무료로 AWS 시작하기

무료 계정 생성
또는 콘솔에 로그인

Amazon Web Services에 가입하면 AWS 프리 티어에 12개월 동안 액세스할 수 있습니다. 연중무휴 24시간 고객 서비스, 지원 포럼 등을 비롯한 AWS Basic Support 기능을 사용해 보십시오.


Q: AWS Identity and Access Management(IAM)란 무엇입니까?
AWS IAM을 사용하면 AWS 리소스에 대한 개별 액세스 및 그룹 액세스를 안전하게 제어할 수 있습니다. 사용자 자격 증명('IAM 사용자')을 생성 및 관리하고, 이러한 IAM 사용자에게 리소스에 액세스할 수 있는 권한을 부여할 수 있습니다. 또한, AWS 외부의 사용자(연동 사용자)에게 권한을 부여할 수도 있습니다.

Q: IAM을 시작하려면 어떻게 해야 합니까?
IAM을 사용하려면 IAM과 통합된 AWS 서비스를 최소한 하나 이상 구독해야 합니다. 그런 다음 IAM API, AWS CLI 또는 포인트 앤 클릭 방식의 웹 기반 인터페이스를 제공하는 IAM 콘솔을 통해 사용자, 그룹 및 권한을 생성하고 관리할 수 있습니다. 시각 편집기를 사용하여 정책을 생성할 수도 있습니다.

Q: IAM으로 해결할 수 있는 문제는 무엇입니까?
IAM을 사용하면 여러 사용자에게 AWS 리소스에 대한 보안 액세스를 손쉽게 제공할 수 있습니다. IAM으로 다음을 수행할 수 있습니다.

  • IAM 사용자 및 액세스 관리 – AWS의 자격 증명 관리 시스템에서 사용자를 생성하거나, 사용자에게 개별 보안 자격 증명(예: 액세스 키, 암호, 멀티 팩터 인증 디바이스)을 할당하거나, AWS 서비스 및 리소스에 대한 액세스를 제공할 수 있도록 임시 보안 자격 증명을 요청할 수 있습니다. 사용자가 수행할 수 있는 작업을 제어하는 권한을 지정할 수 있습니다.
  • 페더레이션 사용자의 액세스 관리 – 기업 디렉토리에서 관리하는 사용자에 대해 만료를 구성할 수 있는 보안 자격 증명을 요청하여 IAM 사용자 계정을 생성하지 않고도 직원과 애플리케이션에 AWS 계정의 리소스에 대한 보안 액세스를 제공할 수 있습니다. 이 보안 자격 증명에 권한을 지정하여 사용자가 수행할 수 있는 작업을 제어합니다.

Q: IAM을 사용할 수 있는 사람은 누구입니까?
모든 AWS 고객이 IAM을 사용할 수 있습니다. 이 서비스는 추가 비용 없이 제공됩니다. 사용자가 사용한 다른 AWS 서비스에 대해서만 요금이 부과됩니다.

Q: 사용자란 무엇입니까?
사용자는 AWS 서비스 및 애플리케이션에서 식별하는 고유한 자격 증명입니다. Windows 또는 UNIX와 같은 운영 체제의 로그인 사용자와 마찬가지로 사용자에게는 고유한 이름이 있으며 암호 또는 액세스 키와 같은 일반적인 보안 자격 증명을 사용하여 자신의 신원을 증명할 수 있습니다. 사용자는 AWS 서비스에 대한 액세스를 요구하는 개인, 시스템 또는 애플리케이션입니다. IAM은 AWS의 자격 증명 관리 시스템에서 관리되는 사용자('IAM 사용자'라고 함)를 지원하고, 기업 디렉토리의 AWS 외부에서 관리되는 사용자('페더레이션 사용자'라고 함)의 AWS 리소스에 대한 액세스 권한을 부여할 수 있는 기능도 제공합니다.

Q: 사용자가 할 수 있는 작업은 무엇입니까?
사용자는 Amazon S3 및 Amazon EC2와 같은 웹 서비스에 요청을 보낼 수 있습니다. 사용자가 웹 서비스 API 액세스할 수 있는지는 AWS 계정에 정의되어 있으며 해당 계정에서 제어하고 책임지게 됩니다. IAM과 통합되어 있으며 AWS 계정에서 구독하는 모든 AWS 서비스에 액세스하도록 사용자에게 권한을 부여할 수 있습니다. 허용된 경우 사용자가 AWS 계정 아래의 모든 리소스에 액세스할 수 있습니다. 또한 AWS 계정이 다른 AWS 계정의 리소스에 액세스할 수 있는 경우 해당 사용자는 이러한 AWS 계정 아래의 데이터에 액세스할 수 있습니다. 사용자가 생성한 AWS 리소스는 해당 AWS 계정에서 유료로 관리됩니다. 사용자는 독립적으로 AWS 서비스에 가입하거나 리소스를 제어할 수 없습니다.

Q: 사용자는 어떤 방법으로 AWS 서비스를 호출하게 됩니까?
사용자는 보안 자격 증명을 사용해 AWS 서비스를 요청할 수 있습니다. 사용자가 AWS 서비스를 호출할 수 있으려면 명시적 권한이 있어야 합니다. 기본적으로 사용자는 계정을 대신해서 서비스 API를 호출할 수 없습니다.

Q: IAM을 시작하려면 어떻게 해야 합니까?
IAM을 사용하려면 IAM과 통합된 AWS 서비스를 최소한 하나 이상 구독해야 합니다. 그런 다음 IAM API, AWS CLI 또는 포인트 앤 클릭 방식의 웹 기반 인터페이스를 제공하는 IAM 콘솔을 통해 사용자, 그룹 및 권한을 생성하고 관리할 수 있습니다. AWS 정책 생성기를 사용해 정책을 생성할 수도 있습니다.


Q: IAM 사용자는 어떻게 관리됩니까?
IAM은 다음과 같은 작업을 수행하기 위한 여러 가지 방법을 지원합니다.

  • IAM 사용자 생성 및 관리.
  • IAM 그룹 생성 및 관리.
  • 사용자의 보안 자격 증명 관리.
  • 정책을 생성 및 관리하여 AWS 서비스와 리소스에 대한 액세스 권한을 부여.

IAM API, AWS CLI 또는 IAM 콘솔을 사용하여 사용자, 그룹 및 정책을 생성하고 관리할 수 있습니다. 또한, 시각 편집기IAM 정책 시뮬레이터를 사용하여 정책을 생성하고 테스트할 수 있습니다.

Q: 그룹이란 무엇입니까?
그룹은 IAM 사용자의 모음입니다. 그룹 멤버십을 간단한 목록으로 관리합니다.

  • 사용자를 그룹에 추가하거나 그룹에서 삭제합니다.
  • 한 명의 사용자가 여러 그룹에 속할 수 있습니다.
  • 그룹은 다른 그룹에 속할 수 없습니다.
  • 액세스 제어 정책을 사용해 그룹에 권한을 부여할 수 있습니다. 이렇게 하면 각각의 개별 사용자의 권한을 관리해야 할 필요가 없으므로 사용자 모음의 권한을 더욱 쉽게 관리할 수 있습니다.
  • 그룹은 보안 자격 증명이 없으므로 웹 서비스에 직접 액세스할 수 없습니다. 단독으로 존재하므로 사용자 권한을 관리하기가 더 쉽습니다. 자세한 내용은 Working with Groups and Users를 참조하십시오.

Q: IAM 사용자는 어떤 종류의 보안 자격 증명을 사용할 수 있습니까?
IAM 사용자는 AWS 액세스 키, X.509 인증서, SSH 키, 웹 앱 로그인용 암호 또는 MFA 디바이스 등 AWS에서 지원하는 자격 증명을 원하는 대로 조합하여 사용할 수 있습니다. 이에 따라 사용자는 본인에게 적합한 방식으로 AWS와 상호 작용할 수 있습니다. 직원은 AWS 액세스 키와 암호를 사용하고, 소프트웨어 시스템은 AWS 액세스 키만 사용하여 프로그램 방식으로 호출하며, IAM 사용자는 프라이빗 SSH 키를 사용하여 AWS CodeCommit 리포지토리에 액세스하고, 외부 계약직원은 X.509 인증서만 사용하여 EC2 명령줄 인터페이스를 이용할 수 있습니다. 자세한 내용은 IAM 설명서의 임시 보안 자격 증명을 참조하십시오.

Q: IAM 사용자를 지원하는 AWS 서비스는 무엇입니까?
IAM 사용자를 지원하는 AWS 서비스의 전체 목록은 IAM 설명서의 자격 증명(사용자, 그룹 및 역할) 섹션에서 확인할 수 있습니다. AWS는 앞으로 다른 서비스에 대한 지원을 추가할 계획입니다.

Q: 사용자 액세스를 활성화하고 비활성화할 수 있습니까?
예. IAM 사용자의 액세스 키를 IAM API, AWS CLI 또는 IAM 콘솔을 통해 활성화하고 비활성화할 수 있습니다. 액세스 키를 비활성화하는 경우, 사용자는 AWS 서비스에 프로그래밍 방식으로 액세스할 수 없습니다.

Q: AWS 계정의 사용자를 관리할 수 있는 사람은 누구입니까?
AWS 계정 소유자는 사용자, 그룹, 보안 자격 증명 및 권한을 관리할 수 있습니다. 또한 개별 사용자에게 다른 사용자를 관리하기 위해 IAM API를 호출할 수 있는 권한을 부여할 수 있습니다. 예를 들어 기업의 사용자를 관리하는 관리 사용자를 생성할 수 있습니다(권장 사항). 사용자에게 다른 사용자를 관리할 수 있는 권한이 부여된 경우 해당 사용자는 IAM API, AWS CLI 또는 IAM 콘솔을 통해 이 작업을 수행할 수 있습니다.

Q: LDAP와 같은 계층적인 방법으로 사용자 집합을 구성할 수 있습니까?
예. Amazon S3의 객체 경로(예: /mycompany/division/project/joe)와 비슷한 방법으로 사용자와 그룹을 경로로 구성할 수 있습니다.

Q: 사용자를 리전별로 정의할 수 있습니까?
현재는 표시되지 않습니다. 사용자는 현재 AWS 계정과 같이 전역 엔터티입니다. 사용자 권한을 정의할 때 리전을 지정할 필요가 없으며, 사용자는 모든 지리적 리전에서 AWS 서비스를 사용할 수 있습니다.

Q: IAM 사용자에 대한 MFA 디바이스는 어떻게 구성되어 있습니까?
AWS 계정 소유자는 여러 MFA 디바이스를 주문할 수 있습니다. 그런 다음 IAM API, AWS CLI 또는 IAM 콘솔을 통해 이러한 디바이스를 개별 IAM 사용자에게 할당할 수 있습니다.

Q: IAM 사용자에 대해 어떤 종류의 키 교체가 지원됩니까?
AWS 계정의 루트 액세스 식별자와 마찬가지로 사용자 액세스 키와 X.509 인증서를 교체할 수 있습니다. IAM API, AWS CLI 또는 IAM 콘솔을 통해 사용자의 액세스 키와 X.509 인증서를 프로그래밍 방식으로 관리 및 교체할 수 있습니다.

