개요
AWS 인프라를 운용하면서 조직 기능을 사용하게 되면 멤버 계정들의 많은 루트 계정을 관리하는게 영 쉽지 않은 일이다. 그래서 생긴 중앙 집중식 루트 액세스 기능에 대해서 알아보고자 한다.
설정
먼저 마스터 계정의 IAM 메뉴에서 루트 액세스 관리 메뉴를 찾는다.
메뉴를 클릭하여 기능을 활성화 한다.
필요한 기능을 체크하고 위임 계정을 입력한다.
- 루트 자격 증명 관리 : 루트 계정에 대한 관리 권한을 마스터 계정에 제공한다.
- 멤버 계정의 권한 있는 루트 작업 : 간혹 버킷 정책등을 잘못 설정하면 IAM 사용자로는 접근 자체가 불가능한데, 이러한 상황에서의 루트 작업에 대한 권한을 마스터 계정에 제공한다.
위임 계정을 비워두면 현재 작업중인 마스터 계정이 관리자가 된다.
설정을 완료하였으면 배너 또는 화면의 화살표에 있는 루트 액세스 관리를 클릭하여 루트 권한을 관리할 수 있다.
작업이 필요한 계정을 선택하여 권한 있는 작업 수행을 진행한다. 루트 사용자 자격 증명이 현재 로 표기되고 있는데, 이는 루트 계정에 대해서 비밀번호 등이 설정되어 계정이 활성화 되어있다는 뜻이다.
계정 내에서의 작업을 선택한다. 지금은 멤버 계정의 루트 계정을 모두 비활성화 하는 것이 목적이므로 루트 사용자 자격 증명 삭제를 진행한다.
작업이 완료되면 다른 멤버 계정에 대해서 동일한 절차를 반복하여 모든 멤버 계정이 루트 사용자 자격 증명을 가지지 않도록 한다. 기능 설명에 적힌 바와 같이, 이 작업을 수행하면 멤버 루트 계정의 비밀번호와 MFA가 모두 삭제되고, 향후 비밀번호 복구와 같은 과정을 통해서 이를 다시 활성화하는 것이 불가능하다.
결론
이제 AWS의 조직 마스터 계정을 이용하여 멤버 계정의 모든 루트 계정을 차단하고 일관되게 관리할 수 있게 되었다. 매번 멤버 계정에 대해서 이메일을 만드는 것도 간단하게 조직 마스터 계정에 별칭을 붙여서 생성하면 별도의 이메일도 필요 없다.
- 조직 마스터 루트 이메일 : org@example.com
- 멤버 루트 이메일 : org+alias1@example.com
항상 보안이 중요하다. 안.전!