IAM 사용자의 액세스 키 관리

IAM 사용자의 액세스 키 관리

참고https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_credentials_access-keys.html

웹 사이트에서 Amazon 제품을 팔기 위해 Product Advertising API를 구성하기 위해 이 주제를 찾았다면 다음 주제들 단원을 참조하십시오.

• Product Advertising API로 시작하기

• Product Advertising API 개발자로서 시작하기

액세스 키는 IAM 사용자 또는 AWS 계정 루트 사용자에 대한 장기 자격 증명입니다. 액세스 키를 사용하여 AWS CLI 또는 AWS API에 대한 프로그래밍 요청에 서명할 수 있습니다(직접 또는 AWS SDK를 사용하여). 자세한 내용은 Amazon Web Services 일반 참조의 AWS API 요청 서명 단원을 참조하십시오.

액세스 키는 액세스 키 ID(예: AKIAIOSFODNN7EXAMPLE)와 보안 액세스 키(예: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)의 2가지 부분으로 구성됩니다. 사용자 이름 및 암호와 같이 액세스 키 ID와 보안 액세스 키를 함께 사용하여 요청을 인증해야 합니다. 사용자 이름과 암호를 관리하는 것처럼 안전하게 액세스 키를 관리합니다.

중요

정식 사용자 ID를 찾는 데 도움이 되더라도 액세스 키를 제3자에게 제공하지 마십시오. 이로 인해 다른 사람에게 계정에 대한 영구 액세스를 제공하게 될 수 있습니다.

가장 좋은 방법은 액세스 키 대신 임시 보안 자격 증명(IAM 역할)을 사용하고 모든 AWS 계정 루트 사용자 액세스 키는 비활성화하는 것입니다. 자세한 내용은 Amazon Web Services 일반 참조의 AWS 액세스 키 관리 모범 사례 단원을 참조하십시오.

장기 액세스 키를 사용해야 하는 경우 액세스 키(액세스 키 ID 및 보안 액세스 키)를 생성, 수정, 보기 또는 교체할 수 있습니다. 최대 두 개의 액세스 키를 가질 수 있습니다. 이렇게 하면 모범 사례에 따라 활성 키를 교체할 수 있습니다.

액세스 키 페어를 생성할 때는 액세스 키 ID와 보안 액세스 키를 안전한 위치에 저장합니다. 보안 액세스 키는 생성할 때만 사용할 수 있습니다. 보안 액세스 키를 분실한 경우 액세스 키를 삭제하고 새 키를 생성해야 합니다. 자세한 내용은 분실하거나 잊어버린 암호 또는 액세스 키 재설정 단원을 참조하십시오.

항목

• 필요한 권한
• 액세스 키 관리(콘솔)
• 액세스 키 관리(AWS CLI)
• 액세스 키 관리(AWS API)
• 액세스 키 교체

필요한 권한

IAM 사용자의 액세스 키를 생성하려면 다음 정책에 대한 권한이 있어야 합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewAddAccessKeysForUser",
            "Effect": "Allow",
            "Action": [
                "iam:GetUser",
                "iam:CreateAccessKey",
                "iam:ListAccessKeys"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "ListUsersInConsole",
            "Effect": "Allow",
            "Action": "iam:ListUsers",
            "Resource": "*"
        }
    ]
}

IAM 사용자의 액세스 키를 교체하려면 다음 정책에 대한 권한이 있어야 합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ManageAccessKeysForUser",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteAccessKey",
                "iam:GetAccessKeyLastUsed",
                "iam:UpdateAccessKey",
                "iam:GetUser",
                "iam:CreateAccessKey",
                "iam:ListAccessKeys"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "ListUsersInConsole",
            "Effect": "Allow",
            "Action": "iam:ListUsers",
            "Resource": "*"
        }
    ]
}

액세스 키 관리(콘솔)

AWS Management 콘솔을 사용하여 IAM 사용자의 액세스 키를 관리할 수 있습니다.

IAM 사용자의 액세스 키를 생성, 수정 또는 삭제하려면(콘솔)

1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

2. 탐색 창에서 사용자를 선택합니다.

3. 액세스 키를 관리하려는 사용자 이름을 선택한 다음 보안 자격 증명 탭을 선택합니다.

4. 액세스 키 섹션에서 다음 작업을 수행합니다.

   • 액세스 키를 생성하려면 Create access key(액세스 키 생성)을 선택합니다. 그런 다음 .csv 파일 다운로드를 선택하여 액세스 키 ID 및 보안 액세스 키를 컴퓨터에 CSV 파일로 저장합니다. 안전한 위치에 파일을 저장합니다. 이 대화 상자를 닫은 후에는 보안 액세스 키에 다시 액세스할 수 없습니다. CSV 파일을 다운로드한 후 [Close]를 클릭합니다. 액세스 키를 생성하면 키 페어가 기본적으로 활성화되므로 해당 페어를 즉시 사용할 수 있습니다.