Q: IAM 사용자가 개별 EC2 SSH 키를 보유할 수 있습니까?
초기 릴리스에서는 불가능합니다. IAM은 EC2 SSH 키 또는 Windows RDP 인증서에 영향을 미치지 않습니다. 이는 각 사용자에게 웹 서비스 API에 액세스할 수 있는 별도의 자격 증명이 있더라도 해당 사용자가 정의된 AWS 계정 전체에서 공통된 SSH 키를 공유해야 함을 의미합니다.

Q: SSH 키는 어디에서 사용할 수 있습니까?

현재 IAM 사용자는 AWS CodeCommit에서 리포지토리에 액세스할 때만 SSH 키를 사용할 수 있습니다.

Q: IAM 사용자 이름이 이메일 주소여야 합니까?
꼭 그렇지는 않지만 이메일 주소가 될 수도 있습니다. 사용자 이름은 지정된 AWS 계정 내에서 고유한 ASCII 문자열입니다. 이메일 주소 등 원하는 이름 규칙을 사용하여 이름을 지정할 수 있습니다.

Q: IAM 사용자 이름에 어떠한 문자 세트를 사용할 수 있습니까?
IAM 엔터티에는 ASCII 문자만 사용할 수 있습니다.

Q: 사용자 이름 이외의 사용자 속성이 지원됩니까?
현재는 지원되지 않습니다.

Q: 사용자 암호를 설정하려면 어떻게 해야 합니까?
IAM 콘솔, AWS CLI 또는 IAM API를 통해 IAM 사용자에 대한 초기 암호를 설정할 수 있습니다. 사용자 암호는 처음 입력된 후 일반 텍스트로 나타나지 않으며 API 호출을 통해 표시되거나 반환되지 않습니다. IAM 사용자는 IAM 콘솔의 My Password 페이지를 통해 암호를 관리할 수 있습니다. 사용자는 AWS Management Console의 오른쪽 위 모서리에 있는 드롭다운 목록에서 보안 자격 증명 옵션을 선택하여 이 페이지에 액세스합니다.

Q: 사용자 암호에 적용할 암호 정책을 정의할 수 있습니까?
예. 최소 길이 또는 적어도 숫자를 1개는 포함하도록 요청하여 강력한 암호 정책을 적용할 수 있습니다. 또한, 자동 암호 만료, 이전 암호 재사용 금지, 그리고 다음번 AWS 로그인 시 암호 재설정을 요구할 수도 있습니다. 자세한 내용은 Setting an Account Policy Password for IAM Users를 참조하십시오.

Q: IAM 사용자에 대해 사용 할당량을 설정할 수 있습니까?
아니요. 모든 한도는 AWS 계정에 대해 전체적으로 적용됩니다. 예를 들어 AWS 계정에 Amazon EC2 인스턴스를 20개만 포함할 수 있다는 제한이 있는 경우, EC2 권한이 있는 IAM 사용자는 인스턴스를 최대한도인 20개까지만 시작할 수 있습니다. 하지만 개별 사용자가 무엇을 할 수 있는지는 제한할 수 없습니다.


Q: IAM 역할은 무엇입니까?
IAM 역할은 AWS 서비스를 요청하기 위한 권한 세트를 정의하는 IAM 엔터티입니다. IAM 역할은 특정 사용자나 그룹에 연결되어 있지 않습니다. 대신 IAM 사용자, 애플리케이션 또는 EC2 같은 AWS 서비스처럼 신뢰할 수 있는 엔터티가 역할을 가정합니다.

Q: IAM 역할로 해결할 수 있는 문제는 무엇입니까?
IAM 역할은 장기 액세스 키를 공유하지 않아도 신뢰할 수 있는 엔터티에 정의된 권한이 있는 액세스를 위임할 수 있게 합니다. IAM 역할을 사용하여 계정 내에서 관리되는 IAM 사용자, 다른 AWS 계정의 IAM 사용자 또는 EC2와 같은 AWS 서비스에 액세스를 위임할 수 있습니다.

Q: IAM 역할을 시작하려면 어떻게 해야 합니까?
사용자를 생성하는 것과 비슷한 방식으로 역할을 생성할 수 있습니다. 역할의 이름을 지정하고 해당 역할에 정책을 연결하면 됩니다. 자세한 내용은 Creating IAM Roles를 참조하십시오.

Q: IAM 역할을 가정하려면 어떻게 해야 합니까?
AWS Security Token Service(STS) AssumeRole API(즉, AssumeRole, AssumeRoleWithWebIdentity 및 AssumeRoleWithSAML)를 호출하여 IAM 역할을 가정합니다. 이러한 API는 애플리케이션이 AWS 서비스 API에 대한 요청을 서명하는 데 사용할 수 있는 임시 보안 자격 증명 세트를 반환합니다.

Q: 가정할 수 있는 IAM 역할 수는 몇 개입니까?
가정할 수 있는 IAM 역할 수에는 제한이 없지만 AWS 서비스를 요청할 때는 하나의 IAM 역할만 수행할 수 있습니다.

Q: IAM 역할을 사용할 수 있는 사람은 누구입니까?
모든 AWS 고객이 IAM 역할을 사용할 수 있습니다.

Q: IAM 역할을 사용하려면 비용이 얼마나 듭니까?
IAM 역할은 무료입니다. 그러나 AWS 계정에서 역할이 사용하는 모든 리소스에 대한 비용은 계속 지불하게 됩니다.

Q: IAM 역할은 어떻게 관리됩니까?
IAM API, AWS CLI 또는 포인트 앤 클릭 방식의 웹 기반 인터페이스를 제공하는 IAM 콘솔을 통해 IAM 역할을 생성하고 관리할 수 있습니다.

Q: IAM 역할 및 IAM 사용자 간의 차이점은 무엇입니까?
IAM 사용자는 장기간 사용할 수 있는 영구 자격 증명을 가지고 있으며 AWS 서비스와 직접 상호 작용하는 데 사용됩니다. IAM 역할은 자격 증명이 없고 AWS 서비스에 직접 요청을 보낼 수 없습니다. IAM 역할은 IAM 사용자, 애플리케이션 또는 EC2 같은 AWS 서비스처럼 승인된 엔터티에 의해 가정되어야 합니다.

Q: 언제 IAM 사용자, IAM 그룹 또는 IAM 역할을 사용해야 합니까?

IAM 사용자는 장기간 사용할 수 있는 영구 자격 증명을 가지고 있으며 AWS 서비스와 직접 상호 작용하는 데 사용됩니다. IAM 그룹은 IAM 사용자 집합의 동일한 권한 집합을 관리하기 위한 관리 편의를 제공합니다. IAM 역할은 AWS 서비스 요청을 보낼 권한을 가진 AWS Identity and Access Management(IAM) 엔터티입니다. IAM 역할은 AWS 서비스에 직접 요청할 수 없고 IAM 사용자, 애플리케이션 또는 EC2 같은 AWS 서비스처럼 승인된 엔터티에 의해 가정되어야 합니다. IAM 역할을 사용하여 AWS 계정 내에서 또는 AWS 계정 간에 액세스를 위임합니다.

Q: IAM 그룹에 IAM 역할을 추가할 수 있습니까?
현재는 지원되지 않습니다.

Q: IAM 역할에 연결할 수 있는 정책 수는 얼마나 됩니까?

인라인 정책: 원하는 만큼의 인라인 정책을 사용자, 역할 또는 그룹에게 추가할 수 있으나 엔터티당 총 누적 정책 크기(모든 인라인 정책의 합)는 다음 한도를 초과할 수 없습니다.

  • 사용자 정책 크기는 2,048자를 초과할 수 없습니다.
  • 역할 정책 크기는 10,240자를 초과할 수 없습니다.
  • 그룹 정책 크기는 5,120자를 초과할 수 없습니다.

관리형 정책: 관리형 정책을 사용자, 역할 또는 그룹에 최대 10개까지 추가할 수 있습니다. 각 관리형 정책의 크기는 6,144자를 초과할 수 없습니다.

Q: IAM 역할 수는 몇 개나 생성할 수 있습니까?
AWS 계정에 만들 수 있는 IAM 역할은 1,000개로 제한됩니다. 이보다 많은 역할이 필요한 경우, IAM 한도 증가 요청 양식을 사용 사례와 함께 제출해 주시면 AWS에서 귀하의 요청을 검토하겠습니다.

Q: 내 애플리케이션은 어떤 서비스에 요청을 보낼 수 있습니까?
애플리케이션은 역할 세션을 지원하는 모든 AWS 서비스에 요청을 보낼 수 있습니다.

Q: EC2 인스턴스용 IAM 역할은 무엇입니까?
EC2 인스턴스용 IAM 역할을 사용하면 EC2에서 실행 중인 애플리케이션에서 AWS 액세스 키를 모든 인스턴스에 복사하지 않고도 Amazon S3, Amazon SQS, Amazon SNS 등의 AWS 서비스에 요청을 보낼 수 있습니다. 자세한 내용은 Amazon EC2의 IAM 역할을 참조하십시오.

Q: EC2 인스턴스용 IAM 역할의 기능에는 무엇이 있습니까?

EC2 인스턴스용 IAM 역할은 다음 기능을 제공합니다.

  • 실행 중인 EC2 인스턴스에서 AWS 서비스로 요청을 만들 때 사용할 수 있는 AWS 임시 보안 자격 증명
  • AWS 임시 보안 자격 증명의 자동 교체
  • EC2 인스턴스에서 실행 중인 애플리케이션에 대한 AWS 서비스 권한 구성

Q: EC2 인스턴스용 IAM 역할로 어떤 문제를 해결합니까?
EC2 인스턴스용 IAM 역할은 EC2 인스턴스에 대한 AWS 액세스 키의 관리 및 배포를 간소화합니다. 이 기능을 사용하여 IAM 역할을 인스턴스에 연결할 수 있습니다. 그러면 EC2 인스턴스가 해당 인스턴스에서 실행되는 애플리케이션에 임시 보안 자격 증명을 제공하고, 애플리케이션은 이 자격 증명을 사용해 역할에서 정의된 AWS 서비스 리소스를 안전하게 요청할 수 있습니다.

Q: EC2 인스턴스용 IAM 역할을 시작하려면 어떻게 해야 합니까?
EC2 인스턴스가 역할을 사용하는 방식을 이해하려면 IAM 콘솔을 사용하여 역할을 만들고, 해당 역할을 사용하는 EC2 인스턴스를 시작한 다음, 실행되는 인스턴스를 검사해야 합니다. 인스턴스 메타데이터를 검토하면 인스턴스에서 역할 자격 증명을 사용할 수 있게 되는 방식을 알 수 있습니다. 또한, 인스턴스에서 실행되는 애플리케이션이 어떻게 역할을 사용하는지도 알 수 있습니다. 자세한 내용은 어떻게 시작할 수 있습니까?를 참조하십시오.

Q: 여러 EC2 인스턴스에서 동일한 IAM 역할을 사용할 수 있습니까?
예.

