옛 UNIX, Linux 시절부터 root 계정에 대한 중요성은 늘 강조되어 왔지만 슈퍼 권한을 가진 계정으로
편리성 때문에 보안을 무시하고 사용하다가 큰 사고를 당하고 고치는 경우가 있습니다.
AWS 환경에서도 편리성으로 슈퍼 권한을 사용하기도 하지만 계정 탈취를 당하면 입는 피해는 막대하기 때문에
IAM에서 생성한 User를 통하여 역할 전환하는 것을 권고합니다.
IAM에서 역할 전환에 사용할 사용자를 먼서 생성합니다.
사용자 이름과 AWS 엑세스 유형을 선택하고 다음을 선택합니다.
권한 경계 설정에서 "권한 경계 없이 user 생성"을 선택 후 다음을 선택합니다.
사용자 생성 전 최종 정보를 확인 후 사용자 만들기를 합니다. 참고로 "권한 요약" 에 들어있는 권한은
없어도 무방합니다.
사용자 추가를 하고 관련 정보를 가지고 있는 csv 파일은 다운로드 받아 보관합니다.
이제 사용자 추가는 완료되었고 더욱 강력한 보안을 가져가기 위해서는 MFA 디바이스 등록을 통해서
유지할 수 있습니다. MFA 등록은 상위 페이지에서 확인이 가능합니다.
지금까지 따라왔다면 사용자만 생성했을 뿐 역할 전환에 필요한 작업을 이제부터 진행됩니다.
Role을 생성하여 만든 사용자에 연결 작업을 합니다.
권한은 최소 업무를 할 수 있는 권한부터 할당하여 점차 늘려가는 방식을 채택하는 것이 좋습니다.
예를 들면 EC2, S3가 필요한데 SegeMaker 권한은 필요 없을 것입니다.
이 문서에서는 Admin 권한을 할당하는 예제로 진행했습니다.
역할 이름을 지정하고 어떤 역할인지 설명을 작성 후 생성하면 역할까지 생성이 완료됩니다.
역할 생성 후 "신뢰 관계" Tab에서 "신뢰 정책 편집" 을 눌러서 조금 편집을 해야 하는데 역할 전환을 위해서
생성했던 사용자 정보로 변경을 해야 합니다.
7번 라인 내용을 root 내용 대신에 아래 형식으로 변경을 하시면 됩니다.
"AWS": "arn:aws:iam::<계정 ID>:/user/<생성한 사용자 이름>"
"신뢰 정책 편집"을 눌러서 편집을 완료하고 저장합니다.
편집을 완료하고 7번 라인의 정보가 root에서 switchuser로 변경된 것을 확인할 수 있습니다.
새롭게 생성한 User 정보로 변경이 정상적으로 된 것을 알 수 있습니다.
"콘솔에서 역할 전환 링크"에 나와있는 로그인 링크를 복사 후 브라우저에서 접속하면 아래 페이지를 확인할 수
있습니다. 역할 전환을 선택합니다.
계정, 역할 정보는 필수이기 때문에 입력해야 합니다. 여기서 계정 정보는 사용자를 만든 계정의 계정 ID이고
역할은 새롭게 생성한 역할 이름을 입력해야 역할 전환이 이루어집니다.
IAM User를 통해서 역할 전환이 정상적으로 이루어진 것을 확인할 수 있습니다.