   • 활성 상태의 액세스 키를 비활성화하려면 비활성화를 선택합니다.

   • 비활성 상태의 액세스 키를 다시 활성화하려면 활성화를 선택합니다.

   • 액세스 키를 삭제하려면 행의 맨 왼쪽에 있는 X 버튼을 선택합니다. 삭제를 선택하여 확인합니다. 액세스 키를 삭제하면 영구 삭제되어 되돌릴 수 없습니다. 그러나 언제든지 새 키를 만들 수 있습니다.

IAM 사용자에 대한 액세스 키를 나열하려면(콘솔)

1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

2. 탐색 창에서 사용자를 선택합니다.

3. 해당 사용자의 이름을 선택한 후 보안 자격 증명 탭을 선택합니다. 사용자의 액세스 키와 각 키의 상태가 표시됩니다.

   참고

   사용자의 액세스 키 ID만 표시됩니다. 보안 액세스 키는 키를 만들 때만 가져올 수 있습니다.

여러 IAM 사용자의 액세스 키 ID를 나열하려면(콘솔)

1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

2. 탐색 창에서 사용자를 선택합니다.

3. 필요할 경우 다음 단계를 통해 사용자 테이블에 액세스 키 ID 열을 추가합니다.

   1. 테이블 위 맨 오른쪽에서 설정 아이콘(  )을 선택합니다.

   2. Manage columns(열 관리)에서 액세스 키 ID를 선택합니다.

   3. 닫기를 선택하여 사용자 목록으로 돌아갑니다.

4. 액세스 키 ID 열에는 각 액세스 키 ID가 표시되고 그 다음에 키의 상태가 표시됩니다. 예: 23478207027842073230762374023 (Active) 또는 22093740239670237024843420327 (Inactive).

   이 정보를 사용하여 한 개 또는 두 개의 액세스 키를 가진 사용자의 액세스 키를 보고 복사할 수 있습니다. 액세스 키가 없는 사용자는 이 열에 없음이라고 표시됩니다.

   참고

   사용자의 액세스 키 ID와 상태만 표시됩니다. 보안 액세스 키는 키를 만들 때만 가져올 수 있습니다.

어떤 IAM 사용자가 특정 액세스 키를 소유하고 있는지 확인하려면(콘솔)

1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

2. 탐색 창에서 사용자를 선택합니다.

3. 검색 상자에 해당 사용자의 액세스 키 ID를 입력하거나 붙여 넣습니다.

4. 필요할 경우 다음 단계를 통해 사용자 테이블에 액세스 키 ID 열을 추가합니다.

   1. 테이블 위 맨 오른쪽에서 설정 아이콘(  )을 선택합니다.

   2. Manage columns(열 관리)에서 액세스 키 ID를 선택합니다.

   3. 닫기를 선택하여 사용자 목록으로 돌아간 후 지정된 액세스 키를 소유하는 사용자로 필터링되었는지 확인합니다.

액세스 키 관리(AWS CLI)

AWS CLI에서 IAM 사용자의 액세스 키를 관리하려면 다음 명령을 실행합니다.

• 액세스 키 생성: aws iam create-access-key

• 액세스 키 비활성화 또는 다시 활성화: aws iam update-access-key

• 사용자의 액세스 키를 나열하려면: aws iam list-access-keys

• 가장 최근에 액세스 키를 사용한 시기 확인: aws iam get-access-key-last-used

• 액세스 키 삭제: aws iam delete-access-key

액세스 키 관리(AWS API)

AWS API에서 IAM 사용자의 액세스 키를 관리하려면 다음 작업을 호출합니다.

• 액세스 키 생성: CreateAccessKey

• 액세스 키 비활성화 또는 다시 활성화: UpdateAccessKey

• 사용자의 액세스 키를 나열하려면: ListAccessKeys

• 가장 최근에 액세스 키를 사용한 시기 확인: GetAccessKeyLastUsed

• 액세스 키 삭제: DeleteAccessKey

액세스 키 교체

최상의 보안을 위해 IAM 사용자 액세스 키를 정기적으로 교체(변경)하는 것이 좋습니다. 관리자가 필요한 권한을 부여한 경우 사용자 고유의 액세스 키를 교체할 수 있습니다.

관리자가 사용자에게 액세스 키를 직접 교체할 수 있는 권한을 부여하는 방법에 대한 자세한 내용은 사용자가 자신의 암호, 액세스 키, SSH 키를 관리할 수 있도록 허용 단원을 참조하십시오. 또한, 모든 IAM 사용자가 주기적으로 암호를 교체하도록 요구하는 암호 정책을 계정에 적용할 수 있습니다. 얼마나 자주 교체하도록 할지 선택할 수 있습니다. 자세한 내용은 IAM 사용자의 계정 암호 정책 설정 단원을 참조하십시오.