Q: 실행 중인 EC2 인스턴스에서 IAM 역할을 변경할 수 있습니까?
예. 일반적으로 처음 시작할 때는 역할이 EC2 인스턴스에 할당되지만 이미 실행 중인 EC2 인스턴스에 역할을 할당하는 것도 가능합니다. 실행 중인 인스턴스에 역할을 할당하는 방법에 대한 자세한 내용은 IAM Roles for Amazon EC2를 참조하십시오. 또한 실행 중인 인스턴스와 연결된 IAM 역할의 권한을 변경할 수 있으며, 업데이트된 권한은 거의 즉시 적용됩니다. 

Q: 이미 실행 중인 EC2 인스턴스에 IAM 역할을 연결할 수 있습니까?
예. 이미 실행 중인 EC2 인스턴스에 역할을 할당할 수 있습니다. 이미 실행 중인 인스턴스에 역할을 할당하는 방법에 대한 자세한 내용은 Amazon EC2의 IAM 역할을 참조하십시오.

Q: IAM 역할을 Auto Scaling 그룹에 연결할 수 있습니까?

예. Auto Scaling 시작 구성에서 IAM 역할을 추가 파라미터로 추가하고, 해당 시작 구성을 사용하여 Auto Scaling 그룹을 만들 수 있습니다. IAM 역할에 연결된 Auto Scaling 그룹에서 시작된 모든 EC2 인스턴스는 해당 역할을 입력 파라미터로 사용하여 시작됩니다. 자세한 내용은 Auto Scaling Developer GuideWhat Is Auto Scaling?을 참조하십시오.

Q: 두 개 이상의 IAM 역할을 EC2 인스턴스와 연결할 수 있습니까?
아니요. 현재로서는 하나의 IAM 역할만 EC2 인스턴스에 연결할 수 있습니다. 인스턴스당 1개로 제한되는 역할의 수를 늘릴 수는 없습니다.

Q: 실행 중인 EC2 인스턴스에 연결된 IAM 역할을 삭제하면 어떻게 됩니까?
해당 역할을 사용하는 인스턴스에서 실행 중인 모든 애플리케이션에 대한 액세스가 즉시 거부됩니다.

Q: IAM 사용자가 어떤 IAM 역할을 EC2 인스턴스에 연결할지 제어할 수 있습니까?
예. 자세한 내용은 Amazon EC2로 역할을 사용하는 데 필요한 권한을 참조하십시오.

Q: IAM 역할을 사용하여 EC2 인스턴스를 시작하려면 어떤 권한이 필요합니까?
역할을 사용하여 EC2 인스턴스를 성공적으로 시작하려면 IAM 사용자에게 다음과 같이 두 가지 별개의 권한을 부여해야 합니다.

  • EC2 인스턴스를 시작하는 권한
  • IAM 역할을 EC2 인스턴스에 연결하는 권한

자세한 내용은 Amazon EC2로 역할을 사용하는 데 필요한 권한을 참조하십시오.

Q: EC2 인스턴스의 액세스 키는 누가 액세스할 수 있습니까?
인스턴스에 있는 모든 로컬 사용자가 IAM 역할과 연결된 액세스 키를 사용할 수 있습니다.

Q: EC2 인스턴스의 애플리케이션에서 IAM 역할을 사용하려면 어떻게 합니까?
AWS SDK를 사용해 애플리케이션을 개발하려는 경우 AWS SDK는 자동으로 EC2 인스턴스에서 사용되었던 AWS 액세스 키를 사용합니다. AWS SDK를 사용하고 있지 않은 경우 EC2 인스턴스 메타데이터 서비스에서 액세스 키를 가져올 수 있습니다. 세부 정보는 IAM 역할을 사용하여 Amazon EC2 인스턴스에서 실행되는 애플리케이션에 권한 부여하기를 참조하십시오.

Q: EC2 인스턴스의 임시 보안 자격 증명을 교체하려면 어떻게 해야 합니까?
IAM 역할과 연결된 AWS 임시 보안 자격 증명은 하루에 여러 번 자동으로 교체됩니다. 새로운 임시 보안 자격 증명은 기존 임시 보안 자격 증명이 만료되기까지 적어도 5분 전에 사용할 수 있습니다.

Q: EC2 인스턴스용 IAM 역할을 모든 인스턴스 유형이나 Amazon 머신 이미지와 사용할 수 있습니까?
예. EC2 인스턴스용 IAM 역할은 Amazon Virtual Private Cloud(VPC)에서 스팟 인스턴스 및 예약 인스턴스와도 사용할 수 있습니다.

Q: 서비스에 연결된 역할이란 무엇입니까?
서비스에 연결된 역할은 AWS 서비스(연결된 서비스라고도 부름)에 연결된 역할 유형으로, 연결된 서비스만 맡을 수 있는 역할을 말합니다. 이러한 역할을 사용하면, 사용자를 대신해 AWS 리소스를 생성하고 관리할 AWS 서비스에 권한을 위임할 수 있습니다.

Q: 서비스에 연결된 역할을 내가 맡을 수 있습니까?
아니요. 서비스에 연결된 역할은 해당하는 연결된 서비스에서만 맡을 수 있습니다. 이것이 바로 서비스에 연결된 역할의 신뢰 정책을 변경할 수 없는 이유입니다.

Q: 서비스에 연결된 역할을 삭제할 수 있습니까?
예. 자신을 위한 AWS 서비스 작업이 더 이상 필요하지 않을 경우에는 해당 서비스에 연결된 역할을 삭제할 수 있습니다. 단, 역할을 삭제하기 전에 먼저 역할에 종속되어 있는 AWS 리소스를 모두 삭제해야 합니다. 이렇게 하면 AWS 리소스가 정상적으로 작동하는 데 필요한 역할을 실수로 삭제하는 것을 방지할 수 있습니다.

Q: 서비스에 연결된 역할을 어떻게 삭제합니까?
IAM 콘솔에서 서비스에 연결된 역할을 삭제할 수 있습니다. 탐색 창에서 Roles를 선택한 다음 삭제할 서비스 연결 역할과 Delete role을 차례대로 선택합니다. (참고: Amazon Lex에서 서비스 연결 역할을 삭제할 때는 Amazon Lex 콘솔을 사용해야 합니다)


Q: 권한은 어떻게 작용합니까?

액세스 통제 정책은 사용자, 그룹 및 역할과 연결되어 AWS 리소스에 대한 권한을 지정합니다. 기본적으로 IAM 사용자, 그룹 및 역할에는 권한이 지정되어 있지 않습니다. 충분한 권한을 가진 사용자가 정책을 사용하여 필요한 권한을 지정해야 합니다.

Q: 정책을 사용하여 어떻게 권한을 지정합니까?

권한을 설정하려면, AWS Management Console, IAM API 또는 AWS CLI를 사용하여 정책을 생성하고 연결하면 됩니다. 필요한 권한이 부여된 사용자는 정책을 만들어 IAM 사용자, 그룹 및 역할에 권한을 지정할 수 있습니다.

Q: 관리형 정책이란 무엇입니까?

관리형 정책은 IAM 정책 언어를 사용하여 권한을 나타내는 IAM 리소스입니다. 정책이 연결된 IAM 사용자, 그룹, 역할과 별도로 정책을 생성, 편집 및 관리할 수 있습니다. 관리형 정책을 여러 IAM 사용자, 그룹 또는 역할에 연결한 후에 한 곳에서 정책을 업데이트할 수 있으며 권한은 연결된 모든 엔터티에 자동으로 적용됩니다. 관리형 정책은 사용자가 관리하거나(고객 관리형 정책) AWS에서 관리할 수 있습니다(AWS 관리형 정책). 관리형 정책에 대한 자세한 내용은 Managed Policies and Inline Policies를 참조하십시오.

Q: 고객 관리형 정책을 생성하려면 어떻게 해야 합니까?

IAM 콘솔에서 시각 편집기 또는 JSON 편집기를 사용하면 됩니다. 시각 편집기는 포인트 앤 클릭 방식의 편집기로서 JSON으로 정책을 작성할 필요 없이 정책에서 권한을 부여하는 프로세스를 안내합니다. CLI와 SDK를 사용하여 JSON으로 정책을 생성할 수 있습니다.

Q: 일반적으로 사용되는 권한을 지정하려면 어떻게 해야 합니까?

AWS에서는 일반적으로 사용되는 권한 집합을 제공하며, 사용자는 이를 계정의 IAM 사용자, 그룹, 역할에 연결할 수 있습니다. 이를 AWS 관리형 정책이라고 합니다. Amazon S3에 대한 읽기 전용 액세스를 예로 들 수 있습니다. AWS에서 이러한 정책을 업데이트하면 정책이 연결되어 있는 사용자, 그룹, 역할에 권한이 자동으로 적용됩니다. AWS 관리형 정책은 IAM 콘솔의 Policies 섹션에 자동으로 표시됩니다. 권한을 지정할 때는 AWS 관리형 정책을 사용하거나 자신만의 사용자 정의 관리형 정책을 생성할 수 있습니다. 기존 AWS 관리형 정책을 기반으로 새로운 정책을 생성하거나 자체적으로 정책을 정의합니다.

Q: 그룹 기반 권한은 어떻게 작용합니까?

IAM 그룹을 사용하여 여러 IAM 사용자들에게 동일한 권한 집합을 지정할 수 있습니다. 또한, 사용자에게 개별 권한을 지정할 수도 있습니다. 사용자에게 권한을 부여하는 두 가지 방법을 함께 사용하여 전체 권한을 설정합니다.

Q: IAM 그룹을 사용하여 권한을 지정하는 것과 관리형 정책을 사용하여 권한을 지정하는 것은 무엇이 다릅니까?

IAM 그룹을 사용하면 IAM 사용자를 모으고 이러한 사용자에 대한 공통 권한을 정의할 수 있습니다. 관리형 정책을 사용하면 IAM 사용자, 그룹 및 역할 전체에서 권한을 공유하도록 할 수 있습니다. 예를 들어 사용자 그룹이 Amazon EC2 인스턴스를 시작할 수 있고, 인스턴스에서의 역할이 그룹의 사용자와 동일한 권한을 갖도록 지정하려면, 관리형 정책을 만들어 사용자 그룹과 Amazon EC2 인스턴스의 역할에 지정할 수 있습니다.

Q: Amazon S3, Amazon SQS, Amazon SNS 및 AWS KMS 리소스 기반 정책과 함께 IAM 정책을 어떻게 평가합니까?

IAM 정책은 서비스의 리소스 기반 정책과 함께 평가됩니다. 어떤 유형의 정책이든 명시적인 거부 없이 액세스를 부여하는 경우 해당 작업은 허용됩니다. 정책 평가 로직에 대한 자세한 내용은 IAM Policy Evaluation Logic을 참조하십시오. 

Q: 관리형 정책을 리소스 기반 정책으로 사용할 수 있습니까?

관리형 정책은 IAM 사용자, 그룹 또는 역할에만 연결할 수 있습니다. 관리형 정책은 리소스 기반 정책으로 사용할 수 없습니다.

Q: 정책을 사용하여 세분화된 권한을 설정하려면 어떻게 해야 합니까?

