# AWS 계정 루트 사용자
<a name="id_root-user"></a>

Amazon Web Services(AWS) 계정을 처음 생성하는 경우에는 계정의 모든 AWS 서비스 및 리소스에 대한 전체 액세스 권한을 지닌 단일 로그인 자격 증명으로 시작합니다. 이 자격 증명을 AWS계정 루트 사용자라고 합니다.** AWS 계정을 생성할 때 사용한 이메일 주소 및 암호가 루트 사용자로 로그인할 때 사용하는 자격 증명입니다.
+ 루트 수준 권한이 필요한 작업을 수행하는 경우에만 루트 사용자를 사용합니다. 루트 사용자로 로그인해야 하는 전체 작업 목록을 보려면 [루트 사용자 보안 인증이 필요한 작업](#root-user-tasks) 섹션을 참조하세요.
+ [AWS 계정에 대한 루트 사용자 모범 사례](root-user-best-practices.md)를 따릅니다.
+ 로그인하는 데 문제가 있는 경우 [AWS Management Console 로그인](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html)을 참조하세요.

**중요**  
일상적인 작업에 루트 사용자를 사용하지 말고 [AWS 계정에 대한 루트 사용자 모범 사례](root-user-best-practices.md)를 따르는 것이 좋습니다. 루트 사용자 자격 증명을 보호하고 루트 사용자만 수행할 수 있는 작업을 수행하는 데 사용합니다. 루트 사용자로 로그인해야 하는 전체 작업 목록을 보려면 [루트 사용자 보안 인증이 필요한 작업](#root-user-tasks) 섹션을 참조하세요.

MFA는 기본적으로 루트 사용자에게 적용되지만 초기 계정 생성 중에 또는 로그인 중에 프롬프트가 표시될 때 MFA를 추가하는 고객 측 작업이 필요합니다. MFA를 사용하여 루트 사용자를 보호하는 방법에 대한 자세한 내용은 [AWS 계정 루트 사용자에 대한 다중 인증](enable-mfa-for-root.md) 섹션을 참조하세요.

## 중앙에서 멤버 계정에 대한 루트 액세스 관리
<a name="id_root-user-access-management"></a>

자격 증명을 대규모로 관리할 수 있도록 AWS Organizations에서 멤버 계정의 루트 사용자 자격 증명에 대한 액세스를 중앙에서 보호할 수 있습니다. AWS Organizations를 활성화하면 중앙 관리를 위해 모든 AWS 계정을 조직으로 결합합니다. 루트 액세스를 중앙 집중화하면 루트 사용자 자격 증명을 제거하고 멤버 계정에서 다음과 같은 권한 있는 태스크를 수행할 수 있습니다.

**멤버 계정 루트 사용자 자격 증명 제거**  
[멤버 계정에 대한 루트 액세스를 중앙 집중화](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html)한 후 Organizations의 멤버 계정에서 루트 사용자 자격 증명을 삭제하도록 선택할 수 있습니다. 루트 사용자 암호, 액세스 키, 서명 인증서를 제거하고, 다중 인증(MFA)을 비활성화할 수 있습니다. Organizations에서 생성하는 새 계정에는 기본적으로 루트 사용자 자격 증명이 없습니다. 계정 복구가 활성화되지 않으면 멤버 계정은 루트 사용자로 로그인하거나 루트 사용자의 암호 복구를 수행할 수 없습니다.

**루트 사용자 자격 증명이 필요한 권한 있는 태스크 수행**  
일부 태스크는 계정의 루트 사용자로 로그인한 경우에만 수행할 수 있습니다. 이 [루트 사용자 보안 인증이 필요한 작업](#root-user-tasks) 중 일부는 IAM에 대한 관리 계정 또는 위임된 관리자가 수행할 수 있습니다. 멤버 계정에서 권한 있는 작업을 수행하는 방법에 대해 자세히 알아보려면 [권한 있는 태스크 수행](id_root-user-privileged-task.md) 섹션을 참조하세요.

**루트 사용자의 계정 복구 활성화**  
멤버 계정에 대한 루트 사용자 자격 증명을 복구해야 하는 경우 Organizations 관리 계정 또는 위임된 관리자가 **암호 복구 허용** 권한 있는 태스크를 수행할 수 있습니다. 멤버 계정의 루트 사용자 이메일 받은 편지함에 액세스할 수 있는 사람은 [루트 사용자 암호를 재설정](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)하여 루트 사용자 자격 증명을 복구할 수 있습니다. 루트 사용자에 대한 액세스가 필요한 태스크를 완료한 후에는 루트 사용자 자격 증명을 삭제하는 것이 좋습니다.

