AWS - 2) AWS 사용자 유형

- 개요

AWS를 사용하는 사용자 유형은 Root 사용자 + IAM 사용자 + Identity Center 사용자로 구성되어 있다

각각의 사용자 유형에 대해서 알아본다

 

1) Root 사용자

Root 사용자는 AWS 계정을 처음 생성할 때 사용한 이메일 주소로 로그인하는 계정을 의미한다

해당 AWS 계정에 대해 모든 권한을 갖고 있는 계정으로서, 다음과 같은 특징을 갖고 있다

• 1) 무한한 권한 : 서비스 이용외에도 결제 정보 변경, 계정 해지, 다른 사용자의 권한 수정 등 모든 작업 가능
• 2) 제한 불가 : 루트 사용자의 권한은 스스로의 Policy로 제한할 수 없음
• 3) 보안 위험 : Root 사용자의 비밀번호가 유출되면 매우 위험함

 

위와 같은 특징 때문에 AWS는 Root 사용자에 대해 다음과 같이 사용하도록 권장한다

• 1) 일상적인 업무에서 Root 사용자 사용 금지
• 2) 다중 보안 요소(MFA) 설정 필수 사용
• 3) 프로그래밍 방식의 접근 키인 Access Key 생성 금지
• 4) Root 사용자에서만 수행할 수 있는 작업 수행 이외에 접속 중단

 

2) IAM 사용자

IAM 사용자는 각각의 AWS 계정 내에서 개별적으로 관리하는 계정을 의미한다

계정마다 별도의 아이디와 비밀번호를 통해 로그인하는 계정으로서, 다음과 같은 특징을 갖고 있다

• 1) 페더레이션 미지원 : 외부 아이디(Google, Okta 등)와 연동하여 로그인하는 방식을 지원하지 않음
• 2) 낮은 확장성 : 계정이 늘어날수록 중앙 제어가 불가능하여 관리하기 복잡함
• 3) 권한 제어 방식 : 개별 사용자에게 일일이 권한 부여
• 4) 보안성 : Root 사용자보다는 높지만, 관리 부담이 큼
• 5) 주요 용도 : 단일 계정 내의 특정 서비스에 접근

 

3) Identity Center 사용자

Identity Center 사용자는 여러 AWS 계정과 애플리케이션을 중앙에서 통합적으로 관리하는 계정을 의미한다

한 번의 로그인(SSO)으로 권한이 있는 모든 계정에 접속할 수 있는 계정으로, 다음의 특징을 갖고 있다

• 1) 페더레이션 지원 : 외부 아이디(Google, Okta 등)와 연동하여 로그인하는 방식을 지원
• 2) 높은 확장성 : Organizations와 연동하여 중앙 제어를 통해 다중 계정 확장 및 관리가 용이함
• 3) 권한 제어 방식 : 사용자별로 맞춤형 권한인 Permission Sets 할당
• 4) 보안성 : AWS 보안 권장 사항에 부합함
• 5) 주요 용도 : 일상적인 업무용 계정 및 대규모 조직 관리

 

- 결론

최종적으로 IAM 사용자는 개별 관리 방식이므로, 

다중 계정 운영이나 기업 규모의 관리에는 Identity Center 사용자 방식이 훨씬 유리하다

위와 같은 이유로 Identity Center 사용자를 생성하여 실습하는 것이 AWS가 권장하는 방식이다