AWS 계정에 대한 루트 사용자 모범 사례 - AWS Identity and Access Management

AWS 계정에 대한 루트 사용자 모범 사례

AWS 계정을(를) 처음 생성하면 계정의 모든 AWS 리소스에 대한 완전한 액세스 권한이 있는 기본 보안 인증 세트로 시작합니다. 이 자격 증명을 AWS 계정 루트 사용자라고 합니다. 루트 사용자 보안 인증이 필요한 작업이 있는 경우가 아니면 AWS 계정 루트 사용자에게 액세스하지 않는 것이 좋습니다. 권한이 높은 보안 인증이 무단 사용에 노출되지 않도록 하려면 루트 사용자 보안 인증과 계정 복구 메커니즘을 안전하게 보호해야 합니다.

루트 사용자에게 액세스하는 대신 일상적인 작업을 위한 관리 사용자를 생성하세요.

그런 다음, 관리 사용자를 활용하면 AWS 계정 내 리소스에 액세스해야 하는 사용자를 위한 추가 ID를 생성할 수 있습니다. AWS에 액세스하는 경우 임시 보안 인증을 사용하여 인증하라고 요구하는 것이 좋습니다.

  • 단일 독립 실행형 AWS 계정의 경우, 계정에서 특정 권한을 가진 ID를 생성하는 데 IAM 역할을(를) 사용하세요. 역할은 역할이 필요한 사용자라면 누구나 맡을 수 있습니다. 또한 역할에는 그와 연관된 암호 또는 액세스 키와 같은 표준 장기 보안 인증이 없습니다. 대신에 역할을 맡은 사람에게는 해당 역할 세션을 위한 임시 보안 자격 증명이 제공됩니다. IAM 역할과 달리 IAM 사용자에는 암호 및 액세스 키와 같은 장기 보안 인증이 있습니다. 모범 사례로서, 가능하면 암호 및 액세스 키와 같은 장기 보안 인증 정보가 있는 IAM 사용자를 생성하는 대신 임시 보안 인증을 사용하는 것이 좋습니다.

  • 조직을 통해 여러 AWS 계정을(를) 관리하는 경우 IAM Identity Center 인력 사용자를 사용하세요. IAM Identity Center를 사용하면 전체 AWS 계정 및 해당 계정 내 권한을 중앙에서 관리할 수 있습니다. IAM Identity Center 또는 외부 ID 공급자를 통해 사용자 ID를 관리합니다. 자세한 내용은 AWS IAM Identity Center 사용 설명서AWS IAM Identity Center(이)란 무엇인가요?를 참조하세요.

루트 사용자 보안 인증을 보호하여 무단 사용 방지

루트 사용자 보안 인증을 보호하고 해당 보안 인증이 필요한 작업에만 사용하세요. 무단 사용을 방지하려면 루트 사용자 암호, MFA, 액세스 키, CloudFront 키 페어 또는 서명 인증서를 누구와도 공유하지 마세요. 단, 루트 사용자에 액세스해야 하는 업무상 엄격한 수요를 가진 사람은 예외입니다.

동일한 암호를 사용하여 액세스하는 계정의 AWS 서비스에 신뢰하는 도구와 함께 루트 사용자 암호를 저장하지 마세요. 루트 사용자 암호를 분실하거나 잊어버리면 이러한 도구에 액세스할 수 없습니다. 복원력을 우선시하고 두 명 이상의 사용자에게 스토리지 위치에 대한 액세스 권한을 부여하라고 요구하는 것이 좋습니다. 암호 또는 암호 보관 위치에 대한 액세스를 로그에 기록하고 모니터링해야 합니다.

액세스를 보호하려면 강력한 루트 사용자 암호 사용

강력하고 고유한 암호를 사용하는 것이 좋습니다. 강력한 암호 생성 알고리즘을 갖춘 암호 관리자와 같은 도구를 사용하면 이러한 목표를 달성할 수 있습니다. AWS에 따르면 암호가 다음 조건을 충족해야 합니다.

  • 최소 8자, 최대 128자여야 합니다.

  • 대문자, 소문자, 숫자, 기호(! @ # $ % ^ & * () <> [] {} | _+-=) 중 적어도 세 가지 문자 유형을 혼합하여 포함해야 합니다.

  • AWS 계정 이름 또는 이메일 주소와 동일하지 않아야 합니다.

자세한 내용은 AWS 계정 루트 사용자의 암호 변경 단원을 참조하십시오.