# 멤버 계정에 대한 루트 액세스 중앙 집중화
<a name="id_root-enable-root-access"></a>

루트 사용자 자격 증명은 계정의 모든 AWS 서비스 및 리소스에 대한 전체 액세스 권한이 있는 각 AWS 계정에 할당된 초기 자격 증명입니다. AWS Organizations를 활성화하면 중앙 관리를 위해 모든 AWS 계정을 조직으로 결합합니다. 각 멤버 계정에는 멤버 계정에서 작업을 수행할 수 있는 기본 권한이 있는 자체 루트 사용자가 있습니다. AWS Organizations를 사용하여 관리하는 AWS 계정의 루트 사용자 자격 증명을 중앙에서 보호하여 대규모 루트 사용자 자격 증명 복구 및 액세스를 방지하는 것이 좋습니다.

루트 액세스를 중앙 집중화한 후 조직의 멤버 계정에서 루트 사용자 자격 증명을 삭제하도록 선택할 수 있습니다. 루트 사용자 암호, 액세스 키, 서명 인증서를 제거하고, 다중 인증(MFA)을 비활성화할 수 있습니다. AWS Organizations에서 생성하는 새 계정에는 기본적으로 루트 사용자 자격 증명이 없습니다. 멤버 계정은 루트 사용자로 로그인하거나 루트 사용자의 암호 복구를 수행할 수 없습니다.

**참고**  
일부 [루트 사용자 보안 인증이 필요한 작업](id_root-user.md#root-user-tasks)는 IAM의 관리 계정 또는 위임된 관리자가 수행할 수 있지만, 일부 태스크는 계정의 루트 사용자로 로그인할 때만 수행할 수 있습니다.  
이러한 작업 중 하나를 수행하기 위해 멤버 계정의 루트 사용자 자격 증명을 복구해야 하는 경우, [권한 있는 태스크 수행](id_root-user-privileged-task.md)의 단계를 따르고 **암호 복구 허용**을 선택합니다. 그러면 멤버 계정의 루트 사용자 이메일 받은 편지함에 액세스할 수 있는 사람이 단계를 따라 [루트 사용자 암호를 재설정](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)하고 멤버 계정 루트 사용자로 로그인할 수 있습니다.  
 루트 사용자에 대한 액세스가 필요한 태스크를 완료한 후에는 루트 사용자 자격 증명을 삭제하는 것이 좋습니다.

## 사전 조건
<a name="enable-root-access-management_prerequisite"></a>

루트 액세스를 중앙 집중화하기 전에 다음 설정으로 계정을 구성해야 합니다.
+ 이 경우 다음 IAM 권한이 있어야 합니다.
  + `iam:GetAccessKeyLastUsed`
  + `iam:GetAccountSummary`
  + `iam:GetLoginProfile`
  + `iam:GetUser`
  + `iam:ListAccessKeys`
  + `iam:ListMFADevices`
  + `iam:ListSigningCertificates`
  + `sts:AssumeRoot`
**참고**  
멤버 계정의 루트 사용자 자격 증명 상태를 감사하려면 AWS Organizations 멤버 계정에서 권한 있는 태스크를 수행할 때 [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials) AWS 관리형 정책을 사용하여 권한 범위를 축소하거나 `iam:GetAccountSummary`에 액세스할 수 있는 정책을 사용합니다.  
루트 사용자 자격 증명 정보 보고서를 생성하려면 다른 정책에 동일한 출력을 생성하는 `iam:GetAccountSummary` 작업만 있으면 됩니다. 다음을 비롯한 개별 루트 사용자 자격 증명 정보를 나열하거나 가져올 수 있습니다.  
루트 사용자 암호가 있는지 여부
루트 사용자에게 액세스 키가 있는지 여부 및 해당 액세스 키를 마지막으로 사용한 시점
루트 사용자에게 서명 인증서가 연결되었는지 여부
루트 사용자에게 연결된 MFA 디바이스
통합 루트 사용자 자격 증명 상태 목록
+ [AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html)에서 AWS 계정을 관리해야 합니다.
+ 조직에서 이 기능을 활성화하려면 다음과 같은 권한이 있어야 합니다.
  + `iam:EnableOrganizationsRootCredentialsManagement`
  + `iam:EnableOrganizationsRootSessions`
  + `iam:ListOrganizationsFeatures`
  + `organizations:EnableAwsServiceAccess`
  + `organizations:ListAccountsForParent`
  + `organizations:RegisterDelegatedAdministrator` 
+ 콘솔 기능을 최적화하려면 다음과 같은 추가 권한을 활성화하는 것이 좋습니다.
  + `organizations:DescribeAccount`
  + `organizations:DescribeOrganization`
  + `organizations:ListAWSServiceAccessForOrganization`
  + `organizations:ListDelegatedAdministrators`
  + `organizations:ListOrganizationalUnitsForParent`
  + `organizations:ListParents`
  + `organizations:ListTagsForResource`

## 중앙 집중식 루트 액세스 활성화(콘솔)
<a name="enable-root-access-console"></a>

**AWS Management Console에서 멤버 계정에 대해 이 기능을 활성화하려면 다음을 수행하세요.**

1. AWS Management Console에 로그인하여 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.

1. 콘솔의 탐색 창에서 **루트 액세스 관리**를 선택하고 **활성화**를 선택합니다.
**참고**  
**루트 액세스 관리가 비활성화**되어 있는 경우 AWS Organizations에서 AWS Identity and Access Management에 대해 신뢰할 수 있는 액세스를 활성화하세요. 자세한 내용은 *AWS Organizations 사용 설명서*의 [AWS IAM and AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-iam.html)를 참조하세요.

