[AWS] 헤매기(1) - IAM 사용자, S3 버킷, 기본 설정하기

이론들

---

1. MFA개념

다중 인증(MFA : Multi-Factor Authentication)은 말 그대로 사용자에게 암호 이외의 추가 정보를 입력하도록 요구하는 다중 단계 계정 로그인 과정이다. (서비스에 액세스할 때 최소 2가지 이상의 인증을 받게끔 함) 아마존웹서비스(AWS)의 루트계정은 보안이 가장 중요하다. 루트 계정이 탈취당하면 서비스 제어권을 완전히 잃게 되고 해커의 비트코인 채굴에 활용되며 과금 폭탄을 맞을 수 있기 때문이다. 루트 계정 사용은 최대한 자제하는 것이 좋으며, 로그인 시 2개 이상의 인증 절차를 밟는 MFA 사용을 권장하고 있다. 

 

2. 루트계정? IAM 계정?

AWS에 로그인하는 계정으로는 2가지 종류가 있다. 

• 루트 계정
• IAM 계정

루트계정이란 회원가입 시 만든 계정으로 모든 AWS 권한을 가지고 있는 사용자이다. 이 계정이 탈취당해 해커의 비트코인 채굴에 사용되기라도 하면 과금폭탄을 맞을수도 있다. 실제로 3억이 부과된 사례도 있다고 한다. 따라서, 루트 사용자는 계정 설정을 변경하거나 과금 관리 등 관리 목적으로만 사용하는 것이 바람직하다. 루트 사용자의 사용은 최대한 자제하고 로그인 시 MFA과 같은 OTP 사용을 권장하고 있다.

 

IAM 사용자란 위와 같은 보안 문제를 해결하기 위해 실제로 사용하는 계정이다. AWS 관리를 제외한 서비스 관리용 계정이다. Identity and Access Management의 약자로 특정 사용자나 그룹의 서비스 혹은 리소스에 대한 접근 권한을 관리하는 서비스이다. 쉽게 말하자면, 누가, 언제, 어디에서, 어떤 서비스를, 어떻게 접근하고 사용할 수 있을지 관리해 주는 역할을 한다. IAM은 지역별(region) 서비스가 아닌 글로벌 서비스라는 점이 특징이다.  IAM 사용자는 IAM을 통해 생성한 사용자로 루트 사용자로부터 권한을 부여받은 서비스만 관리가 가능하다. 루트 사용자의 사용 자체를 자제하는 것이 좋다. 이에 루트 사용자와 같은 수준의 모든 권한을 IAM 사용자에게 부여한 계정으로 개발을 진행합니다. 이러한 IAM 사용자를 흔히 admin 사용자라고 부릅니다. 

 

루트 사용자 계정에 대해 MFA를 적용

이제 루트 사용자를 대신할 Admin  IAM 사용자를 생성하겠다.

Administrator란 이름을 가진 IAM admin 사용자를 생성하려 했는데 에러가 났다.

 

사용자 ‘Administrator’을(를) 추가하는 중 오류 발생 해당 사용자를 추가할 수 없음

Administrator corresponds to a system user which is reserved for internal purposes

 

Administrator란 이름을 사용할 수 없다고 한다!

해당 오류 메시지는 "Administrator"라는 사용자 이름이 시스템 사용자로 예약되어 있어 일반 사용자로 추가할 수 없음을 나타냅니다. "Administrator"는 일반적으로 운영 체제나 시스템 관리를 위해 사용되는 특별한 권한을 가진 계정입니다.
운영 체제에서 "Administrator" 사용자는 일반 사용자보다 더 높은 권한을 갖습니다. 이 계정은 일반적으로 시스템 설정 및 관리 작업을 수행하기 위해 사용되며, 시스템의 보안과 관련된 중요한 작업에 사용될 수도 있습니다.
따라서 "Administrator" 계정은 일반 사용자로 추가할 수 없도록 예약되어 있으며, 해당 이름으로 사용자를 추가하려고 시도하면 오류가 발생합니다. 일반적으로 시스템 관리자가 해당 계정에 대한 액세스 및 변경을 수행해야 합니다.
시스템에서 다른 사용자를 추가하려는 경우, 예약되지 않은 다른 사용자 이름을 선택하시기 바랍니다.

버킷 퍼블릭 액세스.... 버킷 정책 따른다...