Amazon Web Services 한국 블로그
AWS 관리 콘솔에서 각종 암호 및 인증 키 등을 빠르게 검색 및 업데이트 하는 방법
AWS 관리 콘솔의 [보안 자격 증명(My Security Credentials)] 페이지를 사용하여 모든 보안 자격 증명을 단일 위치에서 빠르게 보고 업데이트할 수 있습니다. 개발자에게 프로그래밍 방식 액세스 또는 AWS 관리 콘솔 액세스 권한을 부여하는 경우 암호 또는 액세스 키 등 AWS 리소스 액세스를 위한 자격 증명이 전송됩니다.
예를 들어 AWS Identity and Access Management(IAM)에서 사용자를 생성하면 개발자를 위한 장기 자격 증명이 생성됩니다. 이러한 자격 증명의 사용 방법은 특히 AWS를 처음 사용하는 경우 이해하기가 어려울 수 있기 때문에 결국 개발자는 관리자에게 자격 증명 사용에 대한 지침을 문의하게 됩니다. 최근에 개발자가 IAM 사용자의 보안 자격 증명을 직접 검색, 생성 또는 수정할 수 있도록 [보안 자격 증명(My Security Credentials)] 페이지가 업데이트되었습니다.
여기에는 AWS 콘솔 액세스를 위한 암호, 프로그래밍 방식 AWS 액세스를 위한 액세스 키 및 MFA(Multi-Factor Authentication) 디바이스가 포함됩니다. AWS 보안 자격 증명을 보다 쉽게 검색하고 파악할 수 있게 됨에 따라 개발자는 AWS를 더 빠르게 시작할 수 있습니다.
IAM 사용자를 생성해야 하는 경우 [My Security Credentials] 페이지를 사용하여 장기 자격 증명을 관리할 수 있습니다. 그러나 모범 사례는 AWS 계정에 액세스할 때 연동을 통해 임시 자격 증명을 사용하는 것입니다. 연동을 사용하면 기존 ID 공급자를 사용하여 AWS에 액세스할 수 있습니다. AWS Single Sign-On(SSO)을 사용하여 ID와 이러한 ID의 여러 AWS 계정 및 비즈니스 애플리케이션에 대한 액세스를 중앙에서 관리할 수도 있습니다. 이 게시물에서는 AWS Management Console에서 보안 자격 증명을 검색하고 구성할 때의 IAM 사용자 경험을 검토합니다.
보안 자격 증명 액세스
AWS와 상호 작용할 때는 사용자가 본인인지와 요청 리소스에 대한 액세스 권한이 있는지 여부를 확인하는 보안 자격 증명이 필요합니다. 예를 들어 AWS Management Console에 로그인하려면 사용자 이름과 암호가 필요하며 AWS API 작업에 대한 프로그래밍 방식의 호출을 수행하려면 액세스 키가 필요합니다.
보안 자격 증명에 액세스하고 이러한 자격 증명을 관리하려면 IAM 사용자로 AWS 콘솔에 로그인하고 탐색 표시줄의 오른쪽 위 섹션에 있는 사용자 이름으로 이동합니다. 그림 1에 표시된 것과 같이 드롭다운 메뉴에서 [My Security Credentials]를 선택합니다.
![그림 1: [My Security Credentials] 페이지를 찾는 방법](https://d2908q01vomqb2.cloudfront.net/22d200f8670dbdb3e253a90eee5098477c95c23d/2019/01/23/MySecurityCredentials-01.jpg)
그림 1: [My Security Credentials] 페이지를 찾는 방법
[My Security Credentials] 페이지에는 모든 보안 자격 증명이 포함됩니다. IAM 사용자는 이 중앙 위치(그림 2)에서 모든 자격 증명을 관리해야 합니다.
![그림 2: [My security credentials] 페이지](https://d2908q01vomqb2.cloudfront.net/22d200f8670dbdb3e253a90eee5098477c95c23d/2019/01/23/MySecurityCredentials-02.jpg)
그림 2: [My security credentials] 페이지
다음으로 IAM 사용자가 [My Security Credentials] 페이지에서 AWS 콘솔 액세스 암호를 변경하고, 액세스 키를 생성하고, MFA 디바이스를 구성하고, AWS CodeCommit 자격 증명을 설정하는 방법을 알려드리겠습니다.
AWS 콘솔 액세스 암호 변경
암호를 변경하려면 [My Security Credentials] 페이지의 [Password for console access] 섹션에서 [Change password]를 선택합니다. 이 섹션에서 현재 암호의 수명을 볼 수도 있습니다. 그림 3의 예에서 제 암호의 수명은 121일입니다. 이 정보는 암호 변경이 필요한지 여부를 결정하는 데 도움이 될 수 있습니다. 저는 AWS 모범 사례에 따라 암호를 업데이트해야 합니다.
그림 3: 암호의 수명을 확인할 수 있는 위치
암호를 업데이트하려면 [Change password] 버튼을 선택합니다.
IAM 사용자에게 할당된 권한에 따라 관리자가 설정한 암호 요구 사항이 표시되지 않을 수 있습니다. 아래의 이미지는 제 관리자가 제 AWS 계정에 설정한 암호 요구 사항을 보여줍니다. 제 IAM 사용자는 암호 정책을 볼 수 있는 권한을 가지고 있으므로 여기에 암호 요구 사항이 표시됩니다.
그림 4: 암호를 변경하는 방법
[Change password]를 선택하고 모든 요구 사항이 충족되면 IAM 사용자의 암호가 업데이트됩니다.