1. 활성화할 수 있는 기능 섹션에서 활성화할 기능을 선택합니다.
   + IAM에 대한 관리 계정과 위임된 관리자가 멤버 계정의 루트 사용자 자격 증명을 삭제할 수 있도록 허용하려면 **루트 자격 증명 관리**를 선택하세요. 멤버 계정에서 권한 있는 루트 작업을 활성화해야 멤버 계정이 루트 사용자 자격 증명을 삭제한 후에도 복구할 수 있습니다.
   + **멤버 계정의 권한 있는 루트 작업**을 선택하여 IAM에 대한 관리 계정과 위임된 관리자가 루트 사용자 자격 증명이 필요한 특정 작업을 수행할 수 있도록 허용하세요.

1. (선택 사항) 루트 사용자 액세스를 관리하고 멤버 계정에 대한 권한 있는 작업을 수행할 권한이 있는 **위임된 관리자**의 계정 ID를 입력합니다. 보안이나 관리 목적으로 사용되는 계정을 권장합니다.

1. **활성화**를 선택합니다.

## 중앙 집중식 루트 액세스 활성화(AWS CLI)
<a name="enable-root-access-cli"></a>

**AWS Command Line Interface(AWS CLI)에서 중앙 집중식 루트 액세스를 활성화하려면 다음을 수행하세요.**

1. AWS Organizations에서 AWS Identity and Access Management에 대해 신뢰할 수 있는 액세스를 아직 활성화하지 않은 경우 [aws organizations enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html) 명령을 사용합니다.

1. [aws iam enable-organizations-root-credentials-management](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-credentials-management.html) 명령을 사용하여 관리 계정과 위임된 관리자가 멤버 계정의 루트 사용자 자격 증명을 삭제하도록 허용하세요.

1. [aws iam enable-organizations-root-sessions](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-sessions.html) 명령을 사용하여 관리 계정과 위임된 관리자가 루트 사용자 자격 증명이 필요한 특정 작업을 수행하도록 허용하세요.

1. (선택 사항) [aws organizations register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html) 명령을 사용하여 위임된 관리자를 등록합니다.

   다음 예에서는 계정 111111111111을 IAM 서비스에 대한 위임된 관리자로 할당합니다.

   ```
   aws organizations register-delegated-administrator 
   --service-principal iam.amazonaws.com
   --account-id 111111111111
   ```

## 중앙 집중식 루트 액세스 활성화(AWS API)
<a name="enable-root-access-api"></a>

**AWS API에서 중앙 집중식 루트 액세스를 활성화하려면 다음을 수행하세요.**

1. AWS Organizations에서 AWS Identity and Access Management에 대해 신뢰할 수 있는 액세스를 아직 활성화하지 않은 경우 [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) 명령을 사용합니다.

1. [EnableOrganizationsRootCredentialsManagement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootCredentialsManagement.html) 명령을 사용하여 관리 계정과 위임된 관리자가 멤버 계정의 루트 사용자 자격 증명을 삭제하도록 허용하세요.

1. [EnableOrganizationsRootSessions](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootSessions.html) 명령을 사용하여 관리 계정과 위임된 관리자가 루트 사용자 자격 증명이 필요한 특정 작업을 수행하도록 허용하세요.

1. (선택 사항) [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html) 명령을 사용하여 위임된 관리자를 등록합니다.

## 다음 단계
<a name="enable-root-access_next-steps"></a>

조직의 멤버 계정에 대한 권한 있는 자격 증명을 중앙에서 보호한 후에는 [권한 있는 태스크 수행](id_root-user-privileged-task.md) 섹션을 참조하여 멤버 계정에서 권한 있는 작업을 수행하세요.

# AWS Organizations 멤버 계정에서 권한 있는 태스크 수행
<a name="id_root-user-privileged-task"></a>

IAM의 AWS Organizations 관리 계정 또는 위임된 관리자 계정은 멤버 계정에서 몇 가지 권한 있는 작업을 수행할 수 있습니다. 멤버 계정을 사용하지 않으면 루트 사용자 자격 증명이 필요합니다. 중앙 집중식 루트 액세스를 사용하면 이러한 태스크는 권한 있는 단기 세션을 통해 수행됩니다. 이러한 세션은 멤버 계정에 루트 사용자 로그인을 요구하지 않고 권한 있는 특정 작업으로 한정된 임시 자격 증명을 제공합니다.

