[AWS-IAM] AWS에 로그인 하는 2가지 방식 (루트 사용자와 IAM 사용자)

AWS의 로그인 방식

AWS에서 로그인을 수행한다면 2가지의 방식으로 수행할 수 있다.

1. 루트 사용자.
2. IAM 사용자.

루트 사용자

우리가 일반적으로 실습 환경을 구축한다거나 개인 서버를 오픈 한다고 하면 AWS 회원가입이나 로그인을 수행한다.

 

우리가 AWS 계정으로 회원가입이나 로그인을 수행하면 우리는 모든 권한을 갖는 SSO(Single Sign In) ID로 시작하게 된다.

 

이 말은 우리가 AWS의 모든 자원과 리소스를 이용할 수 있다는 이야기가 되며, 그 말은 모든 자원을 구매할 수 있다는 소리이다.

만약 악의적인 공격자의 공격으로 우리의 계정이 탈취된다면 어떻게 될까?

 

아마 악의적인 공격자는 돈을 벌기 위해 AWS의 아주 비싼 컴퓨터를 구매해서 엄청난 비트코인 채굴기를 설치해 채굴을 돌릴 것이다.

그럼 우리는 천문학적 금액으로 해커의 비트코인을 채굴해주는 컴퓨팅 서비스를 이용하게 될 것이고, 결국 막대한 피해가 생기게 된다.

 

그래서 AWS는 공식적으로 루트 사용자 계정을 사용하지 않는 것을 추천한다.

IAM 사용자.

위의 문제를 방지하기 위해 AWS는 루트 사용자 계정을 사용하지 않는 것을 추천하면 어떻게 계정을 이용할까?

대안은 바로 IAM 사용자이다.

IAM

AWS Identity and Access Management(IAM)는 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스이다.

우리는 IAM을 사용해서 각각의 행동에 따른 사용자들을 나눠 하나의 인스턴스를 이용할 수 있게 된다.

이런 IAM을 사용하면 여러 장점이 있는데, 크게 3개만 이야기 해보면 다음과 같다.

• AWS 계정의 공유 액세스
• 세분화된 권한
• 무료

AWS 계정의 공유 액세스

우리가 팀 내에서 하나의 인스턴스를 이용한다고 생각하면 일반적인 생각은 다음과 같다.

 

하나의 아이디와 비밀번호를 팀원끼리 공유.

 

그럼 결국 ID PW는 보안에 취약해지게 된다.

 

하지만 IAM을 사용한다면 

이렇게 IAM 증명서로 사용자들은 Root Account를 몰라도 서로 공유하는 인스턴스에 접근할 수 있게 된다.

 

세분화된 권한

위에 사진처럼 IAM 계정에는 한 가지의 일만 할 수 있는 것이 아니다.

 

여러 리소스에 접근할 수 있는 권한을 서로 다르게 줄 수도 있는 것이다.

무료

이렇게 각각의 접근 권한을 나누는 기능은 무료이다.

 

하지만 이런 권한을 가지고 AWS 리소스를 이용한다면 당연한 이야기지만 요금이 부과된다.

 

---

이렇게 오늘은 IAM 사용자와 Root 사용자를 나눠보았다.

 

IAM 사용자는 AWS에서 가장 권장하는 인스턴스 관리 방법으로 AWS의 3가지 핵심중 하나를 이룬다.

 

만약 당신이 AWS를 조직에 도입한다거나 학습을 하는 과정이라면 IAM이라는 개념에 대해 잘 알아보고 도입하는 것을 적극 권장한다.

 

아니 보안을 위해서라면 필수적으로 IAM을 도입해야 한다고 생각한다.

 

다음 시간에는 IAM에 대해서 더 깊게 알아보자.