AWS ID 관리 개요: 사용자 - AWS Identity and Access Management

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

AWS ID 관리 개요: 사용자

보안 및 조직을 강화하기 위해 사용자 지정 권한으로 생성한 특정 사용자 자격 증명에 AWS 계정에 대한 액세스 권한을 부여할 수 있습니다. 기존 자격 증명을 AWS에 연동하여 그러한 사용자를 위해 액세스를 더욱 간소화할 수 있습니다.

최초 접속만 가능: 루트 사용자 자격 증명

AWS 계정을 생성할 때 AWS로 로그인하는 데 사용하는 AWS 계정 루트 사용자 자격 증명을 생성합니다. 이 루트 사용자 자격 증명, 즉 계정을 생성할 때 입력한 이메일 주소와 암호를 사용하여 AWS Management 콘솔에 로그인할 수 있습니다. 이러한 이메일 주소 및 암호의 조합을 루트 사용자 자격 증명이라고도 합니다.

루트 사용자 자격 증명을 사용하면 AWS 계정의 모든 리소스에 완전히 무제한으로 액세스할 수 있습니다. 여기에는 결제 정보에 대한 액세스 및 암호 변경 권한이 포함됩니다. 이러한 수준의 액세스는 계정을 처음 설정했을 때 필요합니다. 그러나 일상적인 액세스에는 루트 사용자 자격 증명을 사용하지 않는 것이 좋습니다. 특히 루트 사용자 자격 증명을 타인과 공유하면 타인이 내 계정에 무제한으로 액세스할 수 있으므로 공유하지 않는 것이 좋습니다. 루트 사용자에 부여된 권한을 제한할 수는 없습니다.

다음 단원에서는 본인 및 AWS 리소스를 사용하는 사람들에게 AWS 리소스에 대한 안전하고 제한된 액세스를 제공하기 위해 IAM을 사용하여 사용자 자격 증명 및 권한을 생성하고 관리하는 방법을 설명합니다.

IAM 사용자

AWS Identity and Access Management(IAM)의 '자격 증명'을 통해 '사용자의 정체'를 확인할 수 있습니다. 이를 흔히 인증이라고 합니다. 루트 사용자 자격 증명을 타인과 공유하는 대신, 조직의 사용자에 해당되는 계정 내에 개별 IAM 사용자를 생성할 수 있습니다. IAM 사용자는 별개의 계정이 아니라 해당 계정 내의 사용자입니다. 각 사용자는 고유의 AWS Management 콘솔 액세스 암호를 가질 수 있습니다. 또한 사용자가 계정의 리소스를 사용하기 위한 프로그래밍 방식의 요청을 할 수 있도록 각 사용자에 대한 개별 액세스 키를 생성할 수 있습니다. 다음 그림에서는 AWS 계정 하나에 Li, Mateo, DevApp1, DevApp2, TestApp1 및 TestApp2라는 사용자가 추가되었습니다. 각 사용자는 고유의 자격 증명을 가집니다.


        안 AWS 개인 계정 IAM 각 사용자에게는 자격 증명 이(가) 있습니다.

일부 사용자는 사실 애플리케이션입니다(예: DevApp1). IAM 사용자가 실제 사람일 필요는 없습니다. 회사 네트워크에서 실행하며 AWS 액세스를 필요로 하는 애플리케이션에 대한 액세스 키를 생성하기 위해 IAM 사용자를 생성할 수 있습니다.

본인을 위한 IAM 사용자를 생성한 다음, 본인에게 계정에 대한 관리 권한을 할당하는 것이 좋습니다. 그런 다음 해당 사용자로 로그인하여 필요에 따라 사용자를 추가할 수 있습니다.

기존 사용자 페더링

조직 내 사용자에게 이미 인증 방법이 있는 경우(예: 회사 네트워크에 로그인) 해당 사용자를 위해 별도의 IAM 사용자를 생성할 필요가 없습니다. 대신 이러한 사용자 자격 증명을 AWS에 연동할 수 있습니다.

다음 다이어그램은 사용자가 IAM을 사용하여 AWS 계정의 리소스에 액세스하기 위한 임시 AWS 보안 자격 증명을 얻는 방법을 보여 줍니다.


        다른 곳에서 이미 인증된 사용자는 AWS 필요한 모든 것을 IAM 사용자.

연동은 다음과 같은 경우에 특히 유용합니다.

  • 사용자가 이미 기업 디렉토리에 자격 증명을 보유한 경우

    기업 디렉토리가 SAML 2.0(Security Assertion Markup Language 2.0)과 호환되는 경우, 기업 디렉토리를 구성하여 사용자에게 AWS Management 콘솔에 대한 Single-Sign On(SSO) 액세스를 제공할 수 있습니다. 자세한 정보는 임시 자격 증명에 대한 일반적인 시나리오 단원을 참조하십시오.

    기업 디렉토리가 SAML 2.0과 호환되지 않는 경우, 자격 증명 브로커 애플리케이션을 생성하여 사용자에게 AWS Management 콘솔에 대한 Single-Sign On(SSO) 액세스를 제공할 수 있습니다. 자세한 정보는 사용자 지정 ID 브로커 액세스 활성화 AWS 콘솔 단원을 참조하십시오.

    기업 디렉토리가 Microsoft Active Directory인 경우, AWS Directory Service를 사용하여 기업 디렉토리와 AWS 계정 간의 신뢰를 설정할 수 있습니다.

  • 사용자가 이미 인터넷 자격 증명을 보유한 경우

    사용자가 Login with Amazon, Facebook, Google 또는 OpenID Connect(OIDC) 호환 자격 증명 공급자 등의 인터넷 자격 증명 공급자를 통해 자신을 식별할 수 있도록 모바일 앱 또는 웹 기반 앱을 만들면, 해당 앱에서 연동을 통해 AWS에 액세스할 수 있습니다. 자세한 정보는 웹 ID 통합 정보 단원을 참조하십시오.

    Tip

    인터넷 자격 증명 공급자를 통해 자격 증명 연동을 사용하려면 Amazon Cognito를 사용하는 것이 좋습니다.