권한 있는 세션을 시작하면 잘못 구성된 Amazon S3 버킷 정책을 삭제하고, 잘못 구성된 Amazon SQS 대기열 정책을 삭제하고, 멤버 계정의 루트 사용자 자격 증명을 삭제하고, 멤버 계정에 대해 루트 사용자 자격 증명을 다시 활성화할 수 있습니다.

**참고**  
중앙 집중식 루트 액세스를 사용하려면 `sts:AssumeRoot` 권한이 명시적으로 부여된 IAM 사용자 또는 역할로 관리 계정이나 위임된 관리자 계정을 통해 로그인해야 합니다. 루트 사용자 자격 증명을 사용하여 `sts:AssumeRoot`를 직접적으로 호출할 수 없습니다.

## 사전 조건
<a name="root-user-privileged-task_prerequisite"></a>

권한 있는 세션을 시작하려면 다음 설정이 필요합니다.
+ 조직에서 중앙 집중식 루트 액세스를 활성화했습니다. 이 기능을 활성화하는 단계는 [멤버 계정에 대한 루트 액세스 중앙 집중화](id_root-enable-root-access.md) 섹션을 참조하세요.
+ 관리 계정 또는 위임된 관리자 계정에 `sts:AssumeRoot` 권한이 있습니다.

## 멤버 계정에서 권한 있는 작업 수행
<a name="root-user-privileged-task_action-console"></a>

**AWS Management Console에서 멤버 계정의 권한 있는 작업에 대한 세션을 시작하려면 다음을 수행하세요.**

1. AWS Management Console에 로그인하여 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.

1. 콘솔의 탐색 창에서 **루트 액세스 관리**를 선택합니다.

1. 멤버 계정 목록에서 이름을 선택하고 **권한 있는 작업 수행**을 선택합니다.

1. 멤버 계정에서 수행할 권한 있는 작업을 선택합니다.
   + 모든 위탁자의 Amazon S3 버킷 액세스를 거부하는 잘못 구성된 버킷 정책을 제거하려면 **Amazon S3 버킷 정책 삭제**를 선택합니다.

     1. **S3 찾아보기**를 선택하여 멤버 계정이 소유한 버킷에서 이름을 선택하고 **선택**을 선택합니다.

     1. **버킷 정책 삭제**를 선택합니다.

     1. 잘못 구성된 정책을 삭제한 후 Amazon S3 콘솔을 사용하여 버킷 정책을 수정합니다. 자세한 내용은 * Amazon S3 사용 설명서*의 [Amazon S3 콘솔을 사용하여 버킷 정책 추가](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)를 참조하세요.
   + 모든 위탁자가 Amazon SQS 대기열에 액세스하는 것을 거부하는 Amazon Simple Queue Service 리소스 기반 정책을 삭제하려면 **Delete Amazon SQS 정책 삭제**를 선택합니다.

     1. **SQS 대기열 이름**에 대기열 이름을 입력하고 **SQS 정책 삭제**를 선택합니다.

     1. 잘못 구성된 정책을 삭제한 후 Amazon SQS 콘솔을 사용하여 대기열 정책을 수정합니다. 자세한 내용은 *Amazon SQS 개발자 안내서*의 [Configuring an access policy in Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-add-permissions.html)를 참조하세요.
   + 멤버 계정에서 루트 액세스를 제거하려면 **루트 자격 증명 삭제**를 선택합니다. 루트 사용자 자격 증명을 삭제하면 루트 사용자 암호, 액세스 키, 서명 인증서가 제거되고 멤버 계정에 대한 다중 인증(MFA)이 비활성화됩니다.

     1. **루트 자격 증명 삭제**를 선택합니다.
   + 멤버 계정에 대한 루트 사용자 자격 증명을 복구하려면 **암호 복구 허용**을 선택합니다.

     이 옵션은 멤버 계정에 루트 사용자 자격 증명이 없는 경우에만 사용할 수 있습니다.

     1. **암호 복구 허용**을 선택합니다.

     1. 이 권한 있는 작업을 수행한 후 멤버 계정의 루트 사용자 이메일 받은 편지함에 액세스할 수 있는 사람은 [루트 사용자 암호를 재설정](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)하고 멤버 계정 루트 사용자로 로그인할 수 있습니다.

## 멤버 계정에서 권한 있는 작업 수행(AWS CLI)
<a name="root-user-privileged-task_action-cli"></a>

**AWS Command Line Interface에서 멤버 계정의 권한 있는 작업에 대한 세션을 시작하려면 다음을 수행하세요.**

1. [aws sts assume-root](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-root.html) 명령을 사용하여 루트 사용자 세션을 수임합니다.
**참고**  
`sts:AssumeRoot`에는 글로벌 엔드포인트가 지원되지 않습니다. 이 요청을 리전 AWS STS 엔드포인트로 보내야 합니다. 자세한 내용은 [AWS 리전에서 AWS STS 관리](id_credentials_temp_enable-regions.md) 섹션을 참조하세요.

