[AWS/IAM] IAM 가이드라인과 모범 사례

개요

AWS Identity and Access Management(IAM)는 AWS 리소스의 보안과 접근 제어를 관리하는 데 필수적인 역할을 한다. 이번 포스트에서는 AWS IAM의 일반적인 가이드라인과 모범 사례를 소개하여 AWS 환경에서의 보안을 강화하는 방법을 설명한다.

1. 루트 계정 사용 최소화

• 루트 계정 제한 사용: AWS 계정을 설정할 때를 제외하고는 루트 계정을 사용하지 않는다. 루트 계정은 모든 권한을 가지므로, 오직 계정 설정과 같은 중요한 작업에만 사용해야 한다.
• 개인 계정 사용: 루트 계정 외에 개인 IAM 사용자 계정을 만들어 일상적인 작업을 수행한다.

2. 개별 사용자 계정 생성

• 개별 사용자 생성: 한 명의 AWS 사용자는 한 명의 실제 사용자를 의미한다. 친구나 동료가 AWS를 이용하고 싶다면 자신의 자격 증명을 공유하지 말고, 새로운 IAM 사용자를 생성한다.
• 그룹 사용: 사용자를 그룹에 추가하고, 그룹에 권한을 부여하여 보안을 관리한다. 그룹 수준에서 권한을 관리하면 효율적이고 일관된 접근 제어가 가능하다.

3. 강력한 비밀번호 정책 설정

• 비밀번호 정책 강화: 복잡하고 강력한 비밀번호 정책을 설정하여 계정 보안을 강화한다. 비밀번호 변경 주기, 최소 길이, 특수 문자 포함 등의 요구사항을 설정한다.
• 다요소 인증(MFA) 사용: 가능하다면 다요소 인증을 활성화하여 계정을 추가적으로 보호한다. MFA는 해커로부터 계정을 지키는 효과적인 방법이다.

4. 역할(Role) 사용

• 역할 생성 및 사용: AWS 서비스에 권한을 부여할 때는 IAM Role을 생성하여 사용한다. 예를 들어, EC2 인스턴스와 같은 가상 서버에 권한을 부여할 때 Role을 사용하면 보안이 강화된다.
• 정확한 권한 부여: 역할을 사용하여 필요한 권한만 부여함으로써 최소 권한의 원칙을 지킨다.

5. 액세스 키 관리

• 액세스 키 생성 및 관리: AWS CLI나 SDK를 사용할 경우 액세스 키를 생성한다. 액세스 키는 비밀번호와 같으므로 기밀로 유지하고, 절대 공유하지 않는다.
• 정기적 감사: IAM 자격 증명 보고서와 IAM 액세스 분석기를 사용하여 계정 권한을 주기적으로 감사한다. 이를 통해 불필요한 권한을 식별하고 제거할 수 있다.

6. IAM 사용자와 액세스 키 공유 금지

• 공유 금지: IAM 사용자 계정과 액세스 키를 절대로 다른 사람과 공유하지 않는다. 각 사용자는 자신의 자격 증명을 통해 AWS에 접근해야 한다.

결론

AWS IAM의 가이드라인과 모범 사례를 준수하면 AWS 환경에서의 보안을 크게 향상시킬 수 있다.