AWS 계정 루트 사용자
Amazon Web Services(AWS) 계정을 처음 생성하는 경우에는 사용자가 제공한 이메일 주소 및 암호가 계정의 모든 AWS 서비스 및 리소스에 대한 액세스 권한을 보유한 루트 사용자의 자격 증명입니다.
-
루트 수준 권한이 필요한 작업을 수행하는 경우에만 루트 사용자를 사용합니다. 루트 사용자로 로그인해야 하는 전체 작업 목록을 보려면 루트 사용자 보안 인증이 필요한 작업 섹션을 참조하세요.
-
AWS 계정에 대한 루트 사용자 모범 사례를 따릅니다.
-
로그인하는 데 문제가 있는 경우 Sign in to the AWS Management Console을 참조하세요.
Amazon Web Services(AWS) 계정을 처음 생성하는 경우에는 계정의 모든 AWS 서비스 및 리소스에 대한 전체 액세스 권한을 지닌 단일 로그인 자격 증명으로 시작합니다. 이 자격 증명은 AWS 계정 루트 사용자라고 하며, 계정을 생성할 때 사용한 이메일 주소와 암호로 로그인하여 액세스합니다.
중요
일상적인 작업에 루트 사용자를 사용하지 말고 AWS 계정에 대한 루트 사용자 모범 사례를 따르는 것이 좋습니다. 루트 사용자 자격 증명을 보호하고 루트 사용자만 수행할 수 있는 작업을 수행하는 데 사용합니다. 루트 사용자로 로그인해야 하는 전체 작업 목록을 보려면 루트 사용자 보안 인증이 필요한 작업 섹션을 참조하세요.
MFA는 기본적으로 루트 사용자에게 적용되지만 초기 계정 생성 중에 또는 로그인 중에 프롬프트가 표시될 때 MFA를 추가하는 고객 측 작업이 필요합니다. MFA를 사용하여 루트 사용자를 보호하는 방법에 대한 자세한 내용은 AWS 계정 루트 사용자에 대한 다중 인증 섹션을 참조하세요.
중앙에서 멤버 계정에 대한 루트 액세스 관리
자격 증명을 대규모로 관리할 수 있도록 AWS Organizations에서 멤버 계정의 루트 사용자 자격 증명에 대한 액세스를 중앙에서 보호할 수 있습니다. AWS Organizations를 활성화하면 중앙 관리를 위해 모든 AWS 계정을 조직으로 결합합니다. 루트 액세스를 중앙 집중화하면 루트 사용자 자격 증명을 제거하고 멤버 계정에서 다음과 같은 권한 있는 태스크를 수행할 수 있습니다.
- 멤버 계정 루트 사용자 자격 증명 제거
-
멤버 계정에 대한 루트 액세스를 중앙 집중화한 후 Organizations의 멤버 계정에서 루트 사용자 자격 증명을 삭제하도록 선택할 수 있습니다. 루트 사용자 암호, 액세스 키, 서명 인증서를 제거하고, 다중 인증(MFA)을 비활성화할 수 있습니다. Organizations에서 생성하는 새 계정에는 기본적으로 루트 사용자 자격 증명이 없습니다. 계정 복구가 활성화되지 않으면 멤버 계정은 루트 사용자로 로그인하거나 루트 사용자의 암호 복구를 수행할 수 없습니다.
- 루트 사용자 자격 증명이 필요한 권한 있는 태스크 수행
-
일부 태스크는 계정의 루트 사용자로 로그인한 경우에만 수행할 수 있습니다. 이 루트 사용자 보안 인증이 필요한 작업 중 일부는 IAM에 대한 관리 계정 또는 위임된 관리자가 수행할 수 있습니다. 멤버 계정에서 권한 있는 작업을 수행하는 방법에 대해 자세히 알아보려면 권한 있는 태스크 수행 섹션을 참조하세요.
- 루트 사용자의 계정 복구 활성화
-
멤버 계정에 대한 루트 사용자 자격 증명을 복구해야 하는 경우 Organizations 관리 계정 또는 위임된 관리자가 암호 복구 허용 권한 있는 태스크를 수행할 수 있습니다. 멤버 계정의 루트 사용자 이메일 받은 편지함에 액세스할 수 있는 사람은 루트 사용자 암호를 재설정하여 루트 사용자 자격 증명을 복구할 수 있습니다. 루트 사용자에 대한 액세스가 필요한 태스크를 완료한 후에는 루트 사용자 자격 증명을 삭제하는 것이 좋습니다.
추가 리소스
AWS 루트 사용자에 대한 자세한 내용은 다음 리소스를 참조하세요.