   멤버 계정에 대해 권한 있는 루트 사용자 세션을 시작할 때 `task-policy-arn`을 정의하여 세션 중 수행할 권한 있는 작업에 대한 세션 범위를 지정해야 합니다. 다음 AWS 관리형 정책 중 하나를 사용하여 권한 있는 세션 작업의 범위를 지정할 수 있습니다.
   + [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
   + [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
   + [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
   + [S3UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
   + [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)

   권한 있는 루트 사용자 세션 중 관리 계정 또는 위임된 관리자가 수행할 수 있는 작업을 제한하려면 AWS STS 조건 키 [sts:TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn)을 사용합니다.

    다음 예에서는 위임된 관리자가 루트를 수임하여 멤버 계정 ID *111122223333*에 대한 루트 사용자 자격 증명을 삭제합니다.

   ```
   aws sts assume-root \
     --target-principal 111122223333 \
     --task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
     --duration-seconds 900
   ```

1. 응답에서 `SessionToken`, `AccessKeyId`, `SecretAccessKey`를 사용하여 멤버 계정에서 권한 있는 작업을 수행합니다. 요청에서 사용자 이름과 암호를 생략하여 멤버 계정으로 기본 설정할 수 있습니다.
   + **루트 사용자 자격 증명의 상태를 확인합니다**. 멤버 계정의 루트 사용자 자격 증명 상태를 확인하려면 다음 명령을 사용합니다.
     + [get-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-user.html)
     + [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
     + [list-access-keys](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-access-keys.html)
     + [list-signing-certificates](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-signing-certificates.html)
     + [list-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-mfa-devices.html)
     + [get-access-key-last-used](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-access-key-last-used.html)
   + **루트 사용자 자격 증명을 삭제합니다**. 루트 액세스를 삭제하려면 다음 명령을 사용합니다. 루트 사용자 암호, 액세스 키, 서명 인증서를 제거하고, 다중 인증(MFA)을 비활성화하여 루트 사용자에 대한 모든 액세스 및 복구를 제거할 수 있습니다.
     + [delete-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-login-profile.html)
     + [delete-access-key](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-access-key.html)
     + [delete-signing-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-signing-certificate.html)
     + [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html)
   + **Amazon S3 버킷 정책을 삭제합니다**. 모든 위탁자의 Amazon S3 버킷 액세스를 거부하는 잘못 구성된 버킷 정책을 읽고, 편집하고, 삭제하려면 다음 명령을 사용합니다.
     + [list-buckets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-buckets.html)
     + [get-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-policy.html)
     + [put-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-policy.html)
     + [delete-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-bucket-policy.html)
   + **Amazon SQS 정책을 삭제합니다**. 모든 위탁자가 Amazon SQS 대기열에 액세스하는 것을 거부하는 Amazon Simple Queue Service 리소스 기반 정책을 보고 삭제하려면 다음 명령을 사용합니다.
     + [list-queues](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/list-queues.html)
     + [get-queue-url](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-url.html)
     + [get-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-attributes.html)
     + [set-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/set-queue-attributes.html)
   + **암호 복구를 허용합니다**. 사용자 이름을 보고 멤버 계정에 대한 루트 사용자 자격 증명을 복구하려면 다음 명령을 사용합니다.
     + [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
     + [create-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-login-profile.html)

## 멤버 계정에서 권한 있는 작업 수행(AWS API)
<a name="root-user-privileged-task_action-api"></a>

**AWS API에서 멤버 계정의 권한 있는 작업에 대한 세션을 시작하려면 다음을 수행하세요.**

1. [AssumeRoot](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html) 명령을 사용하여 루트 사용자 세션을 가장합니다.
**참고**  
AssumeRoot에는 글로벌 엔드포인트가 지원되지 않습니다. 이 요청을 리전 AWS STS 엔드포인트로 보내야 합니다. 자세한 내용은 [AWS 리전에서 AWS STS 관리](id_credentials_temp_enable-regions.md) 섹션을 참조하세요.

   멤버 계정에 대해 권한 있는 루트 사용자 세션을 시작할 때 `TaskPolicyArn`을 정의하여 세션 중 수행할 권한 있는 작업에 대한 세션 범위를 지정해야 합니다. 다음 AWS 관리형 정책 중 하나를 사용하여 권한 있는 세션 작업의 범위를 지정할 수 있습니다.
   + [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
   + [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
   + [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
   + [S3UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
   + [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)

   권한 있는 루트 사용자 세션 중 관리 계정 또는 위임된 관리자가 수행할 수 있는 작업을 제한하려면 AWS STS 조건 키 [sts:TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn)을 사용합니다.

