AWS 계정 루트 사용자 - AWS Identity and Access Management

AWS 계정 루트 사용자

Amazon Web Services(AWS) 계정을 처음 생성하는 경우에는 사용자가 제공한 이메일 주소 및 암호가 계정의 모든 AWS 서비스 및 리소스에 대한 액세스 권한을 보유한 루트 사용자의 자격 증명입니다.

Amazon Web Services(AWS) 계정을 처음 생성하는 경우에는 계정의 모든 AWS 서비스 및 리소스에 대한 전체 액세스 권한을 지닌 단일 로그인 자격 증명으로 시작합니다. 이 자격 증명은 AWS 계정 루트 사용자라고 하며, 계정을 생성할 때 사용한 이메일 주소와 암호로 로그인하여 액세스합니다.

중요

일상적인 작업에 루트 사용자를 사용하지 말고 AWS 계정에 대한 루트 사용자 모범 사례를 따르는 것이 좋습니다. 루트 사용자 자격 증명을 보호하고 루트 사용자만 수행할 수 있는 작업을 수행하는 데 사용합니다. 루트 사용자로 로그인해야 하는 전체 작업 목록을 보려면 루트 사용자 보안 인증이 필요한 작업 섹션을 참조하세요.

MFA는 기본적으로 루트 사용자에게 적용되지만 초기 계정 생성 중에 또는 로그인 중에 프롬프트가 표시될 때 MFA를 추가하는 고객 측 작업이 필요합니다. MFA를 사용하여 루트 사용자를 보호하는 방법에 대한 자세한 내용은 AWS 계정 루트 사용자에 대한 다중 인증 섹션을 참조하세요.

중앙에서 멤버 계정에 대한 루트 액세스 관리

자격 증명을 대규모로 관리할 수 있도록 AWS Organizations에서 멤버 계정의 루트 사용자 자격 증명에 대한 액세스를 중앙에서 보호할 수 있습니다. AWS Organizations를 활성화하면 중앙 관리를 위해 모든 AWS 계정을 조직으로 결합합니다. 루트 액세스를 중앙 집중화하면 루트 사용자 자격 증명을 제거하고 멤버 계정에서 다음과 같은 권한 있는 태스크를 수행할 수 있습니다.

멤버 계정 루트 사용자 자격 증명 제거

멤버 계정에 대한 루트 액세스를 중앙 집중화한 후 Organizations의 멤버 계정에서 루트 사용자 자격 증명을 삭제하도록 선택할 수 있습니다. 루트 사용자 암호, 액세스 키, 서명 인증서를 제거하고, 다중 인증(MFA)을 비활성화할 수 있습니다. Organizations에서 생성하는 새 계정에는 기본적으로 루트 사용자 자격 증명이 없습니다. 계정 복구가 활성화되지 않으면 멤버 계정은 루트 사용자로 로그인하거나 루트 사용자의 암호 복구를 수행할 수 없습니다.

루트 사용자 자격 증명이 필요한 권한 있는 태스크 수행

일부 태스크는 계정의 루트 사용자로 로그인한 경우에만 수행할 수 있습니다. 이 루트 사용자 보안 인증이 필요한 작업 중 일부는 IAM에 대한 관리 계정 또는 위임된 관리자가 수행할 수 있습니다. 멤버 계정에서 권한 있는 작업을 수행하는 방법에 대해 자세히 알아보려면 권한 있는 태스크 수행 섹션을 참조하세요.

루트 사용자의 계정 복구 활성화

멤버 계정에 대한 루트 사용자 자격 증명을 복구해야 하는 경우 Organizations 관리 계정 또는 위임된 관리자가 암호 복구 허용 권한 있는 태스크를 수행할 수 있습니다. 멤버 계정의 루트 사용자 이메일 받은 편지함에 액세스할 수 있는 사람은 루트 사용자 암호를 재설정하여 루트 사용자 자격 증명을 복구할 수 있습니다. 루트 사용자에 대한 액세스가 필요한 태스크를 완료한 후에는 루트 사용자 자격 증명을 삭제하는 것이 좋습니다.

추가 리소스

AWS 루트 사용자에 대한 자세한 내용은 다음 리소스를 참조하세요.

루트 사용자 보안 인증이 필요한 작업

일상 작업을 수행하고 AWS 리소스에 액세스하도록 AWS IAM Identity Center에서 관리 사용자를 구성하는 것이 좋습니다. 하지만 아래 나열된 작업은 계정의 루트 사용자로 로그인한 경우에만 수행할 수 있습니다.

AWS Organizations의 멤버 계정에서 권한 있는 루트 사용자 자격 증명을 간편하게 관리하기 위해 중앙 집중식 루트 액세스를 활성화하여 AWS 계정에 대한 높은 권한의 액세스를 중앙에서 보호할 수 있습니다. 중앙에서 멤버 계정에 대한 루트 액세스 관리를 통해 장기 루트 사용자 자격 증명 복구를 중앙에서 제거하고 방지하여 조직의 계정 보안을 강화할 수 있습니다. 이 기능을 활성화한 후 멤버 계정에서 다음과 같은 권한 있는 태스크를 수행할 수 있습니다.

  • 멤버 계정 루트 사용자 자격 증명을 제거하여 루트 사용자의 계정 복구를 방지합니다. 암호 복구를 허용하여 멤버 계정에 대한 루트 사용자 자격 증명을 복구할 수도 있습니다.

  • 모든 위탁자의 Amazon S3 버킷 액세스를 거부하는 잘못 구성된 버킷 정책을 제거합니다.

  • 모든 위탁자가 Amazon SQS 대기열에 액세스하는 것을 거부하는 Amazon Simple Queue Service 리소스 기반 정책을 삭제합니다.

계정 관리 작업
결제 작업
AWS GovCloud (US) 작업
Amazon EC2 작업
AWS KMS 작업
  • AWS Key Management Service 키를 관리할 수 없게 된 경우 관리자는 지원에 연락하여 키를 복구할 수 있습니다. 그러나 지원는 티켓 OTP 확인을 통한 권한 부여를 위해 루트 사용자의 기본 전화번호로 응답합니다.

Amazon Simple Storage Service Tasks
Amazon Simple Queue Service Task

다음 문서에서는 루트 사용자 작업에 대한 추가 정보를 제공합니다.