다중 인증(MFA)을 통한 루트 사용자 로그인 보호

루트 사용자는 권한 있는 작업을 수행할 수 있으므로 로그인 보안 인증으로 이메일 주소 및 암호 외에도 루트 사용자를 위한 MFA를 두 번째 인증 요소로 추가하는 것이 중요합니다. 보안 전략의 유연성과 탄력성을 높이기 위해 루트 사용자 보안 인증에 여러 MFA를 활성화하는 것이 좋습니다. 현재 지원되는 MFA 유형을 조합하여 최대 8개의 MFA 디바이스를 AWS 계정 루트 사용자에게 등록할 수 있습니다.

루트 사용자에 대해 액세스 키를 생성하지 않음

액세스 키를 사용하면 명령줄 인터페이스(AWS CLI) 에서 AWS 명령을 실행하거나 AWS SDK 중 하나에서 API 작업을 사용할 수 있습니다. 루트 사용자는 결제 정보를 포함하여 계정 내 모든 AWS 서비스 및 리소스에 대한 전체 액세스 권한을 가지므로 루트 사용자용 액세스 키 쌍을 만들지 않는 것이 좋습니다.

일부 작업에만 루트 사용자가 필요하고 이러한 작업은 대개 자주 수행하지 않으므로 AWS Management Console에 로그인하여 루트 사용자 작업을 수행하는 것이 좋습니다. 액세스 키를 생성하기 전에 장기 액세스 키의 대안을 검토합니다.

가능하면 루트 사용자 로그인에 여러 사람 승인 사용

한 사람이 루트 사용자의 MFA와 암호에 모두 액세스할 수 없도록 복수 사용자 승인을 사용하는 것을 고려해 보세요. 일부 회사는 암호에 액세스할 수 있는 관리자 그룹 하나와 MFA에 액세스할 수 있는 다른 관리자 그룹을 설정하여 보안 계층을 추가합니다. 루트 사용자으로 로그인하려면 각 그룹에서 한 명의 구성원이 함께 모여야 합니다.

루트 사용자 보안 인증에 그룹 이메일 주소 사용

회사에서 관리하며 받은 메시지를 관리하여 사용자 그룹에 직접 전달하는 이메일 주소를 사용합니다. AWS이이(가) 계정 소유자에게 연락해야 하는 경우, 이 접근 방식을 사용하면 개인이 휴가 중이거나, 아프거나, 회사를 떠난 경우에도 응답이 지연될 위험이 감소합니다. 루트 사용자가 사용하는 이메일 주소는 다른 용도로 사용할 수 없습니다.

계정 복구 메커니즘에 대한 액세스 제한

관리자 계정 탈취와 같은 긴급 상황에서 루트 사용자 보안 인증 복구 메커니즘에 액세스해야 하는 경우에 대비하여 해당 메커니즘을 관리하는 프로세스를 개발해야 합니다.

  • 분실하거나 잊어버린 루트 사용자 암호를 재설정할 수 있도록 루트 사용자 이메일 수신함에 액세스할 수 있는지 확인하세요.

  • AWS 계정 루트 사용자에 대한 MFA가 분실되었거나, 손상되었거나, 작동하지 않는 경우 동일한 루트 사용자 보안 인증에 등록된 다른 MFA 디바이스를 사용하여 로그인할 수 있습니다. 모든 MFA에 액세스할 수 없는 경우 전화번호와 이메일이 모두 최신 상태이고 액세스 가능해야 MFA를 복구할 수 있습니다. 자세한 내용은 루트 사용자 MFA 디바이스 복구를 참조하세요.

  • 루트 사용자 암호와 MFA를 저장하지 않기로 선택한 경우 계정에 등록된 전화번호를 루트 사용자 보안 인증을 복구하는 다른 방법으로 사용할 수 있습니다. 연락처 전화번호에 액세스할 수 있는지 확인하고, 전화번호를 최신 상태로 유지하고, 전화번호를 관리할 수 있는 액세스 권한을 제한하세요.

둘 다 루트 사용자 암호를 복구할 수 있는 확인 채널이므로 어느 누구도 이메일 수신함과 전화번호 모두에 액세스할 수 없어야 합니다. 이러한 채널을 관리하는 두 그룹의 개인이 있어야 한다는 것이 중요합니다. 한 그룹은 기본 이메일 주소에 액세스할 수 있고 다른 그룹은 기본 전화번호에 액세스하여 루트 사용자로서 계정에 대한 액세스 권한을 복구할 수 있습니다.

조직 계정 루트 사용자 보안 인증 보호

조직을 통한 다중 계정 전략으로 전환할 때는 AWS 계정마다 보호해야 하는 고유한 루트 사용자 보안 인증이 있습니다. 조직을 만들 때 사용하는 계정은 관리 계정이고 조직의 나머지 계정은 구성원 계정입니다.

구성원 계정의 루트 사용자 보안 인증 보호

조직을 사용하여 여러 계정을 관리하는 경우 조직에서 루트 사용자 액세스를 보호하기 위해 취할 수 있는 두 가지 전략이 있습니다.