정책을 사용하면 여러 계층의 세분화된 권한을 지정할 수 있습니다. 먼저, 액세스를 허용하거나 명시적으로 거부할 특정 AWS 서비스 작업을 정의합니다. 두 번째로 작업에 따라 해당 작업이 수행될 특정 AWS 리소스를 정의합니다. 세 번째로 정책이 되는 발효되는 시점을 지정하는 조건을 정의합니다(예를 들어 MFA가 활성화될 때 또는 아닐 때).

Q: 불필요한 권한을 간편하게 제거하려면 어떻게 해야 합니까?

필요한 권한이 무엇인지 확인할 수 있도록 이제 IAM 콘솔에서 IAM 엔터티(사용자, 그룹 또는 역할)가 AWS 서비스에 마지막으로 액세스한 시간을 보여주는 마지막으로 액세스한 서비스 데이터를 표시합니다. IAM 엔터티가 마지막으로 권한을 행사한 경우와 때를 알면 불필요한 권한을 제거하고 IAM 정책을 좀 더 손쉽게 강화할 수 있습니다.

Q: 계정 수준의 정보(예: 결제 수단, 연락 이메일 주소, 결제 내역 등)에 액세스하거나 변경할 수 있는 권한을 부여할 수 있습니까?

예. IAM 사용자 또는 연동 사용자에게 AWS 결제 데이터를 보고 AWS 계정 정보를 수정할 수 있는 권한을 위임할 수 있습니다. 결제 정보에 대한 액세스 제어를 자세히 알아보려면 Controlling Access를 참조하십시오.

Q: AWS 계정에서 누가 액세스 키를 만들고 관리할 수 있습니까?

AWS 계정 소유자만이 루트 계정의 액세스 키를 관리할 수 있습니다. 계정 소유자와 필요한 권한이 부여된 IAM 사용자 또는 역할은 IAM 사용자의 액세스 키를 관리할 수 있습니다.

Q: 다른 AWS 계정이 소유한 AWS 리소스에 액세스하도록 권한을 부여할 수 있습니까?
예. IAM 사용자 및 페더레이션 사용자가 IAM 역할을 사용하여 AWS Management Console, AWS CLI 또는 API를 통해 다른 AWS 계정의 리소스에 액세스할 수 있습니다. 자세한 내용은 Manage IAM Roles를 참조하십시오.

Q: 정책은 어떤 형태입니까?

다음 정책은 특정 버킷(example_bucket)에 있는 특정 폴더(example_folder)에서 객체를 추가, 업데이트 및 삭제하는 액세스 권한을 부여합니다.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect": "Allow",
         "Action":[
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource":"arn:aws:s3:::example_bucket/example_folder/*"
      }
   ]
}

Q: 정책 요약이란 무엇입니까?

IAM 콘솔을 사용할 때 정책을 선택할 경우 정책 요약이 표시됩니다. 정책 요약은 정책에서 정의된 각 서비스의 액세스 레벨, 리소스 및 조건이 나열됩니다(예는 아래 스크린샷 참조). 액세스 레벨(보기, 읽기, 쓰기 또는 권한 관리)은 정책의 각 서비스에 대해 부여된 작업에 의해 정의됩니다. JSON 버튼을 눌러 정책을 JSON에서 볼 수 있습니다.

정책 요약 스크린샷

Q: IAM 정책 시뮬레이터란 무엇입니까?
IAM 정책 시뮬레이터는 액세스 통제 정책의 영향을 이해하고, 테스트하며, 검증하는 데 도움이 되는 도구입니다.

Q: 정책 시뮬레이터는 어떻게 사용할 수 있습니까?
정책 시뮬레이터는 몇 가지 방법으로 사용할 수 있습니다. 변경된 정책을 프로덕션에 적용하기 전에 정책 변경을 테스트하여 원하는 효과가 있는지 검증할 수 있습니다. 사용자, 그룹 및 역할에 연결된 기존 정책을 검증하여 권한 문제를 확인 및 해결할 수 있습니다. 또한, IAM 정책과 리소스 기반 정책이 어떻게 연동하여 AWS 리소스에 대한 액세스를 허용 또는 거부하는지 이해하는 데 정책 시뮬레이터를 사용할 수 있습니다.

Q: 정책 시뮬레이터를 사용할 수 있는 사람은 누구입니까?
정책 시뮬레이터는 모든 AWS 고객이 사용할 수 있습니다.

Q: 정책 시뮬레이터의 사용료는 얼마입니까?
정책 시뮬레이터는 무료로 사용할 수 있습니다.

Q: 어떻게 시작할 수 있습니까?
https://policysim.aws.amazon.com으로 이동하거나 IAM 콘솔에서 “Additional Information” 아래에 있는 링크를 클릭합니다. 새로운 정책을 지정하거나 평가하려는 사용자, 그룹 또는 역할의 기존 정책 세트를 선택합니다. 그런 다음 AWS 서비스 목록에서 작업 집합을 선택하고, 액세스 요청을 시뮬레이션하는 데 필요한 정보를 제공하고, 시뮬레이션을 하여 정책이 선택한 작업 및 리소스에 대한 권한을 허용하거나 거부하는지 확인할 수 있습니다. IAM 정책 시뮬레이터에 대해 자세히 알아보려면 시작 동영상을 보거나 설명서를 참조하십시오.

Q: IAM 정책 시뮬레이터는 어떤 종류의 정책을 지원합니까?
정책 시뮬레이터는 사용자, 그룹 또는 역할과 연결된 새로 입력한 정책 및 기존 정책의 테스트를 지원합니다. 또한, 리소스 수준 정책이 Amazon S3 버킷, Amazon Glacier 저장소, Amazon SNS 주제 및 Amazon SQS 대기열용 특정 리소스에 대한 액세스 권한을 부여하는지를 시뮬레이션할 수 있습니다. Amazon 리소스 이름(ARN)이 리소스 정책을 지원하는 서비스용 Simulation SettingsResource 필드에 지정된 경우, 이러한 내용이 시뮬레이션에 포함됩니다.

Q: 정책 시뮬레이터에서 정책을 변경하면 프로덕션 환경에서 변경 사항이 유지됩니까?
아니요. 변경 사항을 프로덕션 환경에 적용하려면 정책 시뮬레이터에서 수정한 정책을 복사하여 원하는 IAM 사용자, 그룹 또는 역할에 연결합니다.

Q: 정책 시뮬레이터를 프로그래밍 방식으로 사용할 수 있습니까?
예. 정책 시뮬레이터 콘솔뿐 아니라 AWS SDK 또는 AWS CLI를 통해 정책 시뮬레이터를 사용할 수 있습니다. iam:SimulatePrincipalPolicy API를 사용하여 기존 IAM 정책을 프로그래밍 방식으로 테스트합니다. 사용자, 그룹 또는 역할에 연결되지 않은 새로운 정책이나 업데이트된 정책의 영향을 테스트하려면, iam:SimulateCustomPolicy API를 호출합니다.  


Q: IAM 사용자는 어떻게 로그인합니까?

IAM 사용자로 AWS Management Console에 로그인하려면, 사용자 이름 및 암호와 더불어 계정 ID 또는 계정 별칭을 제공해야 합니다. 관리자가 콘솔에서 귀하의 IAM 사용자를 생성할 때, 사용자 이름과 계정의 로그인 페이지로 연결되는 URL을 제공했을 것입니다. 해당 URL에는 계정 ID 또는 계정 별칭이 포함되어 있습니다.

https://My_AWS_Account_ID.signin.aws.amazon.com/console/

아래 일반 로그인 엔드포인트에서 로그인하고 계정 ID 또는 계정 별칭을 직접 입력할 수도 있습니다.

https://console.aws.amazon.com/

편의를 위해 AWS 로그인 페이지에서는 브라우저 쿠키를 사용하여 IAM 사용자 이름과 계정 정보를 기억합니다. 사용자가 나중에 AWS Management Console의 어떤 페이지로 이동하면, 콘솔에서는 쿠키를 사용하여 계정 로그인 페이지로 사용자를 리디렉션합니다.

참고: IAM 사용자는 여전히 관리자가 제공한 URL 링크를 사용하여 AWS Management Console에 로그인할 수 있습니다.

Q: AWS 계정 별칭이란 무엇입니까?

계정 별칭은 계정을 좀 더 편리하게 식별하기 위해 정의하는 이름입니다. IAM API, AWS 명령줄 도구 또는 IAM 콘솔을 사용하여 별칭을 생성할 수 있습니다. AWS 계정당 하나의 별칭을 만들 수 있습니다.

Q: IAM 사용자가 액세스할 수 있는 AWS 사이트는 무엇입니까?

IAM 사용자는 다음과 같은 AWS 사이트에 로그인할 수 있습니다.

Q: IAM 사용자는 자신의 자격 증명을 사용해 다른 Amazon.com 사이트에 로그인할 수 있습니까?
아니요. IAM으로 생성한 사용자는 AWS 서비스와 애플리케이션에서만 인식됩니다.

Q: IAM 사용자 로그인을 확인하는 인증 API가 있습니까?
아니요. 프로그래밍 방식으로 사용자 로그인을 확인할 방법은 없습니다.

Q: 사용자가 자신의 AWS 사용자 이름 및 암호를 사용해 SSH로 EC2 인스턴스에 액세스할 수 있습니까?
아니요. IAM으로 생성된 사용자 보안 자격 증명은 고객 EC2 인스턴스에 대한 직접 인증을 지원하지 않습니다. 고객은 EC2 콘솔 내의 EC2 SSH 자격 증명을 관리할 책임이 있습니다.


Q: 임시 보안 자격 증명이란 무엇입니까?
임시 보안 자격 증명은 AWS 액세스 키 ID, 보안 액세스 키 및 보안 토큰으로 구성되며, 지정된 기간 및 특정 권한 집합에 대해 유효합니다. 임시 보안 자격 증명은 간단히 토큰이라고도 합니다. IAM 사용자 또는 자체 기업 디렉토리에서 관리하는 페더레이션 사용자에 대해 토큰을 요청할 수 있습니다. 자세한 내용은 임시 자격 증명과 관련된 일반적인 시나리오를 참조하십시오.

Q: 임시 보안 자격 증명의 장점은 무엇입니까?
임시 보안 자격 증명으로 다음 작업을 수행할 수 있습니다.

  • AWS와 연동할 수 있도록 내부 사용자 디렉터리를 확장합니다. 이를 통해 AWS 자격 증명을 생성하지 않고도 직원과 애플리케이션이 AWS 서비스 API에 안전하게 액세스할 수 있습니다.
  • 연동 사용자에 대한 임시 보안 자격 증명을 무제한으로 요청할 수 있습니다.
  • 임시 보안 자격 증명의 만료 기한을 구성합니다. 이를 통해 분실할 위험이 있는 모바일 디바이스를 통해 AWS 서비스 API에 액세스하는 경우에 대한 보안이 향상됩니다.

Q: 연동 사용자에 대한 임시 보안 자격 증명을 요청하려면 어떻게 해야 합니까?
GetFederationToken, AssumeRole, AssumeRoleWithSAML 또는 AssumeRoleWithWebIdentity STS API를 호출할 수 있습니다.

Q: IAM 사용자가 직접 사용할 임시 보안 자격 증명을 요청하려면 어떻게 해야 합니까?
IAM 사용자는 AWS STS GetSessionToken API를 호출하여 직접 사용할 임시 보안 자격 증명을 요청할 수 있습니다. 임시 자격 증명의 기본 만료 기한은 12시간이며 최소는 15분, 최대는 36시간입니다.