중요

가장 좋은 방법은 AWS 계정 루트 사용자를 사용하지 않는 것입니다. AWS 계정 루트 사용자 자격 증명을 사용할 경우 그 자격 증명도 정기적으로 교체할 것을 권장합니다. 계정 암호 정책은 루트 사용자 자격 증명에는 적용되지 않습니다. IAM 사용자는 AWS 계정 루트 사용자의 자격 증명을 관리할 수 없으므로 루트 사용자의 자격 증명(사용자의 자격 증명이 아님)을 사용하여 루트 사용자 자격 증명을 변경해야 합니다. AWS의 일상적인 작업에서는 루트 사용자를 사용하지 않는 것이 좋습니다.

항목

• 액세스 키 교체(콘솔)
• 액세스 키 교체(AWS CLI)
• 액세스 키 교체(AWS API)

액세스 키 교체(콘솔)

AWS Management 콘솔에서 액세스 키를 교체할 수 있습니다.

애플리케이션을 중단하지 않고 액세스 키를 교체하려면(콘솔)

1. 최초 액세스 키가 활성 상태일 때 두 번째 액세스 키를 만듭니다.

   1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

   2. 탐색 창에서 사용자를 선택합니다.

   3. 해당 사용자의 이름을 선택한 후 보안 자격 증명 탭을 선택합니다.

   4. Create access key(액세스 키 생성)을 선택하고 Download .csv file(.csv 파일 다운로드)를 선택하여 액세스 키 ID와 보안 액세스 키를 컴퓨터의 .csv 파일에 저장합니다. 안전한 위치에 파일을 저장합니다. 이 단계를 끝낸 후에는 보안 액세스 키에 다시 액세스할 수 없습니다. .csv 파일을 다운로드한 후 닫기를 클릭합니다.

      새 액세스 키는 기본적으로 활성화됩니다. 따라서 사용자에게 두 개의 활성 액세스 키가 생깁니다.

2. 새 액세스 키를 사용하도록 모든 애플리케이션과 도구를 업데이트합니다.

3. 가장 오래된 액세스 키의 Last used(마지막 사용) 열을 검토하여 최초 액세스 키가 아직 사용 중인지 확인합니다. 한 가지 접근 방식은 며칠을 기다린 다음 계속하기 전에 사용된 적이 있는 기존 액세스 키가 있는지 확인하는 것입니다.

4. Last used(마지막 사용) 열에 오래된 키가 사용된 적이 없다고 표시되더라도 최초 액세스 키를 바로 삭제하지 않는 것이 좋습니다. 대신 Make inactive(비활성화)를 선택하여 최초 액세스 키를 비활성화합니다.

5. 새 액세스 키만 사용하여 애플리케이션이 작동 중인지 확인합니다. 원래 액세스 키를 계속 사용하는 어떤 애플리케이션도 AWS 리소스에 더 이상 액세스할 수 없기 때문에 이 시점에 작업을 중단합니다. 그러한 애플리케이션 또는 도구를 찾는다면 활성화(Make active)를 선택하여 최초 액세스 키를 다시 활성화할 수 있습니다. 그런 다음 단계 3 단원으로 돌아가 이 애플리케이션을 업데이트하여 새 키를 사용하십시오.

6. 일정 기간 기다린 후 모든 애플리케이션과 도구가 업데이트되었는지 확인한 뒤에 최초 액세스 키를 삭제할 수 있습니다:

   1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

   2. 탐색 창에서 사용자를 선택합니다.

   3. 해당 사용자의 이름을 선택한 후 보안 자격 증명 탭을 선택합니다.

   4. 삭제할 액세스 키를 찾아 해당 행 맨 오른쪽에 있는 X 버튼을 선택합니다. 삭제를 선택하여 확인합니다.

액세스 키 교체 시점을 결정하려면(콘솔)

1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

2. 탐색 창에서 사용자를 선택합니다.

3. 필요할 경우 다음 단계를 통해 사용자 테이블에 Access key age(액세스 키 수명) 열을 추가합니다.

   1. 테이블 위 맨 오른쪽에서 설정 아이콘(  )을 선택합니다.

   2. Manage Columns(열 관리)에서 Access key age(액세스 키 수명)을 선택합니다.

   3. 닫기를 선택하여 사용자 목록으로 돌아갑니다.

4. Access key age(액세스 키 수명) 열에는 가장 오래된 활성 액세스 키가 생성된 이후로 경과한 일수가 표시됩니다. 이 정보를 사용하여 교체가 필요한 액세스 키를 소유한 사용자를 확인할 수 있습니다. 액세스 키가 없는 사용자는 이 열에 없음이라고 표시됩니다.

액세스 키 교체(AWS CLI)

AWS Command Line Interface에서 액세스 키를 교체할 수 있습니다.