  • MFA를 사용하여 조직 계정의 루트 사용자 보안 인증을 보호합니다.

  • 계정의 루트 사용자 암호를 재설정하지 말고 필요할 때만 암호 재설정 프로세스를 사용하여 액세스 권한을 복구하세요. 조직에 구성원 계정을 생성하면 조직은 관리 계정이 구성원 계정에 임시로 액세스하도록 하는 IAM 역할을 구성원 계정에 자동으로 생성합니다.

자세한 내용은 조직 사용 설명서조직 내 구성원 계정 액세스를 참조하세요.

서비스 제어 정책(SCP)을 사용하여 조직에서 예방적 보안 제어 설정

조직을 사용하여 여러 계정을 관리하는 경우 SCP를 적용하여 구성원 계정 루트 사용자에 대한 액세스를 제한할 수 있습니다. 특정 루트 전용 작업을 제외하고 구성원 계정에서 모든 루트 사용자 작업을 거부하면 무단 액세스를 방지하는 데 도움이 됩니다. 자세한 내용은 SCP를 사용하여 구성원 계정의 루트 사용자가 수행할 수 있는 작업 제한하기를 참조하세요.

액세스 및 사용 모니터링

현재 추적 메커니즘을 사용하여 루트 사용자 로그인 및 사용량을 알리는 알림을 포함하여 루트 사용자 보안 인증의 로그인 및 사용을 모니터링, 경고 및 보고하는 것이 좋습니다. 다음 서비스는 루트 사용자 보안 인증 사용량을 추적하고 무단 사용을 방지하는 데 도움이 되는 보안 검사를 수행하는 데 도움이 될 수 있습니다.

  • 계정의 루트 사용자 로그인 활동에 대한 알림을 받으려면 Amazon CloudWatch를 활용하여 루트 사용자 보안 인증이 사용되는 시기를 탐지하고 보안 관리자에게 알림을 트리거하는 이벤트 규칙을 생성할 수 있습니다. 자세한 내용은 AWS 계정 루트 사용자 활동의 모니터링 및 통지를 참조하세요.

  • 승인된 루트 사용자 작업을 알리도록 알림을 설정하려면 Amazon SNS와 함께 Amazon EventBridge를 활용하여 특정 작업에 대한 루트 사용자 사용량을 추적하고 Amazon SNS 주제를 사용하여 알리는 EventBridge 규칙을 작성할 수 있습니다. 예시는 Amazon S3 객체 생성 시 알림 보내기를 참조하세요.

  • 이미 GuardDuty를 위협 탐지 서비스로 사용하고 있다면 계정에서 루트 사용자 보안 인증이 사용될 때 알림을 받도록 기능을 확장할 수 있습니다.

알림에는 루트 사용자에 대한 이메일 주소가 포함되나 이에 국한되지는 않습니다. 루트 사용자 액세스 경고를 받은 담당자는 루트 사용자 액세스가 정상적인지 확인하는 방법을 이해하고, 보안 인시던트가 진행 중이라고 판단되는 경우 에스컬레이션하는 방법을 이해할 수 있도록 경고에 대응하는 절차를 마련합니다. 경고를 구성하는 방법에 대한 예시는 AWS 계정 루트 사용자 활동의 모니터링 및 통지를 참조하세요.

루트 사용자 MFA 준수 평가

  • AWS Config은(는) 규칙을 사용하여 루트 사용자 모범 사례를 적용하도록 지원합니다. AWS 관리형 규칙을 사용하여 루트 사용자에게 다중 인증(MFA)를 활성화하라고 요구할 수 있습니다. 또한, AWS Config은(는) 루트 사용자의 액세스 키를 식별할 수 있습니다.

  • Security Hub는 AWS에서 보안 상태를 포괄적으로 볼 수 있으며 루트 사용자에게 MFA를 적용하고 루트 사용자 액세스 키를 사용하지 않는 등 보안 업계 표준 및 모범 사례와 비교하여 AWS 환경을 평가하는 데 도움이 됩니다. 사용 가능한 규칙에 대한 자세한 내용은 Security Hub 사용 설명서AWS Identity and Access Management 제어를 참조하세요.

  • Trusted Advisor은(는) 루트 사용자 계정에서 MFA가 활성화되지 않았는지 알 수 있도록 보안 검사를 제공합니다. 자세한 내용은 AWS 지원 사용 설명서루트 계정에 대한 MFA를 참조하세요.

계정의 보안 문제를 신고해야 하는 경우 의심스러운 이메일 신고 또는 취약성 신고를 참조하세요. 또는 AWS에 문의하여 지원 및 추가 안내 요청을 받을 수도 있습니다.