중요
모범 사례는 액세스 키와 같은 장기 보안 인증을 생성하는 대신 임시 보안 인증(예: IAM 역할)을 사용하는 것입니다. 액세스 키를 생성하기 전에 장기 액세스 키의 대안을 검토합니다.
액세스 키는 IAM 사용자 또는 AWS 계정 루트 사용자에 대한 장기 보안 인증입니다. 액세스 키를 사용하여 AWS CLI 또는 AWS API에 대한 프로그래밍 요청에 서명할 수 있습니다(직접 또는 AWS SDK를 사용하여). 자세한 내용은 AWS 보안 자격 증명을 사용한 프로그래밍 방식 액세스 단원을 참조하십시오.
액세스 키는 액세스 키 ID(예: AKIAIOSFODNN7EXAMPLE)와 비밀 액세스 키(예: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)의 두 가지 부분으로 구성됩니다. 액세스 키 ID와 보안 액세스 키를 함께 사용하여 요청을 인증해야 합니다.
액세스 키 페어를 생성할 때는 액세스 키 ID와 보안 액세스 키를 안전한 위치에 저장합니다. 시크릿 액세스 키는 생성할 때만 가져올 수 있습니다. 보안 액세스 키를 분실한 경우 액세스 키를 삭제하고 새 키를 생성해야 합니다. 자세한 지침은 액세스 키 업데이트 섹션을 참조하세요.
사용자당 최대 2개의 액세스 키를 가질 수 있습니다.
중요
액세스 키가 있는 IAM 사용자는 계정 보안 위험이 있습니다. 액세스 키를 안전하게 관리하세요. 계정 식별자를 찾는 데 도움이 되더라도 액세스 키를 권한 없는 당사자에게 제공하지 마세요. 이로 인해 다른 사람에게 계정에 대한 영구 액세스를 제공하게 될 수 있습니다.
다음은 액세스 키를 사용할 때 알아야 할 사항입니다.
-
금지 사항. 액세스 키를 생성할 때는 계정의 루트 자격 증명을 사용하면 안 됩니다.
-
금지 사항. 애플리케이션 파일에 액세스 키나 자격 증명 정보를 넣으면 안 됩니다.
-
금지 사항. 프로젝트 영역에 액세스 키나 자격 증명 정보가 포함된 파일을 포함하면 안 됩니다.
-
공유 AWS 자격 증명 파일에 저장된 액세스 키 또는 자격 증명 정보는 일반 텍스트로 저장됩니다.
모니터링 권장 사항
액세스 키 생성 후
-
AWS CloudTrail을 사용하여 액세스 키 사용량을 모니터링하고 무단 액세스 시도를 탐지합니다. 자세한 내용은 AWS CloudTrail을 사용하여 IAM 및 AWS STS API 호출 로깅 단원을 참조하십시오.
-
악의적인 활동을 탐지하는 데 도움이 되도록 거부된 액세스 시도에 대해 관리자에게 알리도록 CloudWatch 경보를 설정합니다. 자세한 내용은 Amazon CloudWatch 사용 설명서를 참조하세요.
-
필요에 따라 액세스 키를 정기적으로 검토, 업데이트 및 삭제합니다.
다음 주제에서는 액세스 키와 관련된 관리 작업에 대한 자세한 정보를 제공합니다.
주제
