AWS 계정 루트 사용자

---

Amazon Web Services(AWS) 계정을 처음 생성하는 경우에는 계정의 모든 AWS 서비스 및 리소스에 대한 전체 액세스 권한을 지닌 하나의 아이덴터티로 시작한다. 이 크레덴셜을 AWS 계정 루트 사용자라고 한다. 계정을 생성할 때 사용한 이메일 주소와 암호를 입력하여 루트 사용자로 로그인할 수 있다.

Warning

일상적인 작업, 심지어 관리 작업의 경우에도 루트 사용자를 사용하지 않을 것을 강력히 권장한다. 대신, IAM 사용자를 처음 생성할 때만 루트 사용자를 사용하는 모범 사례를 준수한다. 그런 다음 루트 사용자 크레덴셜을 안전하게 보관하고 몇 가지 계정 및 서비스 관리 태스크를 수행할 때만 사용한다.

AWS 계정 루트 사용자에 대한 액세스 키(액세스 키 ID 및 보안 액세스 키)를 생성, 교체, 비활성화 또는 삭제할 수 있다. 루트 사용자 암호를 변경할 수도 있다. AWS 계정에 대한 루트 사용자 크레덴셜을 보유한 사람은 누구든지 결제 정보를 포함하여 해당 계정의 모든 리소스에 무제한으로 액세스할 수 있다.

액세스 키를 만들 때 액세스 키 ID와 보안 액세스 키를 한 세트로 생성한다. 액세스 키 생성 중에 AWS는 액세스 키의 보안 액세스 키 부분을 확인하고 다운로드할 기회를 한 번 부여한다. 보안 액세스 키를 다운로드하지 않았거나 분실한 경우 액세스 키를 삭제한 다음 새로 생성할 수 있다. IAM 콘솔, AWS CLI 또는 AWS API를 사용해 루트 사용자 액세스 키를 생성할 수 있다.

새로 생성한 액세스 키는 활성 상태이다. 즉, CLI 및 API 호출에 대해 액세스 키를 사용할 수 있다. 각 IAM 사용자에 대한 액세스 키는 두 개로 제한된다. 이는 액세스 키를 교체하려는 경우에 유용하다. 또한 루트 사용자에 최대 두 개의 액세스 키를 할당할 수 있다. 액세스 키를 비활성화한 경우 API 호출에 액세스 키를 사용할 수 없다. 비활성 키는 여전히 제한에 포함된다. 언제든지 액세스 키를 생성하거나 삭제할 수 있다. 그러나 액세스 키를 삭제하면 영구 삭제되어 되돌릴 수 없다.

보안 크레덴셜 페이지에서 이메일 주소 및 암호를 변경할 수 있다. 또한 AWS 로그인 페이지에서 Forgot password?(암호 찾기)를 선택하여 암호를 재설정할 수 있다.

---

1. AWS 계정 생성 또는 삭제

자세한 내용은 AWS 지식 센터의 다음 문서를 참조한다.

• AWS 계정을 생성하고 활성화하려면 어떻게 해야 하나요?

• 내 AWS 계정을 어떻게 해지하나요?

---

2. AWS 계정 루트 사용자의 MFA 활성화

보안 모범 사례에 따라 계정에 대한 다중 인증(MFA)을 활성화하는 것이 좋다. 루트 사용자는 계정에서 민감한 작업을 수행할 수 있기 때문에 인증 단계를 추가하면 계정의 보안을 강화하는 데 도움이 된다. 여러 유형의 MFA가 있다. MFA 활성화에 대한 자세한 내용은 다음을 참조한다.

• AWS 계정 루트 사용자용 가상 MFA 디바이스 활성화(콘솔)

• AWS 계정 루트 사용자에 대해 하드웨어 MFA 디바이스 활성화(콘솔)

---

3. 루트 사용자를 위한 액세스 키 생성

AWS Management Console 또는 AWS 프로그래밍 도구를 사용하여 루트 사용자에 대한 액세스 키를 생성할 수 있다.

AWS 계정루트 사용자에 대한 액세스 키를 생성하려면(콘솔)

1. 루트 사용자(Root user)를 선택하고 AWS 계정 계정 이메일 주소를 입력하여 IAM 콘솔에 계정 소유자로 로그인한다. 다음 페이지에서 암호를 입력한다.

