AWS IAM 사용자 및 루트 사용자 개념 정리

📚 목차

1.  루트 사용자의 개념
2.  IAM 사용자의 개념

👨‍💻 들어가며

아마존웹서비스(AWS)에는 아래와 같이 2가지 종류의 계정이 존재합니다(그림 1 참고).

• 루트 계정
• IAM 계정

그림 1. AWS 로그인 화면: 루트 사용자 혹은 IAM 사용자로만 로그인 가능

본 포스팅에서는 2가지 사용자별 개념에 대해 각각 알아봅니다.

1.  루트 사용자의 개념

AWS 루트 사용자는 회원가입 시 만든 계정으로서 모든 AWS 권한을 갖고 있는 사용자입니다. 이 계정은 탈취당할 시 복구가 매우 어려울 뿐만 아니라, 최근에는 해커들이 비트코인 채굴에 AWS 계정을 착취하여 사용하기 때문에 상상을 초월하는 과금폭탄을 맞을 수 있습니다. 실제로 최근 국내에서 AWS 계정이 해킹을 당하여 과금만 3억이 나온 사례도 있습니다. 따라서, 루트 사용자는 계정 설정을 변경하거나 과금 관리(i.e., Billing) 등 관리 목적으로만 사용하는 것이 바람직합니다. 이처럼 루트 사용자는 최대한 사용을 자제하고 로그인 시 Multi Factor Authentication(MFA)과 같은 OTP 사용을 권장하고 있습니다. 

2.  IAM 사용자의 개념

루트 사용자는 탈취 당할 시 치명적인 문제를 야기할 수 있기 때문에 AWS 관리를 제외한 서비스 관리용 계정이 필요한데, 이러한 계정이 바로 IAM 사용자입니다. IAM은 Identity and Access Management의 약자로, 특정 사용자나 그룹의 서비스 혹은 리소스에 대한 접근 권한을 관리하는 서비스입니다. 쉽게 말하자면, 누가, 언제, 어디에서, 어떤 서비스를, 어떻게 접근하고 사용할 수 있을지 관리해 주는 역할을 합니다. IAM은 지역별(region) 서비스가 아닌 글로벌 서비스라는 점이 특징입니다.

그림 2. AWS IAM 로고

IAM 사용자는 IAM을 통해 생성한 사용자로 루트 사용자로부터 권한을 부여받은 서비스만 관리가 가능합니다. 예를 들어, 개발도구를 사용할 수 있는 개발팀 IAM 계정, 과금 정보 확인만 가능한 회계/감사팀 IAM 계정을 따로 만들 수 있습니다. 따라서, IAM 사용자 계정은 탈취를 당했을 때 탈취된 IAM 계정만 삭제하면 문제가 해결됩니다. 하지만, 루트 사용자는 탈취당하면 계정 자체를 삭제하기도 쉽지 않기 때문에 사용 자체를 자제하는 것이 좋습니다. 이에 루트 사용자와 같은 수준의 모든 권한을 IAM 사용자에게 부여한 계정으로 개발을 진행합니다. 이러한 IAM 사용자를 흔히 admin 사용자라고 부릅니다. IAM 사용자는 권한을 부여받으면 루트 계정과 같이 모든 권한을 가질 수 있지만 Billing 관련 권한은 루트 계정에서 따로 허용해 주어야 사용이 가능합니다. 

---

포스팅 내용에 오류가 있을 경우 아래에 댓글 남겨주시면 감사드리겠습니다😊

그럼 오늘도 건강하고 즐거운 하루 보내시길 바랍니다 :)

고맙습니다.