또한, 임시 자격 증명을 Multi-Factor Authentication(MFA) 보안 API 액세스와 함께 사용할 수 있습니다.

Q: 임시 자격 증명을 사용하여 AWS 서비스 API를 호출할 수 있습니까?
AWS에 직접 HTTPS API 요청을 하는 경우, AWS Security Token Service(AWS STS)에서 받은 임시 보안 자격 증명을 사용하여 해당 요청에 서명할 수 있습니다. 이를 위해서는 다음을 수행합니다.

  • 임시 보안 자격 증명과 함께 제공된 액세스 키 ID 및 보안 액세스 키를 장기 자격 증명을 사용하는 것과 같은 방식으로 사용하여 요청에 서명합니다. HTTPS API 요청에 서명하기에 관한 자세한 내용은 AWS General Reference의 Signing AWS API Requests를 참조하십시오.
  • 임시 보안 자격 증명과 함께 제공된 세션 토큰을 사용합니다. "x-amz-security-token" 헤더에 세션 토큰을 포함합니다. 다음 예제 요청을 참조합니다.
    • Amazon S3의 경우: "x-amz- security-token" HTTP 헤더를 통해 전달합니다. 
    • 기타 AWS 서비스의 경우: SecurityToken 파라미터를 통해 전달합니다.

Q: 임시 보안 자격 증명을 허용하는 AWS 서비스는 무엇입니까?
지원되는 서비스 목록은 IAM로 작업하는 AWS 서비스를 참조하십시오.

Q: 임시 보안 자격 증명(GetFederationToken 또는 AssumeRole)을 요청할 때 지정할 수 있는 액세스 정책의 최대 크기는 얼마나 됩니까?
정책 일반 텍스트는 2,048바이트와 같거나 짧아야 합니다. 하지만 내부 변환에서 압축된 바이너리 형식으로 압축하며 별도의 한도가 적용됩니다.

Q: 만료되기 전에 임시 보안 자격 증명을 철회할 수 있습니까?
아니요. 임시 자격 증명을 요청할 때는 다음을 주의하시기 바랍니다.

  • 임시 보안 자격 증명을 생성할 때는 해당 애플리케이션에 적절한 만료 값을 설정해야 합니다.
  • 루트 계정 권한은 제한할 수 없으므로 루트 계정이 아닌 IAM 사용자를 사용하여 임시 보안 자격 증명을 생성하십시오. 임시 보안 자격 증명을 요청하는 최초 호출을 실행한 IAM 사용자의 권한을 철회할 수 있습니다. 이 작업을 수행하면 IAM 사용자가 발행한 모든 임시 보안 자격 증명의 권한이 거의 즉시 철회됩니다.

Q: 임시 보안 자격 증명의 만료 기간을 다시 활성화하거나 연장할 수 있습니까?
아니요. 만료 기한을 미리 확인하여 기존의 임시 보안 자격 증명이 만료되기 전에 새 임시 보안 자격 증명을 요청하는 것이 좋습니다. 이러한 교체 프로세스는 임시 보안 자격 증명이 EC2 인스턴스용 역할에서 사용되는 경우 자동으로 관리됩니다.

Q: 임시 보안 자격 증명이 모든 리전에서 지원됩니까?
AWS GovCloud(미국) 및 중국(베이징) 리전을 비롯한 모든 리전의 고객들이 AWS STS 엔드포인트의 토큰을 요청할 수 있습니다. AWS GovCloud(미국) 및 중국(베이징)의 임시 자격 증명은 원래 요청된 해당 리전에서만 사용할 수 있습니다. 미국 동부(버지니아 북부) 또는 EU(아일랜드) 등과 같은 기타 리전에서 요청한 임시 자격 증명은 AWS GovCloud(미국) 및 중국(베이징)을 제외한 모든 리전에서 사용할 수 있습니다.

Q: 임시 보안 자격 증명 사용을 리전이나 하위 리전으로 제한할 수 있습니까?

아니요. 임시 보안 자격 증명을 특정 리전이나 하위 리전으로 제한할 수 없습니다. 단, AWS GovCloud(미국) 및 중국(베이징)의 임시 보안 자격 증명은 발급된 해당 리전에서만 사용할 수 있습니다.

Q: AWS STS 엔드포인트 사용을 시작하기 전에 무엇을 해야 합니까?

AWS STS 엔드포인트는 기본적으로 모든 리전에서 활성화되어 있으며 추가 작업 없이 사용을 시작할 수 있습니다.

Q: 내 AWS 계정에 대해 비활성화된 리전별 AWS STS 엔드포인트를 사용하려고 하면 어떻게 됩니까?

AWS 계정에 대해 비활성화된 리전별 AWS STS 엔드포인트를 사용하려고 시도하면 다음과 같은 메시지와 함께 AWS STS에서 AccessDenied 예외가 표시됩니다. "이 리전에서 AccountID 계정에 대한 AWS STS가 활성화되지 않았습니다. 계정 관리자가 IAM 콘솔을 사용하여 이 리전에서 AWS STS를 활성화할 수 있습니다."

Q: Account Settings 페이지에서 AWS STS 리전을 활성화하거나 비활성화하는 데 필요한 권한은 무엇입니까?

iam:* 이상의 권한을 가진 사용자만 IAM 콘솔의 Account Settings 페이지에서 AWS STS 리전을 활성화하거나 비활성화할 수 있습니다. 미국 동부(버지니아 북부), AWS GovCloud(미국) 및 중국(베이징) 리전에서는 AWS STS 엔드포인트가 항상 활성화되어 있으며 비활성화할 수 없습니다.

Q: API 또는 CLI를 사용하여 AWS STS 리전을 활성화하거나 비활성화할 수 있습니까?

아니요. 현재 AWS STS 리전을 활성화하거나 비활성화하는 데 API 또는 CLI를 사용할 수 없습니다. 향후 출시되는 버전에서는 API 및 CLI 지원을 제공할 계획입니다.


Q: 자격 증명 연동이란 무엇입니까?
AWS Identity and Access Management(IAM)는 AWS Management Console 또는 AWS API에 대한 위임된 액세스를 위한 자격 증명 연동을 지원합니다. 자격 증명 연동을 사용하면 IAM 사용자를 생성하지 않고 외부 자격 증명으로 AWS 계정의 리소스에 안전하게 액세스할 수 있습니다. 이러한 외부 자격 증명은 기업 자격 증명 공급자(예: Microsoft Active Directory 또는 AWS Directory Service) 또는 웹 자격 증명 공급자(예: Amazon Cognito, Login with Amazon, Facebook, Google 또는 OpenID Connect 호환 공급자)에게서 받을 수 있습니다.

Q: 연동 사용자란 무엇입니까?
연동 사용자(외부 자격 증명)는 AWS 외부의 기업 디렉터리에서 관리하는 사용자이지만, 임시 보안 자격 증명을 사용하여 AWS 계정에 액세스하도록 권한을 부여받은 사용자입니다. AWS 계정에서 생성 및 유지 관리하는 IAM 사용자와 다릅니다.

Q: SAML을 지원합니까?
예, AWS는 Security Assertion Markup Language(SAML) 2.0을 지원합니다.

Q: AWS에서 어떤 SAML 프로필을 지원합니까?
AWS Single Sign-On(SSO) 엔드포인트는 IdP에서 시작한 HTTP-POST 바인딩 WebSSO SAML 프로필을 지원합니다. 따라서 페더레이션 사용자는 SAML 어설션을 사용하여 AWS Management Console에 로그인할 수 있습니다. 또한, SAML 어설션은 AssumeRoleWithSAML API를 사용하여 임시 보안 자격 증명을 요청하는 데 사용할 수 있습니다. 자세한 내용은 SAML 2.0 기반 연동에 대하여 페이지를 참조하십시오.

Q: 연동 사용자가 AWS API에 액세스할 수 있습니까?
예. 연동 사용자에 대한 임시 보안 자격 증명을 프로그래밍 방식으로 요청해 AWS API에 대한 보안 및 직접 액세스를 제공할 수 있습니다. 당사는 Microsoft Active Directory를 통해 유지 관리되는 사용자가 AWS 서비스 API에 액세스할 수 있도록 ID 페더레이션을 활성화하는 방법을 시연하는 샘플 애플리케이션을 제공합니다. 자세한 내용은 임시 보안 자격 증명을 사용해 AWS 리소스에 대한 액세스 요청하기 페이지를 참조하십시오.

Q: 연동 사용자가 AWS Management Console에 액세스할 수 있습니까?
예. 이 작업을 수행할 수 있는 몇 가지 방법이 있습니다. 한 가지 방법은 연동 사용자에 대한 임시 보안 자격 증명(예: GetFederationToken 또는 AssumeRole)을 프로그래밍 방식으로 요청하고 AWS Management Console에 대한 로그인 요청의 일부로 이러한 자격 증명을 포함하는 것입니다. 사용자를 인증하고 해당 사용자에게 임시 보안 자격 증명을 부여한 후 AWS Single Sign-On(SSO) 엔드포인트에 사용되는 로그인 토큰을 생성할 수 있습니다. 콘솔에서의 사용자 작업은 임시 보안 자격 증명과 연결된 액세스 제어 정책에 따라 제한됩니다. 자세한 내용은 연동 사용자가 AWS Management Console에 액세스할 수 있게 하는 URL 생성(사용자 지정 연동 브로커)을 참조하십시오.

또는 SAML 어설션을 직접 AWS 로그인(https://signin.aws.amazon.com/saml)에 게시할 수 있습니다. 콘솔에서의 사용자 작업은 SAML 어설션을 사용하여 가정되는 IAM 역할과 연결된 액세스 제어 정책에 따라 제한됩니다. 자세한 내용은 Enabling SAML 2.0 Federated Users to Access the AWS Management Console을 참조하십시오.

어떤 접근 방식을 사용하든 연동 사용자는 사용자 이름과 암호로 로그인하지 않고도 콘솔에 액세스할 수 있습니다. AWS에서는 Microsoft Active Directory를 통해 유지 관리되는 사용자가 AWS Management Console에 액세스할 수 있도록 자격 증명 연동을 활성화하는 방법을 보여주는 샘플 애플리케이션을 제공합니다. 

Q: 연동 사용자가 콘솔에 로그인했을 때 수행할 수 있는 작업을 제어하려면 어떻게 해야 합니까?
AssumeRole API를 사용하여 연동 사용자용 임시 보안 자격 증명을 요청할 때는 선택적으로 요청에 액세스 정책을 포함할 수 있습니다. 연동 사용자 권한은 요청과 함께 전달된 액세스 정책과 가정된 IAM 역할에 연결된 액세스 정책에서 허용하는 권한의 교집합입니다. 요청과 함께 전달된 액세스 정책은 가정된 IAM 역할에 연결된 권한을 승격시킬 수는 없습니다. GetFederationToken API를 사용하여 연동 사용자용 임시 보안 자격 증명을 요청할 때는 요청과 함께 액세스 제어 정책을 제공해야 합니다. 연동 사용자 권한은 요청과 함께 전달된 액세스 정책과 요청하는 데 사용된 IAM 사용자와 연결된 액세스 정책에서 허용하는 권한의 교집합입니다. 요청과 함께 전달된 액세스 정책은 요청하는 데 사용된 IAM 사용자와 연결된 권한을 승격시킬 수 없습니다. 이러한 연동 사용자 권한은 AWS Management Console 내에서 수행된 API 액세스 및 작업 모두에 적용됩니다.

