1. 도입 배경#

버디야 프로젝트에서 기존에는 aws root 계정을 공유하고 root 계정으로 접속할 때마다 매번 root 계정 주인인 팀원의 MFA 2차 인증을 해야하는 번거로운 문제가 있었다. 또한 root 계정을 공유하는 방식 자체가 보안상 위험하다는 생각을 하여 이를 해결할 수 있는 방법을 찾아보다가 IAM 이라는 개념을 알게 되었다.

2. 해결 과정#

먼저 IAM이 뭔지, 어떻게 쓰이는지에 대해 알아보자.

IAM 알아보기#

IAM(Identity and Access Management) 계정이란?#

• AWS Identity and Access Management(IAM)은 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스이다.
• AWS의 계정을 최초로 생성할 때 모든 AWS 서비스 및 리소스에 대해 완전한 액세스 권한이 있는 단일 로그인 ID로 시작하는데 이 자격 증명을 root 사용자라고 한다.
• 하지만 root 계정은 공유되어서도 안되고 모든 권한을 가지고 있기 때문에 보안을 주의해야 한다.
• 그래서 root 사용자를 사용하지 않을 것을 권장하고, IAM을 통해 리소스를 사용할 수 있도록 인증(로그인, 계정) 및 권한 부여된 대상을 제어한다.

IAM의 기능#

• 사용자와 그룹 생성 : AWS 리소스에 접근할 수 있는 계정을 만들고 관리
• 권한 부여 : 누가 어떤 리소스에 어떤 작업을 할 수 있는지 설정
• 역할 관리 : EC2, Lambda 같은 서비스나 외부 사용자에게 권한을 위임

IAM 정책(IAM Policy)#

• IAM 정책(politcy)은 IAM 역할(role) 혹은 개인 사용자에 부여할 수 있다.
• 사용자에게 직접적으로 정책을 줄 수도 있지만 사용자 그룹에 대해서 줄 수도 있다.(그룹 기반 관리가 확장성 및 운영 효율성 측면에서는 용이함)

직접 프로젝트에 적용하기#

1) IAM 사용자 생성#

• AWS 콘솔에서 IAM 서비스로 이동하여 새로운 사용자를 생성한다.

2) 사용자 세부 정보 지정#

• 사용자 세부 정보 지정 단계에서는 팀원의 역할과 책임에 따라 명확한 사용자명을 설정하였다.

3) 사용자 권한 설정#

• 권한 설정에서는 사용자 그룹을 새로 생성하거나 기존의 사용자 그룹에 사용자를 추가할 수 있다.
• 한 명의 사용자가 목적에 따라 두 개, 세 개의 사용자 그룹에 포함 가능
• 만약 그룹이 아닌 사용자 단독으로 정책을 부여할 경우 직접 정책 연결을 선택해야 한다.

4) 사용자 그룹 생성#

• 관리자 계정을 만들어야 하므로 AdministratorAccess 권한을 부여하여 관리자와 동일한 접근 권한 부여하였다.

5) 권한 검토#

• 마지막은 검토 단계이며 여태까지 설정해 준 사용자의 세부 정보와 권한들이 나온다.
• 검토가 끝났다면 사용자 생성 버튼을 눌러 사용자를 생성해준다.

6) 생성된 암호 확인 및 다운로드#

• 마지막으로 IAM 계정을 생성하면 해당 콘솔에 로그인 할 수 있는 URL이 나온다.
• .csv 파일은 콘솔 로그인 URL, 사용자 이름, 콘솔 암호가 있으므로 꼭 다운받아 저장한다.

7) IAM 계정으로 로그인하기#

• 콘솔 URL로 접속하면 이렇게 IAM 사용자로 로그인이라는 창이 뜨고, 내 계정 ID 혹은 별칭이 뜨게 된다.
• 만들었던 사용자의 이름과 발급받은 암호를 입력해 준다.

3. 성과#

IAM 사용자 관리를 도입하고, 각 팀원이 개별 IAM 계정으로 독립적으로 작업할 수 있게 되어 개발 작업의 효율성이 향상되었다. (기존에는 2차 인증 때문에 root 계정 주인에게 새벽에 작업할 경우 아침까지 기다려야 하는 문제가..) 사용자 그룹 기반의 권한 관리를 통해 신규 팀원이 온보딩될 때 그룹에 추가만 하면 즉시 필요한 권한을 부여할 수 있어 확장성과 유지 관리 측면에서도 효율적인 구조로 개선되었다. 또한 root 계정 공유라는 보안 취약점에서 벗어나, 사용자별 활동 로그 추적이 가능한 안전한 권한 관리 시스템으로 전환하였다는 것이 장점인 것 같다.

(프로젝트 시작 시 처음부터 대두되던 번거로운 문제였는데 미루다가 이제서야 적용한 점을 반성합니다..ㅎㅎ)