보안이 먼저다, 보안은 매우 중요하기 때문이다! Amazon Web Services 계정을 생성하면 그 계정을 루트라고 부른다. 루트 수준 계정은 클라우드 환경에서 실행 중인 모든 리소스에 대한 전체 접근 권한을 가지며, 리소스 관리를 위해 루트 계정을 사용하지 않을 것을 강력히 권장한다.

AWS 계정을 안전하게 유지하려면 무엇을 해야 하는가?

  1. 루트 계정에 Multi Factor Authentication 설정: 이전에 2단계 인증 또는 2 Factor Authentication에 대해 들어본 적이 있을 것이다. Amazon 생태계에서는 이 추가 보안 계층을 MFA라고 부른다. 이 계정의 루트 사용자는 Multi-factor Authentication(MFA)이 활성화되어 있지 않다. MFA 활성화하여 이 계정의 보안을 향상시켜라.

  2. 비밀번호 정책 설정: 비밀번호 정책은 IAM 사용자 비밀번호의 복잡성 요구사항과 필수 교체 주기를 정의하는 규칙 집합이다. 최소 비밀번호 길이, 대문자, 소문자, 숫자, 특수 문자 요구, 비밀번호 만료, 재사용 방지 등을 설정할 수 있다.

  3. 필요 없는 리전 비활성화: 계정 설정에서 Amazon Web Services의 모든 단일 리전이 실행된다. 예를 들어 London 리전(eu-west-2)에서 서비스를 실행할 계획이라면 다른 리전은 실제로 필요하지 않으며 반드시 비활성화해야 한다. Global Endpoint와 US East (N. Virginia) 리전은 비활성화할 수 없다.

  4. 정책 생성: 정책은 사용자, 그룹, 또는 역할에 할당할 수 있는 AWS 권한을 정의한다. 정책 생성 페이지에서 특정 서비스 및 리소스에 대한 특정 작업을 설정할 수 있다.

  5. IAM Role 생성: IAM Role은 신뢰하는 엔티티에 권한을 부여하는 안전한 방법이다. IAM Role은 짧은 기간 동안 유효한 키를 발급하므로 접근 권한을 부여하는 더 안전한 방법이다.

  6. 사용자 그룹으로 부서 분리: IAM 사용자는 AWS에서 생성하는 엔티티로, AWS와 상호작용하는 사람이나 애플리케이션을 나타낸다. 사용자는 최대 10개 그룹에 속할 수 있으며, 이 사용자 그룹에 최대 10개 정책을 연결할 수 있다.

  7. 모범 사례 적용: 최소 권한 접근 부여, AWS Organizations 사용, Identity Federation 활성화, 모든 사용자에 MFA 요구, 정기적 자격 증명 교체, IAM Access Analyzer 활성화 등.

이 글이 Amazon Web Service 계정을 안전하게 사용하는 데 도움이 되길 바란다!