Q: 연동 사용자가 콘솔을 사용하려면 어떤 권한이 필요합니까?
사용자가 AWS Management Console에서 호출된 AWS 서비스 API에 대한 권한을 보유해야 합니다. AWS 서비스를 액세스하는 데 필요한 일반적인 권한은 Using Temporary Security Credentials to Request Access to AWS Resources에 명시되어 있습니다.

Q: 연동 사용자가 AWS Management Console에 액세스할 수 있는 시간을 제어하려면 어떻게 해야 합니까?
임시 보안 자격 증명을 생성하는 데 사용된 API에 따라 세션 한도를 15분~36시간(GetFederationToken 및 GetSessionToken) 및 15분~12시간(AssumeRole* API)으로 지정할 수 있습니다. 이 시간 동안 연동 사용자가 콘솔에 액세스할 수 있습니다. 세션이 만료되면 사용자는 액세스 권한을 다시 부여받을 수 있는 자격 증명 공급자에게 되돌아가 새 세션을 요청해야 합니다. 세션 기간 설정에 대해 자세히 알아보십시오.

Q: 자격 증명 연동 콘솔 세션의 제한 시간이 초과되면 어떻게 됩니까?
콘솔 세션 제한 시간이 초과되었으므로 새 세션을 요청해야 한다는 메시지가 표시됩니다. URL을 지정하여 사용자가 새 세션을 요청할 수 있는 로컬 인트라넷 웹 페이지로 안내할 수 있습니다. Issuer 파라미터를 지정할 때 로그인 요청의 일부로 이 URL을 추가합니다. 자세한 내용은 Enabling SAML 2.0 Federated Users to Access the AWS Management Console을 참조하십시오.

Q: 몇 명의 연동 사용자에게 AWS Management Console에 대한 액세스 권한을 부여할 수 있습니까?
콘솔에 액세스할 수 있는 연동 사용자의 수는 제한이 없습니다.

Q: 웹 자격 증명 연동이란 무엇입니까?

웹 자격 증명 연동을 사용하면 인증을 위해 퍼블릭 자격 증명 공급자(Amazon Cognito, Login with Amazon, Facebook, Google 또는 OpenID Connect 호환 공급자 등)를 사용하는 AWS 기반 모바일 앱을 생성할 수 있습니다. 웹 자격 증명 연동을 사용하면 서버 측 코드를 작성하거나 앱과 함께 장기 AWS 보안 자격 증명을 배포하지 않고도 퍼블릭 자격 증명 공급자(IdP)의 로그인을 앱에 쉽게 통합할 수 있습니다.

웹 자격 증명 연동에 대해 자세히 알아보고 시작하려면 웹 자격 증명 연동에 대하여 페이지를 참조하십시오.

 

Q: 퍼블릭 IdP의 계정에 웹 자격 증명 연동을 활성화하려면 어떻게 해야 합니까?

최상의 결과를 얻으려면 거의 모든 웹 자격 증명 연동 시나리오에 대해 Amazon Cognito를 자격 증명 브로커로 사용하십시오. Amazon Cognito는 사용하기 쉽고 익명의(인증되지 않은) 액세스, 디바이스 및 공급자 전반에 걸친 사용자 데이터 동기화와 같은 부가적인 기능을 제공합니다. 그러나 AssumeRoleWithWebIdentity API를 수동으로 호출함으로써 웹 자격 증명 연동을 사용하는 앱을 이미 생성했다면, 그 앱을 계속해서 사용할 수 있고 앱은 문제없이 작동될 것입니다.

지원되는 웹 IdP 중 하나를 사용하여 자격 증명 연동을 활성화하는 기본 단계는 다음과 같습니다.

  1. IdP에서 개발자로 가입하고, 앱을 위한 고유 ID를 부여하는 IdP에서 앱을 구성합니다.
  2. OIDC와 호환되는 IdP를 사용하는 경우 IAM에서 이를 위한 자격 증명 공급자 엔터티를 생성합니다.
  3. AWS에서 하나 이상의 IAM 역할을 생성합니다. 
  4. 애플리케이션에서 퍼블릭 IdP로 사용자를 인증합니다.
  5. 앱에서 AssumeRoleWithWebidentity API를 서명 없이 호출하여 임시 보안 자격 증명을 요청합니다. 
  6. 앱은 AssumeRoleWithWebidentity 응답에서 받은 임시 보안 자격 증명을 사용하여 AWS API에 서명된 요청을 합니다.
  7. 앱은 AWS에 요청할 때마다 새 임시 보안 자격 증명을 받지 않아도 되도록 임시 보안 자격 증명을 캐시합니다.

좀 더 상세한 단계는 모바일 앱을 위한 웹 자격 증명 연동 API 사용을 참조하십시오.

Q: AWS Directory Service를 사용하는 자격 증명 연동은 타사 자격 증명 관리 솔루션을 사용하는 것과 어떻게 다릅니까?

연동 사용자가 AWS Management Console에만 액세스할 수 있도록 하려는 경우 AWS Directory Service에서는 타사 자격 증명 관리 솔루션 사용과 비교하여 유사한 기능을 제공합니다. 최종 사용자는 기존 기업 자격 증명을 사용하여 로그인하고 AWS Management Console에 액세스할 수 있습니다. AWS Directory Service는 관리형 서비스이므로 고객은 연동 인프라를 설정하거나 관리할 필요가 없으며 AD Connector 디렉터리를 만들어서 온프레미스 디렉터리와 통합하기만 하면 됩니다. AWS API에 대한 연동 사용자 액세스를 제공하려는 경우, 타사 상품을 사용하거나 자체 프록시 서버를 배포합니다.


Q: AWS 청구서에 총 사용량과 사용자의 비용 내역이 표시됩니까?
아니요. 현재는 지원되지 않습니다.

Q: IAM 서비스는 유료로 제공됩니까?
아니요. 이 기능은 AWS 계정에서 추가 비용 없이 제공됩니다.

Q: AWS 계정에서 발생한 사용량에 대해 요금은 누가 지불합니까?
AWS 계정 소유자는 계정에서의 모든 사용량, 데이터 및 리소스를 제어하며 이에 대한 책임이 있습니다.

Q: 청구 가능한 사용자 활동이 AWS 사용 데이터에 기록됩니까?
현재는 지원되지 않습니다. 이 기능은 향후 릴리스에서 제공될 계획입니다.

Q: IAM과 통합 결제의 차이점은 무엇입니까?
IAM과 통합 결제는 보완 기능입니다. 통합 결제를 사용하면 단일 지급 계정을 지정하여 회사 내의 여러 AWS 계정에 대한 결제를 통합할 수 있습니다. IAM의 범위는 통합 결제와 무관합니다. 사용자는 AWS 계정 범위 내에 존재하며 연결된 계정에 대한 권한은 가지고 있지 않습니다. 자세한 내용은 통합 결제를 사용하여 여러 계정에 대한 요금 지불 페이지를 참조하십시오.

Q: 사용자가 AWS 계정 결제 정보에 액세스할 수 있습니까?
예. 하지만 이를 허용한 경우에만 가능합니다. IAM 사용자가 결제 정보에 액세스할 수 있으려면 먼저 해당 사용자에게 계정 활동 또는 사용 보고서에 액세스할 수 있는 권한을 부여해야 합니다. Controlling Access를 참조하십시오.


Q: 사용자가 아직 IAM과 통합되지 않은 서비스에 액세스하려고 시도할 경우 어떻게 됩니까?
서비스에서 "액세스 거부" 오류를 반환합니다.

Q: IAM 작업은 감사를 목적으로 기록됩니까?
예. AWS CloudTrail을 활성화하여 IAM 작업, STS 작업, AWS Management Console 로그인을 기록할 수 있습니다. AWS 로깅에 대한 자세한 내용은 AWS CloudTrail을 참조하십시오.

Q: AWS 사용자 엔터티로서, 사용자와 소프트웨어 에이전트 사이에 차이가 있습니까?
아니요. 두 엔터티 모두 보안 자격 증명 및 권한을 가지고 있는 사용자로 취급됩니다. 하지만 사용자의 경우에는 AWS Management Console에서 암호를 사용해야 합니다.

Q: 사용자가 AWS 지원 센터 및 Trusted Advisor를 이용할 수 있습니까?
예, IAM 사용자는 지원 사례를 생성 및 수정하고 Trusted Advisor를 사용할 수 있습니다.

Q: IAM과 관련된 기본 할당량에 제한이 있습니까?
예, 기본적으로 AWS 계정에는 모든 IAM 관련 엔터티에 대한 초기 할당량이 설정되어 있습니다. 자세한 내용은 IAM 엔터티 및 객체에 대한 제한 사항을 참조하십시오.

할당량은 변경될 수 있습니다. 증가가 필요한 경우, 문의처 페이지에서 서비스 한도 증가 양식에 액세스한 후 한도 유형 드롭다운 목록에서 IAM 그룹 및 사용자를 선택하면 됩니다.


Q: AWS MFA란 무엇입니까?
AWS MFA(AWS Multi-Factor Authentication)는 AWS 환경에 적용할 수 있는 보안 수준을 높여줍니다. 고객 AWS 계정과 해당 계정에 속한 개별 AWS Identity and Access Management(IAM) 사용자에 대해 AWS MFA를 활성화할 수 있습니다.

Q: AWS MFA는 어떻게 작동합니까?
AWS MFA는 임의의 단일 사용 6자리 인증 코드를 생성하는 인증 디바이스를 사용합니다. AWS MFA 디바이스를 사용한 인증 방법에는 기본적으로 다음 두 가지 방법이 있습니다.

  • AWS Management Console 사용자: MFA가 활성화된 사용자가 AWS 웹 사이트에 로그인하면 사용자 이름 암호(첫 번째 팩터–사용자가 알고 있는 것)와 AWS MFA 디바이스의 인증 코드(두 번째 팩터–사용자가 갖고 있는 것)를 입력하라는 메시지가 표시됩니다. AWS Management Console과 같이 로그인이 필요한 모든 AWS 웹 사이트에서는 AWS MFA를 지원합니다. 또한, AWS MFA를 S3 Secure Delete와 함께 사용하면 Amazon S3에 저장된 버전의 보안을 향상할 수 있습니다.
  • AWS API 사용자: IAM 정책에 MFA 제한을 추가하여 MFA 인증을 강화할 수 있습니다. 이 방법으로 보호된 API와 리소스에 액세스하려면 개발자는 임시 보안 자격 증명을 요청하여 AWS Security Token Service(STS) API 요청(임시 보안 자격 증명을 발행하는 서비스)에 선택 사항인 MFA 파라미터를 전달할 수 있습니다. MFA에서 인증된 임시 보안 자격 증명은 MFA 보안 API 및 리소스를 호출하는 데 사용할 수 있습니다.