   다음 예에서 위임된 관리자는 멤버 계정 ID *111122223333*의 Amazon S3 버킷에 대해 잘못 구성된 리소스 기반 정책을 읽고, 편집하고, 삭제할 루트를 수임합니다.

   ```
   https://sts.us-east-2.amazonaws.com/
     ?Version=2011-06-15
     &Action=AssumeRoot
     &TargetPrincipal=111122223333
     &PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy 
     &DurationSeconds 900
   ```

1. 응답에서 `SessionToken`, `AccessKeyId`, `SecretAccessKey`를 사용하여 멤버 계정에서 권한 있는 작업을 수행합니다. 요청에서 사용자 이름과 암호를 생략하여 멤버 계정으로 기본 설정할 수 있습니다.
   + **루트 사용자 자격 증명의 상태를 확인합니다**. 멤버 계정에 대한 루트 사용자 자격 증명 상태를 확인하려면 다음 명령을 사용합니다.
     + [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
     + [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
     + [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)
     + [ListSigningCertificates](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListSigningCertificates.html)
     + [ListMFADevices](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADevices.html)
     + [GetAccessKeyLastUsed](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
   + **루트 사용자 자격 증명을 삭제합니다**. 루트 액세스를 삭제하려면 다음 명령을 사용합니다. 루트 사용자 암호, 액세스 키, 서명 인증서를 제거하고, 다중 인증(MFA)을 비활성화하여 루트 사용자에 대한 모든 액세스 및 복구를 제거할 수 있습니다.
     + [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)
     + [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
     + [DeleteSigningCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html)
     + [DeactivateMfaDevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)
   + **Amazon S3 버킷 정책을 삭제합니다**. 모든 위탁자가 Amazon S3 버킷에 액세스하지 못하도록 거부하는 잘못 구성된 버킷 정책을 읽고, 편집하고, 삭제하려면 다음 명령을 사용합니다.
     + [ListBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)
     + [GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
     + [PutBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
     + [DeleteBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
   + **Amazon SQS 정책을 삭제합니다**. 모든 위탁자가 Amazon SQS 대기열에 액세스하는 것을 거부하는 Amazon Simple Queue Service 리소스 기반 정책을 보고 삭제하려면 다음 명령을 사용합니다.
     + [ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)
     + [GetQueueUrl](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueUrl.html)
     + [GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)
     + [SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)
   + **암호 복구를 허용합니다**. 사용자 이름을 보고 멤버 계정의 루트 사용자 자격 증명을 복구하려면 다음 명령을 사용합니다.
     + [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
     + [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)

# AWS 계정 루트 사용자에 대한 다중 인증
<a name="enable-mfa-for-root"></a>

**중요**  
AWS는 가능한 한 AWS에 대한 MFA에 패스키나 보안 키를 사용할 것을 권장합니다. 패스키나 보안 키가 피싱과 같은 공격에 더 강하기 때문입니다. 자세한 내용은 [패스키 및 보안 키](#passkeys-security-keys-for-root) 섹션을 참조하세요.

다중 인증(MFA)은 보안을 강화하는 간단하고 효과적인 메커니즘입니다. 첫 번째 요소인 암호는 기억해야 하는 비밀이며 지식 요소라고도 합니다. 다른 요소로는 보유 요소(보안 키 등 귀하가 보유하는 것) 또는 고유 요소(생체인식 스캔 등 귀하에 대한 것)가 있습니다. 보안 강화를 위해 다중 인증(MFA)을 구성하여 AWS 리소스를 보호하는 것이 좋습니다.

**참고**  
모든 AWS 계정 유형(독립 실행형, 관리 및 멤버 계정)은 루트 사용자에 대해 MFA를 구성해야 합니다. MFA가 아직 활성화되지 않은 경우 사용자는 AWS Management Console에 액세스하기 위해 처음 로그인을 시도한 날로부터 35일 이내에 MFA를 등록해야 합니다.

AWS 계정 루트 사용자와 IAM 사용자에 대해 MFA를 활성화할 수 있습니다. 루트 사용자에 대해 활성화한 MFA는 루트 사용자 자격 증명에만 영향을 줍니다. IAM 사용자에 대해 MFA를 활성화하는 방법에 대한 자세한 내용은 [IAM의 AWS 다중 인증](id_credentials_mfa.md) 단원을 참조하세요.

**참고**  
AWS Organizations를 사용하여 관리하는 AWS 계정에는 자격 증명 복구 및 대규모 액세스를 방지하기 위해 멤버 계정의 [루트 액세스를 중앙에서 관리하는](id_root-user.md#id_root-user-access-management) 옵션이 있을 수 있습니다. 이 옵션을 활성화하는 경우 암호 및 MFA를 포함하여 멤버 계정에서 루트 사용자 자격 증명을 삭제하여 루트 사용자로 로그인, 암호 복구 또는 MFA 설정을 효과적으로 방지할 수 있습니다. 또는 암호 기반 로그인 방법을 유지 관리하려는 경우 계정 보호를 강화하기 위해 MFA를 등록하여 계정을 보호합니다.

