AWS IAM 보안 정책

aws에 가입해서 루트 계정으로 로그인을 한 후 가장 먼저 해야 하는 보안 요소가 있다. 보안을 강화할수록 편의는 사라지는 반비례 관계지만 루트 계정이 털렸을 때의 비용을 생각해보면 꼭 해야 하는 이유가 된다.

시스템을 설계할 때 모든 곳에 보안 요소가 들어가지만 가장 기본인 계정과 관련한 보안 정책이 있다. 지키지 않으면 IAM dashboard에서 노란색 느낌표로 자극을 주는 최소한의 보안 정책은 꼭 따르도록 한다.

 

Delete your root access keys

루트 사용자의 access key를 삭제 또는 비활성화한다. 별도로 생성하지 않았다면 루트 사용자의 access key는 없기 때문에 옆에 초록불이 켜있을 것이다.

삭제와 비활성화의 차이는 해당 access key를 다시 복구할 수 있는지에 따라 다르다. 비활성화하면 해당 access key에 대해서 권한이 없어지고, 다시 활성화시키면 같은 access key로 권한이 부여된다.

 

Activate MFA on your root account

스마트폰 어플을 이용하거나 하드웨어 디바이스를 이용해서 Multi-factor authentication를 활성화한다.

 

Create individual IAM users

사람 한 명당 하나의 IAM 유저를 생성한다.
보통 비밀번호는 자동생성 후 첫 로그인 시 바꿀 수 있는 옵션으로 선택한다. 이렇게 설정하면 IAMUserChangePassord 권한이 자동으로 부여된다.

 

유저 생성을 한 후에는 유저의 역할에 따라 필요한 정책을 부여한다. aws의 여러 서비스에 대한 아주 여러 종류의 권한이 있기 때문에 aws가 미리 만들어 둔 정책을 사용할 수 있다. 이때는 최소 권한의 원칙에 따라 꼭 필요한 정책만 부여한다.

 

User groups to assign permissions

IAM 유저마다 권한을 부여할 경우 관리가 어렵기 때문에 admin / develop / data 등의 그룹을 생성해서 관리한다.

 

Apply an IAM password policy

비밀번호의 길이, 특수문자 조합, 비밀번호 변경 주기 등의 정책을 적용한다.

 

 

---

 

 

루트 계정 생성 후 가장 먼저 해야 하는 보안 수칙에 IAM이라는 권한 제어하는 단어가 자주 등장하는데 루트 계정에게는 IAM을 부여하지 않는다. 이 모든 걸 초월한, 모든 것이 가능한 계정이기 때문이다. 그렇기 때문에 루트 계정은 초기 설정할 때에만 사용하고 그 뒤로는 IAM 유저로만 관리해야 한다.

 

위 다섯 가지를 모두 완료한 후에는 security status에서 기분 좋은 초록불이 모두 켜있을 것이다.

 

이제부터는 루트 계정이 아닌 IAM user로 로그인해야 하는데 account ID 또는 alias를 같이 입력해야 한다. 12자리의 account ID는 사용하기 복잡하기 때문에 IAM 서비스에서 Customize를 클릭해서 별칭을 줄 수 있다. 로그인 단계에 필요한 별칭이기 때문에 모든 AWS 계정에서 유일하게 만들어야 한다.

그 뒤로는 https://{alias}.signin.aws.amazon.com/console/ 링크로 접속 후 로그인한다.