사용자에게 AWS API를 사용하도록 하려면 이 정보를 제공해야 합니다. 사용자의 새 액세스 키 ID와 보안 액세스 키를 안전한 장소에 보관하십시오. 이 단계가 지난 후에는 보안 키에 다시 액세스할 수 없습니다.

  4. 사용자를 하나 이상의 그룹에 추가합니다. 지정하는 그룹에는 사용자에게 적절한 권한을 부여하는 연결된 정책이 있어야 합니다.

  5. (선택 사항) 사용자 권한을 정의한 정책을 사용자에게 추가합니다. 주의:사용자에게 직접 정책을 추가하는 대신 그룹에 사용자를 추가하고 그 그룹에 정책을 추가하여 사용자 권한을 관리하시는 것이 좋습니다.

  6. (선택 사항) 태그를 연결하여 사용자 지정 속성을 사용자에게 추가합니다. 자세한 내용은 IAM 엔터티에 대한 태그 관리(AWS CLI 또는 AWS API) 단원을 참조하십시오.

  7. (선택 사항) 사용자에게 자신의 보안 자격 증명을 관리할 수 있는 권한을 부여합니다. 자세한 내용은 AWS: MFA 인증 IAM 사용자가 My Security Credentials(내 보안 자격 증명) 페이지에서 자신의 자격 증명을 관리할 수 있도록 허용합니다. 단원을 참조하십시오.