루트 사용자에 대해 MFA를 활성화하기 전에 [계정 설정과 연락처 정보를 검토하고 업데이트](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html)하여 이메일 및 전화번호에 대한 액세스 권한이 있는지 확인합니다. MFA 디바이스가 분실 또는 도난되었거나 작동하지 않는 경우에도 해당 이메일과 전화번호를 사용하여 자격 증명을 확인하여 루트 사용자로 로그인할 수 있습니다. 다른 인증 요소를 사용하여 로그인하는 방법은 [IAM에서 MFA로 보호되는 ID 복구](id_credentials_mfa_lost-or-broken.md) 섹션을 참조하세요. 이 기능을 비활성화하려면 [AWS Support](https://console.aws.amazon.com/support/home#/)에 문의하세요.

AWS는 루트 사용자를 위해 다음과 같은 MFA 유형을 지원합니다.
+ [패스키 및 보안 키](#passkeys-security-keys-for-root)
+ [가상 인증 애플리케이션](#virtual-auth-apps-for-root)
+ [하드웨어 TOTP 토큰](#hardware-totp-token-for-root)

## 패스키 및 보안 키
<a name="passkeys-security-keys-for-root"></a>

AWS Identity and Access Management는 MFA용 패스키 및 보안 키를 지원합니다. FIDO 표준에 기반한 패스키는 퍼블릭 키 암호화 기법을 사용하여 암호보다 안전한 강력한 피싱 방지 인증을 제공합니다. AWS는 디바이스 바운드 패스키(보안 키)와 동기화된 패스키라는 두 가지 유형의 패스키를 지원합니다.
+ **보안 키**: YubiKey처럼 2차 인증 요소로 사용되는 물리적 디바이스입니다. 하나의 보안 키가 여러 루트 사용자 계정과 IAM 사용자를 지원할 수 있습니다.
+ **동기화된 패스키**: Google, Apple, Microsoft 계정 같은 공급자와 1Password, Dashlane, Bitwarden 같은 서드 파티 서비스의 자격 증명 관리자를 2차 인증 요소로 사용합니다.

Apple MacBook의 Touch ID와 같은 내장된 생체 인식 인증자를 사용하여 자격 증명 관리자의 잠금을 해제하고 AWS에 로그인할 수 있습니다. 패스키는 지문, 얼굴 또는 디바이스 PIN을 사용하여 선택한 공급자와 함께 생성됩니다. 또한 모바일 디바이스 또는 하드웨어 보안 키와 같은 한 디바이스에 있는 교차 디바이스 인증(CDA) 패스키로 노트북 등의 다른 디바이스에 로그인할 수 있습니다. 자세한 내용은 [교차 디바이스 인증](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda)(CDA)을 참조하세요.

디바이스 간에 패스키를 동기화하여 AWS 로그인을 용이하게 하고 사용성과 복구 가능성을 높일 수 있습니다. 패스키 및 보안 키 활성화에 대한 자세한 내용은 [루트 사용자용 패스키 또는 보안 키 활성화(콘솔)](enable-fido-mfa-for-root.md) 섹션을 참조하세요.

FIDO Alliance는 FIDO 사양과 호환되는 모든 [FIDO 인증 제품](https://fidoalliance.org/certification/fido-certified-products/) 목록을 유지 관리합니다.

## 가상 인증 애플리케이션
<a name="virtual-auth-apps-for-root"></a>

가상 인증 애플리케이션은 전화 또는 기타 디바이스에서 실행되고 물리적 디바이스를 에뮬레이트합니다. 가상 인증 앱은 [시간 기반 일회용 암호](https://datatracker.ietf.org/doc/html/rfc6238)(TOTP) 알고리즘을 구현하고 단일 디바이스에서 여러 토큰을 지원합니다. 사용자는 로그인 중에 안내에 따라 디바이스의 유효 코드를 입력해야 합니다. 사용자에게 할당된 각 토큰은 고유해야 합니다. 사용자는 다른 사용자의 토큰의 코드를 입력하여 인증할 수 없습니다.

하드웨어 구매 승인을 기다리는 동안 또는 하드웨어 도착을 기다리는 동안 가상 MFA 디바이스를 사용하는 것이 좋습니다. 가상 MFA 디바이스로 사용할 수 있는 몇 가지 지원되는 앱의 목록은 [다중 인증(MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1) 섹션을 참조하세요. AWS를 사용하여 가상 MFA 디바이스를 설정하기 위한 지침은 [루트 사용자용 가상 MFA 디바이스 활성화(콘솔)](enable-virt-mfa-for-root.md) 섹션을 참조하세요.

