AWS 계정을 비즈니스를 목적으로 사용하는 경우 이메일 주소를 개인이 사용하는 퍼블릭 도메인(gmail, naver)이나 개인 메일 주소(예 : hongildong@example.com) 대신 회사의 대표 메일 주소(예 : it.admin@example.com)를 사용하는 것을 권장 드립니다.
위의 접근 방식을 통해 회사는 AWS 서비스에 대한 액세스 권한을 유지할 수 있으며, AWS를 담당하는 계정 직원이 직책이 변경되거나 회사를 떠나는 경우에도 자격 증명을 변경하는 것으로 손쉽게 액세스 권한 문제를 해결할 수 있습니다.
AWS Identity and Access Management (IAM)를 사용하면 AWS 서비스와 리소스에 대한 접근을 안전하게 관리할 수 있습니다. IAM에서는 Identity(유저, 그룹, 역할)을 생성 및 관리할 수 있으며 생성된 Identity에 특정 권한 (Permission)을 부여합니다. 특정 권한을 부여받은 Identity는 자격증명을 통한 인증을 받아 ‘어떤’리소스에 대한 접근을 허용 및 거부할 지를 관리합니다.
개별의 IAM 유저에 대한 권한을 정의하는 대신 역할 또는 부서 기반의 그룹을 생성하고, 각 역할 및 부서의 구성원에게 필요한 권한을 해당 그룹에 부여하고, IAM 유저들 각각의 그룹에 배치하여 더 편리하게 권한을 관리할 수 있습니다.
AWS 서비스 및 리소스에 대한 접근이 필요한 사용자에게는 별도의 IAM 유저를 생성하고 필요한 권한을 부여해서 사용하도록 해야합니다. 관리자 권한이 필요한 경우에는 루트 사용자를 통한 접근 대신 IAM 유저를 생성하고 관리자 권한(Administrator Access)을 부여해서 사용하기를 권장합니다.
IAM 유저의 패스워드 및 Access Key는 다른 사용자와 공유하지 말고 개별 사용자만 이용할 수 있도록 합니다. 하나의 IAM 유저를 복수의 사용자가 공유할 경우 (1) 특정 사용자에게 불필요한 권한이 부여될 수 있고 (2) 로깅 관점에서도 해당 IAM 유저를 통한 Activity가 어떤 사용자에 의해 실행되었는지 알 수 없습니다.
IAM 역할을 사용하면 일반적으로 조직의 AWS 리소스에 대한 액세스 권한이 없는 사용자나 서비스에 액세스 권한을 위임할 수 있습니다. IAM 사용자나 AWS 서비스는 AWS API 호출을 수행하는 데 사용할 수 있는 임시 보안 자격 증명을 획득할 수 있는 권한을 맡을 수 있습니다. 따라서 장기적으로 고정 권한을 사용할 필요가 없으며 임시 자격 증명이 일정 시간 후 자동 만료되어 자격증명 탈취 우려가 적습니다.
아무리 강력한 암호정책을 통해서 암호를 관리하더라도 패스워드가 유출되면 로그인을 막을 방법이 없습니다. 이러한 상황을 방지하기 위해서 MFA를 활성화해야 합니다. 로그인 과정에서 패스워드 이외에 가상 또는 하드웨어 MFA 디바이스에서 생성된 코드를 함께 입력해야만 로그인을 완료할 수 있도록 설정하여 계정을 보호할 수 있습니다.
보안을 위해 IAM 사용자 액세스 키를 90일마다 정기적으로 교체(변경)하는 것을 권장 드립니다. 관리자가 필요한 권한을 부여한 경우 사용자 고유의 액세스 키를 교체 할 수 있습니다.
AWS 계정 루트 사용자의 경우에는 다음과 같이 AWS에서 지정한 암호정책을 따라야 합니다
IAM 유저의 대한 암호정책은 AWS 계정 관리자가 아래와 같은 항목들을 활성화해서 지정할수 있습니다.
위의 항목들은 기본값으로 활성화되어 있지 않기 때문에 AWS 계정 생성 후에는 암호정책을 반드시 지정해 주셔야 합니다.