프로그래밍 방식 액세스를 위한 액세스 키 생성
AWS 명령줄, AWS SDK 또는 직접 API 호출을 사용하여 전송한 요청을 서명하려면 액세스 키 ID 및 보안 액세스 키가 필요합니다. 이전에 액세스 키를 생성했지만 보안 키를 저장하지 않은 경우 기존 액세스 키를 삭제하고 새 액세스 키를 생성하는 것이 좋습니다. [My Security Credentials] 페이지에서 새 액세스 키를 생성할 수 있습니다.
그림 5: 새 액세스 키를 생성하는 방법
새 키를 생성하려면 [Create access key] 버튼을 선택합니다. 그러면 새 보안 액세스 키가 생성됩니다. 이때가 보안 액세스 키를 검토하거나 다운로드할 수 있는 유일한 시간입니다. 보안 모범 사례에 따라 AWS는 초기 생성 후 보안 액세스 키의 검색을 허용하지 않습니다.
다음으로 [Download .csv file] 버튼(아래 이미지에 표시됨)을 선택하고 사용자만 액세스할 수 있는 안전한 위치에 이 파일을 저장합니다.
![그림 6: [Download .csv file] 버튼 선택](https://d2908q01vomqb2.cloudfront.net/22d200f8670dbdb3e253a90eee5098477c95c23d/2019/01/23/MySecurityCredentials-06.jpg)
그림 6: [Download .csv file] 버튼 선택
참고: 이미 최대 2개의 활성 또는 비활성 액세스 키가 있는 경우 새 키를 생성하기 전에 하나를 삭제해야 합니다.
내 액세스 및 보안 키에 누군가 액세스할 수 있다고 생각되는 경우 즉시 삭제하고 새로 생성해야 합니다. 기존 키를 삭제하려면 아래에 표시된 것과 같이 액세스 키 ID 옆의 [Delete]를 선택합니다. 액세스 키 관리를 위한 모범 사례로 이동하여 모범 사례에 대한 자세한 내용을 알아볼 수 있습니다.
그림 7: 키를 삭제하거나 일시 중지하는 방법
이제 [Delete access key] 대화 상자에 마지막으로 키를 사용한 시간이 표시됩니다. 이 정보는 기존 시스템에서 액세스 키가 사용되고 있는지와 키를 삭제하면 문제가 발생하는지 여부를 확인하는 데 도움이 됩니다.
![그림 8: [Delete access key] 확인 창](https://d2908q01vomqb2.cloudfront.net/22d200f8670dbdb3e253a90eee5098477c95c23d/2019/01/23/MySecurityCredentials-08.jpg)
그림 8: [Delete access key] 확인 창
MFA 디바이스 할당
모범 사례에 따라 모든 IAM 사용자에 대해 MFA(Multi-Factor Authentication)를 활성화하는 것이 좋습니다. MFA는 별도의 보안 계층을 추가합니다. MFA를 활성화하면 사용자가 AWS에 액세스할 때 로그인 자격 증명에 더해 AWS 지원 MFA 메커니즘에서 고유한 인증을 제공해야 합니다. 이제 IAM 사용자는 [My Security Credentials] 페이지를 통해 현재 MFA 설정을 할당하거나 볼 수 있습니다.
그림 9: MFA 설정을 보는 방법
AWS의 MFA 지원 및 IAM 사용자의 MFA 디바이스 구성에 대한 자세한 내용은 MFA 디바이스 활성화를 참조하십시오.
AWS CodeCommit 자격 증명 생성
[My Security Credentials] 페이지에서 문서 및 소스 코드 같은 자산을 클라우드에서 비공개로 저장하고 관리하는 버전 제어 서비스인 AWS CodeCommit에 대한 Git 자격 증명을 구성할 수 있습니다. 또한 CLI를 설치하지 않고 CodeCommit 리포지토리에 액세스하려면 아래에 표시된 것과 같이 [My Security Credentials] 페이지에서 SSH 퍼블릭 키를 업로드하여 SSH 연결을 설정하면 됩니다. AWS CodeCommit 및 다양한 구성 옵션에 대한 자세한 내용은 AWS CodeCommit 사용 설명서를 참조하십시오.
그림 10: CodeCommit 자격 증명을 생성하는 방법
요약
IAM 사용자를 위한 [My Security Credentials] 페이지를 사용하면 보안 자격 증명을 손쉽게 관리하고 구성하여 개발자의 빠른 AWS 설정 및 실행을 지원할 수 있습니다. 보안 자격 증명 및 모범 사례에 대한 자세한 내용은 Identity and Access Management 설명서를 참조하십시오.
이 게시물에 대한 의견이 있는 경우 아래의 댓글 섹션을 사용하여 제출하시기 바랍니다. 이 솔루션에 대한 질문 또는 제안이 있는 경우 IAM 포럼에서 새 스레드를 시작하십시오.
AWS 보안에 관한 더 많은 소식이 궁금하십니까? Twitter에서 AWS를 팔로우하십시오.
Sulay Sulay는 AWS Identity and Access Management 서비스의 제품 관리자입니다. 고객 우선 접근 방식을 강하게 믿으며 항상 고객을 지원할 새로운 기회를 찾습니다. 일하지 않을 때는 축구를 하고 영화를 보는 것을 즐깁니다. 노스캐롤라이나주립대학교에서 컴퓨터공학 석사 학위를 취득했습니다.
이 글은 AWS Security 블로그 How to quickly find and update your access keys, password, and MFA setting using the AWS Management Console의 한국어 번역입니다.