관리를 위한 모범 사례 AWS 액세스 키 - AWS 일반 참조

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

관리를 위한 모범 사례 AWS 액세스 키

사용 시 AWS 프로그램적으로 AWS 액세스 키를 제공하여 AWS가 프로그래밍 통화에서 귀하의 신원을 확인할 수 있도록 합니다. 액세스 키는 액세스 키 ID로 구성됩니다(예: AKIAIOSFODNN7EXAMPLE)와 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY) ).

액세스 키가 있는 사람은 AWS 자원. 따라서 AWS 액세스 키를 보호하고, 공유 책임 모델님, 을(를) 또한 해야 합니다.

다음 단계는 액세스 키를 보호하는 데 도움이 될 수 있습니다. 배경 정보는 를 참조하십시오.AWS security credentials.

참고

사용자 조직의 보안 요구 사항과 정책은 이 주제에 설명된 것과 다를 수 있습니다. 여기에 제시된 제안은 일반 지침으로 작성되었습니다.

계정 액세스 키 제거(또는 생성하지 않음)

액세스 키를 사용하여 AWS 명령줄 도구, AWS 스펙, 또는 직접 API 호출. 귀하를 위한 액세스 키를 가지고 있는 사람 AWS 계정 루트 사용자 은(는) 청구 정보 을(를) 포함하여 계정의 모든 리소스에 대한 무제한 액세스를 제공합니다. 에 대한 권한을 제한할 수 없습니다.AWS 계정 루트 사용자.

계정을 보호하는 가장 좋은 방법 중 하나는 AWS 계정 루트 사용자. 귀하가 루트 사용자 액세스 키(드문 경우)는 이를 생성하지 않는 것이 가장 좋습니다. 대신 권장되는 모범 사례 1개 이상의 AWS Identity and Access Management (IAM) 사용자. 그랜트 IAM 사용자에게 필요한 권한을 부여하고 일상적인 상호 작용에 AWS.

계정에 대한 액세스 키가 이미 있는 경우 다음을 권장합니다. 현재 액세스 키(있는 경우)를 사용하고 있는 응용 프로그램의 위치를 찾으려면 루트 사용자 액세스 키 IAM 사용자 액세스 키. 그런 다음 비활성화하고 루트 사용자 액세스 키. 한 가지 액세스 키를 다른 방식으로 교체하는 방법에 대한 자세한 내용은 게시물을 참조하십시오. 에 대한 액세스 키를 연결하는 방법 IAM 사용자 on the AWS 보안 블로그.

기본적으로 AWS 새 계정에 대한 액세스 키를 생성하지 않습니다.

생성 방법에 대한 자세한 내용은 IAM 관리 권한이 있는 사용자 참조 첫 번째 만들기 IAM 관리자 사용자 및 그룹 in the IAM 사용 설명서.

장기 액세스 키 대신 임시 보안 자격 증명(IAM 역할) 사용

많은 시나리오에서는 IAM 사용자). 대신, IAM 역할을 만들고 임시 보안 자격 증명을 생성할 수 있습니다. 임시 보안 자격 증명은 액세스 키 ID와 보안 액세스 키로 구성되지만, 자격 증명이 만료되는 시간을 나타내는 보안 토큰을 포함합니다.

장기 액세스 키(예: 연관된 IAM 사용자 및 AWS 계정 루트 사용자s를 수동으로 취소할 때까지 유효한 상태를 유지합니다. 그러나 임시 보안 자격 증명은 IAM 기타 기능 및 AWS Security Token Service 잠시 시간을 갖습니다. 임시 보안 자격 증명을 사용하면 자격 증명이 실수로 노출된 경우에 위험을 줄일 수 있습니다.

다음과 같은 경우에 IAM 역할과 임시 보안 자격 증명을 사용합니다.

  • 애플리케이션 또는 AWS CLI 스크립트 실행 중 Amazon EC2 인스턴스. 애플리케이션에서 액세스 키를 직접 사용하지 마십시오. 애플리케이션에 액세스 키를 전달하거나 애플리케이션에 삽입하거나 응용 프로그램 읽기 액세스 키를 모든 소스 에서 읽지 마십시오. 대신, IAM 애플리케이션에 대한 적절한 권한이 있고 Amazon EC2 인스턴스 EC2의 역할. 이 직원을 IAM 역할 Amazon EC2 인스턴스. 또한 이 실습을 통해 응용 프로그램은 프로그램의 전화를 위해 사용할 수 있는 임시 보안 자격 증명을 받을 수 있습니다. AWS. The AWS SDK 및 AWS CLI 에서 임시 자격 증명을 자동으로 받을 수 있습니다.

