안녕하세요 서후아빠입니다. ^_^
이번 세션은 IAM User에게 root 권한 or Billing 권한을 부여하고, 보안을 위해서 MFA를 활성화하는 실습을 해보겠습니다.
IAM 신규 사용자에게 root 권한 부여
IAM > User groups Create group
| 구분 | User group name | Attach permissions policies(옵션) |
| 내용 | AdminGroup | AdministratorAccess, IAMUserChangePassword |
IAM > Account settings > Password policy의 Change > Allow users to change their own password 체크 > Save changes
| Password 정책은 개별 기관의 정책에 맞추어 설정을 하도록 합니다. 기본 적용은 아래 수준입니다. - 최소 길이 : 9자 이상 - 알파벳 대문자, 소문자, 숫자, 특수문자 각각 1개 이상 - 비밀번호 만료 90일 - 비밀번호 재사용 방지 |
IAM > Users > Add users
| 구분 | Set user details | Permissions |
| 내용 | User name : user01 Select AWS credential type : Password Console password : Custom password (or Autogenerated password) Require password reset : Enable |
Set permissions : Add user to group Add user to group : AdminGroup |
| User에게 부여하는 권한에 따라 다양한 역할을 나눌 수 있으며, JSON 파일을 수정하여 Custom하게 권한부여가 가능합니다. - AdministratorAccess : root와 동일한 모든 권한 - NetworkAdministrator : Network 관련 모든 권한 - DatabaseAdministrator : Database 관련 모든 권한 - etc ... User groups를 생성하지 않고 User를 생성해도 되지만, 운영 편의상 Group 관리를 하는 것을 추천드립니다. Set permissions 옵션 - Add user to group : 기존 생성된 User groups의 권한을 부여하는 방식 (추천) - Copy permissions from existing user : 기존 user와 동일한 권한 부여하는 방식 - Attach existing policies directly : 해당 user에 직접 권한 부여하는 방식 IAM 기존 사용자에게 root권한을 부여하는 2가지 방법은 아래와 같습니다. ① IAM > Users > 일반 사용자 선택 > Groups (tab) > Add user to groups > AdminGroup 선택 ② IAM > Users > 일반 사용자 선택 > Permissions (tab) > Add permissions > Attach existing policies directly > AdministratorAccess, IAMUserChangePassword 선택 |
IAM > Users > user01 선택 > Security credentials (tab) > Summary 링크 복사 (ex : https://************.signin.aws.amazon.com/console)
브라우저에 복사한 링크로 관리콘솔 연결 > ID + Password(user01 / user01 생성 시 입력한 Password)로 Login > 최초 login으로 Password 변경
| Password 변경 시 아래처럼 Error message 발생하는 이유는 "IAMUserChangePassword"권한과 "Allow users to change their own password" Password 정책이 없기 때문입니다. "Either user is not authorized to perform iam:ChangePassword or entered password does not comply with account password policy set by administrator" |
IAM 신규 사용자에게 Billing 권한 부여
AWS 관리 콘솔 > 우측 상단에서 계정 선택 > Account > IAM User and Role Access to Billing Information의 Edit > Activate IAM Access (Enable) > Update
| Account로 바로가는 URL 정보 : https://console.aws.amazon.com/billing/home#/account |
IAM > Policies > Create policy
| Visual editor | Review policy |
| Select a service : Billing Access level : Read에서 ViewBilling 선택 (or Write or Read/Write) |
Name : ViewBillingPolicy |
| Read 선택 옵션 : ViewAccount, ViewBilling, ViewPaymentMethods, ViewUsage Write 선택 옵션 : ModifyAccount, ModifyBilling, ModifyPaymentMethods |
IAM > Users > Add users
| 구분 | Set user details | Permissions |
| 내용 | User name : user02 Select AWS credential type : Password Console password : Custom password (or Autogenerated password) Require password reset : Enable |
Set permissions : Attach existing policies directly Add user to group : ViewBillingPolicy |
| Billing 권한을 지금처럼 User에게 부여도 되지만 User groups에 부여도 가능합니다. 일반적으로는 Billing을 관리하는 사용자가 지정되어 있기 때문에 User 기반으로 적용합니다. |
IAM > Users > user02 선택 > Security credentials (tab) > Summary 링크 복사 (ex : https://************.signin.aws.amazon.com/console)
브라우저에 복사한 링크로 관리콘솔 연결 > ID + Password(user02 / user02 생성 시 입력한 Password)로 Login > 최초 login으로 Password 변경
AWS 관리 콘솔 > 우측 상단에서 계정 선택 > Account > 좌측 메뉴에서 Bills 선택 > Date 설정하여 Billing 검색 > 필요한 경우 CSV 파일로 다운로드
| Account로 바로가는 URL 정보 : https://console.aws.amazon.com/billing/home#/account |
IAM 사용자 (root 포함) MFA 활성화
root (or root 권한 IAM 사용자) 계정으로 AWS 관리 콘솔 로그인 > 우측 상단의 계정 선택 > Security credentials > Multi-factor authentication (MFA) > Activate MFA
| 구분 | Select the type of MFA device to assign | Install compatible apps on your mobile device or computer | Enter 2 consecutive MFA codes below | |
| 내용 | Virtual MFA device | Google OTP 설치 > Google OTP 앱에서 QR 코드 스캔 | Google OTP의 6자리 코드 입력 | 1분 후, Google OTP의 6자리 코드 입력 |
| 일반적으로 Virtual MFA device 중 Google OTP를 많이 사용합니다. MFA에 대한 자세한 설명은 https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_credentials_mfa.html 참조 바랍니다. |
IAM > Users > MFA 미설정 사용자 (ex : user01) 선택 > Permissions (tab) > management
| 구분 | Select the type of MFA device to assign | Install compatible apps on your mobile device or computer | Enter 2 consecutive MFA codes below | |
| 내용 | Virtual MFA device | Google OTP 설치 > Google OTP 앱에서 QR 코드 스캔 | Google OTP의 6자리 코드 입력 | 1분 후, Google OTP의 6자리 코드 입력 |
| 기본적으로 모든 IAM 사용자에게 MFA 사용을 권고드립니다. root (or root 권한 IAM 사용자)는 MFA 사용이 필수입니다. |