Q: MFA로 내 AWS 리소스를 보호하려면 어떻게 해야 합니까?
간단한 두 단계를 따르십시오.

1. 인증 디바이스를 확보합니다. 여기에는 두 가지 옵션이 있습니다.

  • 타사 공급자인 Gemalto에서 하드웨어 디바이스를 구매합니다.
  • 스마트폰과 같은 디바이스에 가상 MFA 호환 애플리케이션을 설치합니다.

하드웨어 또는 가상 MFA 디바이스를 확보하는 방법에 대한 자세한 내용은 AWS MFA 페이지를 참조하십시오.

2. 인증 디바이스를 확보한 후에는 IAM 콘솔에서 이를 활성화해야 합니다. 또한, IAM CLI를 사용하여 IAM 사용자용으로 디바이스를 활성화할 수도 있습니다.

Q: AWS MFA 사용에 따라 부과되는 요금이 있습니까?
AWS에서는 AWS 계정에 AWS MFA를 사용하는 데 대해 추가 비용을 부과하지 않습니다. 하지만 물리적인 인증 디바이스를 사용하려면 타사 공급자 Gemalto에서 AWS MFA와 호환되는 인증 디바이스를 구입해야 합니다. 자세한 내용은 Gemalto 웹 사이트를 참조하십시오.

Q: AWS 계정으로 여러 인증 디바이스를 사용할 수 있습니까?
예. 각 IAM 사용자는 자신만의 인증 디바이스를 보유할 수 있습니다. 하지만 각 자격 증명(IAM 사용자 또는 루트 계정)은 하나의 인증 디바이스에만 연결할 수 있습니다.

Q: 인증 디바이스를 여러 AWS 계정에서 사용할 수 있습니까?
아니요. 인증 디바이스 또는 휴대폰 번호는 개별 AWS 자격 증명(IAM 사용자 또는 루트 계정)에 연결됩니다. 스마트폰에 TOTP 호환 애플리케이션을 설치한 경우 동일한 스마트폰에 여러 개의 가상 MFA 디바이스를 만들 수 있습니다. 각 가상 MFA 디바이스는 하드웨어 디바이스와 마찬가지로 하나의 자격 증명에 연결됩니다. 인증 디바이스를 분리(비활성화)하면 다른 AWS 자격 증명에서 다시 사용할 수 있습니다. 인증 디바이스는 한 번에 하나의 자격 증명만 사용할 수 있습니다.

Q: 이미 직장에서 사용하고 있거나 다른 서비스에서 제공하는 하드웨어 인증 디바이스를 가지고 있습니다. AWS MFA에서 이 디바이스를 다시 사용할 수 있습니까?
아니요. AWS MFA는 사용을 지원하기 위해 인증 디바이스와 연결된 고유의 보안 사항을 인식하고 있습니다. 이러한 보안 사항을 여러 관계자 간에 공유하지 않을 것을 요구하는 보안 제약 때문에 AWS MFA는 기존 하드웨어 인증 디바이스의 사용을 지원할 수 없습니다. AWS MFA에서는 Gemalto에서 구입한 호환 가능한 하드웨어 인증 디바이스만 사용할 수 있습니다.

Q: 타사 공급자인 Gemalto 웹 사이트를 사용하여 인증 디바이스를 주문하는 데 문제가 있습니다. 어디에서 도움을 얻을 수 있습니까?
Gemalto의 고객 서비스에서 도와드릴 수 있습니다.

Q: 타사 공급자인 Gemalto로부터 결함 또는 손상이 있는 인증 디바이스를 받았습니다. 어디에서 도움을 얻을 수 있습니까?
Gemalto의 고객 서비스에서 도와드릴 수 있습니다.

Q: 타사 공급자인 Gemalto로부터 방금 인증 디바이스를 받았습니다. 어떻게 해야 합니까?
인증 디바이스를 활성화하기만 하면 AWS 계정용 AWS MFA를 사용할 수 있습니다. 이 작업을 수행하려면 IAM 콘솔로 이동하십시오.

Q: 가상 MFA 디바이스란 무엇입니까?
가상 MFA 디바이스는 6자리 인증 코드를 생성할 수 있는 TOTP 호환 소프트웨어 애플리케이션에 만들어진 디바이스입니다. 소프트웨어 애플리케이션은 스마트폰을 비롯한 모든 호환되는 컴퓨팅 디바이스에서 실행될 수 있습니다.

Q: 가상 MFA 디바이스와 물리적 MFA 디바이스의 차이는 무엇입니까?
가상 MFA 디바이스는 물리적 MFA 디바이스와 동일한 프로토콜을 사용합니다. 가상 MFA 디바이스는 소프트웨어 기반 디바이스이며 스마트폰과 같은 기존의 디바이스에서 실행할 수 있습니다. 또한, 대부분 가상 MFA 애플리케이션은 여러 개의 가상 MFA 디바이스에서 활성화될 수 있으므로, 물리적 MFA 디바이스보다 편리하게 이용할 수 있습니다.

Q: AWS MFA와 함께 사용할 수 있는 가상 MFA 애플리케이션은 무엇입니까?
Google Authenticator 애플리케이션과 같이 TOTP 준수 인증 코드를 생성하는 애플리케이션을 AWS MFA와 함께 사용할 수 있습니다. 디바이스에 달린 카메라로 QR 코드를 스캔하여 자동으로 가상 MFA 디바이스를 프로비저닝하거나, 가상 MFA 애플리케이션에 수동으로 시드를 입력하는 방식으로 가상 MFA 디바이스 프로비저닝할 수 있습니다.

지원되는 가상 MFA 애플리케이션 목록을 보려면 MFA 페이지를 방문하십시오.

Q: QR 코드란 무엇입니까?
QR 코드는 전용 QR 바코드 리더기와 대부분 스마트폰에서 읽을 수 있는 2차원 바코드입니다. 코드는 흰색 배경에 큰 사각형 패턴 안에 배치된 검은색 사각형으로 이루어져 있습니다. QR 코드에는 가상 MFA 애플리케이션의 가상 MFA 디바이스를 프로비저닝하는 데 필요한 보안 설정 정보가 포함되어 있습니다.

Q: 새 가상 MFA 디바이스를 어떻게 프로비저닝합니까?
IAM 콘솔에서 IAM 사용자와 AWS 루트 계정에 대한 새 가상 MFA 디바이스를 구성할 수 있습니다. 또한, AWS CLI에서 aws iam create-virtual-mfa-device 명령 또는 CreateVirtualMFADevice API를 사용하여 계정에 대한 새 가상 MFA 디바이스를 프로비저닝할 수 있습니다. aws iam create-virtual-mfa-device 및 CreateVirtualMFADevice API는 시드라는 필요한 구성 정보를 반환하여 AWS MFA와 호환되는 애플리케이션에 가상 MFA 디바이스를 구성합니다. 고객의 IAM 사용자에게 이 API를 직접 호출할 수 있는 권한을 부여하거나 고객이 초기 프로비저닝을 수행할 수 있습니다.

 

Q: 가상 MFA 디바이스의 시드 자료를 어떻게 처리하고 배포합니까?
시드 자료는 다른 보안 정보(예: AWS 보안 키 및 암호)와 마찬가지로 취급해야 합니다.

Q: IAM 사용자가 내 계정에서 가상 MFA 디바이스를 관리할 수 있도록 하려면 어떻게 해야 합니까?
IAM 사용자에게 CreateVirtualMFADevice API 호출 권한을 부여합니다. 이러한 API를 사용하여 새로운 가상 MFA 디바이스를 프로비저닝할 수 있습니다.

Q: 지금도 SMS MFA 평가판에 대한 액세스를 요청할 수 있습니까?

더 이상 SMS MFA 평가판에 대한 새로운 참가자를 받고 있지 않습니다. 하드웨어 또는 가상 MFA 디바이스를 사용하여 AWS 계정에서 MFA를 사용하시기 바랍니다.

Q: 평가판에서 SMS 옵션을 사용하려면 어떻게 해야 합니까?

기존 SMS MFA 참가자의 경우 IAM 콘솔로 이동하여 IAM 사용자에 대해 SMS MFA를 활성화할 수 있습니다. 활성화 프로세스 중에 각 IAM 사용자의 전화번호를 입력해야 합니다. 그러면 IAM 사용자가 AWS Management Console에 로그인할 때, 사용자는 표준 SMS 텍스트 메시지를 통해 6자리 보안 코드를 받게 되며 로그인할 때 이 코드를 입력해야 합니다.

Q: 어디에서 AWS MFA를 활성화합니까?
AWS 계정 및 IAM 사용자에 대한 AWS MFA는 IAM 콘솔, AWS CLI 또는 AWS API 호출을 통해 활성화할 수 있습니다.

Q: 하드웨어 또는 가상 인증 디바이스를 활성화하는 데 필요한 정보는 무엇입니까?
IAM 콘솔에서 MFA 디바이스를 활성화하는 경우에는 디바이스만 있으면 됩니다. AWS CLI 또는 IAM API를 통해 활성화하려면 다음이 필요합니다.

1. 인증 디바이스의 일련번호. 일련번호의 형식은 하드웨어 디바이스를 사용하는지 가상 디바이스를 사용하는지에 따라 달라집니다.

– 하드웨어 MFA 디바이스: 디바이스 뒷면에 있는 바코드 레이블에 일련번호가 있습니다.
– 가상 MFA 디바이스: AWS CLI에서 iam-virtualmfadevicecreate 명령을 실행하거나 CreateVirtualMFADevice API를 호출할 때 반환되는 Amazon 리소스 이름(ARN) 값이 일련번호입니다.

2. 인증 디바이스에서 표시하는 2개의 연속적인 인증 코드

Q: 인증 디바이스가 정상 작동하는 것으로 보이지만 활성화할 수 없습니다. 어떻게 해야 합니까?
AWS로 문의해 주십시오.

Q: AWS 루트 계정 또는 IAM 사용자에 대해 AWS MFA를 활성화하면, 해당 사용자가 AWS Management Console에 로그인할 때 항상 인증 코드를 사용해야 합니까?
예. AWS 루트 자격 증명 사용자 및 IAM 사용자는 어떤 AWS 사이트에 로그인하든 항상 MFA 디바이스가 있어야 합니다.

MFA 디바이스가 분실, 손상 또는 도난당했거나, 혹은 작동하지 않는 경우에는 다른 인증 수단을 사용하여 로그인하여 해당 MFA 디바이스를 비활성화한 후 새로운 MFA 디바이스를 활성화할 수 있습니다. 이때는 보안 모범 사례에 따라 루트 계정의 암호를 변경하는 것이 바람직합니다.

가상 및 하드웨어 MFA에서는 IAM 사용자가 인증 디바이스를 손상 또는 분실하거나, 인증 디바이스가 도난 또는 작동 불능 상태가 된 경우, IAM 콘솔 또는 AWS CLI를 사용하여 여러분이 직접 AWS MFA를 비활성화할 수 있습니다.