  • 교차 계정 액세스 권한을 부여해야 합니다. 사용 IAM 계정 간의 신뢰를 확립한 다음, 한 계정의 사용자에게 신뢰할 수 있는 계정 액세스 권한을 부여하는 역할을 합니다. 자세한 내용은 튜토리얼: 액세스 권한 위임 AWS 계좌 사용 IAM 역할 in the IAM 사용 설명서.

  • 모바일 앱을 사용합니다. 암호화된 저장소에서도 앱과 액세스 키를 삽입하지 마십시오. 대신 Amazon Cognito 앱에서 사용자 ID를 관리할 수 있습니다. 이 서비스는 Amazon, Facebook, Google 또는 OIDC(Openid Connect)를 사용하여 로그인 사용자를 인증할 수 있습니다.–호환되는 ID 공급자. 그 후, Amazon Cognito 자격 증명을 제공하여 앱이 요청을 하는 데 사용하는 자격 증명을 관리합니다. AWS. 자세한 내용은 사용 Amazon Cognito 자격 증명 제공자 on the AWS 모바일 블로그.

  • 연방법으로 AWS 또한 조직은 SAML 2.0을 지원합니다. SAML 2.0을 지원하는 자격 증명 공급자가 있는 조직에서 작업하는 경우 SAML을 사용하도록 공급자를 구성합니다. SAML을 사용하여 인증 정보를 AWS와 교환하고 임시 보안 자격 증명 세트를 다시 가져올 수 있습니다. 자세한 내용은 SAML 2.0 기반 연합 정보 in the IAM 사용 설명서.

  • 연방법으로 AWS 조직에 온프레미스 ID 스토어가 있습니다. 사용자가 조직 내부에서 인증할 수 있는 경우 AWS 리소스에 액세스하기 위한 임시 보안 자격 증명을 발급하는 애플리케이션을 작성할 수 있습니다. 자세한 내용은 Federated 사용자가 AWS 관리 콘솔에 액세스할 수 있는 URL 생성(Custom Federation Broker) in the IAM 사용 설명서.

적절하게 IAM 사용자 액세스 키 관리

프로그래밍 액세스를 위한 액세스 키를 생성해야 하는 경우 AWS, 을(를) 위해 만듭니다. IAM 사용자에게 필요한 권한만 부여합니다. 자세한 내용은 에 대한 액세스 키 관리 IAM 사용자 in the IAM 사용 설명서.

참고

현재 Amazon EC2 프로그래밍 액세스를 필요로 하는 응용 프로그램 인스턴스 AWS 자원? 그렇다면, IAM EC2의 역할.

액세스 키를 사용할 때 다음 사항에 주의하십시오.

  • 액세스 키를 코드에 직접 포함하지 마십시오. The AWS 스펙 그리고 AWS 명령줄 도구 알려진 위치에 액세스 키를 놓아 코드를 코드 에 보관할 필요가 없습니다.

    액세스 키를 다음 중 한 곳에 보관하십시오.

    • The AWS 자격 증명 파일. The AWS 스펙 및 AWS CLI 저장된 자격 증명을 자동으로 AWS 자격 증명 파일.

      사용에 대한 정보 AWS 자격 증명 파일, SDK 문서를 참조하십시오. 예에는 다음이 포함됩니다. 설정 AWS 개발 자격 및 지역 in the AWS SDK for Java Developer Guide and 구성 및 자격 증명 파일 in the AWS Command Line Interface 사용 설명서.

      에 대한 자격 증명을 저장하려면 AWS.NET용 SDK 및 Windows PowerShell용 AWS 도구SDK 스토어를 사용하는 것이 좋습니다. 자세한 내용은 SDK 스토어 사용 in the .NET용 AWS SDK Developer Guide.

    • 환경 변수: 다중 테넌트 시스템에서 시스템 환경 변수가 아닌 사용자 환경 변수를 선택합니다.