Note

텍스트 상자가 세 개 표시되면 이전에 IAM 사용자 크레덴셜으로 콘솔에 로그인한 것이다. 브라우저에서 이 기본 설정을 기억하고 로그인할 때마다 이 계정별 로그인 페이지를 열 수 있다. IAM 사용자 로그인 페이지에서는 계정 소유자로 로그인할 수 없다. IAM 사용자 로그인 페이지가 표시되면 페이지 하단에 있는 루트 사용자 이메일을 사용하여 로그인(Sign in using root user email)을 선택하여 기본 로그인 페이지로 돌아간다. 여기에서 AWS 계정 이메일 주소와 암호를 사용하여 루트 사용자로 로그인할 수 있다.

1. 탐색 표시줄에서 계정 이름을 선택한 다음 내 보안 크레덴셜(My Security Credentials)을 선택한다.

2. AWS 계정의 보안 크레덴셜에 대한 액세스와 관련해 경고가 나타나면, 보안 크레덴셜으로 계속(Continue to Security Credentials)을 선택한다.

3. Access keys(access key ID and secret access key)(액세스 키(액세스 키 ID 및 보안 액세스 키)) 섹션을 확장한다.

4. 새 액세스 키 생성(Create New Access Key)을 선택한다. 이 기능이 비활성화되면 새 키를 생성할 수 있기 전에 기존 액세스 키 중 하나를 삭제해야 한다.

   보안 액세스 키를 보거나 다운로드할 수 있는 기회는 이번 한 번뿐이라는 경고가 표시된다. 나중에는 조회할 수 없다.

   • Show Access Key(액세스 키 표시)를 선택하면 브라우저 창에서 액세스 키 ID 및 보안 키를 복사해 다른 곳에 붙여넣기할 수 있다.

   • Download Key File(키 파일 다운로드)을 선택하면 액세스 키 ID 및 보안 키가 저장된 rootkey.csv라는 이름의 파일을 받게 된다. 파일을 안전한 곳에 저장한다.

5. 액세스 키를 더 이상 사용하지 않을 때는 오용되지 않도록 삭제하거나 Make Inactive(비활성화)를 선택하여 비활성 상태로 표시할 것을 권한다.

루트 사용자에 대한 액세스 키(AWS CLI 또는 AWS API)를 생성하려면

다음 중 하나를 사용한다.

• AWS CLI: aws iam create-access-key

• AWS API: CreateAccessKey

---

4. 루트 사용자를 위한 액세스 키 삭제

AWS Management Console을 사용하여 루트 사용자에 대한 액세스 키를 삭제할 수 있다.

1. AWS 계정 이메일 주소와 암호를 사용하여 AWS Management Console에 AWS 계정 루트 사용자로 로그인한다.

2. 탐색 표시줄에서 계정 이름을 선택한 다음 내 보안 크레덴셜(My Security Credentials)을 선택한다.

3. AWS 계정의 보안 크레덴셜에 대한 액세스와 관련해 경고가 나타나면, Continue to Security Credentials(보안 크레덴셜으로 계속)을 선택한다.

4. Access keys(access key ID and secret access key)(액세스 키(액세스 키 ID 및 보안 액세스 키)) 섹션을 확장한다.

5. 삭제하고자 하는 액세스 키를 찾은 다음, 작업 열에서 삭제를 선택힌다.

Note

액세스 키를 삭제하는 대신에 비활성 상태로 표시할 수 있다. 이렇게 하면 키 ID나 보안 키를 변경하지 않고도 나중에 액세스 키를 다시 사용할 수 있다. 비활성 상태에 있는 동안에는 AWS API에 대한 요청을 통해 액세스 키를 사용하려는 시도는 액세스 거부 상태로 인해 실패한다.

---

5. 루트 사용자의 암호 변경

루트 사용자의 암호 변경에 대한 자세한 내용은 AWS 계정 루트 사용자 암호 변경 섹션을 참조한다. 루트 사용자를 변경하려면 루트 사용자 크레덴셜을 사용하여 로그인해야 한다.

---

6. 루트 사용자에 대한 크레덴셜 보호

AWS 계정 루트 사용자에 대해 크레덴셜을 보호하는 방법에 대한 자세한 내용은 루트 사용자 보안 인증을 보호하고 일상적인 작업에 사용하지 마세요. 섹션을 참조한다.

---

7. 루트 사용자 소유자 전송

루트 사용자의 소유권을 이전하려면 내 AWS 계정을 다른 사람이나 비즈니스에 어떻게 전송하나요?를 참조한다.

---

References

• https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_root-user.html