AWS 콘솔 사용자를 생성하려면 어떻게 하나요?

Summary

AWS 콘솔 사용자 생성은 IAM(Identity and Access Management) 서비스를 통해 수행하며, 크게 IAM 사용자와 IAM 역할 두 가지 방법이 있습니다. 일반적으로 개인 사용자에게는 IAM 사용자를, 애플리케이션이나 서비스 간 연동에는 IAM 역할을 권장하며, 보안 모범 사례를 따라 최소 권한 원칙을 적용해야 합니다.

Details

1. IAM 사용자 생성 방법 (AWS 콘솔)

기본 생성 단계

- IAM 콘솔 접속: AWS Management Console → IAM 서비스

- 사용자 메뉴 선택: 왼쪽 네비게이션에서 "사용자" 클릭

- 사용자 추가: "사용자 생성" 버튼 클릭

- 사용자 세부 정보 설정:

  > 사용자 이름 입력

  > AWS Management Console 액세스 여부 선택

  > 콘솔 비밀번호 설정 (자동 생성 또는 사용자 지정)

권한 설정

- 권한 부여 방법 선택:

  > 기존 사용자를 그룹에 추가

  > 기존 사용자에서 권한 복사

  > 정책을 직접 연결

- 정책 선택:

  > AWS 관리형 정책 (예: PowerUserAccess, ReadOnlyAccess)

  > 고객 관리형 정책

  > 인라인 정책

- 권한 경계 설정 (선택사항)

검토 및 생성

- 태그 추가 (선택사항): 관리 목적의 메타데이터

- 설정 검토: 사용자 정보 및 권한 확인

- 사용자 생성: 최종 생성 및 자격 증명 다운로드

2. AWS CLI를 통한 사용자 생성

# 사용자 생성

aws iam create-user --user-name MyUser

# 콘솔 액세스를 위한 로그인 프로필 생성

aws iam create-login-profile \

    --user-name MyUser \

    --password 'TempPassword123!' \

    --password-reset-required

# 정책 연결

aws iam attach-user-policy \

    --user-name MyUser \

    --policy-arn arn:aws:iam::aws:policy/PowerUserAccess

# 액세스 키 생성(반드시 필요한 경우가 아니라면, 임시 자격 증명 사용을 권장)

aws iam create-access-key --user-name MyUser

3. 유형별 IAM 사용자 생성 가이드

애플리케이션/서비스 계정

AWS 내부 실행 (권장):

- IAM Role 사용 (EC2 Instance Profile, Lambda Execution Role 등)

- 임시 보안 자격 증명 자동 제공 (STS AssumeRole)

- 자격 증명 수명: 1시간 기본 (자동 갱신)

- 장기 자격 증명(Access Key) 불필요

외부 시스템에서 실행 (불가피한 경우):

- IAM User + Access Key (최소화)

- 권한: 최소 필요 권한만

- 콘솔 액세스: 비활성화

- 키 교체: 90일 이하 주기

- 대안: OIDC Federation 또는 IAM Roles Anywhere 검토

Guidance

보안 모범 사례

1. 최소 권한 원칙

- 업무 수행에 필요한 최소 권한만 부여

- 정기적인 권한 검토 및 조정

- 임시 권한은 시간 제한 설정

2. 다중 인증(MFA) 설정

- 모든 사용자에게 MFA 강제 적용

- 하드웨어 토큰 또는 가상 MFA 디바이스 사용

- 루트 계정에는 반드시 MFA 설정

3. 강력한 비밀번호 정책 사용

- 최소 14자 이상, 복합 문자 사용

- 정기적인 비밀번호 변경 (90일 권장)

- 이전 비밀번호 재사용 방지

관리 및 운영

1. 사용자 그룹 활용

- 역할별/부서별 그룹 생성

- 그룹에 정책 연결로 권한 관리 간소화

- 신규 사용자는 해당 그룹에 추가

2. 태그 기반 관리

- 부서, 프로젝트, 담당자별 태그 설정

- AWS Console/CLI에서 사용자 필터링 및 검색 용이

- 조직 단위 사용자 그룹화 및 관리

3. 액세스 검토

- 정기적인 사용자 권한 감사

- 미사용 계정 비활성화

- IAM 콘솔의 "마지막 액세스(Last accessed)" 정보로 실제 사용 권한 확인

고려사항

1. 할당량 제한

- AWS 계정당 IAM 사용자 수: 5,000명 (조정 불가)

- 사용자당 그룹 멤버십: 최대 10개 (조정 불가)

- 사용자당 관리형 정책 연결: 최대 10개

- 사용자당 인라인 정책: 제한 없음 (관리 복잡성으로 인해 사용 비권장)

2. 비용 영향

- IAM 사용자 자체는 무료

- 하드웨어 MFA 디바이스 구매 비용 별도

- CloudTrail 활성화 시 로그 스토리지 비용 발생

3. 대안 인증 방법

- AWS IAM Identity Center: 대규모 조직, 다중 계정 관리

- SAML/OIDC Federation: 기존 IdP(Okta, Azure AD 등) 연동

- IAM Role + AssumeRole: 임시 자격 증명 기반 액세스

주의 사항

1. 보안 위험

- AdministratorAccess는 최소 인원에게만 부여

- Access Key 생성 최소화 (IAM Role 우선)

- MFA 미적용 계정은 조건부 정책으로 제한

- 계정 공유 금지 (감사 추적 불가)

 

2. 운영 위험

- 퇴사자 계정 즉시 비활성화

- 루트 사용자는 계정 설정, 결제 관리 등 필수 작업에만 사용

- 권한 변경 전 IAM Policy Simulator로 영향 검증

- 사용자 수가 많거나 다중 계정 환경에서는 IAM Identity Center 사용 권장