Q: AWS 루트 계정 또는 IAM 사용자 대한 AWS MFA를 활성화하는 경우, AWS API를 직접 호출하려면 사용자가 항상 MFA 코드를 입력해야 합니까?
아니요. 선택 사항입니다. 그러나 MFA 보안 API 액세스로 보호된 API를 호출하려면 MFA 코드를 입력해야 합니다.

루트 계정 또는 IAM 사용자용 액세스 키를 사용하여 AWS API를 호출하면 MFA 코드를 입력할 필요가 없습니다. 보안상의 이유로 AWS 루트 계정에서 모든 액세스 키를 제거하고, 대신 필요한 권한이 있는 IAM 사용자용 액세스 키를 사용하여 AWS API를 호출하는 것이 좋습니다.

Q: 인증 디바이스를 사용하여 AWS 포털 및 AWS Management Console에 로그인하려면 어떻게 합니까?
다음 두 단계를 따르십시오.

AWS 루트 계정을 사용하여 로그인하는 경우, 메시지가 표시되면 평소처럼 사용자 이름과 암호를 사용하여 로그인합니다. IAM 사용자로 로그인하려는 경우, 계정별 URL을 사용하고 메시지가 표시되면 AWS Management Console에 암호를 사용하여 로그인합니다.

다음 페이지에서 고객의 인증 디바이스에 표시되는 6자리 인증 코드를 입력하십시오.

Q: AWS MFA는 AWS 서비스 API에 액세스하는 방법에 영향을 줍니까?
AWS MFA는 계정 관리자가 MFA 보안 API 액세스를 활성화한 경우에만 IAM 사용자가 AWS 서비스 API에 액세스하는 방법을 변경합니다. 관리자는 이 기능을 사용하여 호출자가 AWS MFA 디바이스를 통해 인증하도록 요구함으로써 민감한 API에 액세스할 때 추가적인 보안을 마련할 수 있습니다. 자세한 내용은 MFA 보안 API 액세스 설명서를 참조하십시오.

S3 PUT 버킷 버전 관리, GET 버킷 버전 관리 및 DELETE 객체 API는 예외이며, 해당 버킷의 버전 관리 상태를 삭제하거나 변경하려면 MFA 인증이 필요합니다. 자세한 내용은 MFA Delete로 버킷 설정에 관한 S3의 설명서를 참조하십시오.

다른 모든 사례에 대해서는 현재 AWS MFA가 AWS 서비스 API에 액세스하는 방법을 변경하지 않습니다.

Q: 특정 인증 코드를 두 번 이상 사용할 수 있습니까?
아니요. 보안상의 이유로 각 인증 코드는 한 번만 사용할 수 있습니다.

Q: 내 인증 코드가 거부되었으므로 인증 디바이스를 다시 동기화하라는 요청을 최근에 받았습니다. 문제가 될 수 있습니까?
아니요, 때때로 발생할 수 있는 상황입니다. AWS MFA는 AWS 서버의 시간을 고객 인증 디바이스 시간에 맞춰 동기화합니다. 때로 이 시간이 차이가 날 때가 있습니다. 이러한 상황이 발생하는 경우 사용자가 인증 디바이스를 사용하여 AWS 웹 사이트의 보안 페이지 또는 AWS Management Console에 로그인할 때, AWS에서 고객에게 2개의 연속적인 인증 코드를 요구해 이를 자동으로 다시 동기화합니다(활성화하는 단계에서 했던 절차와 동일).

Q: 내 인증 디바이스가 정상적으로 작동하는 것처럼 보이지만 이를 사용하여 AWS 포털 또는 AWS Management Console에 로그인할 수 없습니다. 어떻게 해야 합니까?
자신의 IAM 사용자 자격 증명으로 로그인할 수 있도록 MFA 장치를 다시 동기화하는 것이 좋습니다. 이미 재동기화를 시도하였지만 여전히 로그인할 수 없는 경우에는 다른 인증 수단을 사용하여 로그인하고 MFA 디바이스를 재설정합니다. 그래도 문제가 지속되면 우리에게 연락하여 도움을 요청하십시오.

Q: 인증 디바이스를 분실, 손상 또는 도난 당했거나, 혹은 작동하지 않기 때문에 현재 AWS Management Console에 로그인할 수 없습니다. 어떻게 해야 합니까?
인증 디바이스가 AWS 루트 계정에 연결되어 있는 경우:

Q: AWS MFA를 어떻게 비활성화합니까?

AWS 계정에 대한 AWS MFA를 비활성화하려면 보안 자격 증명 페이지를 사용하여 인증 디바이스를 비활성화할 수 있습니다. IAM 사용자에 대한 AWS MFA를 비활성화하려면 IAM 콘솔 또는 AWS CLI를 사용해야 합니다.

Q: AWS MFA를 GovCloud에서 사용할 수 있습니까?
예. GovCloud에서 AWS 가상 MFA와 하드웨어 MFA 디바이스를 사용할 수 있습니다.

Q: MFA 보안 API 액세스란 무엇입니까?
MFA 보안 API 액세스는 사용자가 암호에 추가로 두 번째 인증 팩터를 입력하도록 함으로써 계정 관리자가 고객이 지정한 API에 대해 추가 인증을 적용할 수 있게 해주는 선택 기능입니다. 특히 선택된 API에 대한 액세스에 대해 MFA 인증을 확인 및 요구하는 조건을 관리자가 IAM 정책에 포함할 수 있게 해줍니다. 이러한 API를 호출하는 사용자는 사용자가 유효한 MFA 코드를 입력했음을 보여주는 임시 자격 증명을 먼저 받아야 합니다.

Q: MFA 보안 API 액세스로 해결할 수 있는 문제는 무엇입니까?
이전에는 고객이 AWS Management Console에 액세스하기 위해 MFA를 요구할 수 있었지만 AWS 서비스 API와 직접적으로 상호 작용하는 개발자나 애플리케이션에 MFA 요구사항을 강요할 수 없었습니다. MFA 보안 API 액세스는 액세스 경로와 상관없이 IAM 정책이 어디에서든 적용되도록 보장합니다. 따라서 이제는 AWS를 사용하여 강력한 API를 호출하거나 민감한 리소스에 액세스하기 전에 사용자에게 MFA 인증을 요구하도록 애플리케이션을 개발할 수 있습니다.

Q: MFA 보안 API 액세스를 시작하려면 어떻게 해야 합니까?
시작하려면 다음 두 단계를 따르십시오.

  1. IAM 사용자에게 MFA 디바이스를 할당합니다. 스마트폰, 태블릿 또는 컴퓨터에 사용할 하드웨어 전자 키를 구입하거나 무료 TOTP 호환 애플리케이션을 다운로드할 수 있습니다. AWS MFA 디바이스에 대한 자세한 내용은 MFA 세부 정보 페이지를 참조하십시오.
  2. MFA 인증을 요청할 IAM 사용자와 IAM 그룹을 위한 권한 정책을 만들어 MFA 보안 API 액세스를 활성화합니다. 액세스 정책 언어 구문에 대한 자세한 내용은 액세스 정책 언어 설명서를 참조하십시오.

Q: 개발자와 사용자가 MFA 보안 API 액세스로 보호된 API와 리소스에 어떻게 액세스합니까?
개발자와 사용자는 AWS Management Console과 API에서 MFA 보안 API 액세스와 상호 작용합니다.

MFA가 활성화된 IAM 사용자는 자신의 디바이스를 통해 인증을 받아야 AWS Management Console에서 로그인할 수 있습니다. MFA가 없는 사용자는 MFA 보안 API와 리소스에 액세스할 수 없습니다.

개발자는 API 수준에서 AWS MFA를 애플리케이션에 통합하여 사용자가 강력한 API를 호출하거나 민감한 리소스에 액세스하기 전에 할당된 MFA 디바이스를 사용하여 인증하도록 메시지를 표시할 수 있습니다. 개발자는 선택적인 MFA 파라미터(일련번호와 MFA 코드)를 임시 보안 자격 증명('세션 요청'이라고 함) 요청에 추가하여 이 기능을 활성화할 수 있습니다. 파라미터가 유효하면 MFA 상태를 보여주는 임시 보안 자격 증명이 반환됩니다. 자세한 내용은 임시 보안 자격 증명 설명서를 참조하십시오.

Q: 누가 MFA 보안 API 액세스를 사용할 수 있습니까?
MFA 보안 API 액세스는 모든 AWS 고객이 무료로 사용할 수 있습니다.

Q: MFA 보안 API 액세스는 어떤 서비스에서 작동합니까?
MFA 보안 API 액세스는 임시 보안 자격 증명을 지원하는 모든 AWS 서비스에서 지원됩니다. 지원되는 서비스 목록은 IAM으로 작업하는 AWS 서비스를 참조하고 임시 보안 자격 증명 지원에 해당하는 열을 확인하십시오.

Q: 사용자가 임시 보안 자격 증명을 요청할 때 잘못된 MFA 디바이스 정보를 제공하면 어떻게 됩니까?
임시 보안 자격 증명 발급을 위한 요청이 실행되지 않습니다. MFA 파라미터를 지정하는 임시 보안 자격 증명 요청은 IAM 사용자에 연결된 디바이스의 올바른 일련번호와 유효한 MFA 코드를 제공해야 합니다.

Q: MFA 보안 API 액세스가 루트 계정의 API 액세스를 제어합니까?
아니요, MFA 보안 API 액세스는 IAM 사용자에 대한 액세스만 제어합니다. 루트 계정은 IAM 정책에 영향을 받지 않으므로 루트 계정 자격 증명을 사용하는 것보다 IAM 사용자를 만들어 AWS 서비스 API와 상호 작용하는 것이 좋습니다.

Q: 사용자가 MFA 보안 API 액세스를 사용하려면 할당된 MFA 디바이스가 있어야 합니까?
예. 사용자는 먼저 고유한 하드웨어 또는 가상 MFA 디바이스를 할당받아야 합니다.

Q: MFA 보안 API 액세스는 S3 객체, SQS 대기열 및 SNS 항목과 호환됩니까?
예.

Q: MFA 보안 API 액세스는 S3 MFA Delete와 같은 기존 MFA 사용 사례와 어떻게 상호 작용합니까?
MFA 보안 API 액세스는 S3 MFA Delete와 상호 작용하지 않습니다. S3 MFA Delete는 현재 임시 보안 자격 증명을 지원하지 않습니다. 대신, S3 MFA Delete API에 대한 호출은 장기 액세스 키를 사용하여 이루어져야 합니다.

Q: MFA 보안 API 액세스를 GovCloud(미국) 리전에서 사용할 수 있습니까?
예.

Q: MFA 보안 API 액세스를 연동 사용자가 사용할 수 있습니까?
고객은 연동 사용자에 대한 액세스를 제어하는 데 MFA 보안 API 액세스를 사용할 수 없습니다. GetFederatedSession API는 MFA 파라미터를 허용하지 않습니다. 연동 사용자는 AWS MFA 디바이스로 인증을 받을 수 없으므로 MFA 보안 API 액세스를 사용하도록 지정된 리소스에 액세스할 수 없습니다.

Q: AWS IAM은 사용 요금이 어떻게 됩니까?

IAM은 AWS 계정에서 추가 비용 없이 제공되는 기능입니다. 사용자가 사용한 다른 AWS 서비스에 대해서만 요금이 부과됩니다.