-
루트 사용자 문제에 대한 도움말은 루트 사용자 관련 문제 해결의 내용을 참조하세요.
-
Organizations에서 루트 사용자 이메일 주소를 중앙에서 관리하려면 AWS Organizations 사용 설명서의 Updating the root user email address for a member account를 참조하세요.
루트 사용자 보안 인증이 필요한 작업
일상 작업을 수행하고 AWS 리소스에 액세스하도록 AWS IAM Identity Center에서 관리 사용자를 구성하는 것이 좋습니다. 하지만 아래 나열된 작업은 계정의 루트 사용자로 로그인한 경우에만 수행할 수 있습니다.
AWS Organizations의 멤버 계정에서 권한 있는 루트 사용자 자격 증명을 간편하게 관리하기 위해 중앙 집중식 루트 액세스를 활성화하여 AWS 계정에 대한 높은 권한의 액세스를 중앙에서 보호할 수 있습니다. 중앙에서 멤버 계정에 대한 루트 액세스 관리를 통해 장기 루트 사용자 자격 증명 복구를 중앙에서 제거하고 방지하여 조직의 계정 보안을 강화할 수 있습니다. 이 기능을 활성화한 후 멤버 계정에서 다음과 같은 권한 있는 태스크를 수행할 수 있습니다.
-
멤버 계정 루트 사용자 자격 증명을 제거하여 루트 사용자의 계정 복구를 방지합니다. 암호 복구를 허용하여 멤버 계정에 대한 루트 사용자 자격 증명을 복구할 수도 있습니다.
-
모든 위탁자의 Amazon S3 버킷 액세스를 거부하는 잘못 구성된 버킷 정책을 제거합니다.
-
모든 위탁자가 Amazon SQS 대기열에 액세스하는 것을 거부하는 Amazon Simple Queue Service 리소스 기반 정책을 삭제합니다.
계정 관리 작업
-
계정 설정을 변경합니다. 여기에는 계정 이름, 이메일 주소, 루트 사용자 암호 및 루트 사용자 액세스 키가 포함됩니다. 연락처 정보, 결제 통화 기본 설정 및 AWS 리전 등의 기타 계정 설정에는 루트 사용자 보안 인증이 필요하지 않습니다.
-
IAM 사용자 권한을 복원합니다. IAM 관리자가 실수로 권한을 취소하면 루트 사용자로 로그인하여 정책을 편집하고 해당 권한을 복원할 수 있습니다.
-
자세한 정보는 다음의 주제를 참조하세요.
결제 작업
-
일부 결제 작업은 루트 사용자만 수행할 수 있습니다. 자세한 내용은 AWS Billing 사용 설명서에서 AWS 계정 관리를 참조하세요.
-
특정 세금 계산서를 조회합니다. aws-portal:ViewBilling 권한이 있는 IAM 사용자는 AWS 유럽(AWS Inc. 또는 Amazon Internet Services Private Limited(AISPL) 제외)에서 VAT 인보이스를 보고 다운로드할 수 있습니다.
AWS GovCloud (US) 작업
-
AWS Support에서 AWS GovCloud (US) 계정 루트 사용자 액세스 키를 요청합니다.
Amazon EC2 작업
-
예약 인스턴스 마켓플레이스에 판매자로 등록합니다.
AWS KMS 작업
-
AWS Key Management Service 키를 관리할 수 없게 된 경우 관리자는 지원에 연락하여 키를 복구할 수 있습니다. 그러나 지원는 티켓 OTP 확인을 통한 권한 부여를 위해 루트 사용자의 기본 전화번호로 응답합니다.
Amazon Mechanical Turk Task
Amazon Simple Storage Service Tasks
-
모든 보안 주체를 거부하는 Amazon S3 버킷 정책을 편집하거나 삭제합니다
. 권한 있는 작업을 사용하여 버킷 정책이 잘못 구성된 Amazon S3 버킷을 열 수 있습니다. 세부 정보는 AWS Organizations 멤버 계정에서 권한 있는 태스크 수행을 참조하세요.
Amazon Simple Queue Service Task
-
모든 위탁자를 거부하는 Amazon SQS 리소스 기반 정책을 편집하거나 삭제합니다
. 권한 있는 작업을 사용하여 리소스 기반 정책이 잘못 구성된 Amazon SQS 대기열을 열 수 있습니다. 세부 정보는 AWS Organizations 멤버 계정에서 권한 있는 태스크 수행을 참조하세요.
관련 정보
다음 문서에서는 루트 사용자 작업에 대한 추가 정보를 제공합니다.