AWS 계정에서 IAM 사용자 생성 - AWS Identity and Access Management

AWS 계정에서 IAM 사용자 생성

중요

IAM 모범 사례는 장기 보안 인증 정보가 있는 IAM 사용자를 사용하는 대신, 인간 사용자가 자격 증명 공급자와의 페더레이션을 사용하여 임시 보안 인증으로 AWS에 액세스하도록 하는 것입니다. 페더레이션 사용자가 지원하지 않는 특정 사용 사례에는 IAM 사용자만 사용하는 것이 좋습니다.

IAM 사용자를 생성하고 사용자가 작업을 수행하도록 허용하는 프로세스가 다음 단계를 구성합니다.

  1. AWS Management Console, AWS CLI, Tools for Windows PowerShell에서 사용자를 생성하거나 AWS API 작업을 사용하여 사용자를 생성합니다. AWS Management Console에서 사용자를 생성하면 선택한 항목에 따라 1~4단계는 자동으로 처리됩니다. 프로그래밍 방식으로 IAM 사용자를 생성하는 경우, 각 단계를 개별적으로 수행해야 합니다.

  2. 사용자에게 필요한 액세스 유형에 따라 사용자의 자격 증명을 생성합니다.

    • 콘솔 액세스 활성화 – 선택 사항: 사용자가 AWS Management Console에 액세스해야 할 경우, 해당 사용자의 암호를 생성합니다. 사용자의 콘솔 액세스를 비활성화하면 사용자가 사용자 이름과 암호를 사용하여 AWS Management Console에 로그인하지 못합니다. 그렇더라도 사용자의 권한이 변경되거나 위임된 역할을 사용하여 콘솔에 액세스하지 못하게 되지는 않습니다.

    작은 정보

    사용자에게 필요한 보안 인증만 생성하세요. 예를 들어, AWS Management Console을 통해서만 액세스해야 하는 사용자에게는 액세스 키를 생성해서는 안 됩니다.

  3. 사용자에게 필수 작업을 수행할 권한을 부여합니다. IAM 사용자를 그룹에 추가한 후 해당 그룹에 연결된 정책을 통해 권한을 관리하는 것이 좋습니다. 그러나 권한 정책을 사용자에게 직접 연결하여 권한을 부여할 수도 있습니다. 콘솔을 사용하여 사용자를 추가하는 경우 기존 사용자의 권한을 새 사용자에게 복사할 수 있습니다.

    사용자가 보유할 수 있는 최대 권한을 정의하는 정책을 지정하여 사용자의 권한을 제한하도록 권한 경계를 추가할 수도 있습니다. 권한 경계는 어떤 권한도 부여하지 않습니다.

    권한을 부여하거나 권한 경계를 설정하는 데 사용할 사용자 지정 권한 정책을 생성하는 방법에 대한 지침은 고객 관리형 정책으로 사용자 지정 IAM 권한 정의 섹션을 참조하세요.

  4. (선택 사항) 태그를 연결하여 메타데이터를 사용자에게 추가합니다. IAM에서의 태그 사용에 대한 자세한 내용은 AWS Identity and Access Management 리소스용 태그 섹션을 참조하세요.

  5. 사용자에게 필요한 로그인 정보를 제공합니다. 여기에는 암호를 비롯해 사용자가 자격 증명을 제공하는 계정 로그인 웹 페이지의 콘솔 URL이 포함됩니다. 자세한 내용은 IAM 사용자가 AWS에 로그인하는 방법 단원을 참조하십시오.

  6. (선택 사항) 사용자에 대한 멀티 팩터 인증(MFA)을 구성합니다. MFA의 경우, 사용자가 AWS Management Console에 로그인할 때마다 일회용 코드를 입력해야 합니다.

  7. (선택 사항) IAM 사용자에게 자신의 보안 자격 증명을 관리할 권한을 부여합니다. (기본적으로 IAM 사용자는 자신의 자격 증명을 관리할 권한이 없습니다.) 자세한 내용은 IAM 사용자에게 자신의 암호 변경 허용 단원을 참조하십시오.

    참고

    콘솔을 사용하여 사용자를 생성하고 사용자는 다음 로그인 시 새 암호를 생성해야 합니다.(권장)를 선택하는 경우 사용자에게 필요한 권한이 부여됩니다.

사용자를 생성하기 위해 필요한 권한에 대한 자세한 내용은 IAM 리소스에 액세스하는 데 필요한 권한 섹션을 참조하세요.

특정 사용 사례에 맞게 IAM 사용자를 생성하는 방법에 대한 지침은 다음 주제를 참조하세요.