      자격 증명을 저장하는 환경 변수를 사용하는 방법에 대한 자세한 내용은 다음을 참조하십시오. 환경 변수 in the AWS Command Line Interface 사용 설명서.

  • 애플리케이션마다 서로 다른 액세스 키를 사용합니다. 이 작업을 수행하면 사용 권한을 격리하고 개별 응용 프로그램의 액세스 키를 노출할 수 있습니다. 서로 다른 애플리케이션에 대한 별도의 액세스 키를 가지고 있으면 AWS CloudTrail 로그 파일. 이 구성을 사용하면 특정 작업을 수행한 애플리케이션을 쉽게 확인할 수 있습니다.

  • 주기적으로 액세스 키를 교체합니다. 액세스 키를 정기적으로 변경합니다. 자세한 내용은 회전 액세스 키(AWS CLI, Windows PowerShell용 도구, 그리고 AWS API) in the IAM 사용 설명서 and 에 대한 액세스 키를 연결하는 방법 IAM 사용자 on the AWS 보안 블로그.

  • 미사용 액세스 키를 제거합니다. 사용자가 조직을 떠나는 경우 해당 항목을 제거합니다. IAM 사용자가 더 이상 리소스에 액세스할 수 없습니다. 액세스 키가 마지막으로 사용된 시점을 확인하려면 GetAccessKeyLastUsed API(AWS CLI 명령: aws iam get-access-key-last-used) ).

  • 가장 중요한 작업에 대해 멀티 팩터 인증을 구성합니다. 자세한 내용은 MFA(Multi-Factor Authentication) 사용 AWS in the IAM 사용 설명서.

모바일 앱 이용 AWS 액세스 키

제한된 세트에 액세스할 수 있습니다. AWS 서비스 및 기능 AWS 모바일 앱. 모바일 앱을 사용하여 이동 중에도 인시던트 대응을 지원할 수 있습니다. 자세한 내용을 확인하고 앱을 다운로드하려면 AWS 콘솔 모바일 애플리케이션.

콘솔 암호 또는 액세스 키를 사용하여 모바일 앱에 로그인할 수 있습니다. 모범 사례로서 사용하지 마십시오 루트 사용자 액세스 키. 대신 모바일 기기에서 암호 또는 바이오메트릭 잠금 기능을 사용하는 것이 좋습니다. 생성 IAM 사용자 관리하려면 AWS 자원. 모바일 디바이스를 분실할 경우 IAM 사용자의 액세스 권한을 제거할 수 있습니다. 액세스 키 생성에 대한 자세한 내용은 IAM 사용자, 참조 에 대한 액세스 키 관리 IAM 사용자 in the IAM 사용 설명서.

액세스 키를 사용하여 로그인하려면(모바일 앱)

  1. 모바일 디바이스에서 모바일 앱을 엽니다.

  2. 장치에 ID를 추가하는 처음 ID 추가 그런 다음 액세스 키.

    다른 ID를 사용하여 이미 로그인한 경우, 메뉴 아이콘을 선택하고 스위치 ID. 그런 다음 선택 다른 ID로 로그인 그런 다음 액세스 키.

  3. On 액세스 키 페이지, 정보 입력:

    • 액세스 키 ID – 액세스 키 ID를 입력합니다.

    • 액세스 키 – 귀하의 코드 액세스 키를 입력합니다.

    • ID 이름 – 모바일 앱에 표시될 ID 이름을 입력합니다. 이렇게 하면 IAM 사용자 이름.

    • ID PIN – 향후 로그인에 사용할 개인 식별 번호(PIN)를 생성합니다.

      참고

      생체지표 및 AWS 모바일 앱에서 PIN 대신 지문이나 얼굴 인식 기능을 사용하라는 메시지가 표시됩니다. 생체 인식에 실패하면 PIN을 입력하라는 메시지가 대신 표시될 수 있습니다.

  4. 선택 키 확인 및 추가.

    이제 모바일 앱을 사용하여 일부 리소스에 액세스할 수 있습니다.

자세히 알아보기

최상의 관리를 위한 모범 사례에 대한 자세한 내용은 AWS 계정 보안, 다음 리소스를 참조하십시오.