애플리케이션을 중단하지 않고 액세스 키를 교체하려면(AWS CLI)

1. 최초 액세스 키가 활성 상태일 때 두 번째 액세스 키를 만들면 이 키도 기본적으로 활성 상태가 됩니다. 다음 명령을 실행합니다.

   • aws iam create-access-key

     따라서 사용자에게 두 개의 활성 액세스 키가 생깁니다.

2. 새 액세스 키를 사용하도록 모든 애플리케이션과 도구를 업데이트합니다.

3. 다음 명령을 사용하여 최초 액세스 키가 아직 사용 중인지 확인합니다.

   • aws iam get-access-key-last-used

   한 가지 접근 방식은 며칠을 기다린 다음 계속하기 전에 사용된 적이 있는 기존 액세스 키가 있는지 확인하는 것입니다.

4. 단계 3 단계를 통해 기존 키를 사용한 적이 없다는 것이 밝혀진 경우 최초의 액세스 키를 즉시 삭제하지 말 것을 권장합니다. 그 대신 다음 명령을 사용하여 최초 액세스 키의 상태를 Inactive로 변경하십시오.

   • aws iam update-access-key

5. 새 액세스 키만 사용하여 애플리케이션이 작동 중인지 확인합니다. 원래 액세스 키를 계속 사용하는 어떤 애플리케이션도 AWS 리소스에 더 이상 액세스할 수 없기 때문에 이 시점에 작업을 중단합니다. 그러한 애플리케이션 또는 도구를 찾는다면 그 상태를 Active로 되돌려 최초 액세스 키를 다시 활성화할 수 있습니다. 그런 다음 단계 2 단계로 돌아가 이 애플리케이션을 업데이트해 새 키를 사용하십시오.

6. 일정 기간 기다린 후 모든 애플리케이션과 도구가 업데이트되었는지 확인한 뒤에 다음 명령을 사용하여 최초 액세스 키를 삭제할 수 있습니다.

   • aws iam delete-access-key

자세한 내용은 다음 단원을 참조하십시오.

• IAM 사용자의 액세스 키 교체 방법. AWS 보안 블로그의 이 게시물에서는 키 교체에 대한 자세한 내용을 설명합니다.

• IAM 모범 사례. 이 페이지에서는 리소스를 보호하기 위한 일반적인 권장 사항을 설명합니다.

액세스 키 교체(AWS API)

AWS API를 사용하여 액세스 키를 교체할 수 있습니다.

애플리케이션을 중단하지 않고 액세스 키를 교체하려면(AWS API)

1. 최초 액세스 키가 활성 상태일 때 두 번째 액세스 키를 만들면 이 키도 기본적으로 활성 상태가 됩니다. 다음 작업을 호출합니다.

   • CreateAccessKey

     따라서 사용자에게 두 개의 활성 액세스 키가 생깁니다.

2. 새 액세스 키를 사용하도록 모든 애플리케이션과 도구를 업데이트합니다.

3. 다음 연산을 호출하여 최초 액세스 키가 아직 사용 중인지 확인합니다.

   • GetAccessKeyLastUsed

   한 가지 접근 방식은 며칠을 기다린 다음 계속하기 전에 사용된 적이 있는 기존 액세스 키가 있는지 확인하는 것입니다.

4. 단계 3 단계를 통해 기존 키를 사용한 적이 없다는 것이 밝혀진 경우 최초의 액세스 키를 즉시 삭제하지 말 것을 권장합니다. 그 대신 다음 연산을 호출하여 최초 액세스 키의 상태를 Inactive로 변경하십시오.

   • UpdateAccessKey

5. 새 액세스 키만 사용하여 애플리케이션이 작동 중인지 확인합니다. 원래 액세스 키를 계속 사용하는 어떤 애플리케이션도 AWS 리소스에 더 이상 액세스할 수 없기 때문에 이 시점에 작업을 중단합니다. 그러한 애플리케이션 또는 도구를 찾는다면 그 상태를 Active로 되돌려 최초 액세스 키를 다시 활성화할 수 있습니다. 그런 다음 단계 2 단계로 돌아가 이 애플리케이션을 업데이트해 새 키를 사용하십시오.

6. 일정 기간 기다린 후 모든 애플리케이션과 도구가 업데이트되었는지 확인한 뒤에 다음 연산을 호출하여 최초 액세스 키를 삭제할 수 있습니다.

   • DeleteAccessKey

자세한 내용은 다음 단원을 참조하십시오.

• IAM 사용자의 액세스 키 교체 방법. AWS 보안 블로그의 이 게시물에서는 키 교체에 대한 자세한 내용을 설명합니다.

• IAM 모범 사례. 이 페이지에서는 리소스를 보호하기 위한 일반적인 권장 사항을 설명합니다.