## 하드웨어 TOTP 토큰
<a name="hardware-totp-token-for-root"></a>

하드웨어 디바이스가 [시간 기반 일회용 암호(TOTP) 알고리즘](https://datatracker.ietf.org/doc/html/rfc6238)에 따라 6자리 숫자 코드를 생성합니다. 사용자는 로그인할 때 두 번째 웹페이지에서 디바이스의 유효 코드를 입력해야 합니다. 사용자에게 할당된 각 MFA 디바이스는 고유해야 합니다. 사용자는 다른 사용자의 디바이스의 코드를 입력하여 인증받을 수 없습니다. 지원되는 하드웨어 MFA 디바이스에 대한 자세한 내용은 [다중 인증(MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1) 섹션을 참조하세요. AWS를 사용하여 하드웨어 TOTP 토큰을 설정하는 지침은 [루트 사용자에 대해 하드웨어 TOTP 토큰 활성화(콘솔)](enable-hw-mfa-for-root.md) 섹션을 참조하세요.

물리적 MFA 디바이스를 사용하려는 경우 하드웨어 TOTP 디바이스 대신 FIDO 보안 키를 사용하는 것이 좋습니다. FIDO 보안 키는 배터리 요구 사항이 없고 피싱 방지가 가능하다는 이점이 있으며, 단일 디바이스에서 여러 루트 및 IAM 사용자를 지원하여 보안을 강화합니다.

**Topics**
+ [패스키 및 보안 키](#passkeys-security-keys-for-root)
+ [가상 인증 애플리케이션](#virtual-auth-apps-for-root)
+ [하드웨어 TOTP 토큰](#hardware-totp-token-for-root)
+ [루트 사용자용 패스키 또는 보안 키 활성화(콘솔)](enable-fido-mfa-for-root.md)
+ [루트 사용자용 가상 MFA 디바이스 활성화(콘솔)](enable-virt-mfa-for-root.md)
+ [루트 사용자에 대해 하드웨어 TOTP 토큰 활성화(콘솔)](enable-hw-mfa-for-root.md)

# 루트 사용자용 패스키 또는 보안 키 활성화(콘솔)
<a name="enable-fido-mfa-for-root"></a>

루트 사용자 패스키 구성 및 활성화는 AWS Management Console에서만 가능하고 AWS CLI 또는 AWS API에서는 불가능합니다.<a name="enable_fido_root"></a>

**루트 사용자 패스키 또는 보안 키를 활성화하려면(콘솔)**

1. [AWS Management Console](https://console.aws.amazon.com/)을 열고 루트 사용자 자격 증명을 사용하여 로그인합니다.

   자세한 지침은 *AWS Sign-In 사용 설명서*의 [루트 사용자로 AWS Management Console에 로그인](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)을 참조하세요.

1. 탐색 표시줄 오른쪽에서 계정 이름을 선택하고 **Security credentials**(보안 자격 증명)를 선택합니다.  
![\[탐색 메뉴의 보안 자격 증명\]](http://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. 루트 사용자 **내 보안 자격 증명** 페이지의 **다중 인증(MFA)**에서 **MFA 디바이스 할당**을 선택합니다.

1. **MFA 디바이스 이름** 페이지에서 **디바이스 이름**을 입력하고 **패스키 또는 보안 키**를 선택한 후 **다음**을 선택합니다.

1. **디바이스 설정**에서 패스키를 설정합니다. 얼굴이나 지문 같은 생체 인식 데이터 또는 디바이스 PIN을 사용하거나 컴퓨터의 USB 포트에 FIDO 보안 키를 삽입한 다음 탭하여 패스키를 생성합니다.

1. 브라우저의 지침에 따라 패스키 공급자를 선택하거나 여러 디바이스에서 사용할 패스키를 저장할 위치를 선택합니다.

1. **계속**을 선택합니다.

이제 AWS에서 사용할 패스키를 등록했습니다. 다음에 루트 사용자 자격 증명을 사용하여 로그인할 때 패스키로 인증하여 로그인 절차를 완료해야 합니다.

FIDO 보안 키 문제를 해결하는 데 도움이 필요한 경우 [패스키 및 FIDO 보안 키 관련 문제 해결](troubleshoot_mfa-fido.md) 섹션을 참조하세요.

# 루트 사용자용 가상 MFA 디바이스 활성화(콘솔)
<a name="enable-virt-mfa-for-root"></a>

AWS Management Console을 사용하여 루트 사용자의 가상 MFA 디바이스를 구성 및 활성화할 수 있습니다. AWS 계정에 대해 MFA 디바이스를 활성화하려면 루트 사용자 보안 인증으로 AWS에 로그인해야 합니다.

**루트 사용자에 사용하기 위해 가상 MFA 디바이스를 구성 및 활성화하려면(콘솔)**

1. [AWS Management Console](https://console.aws.amazon.com/)을 열고 루트 사용자 자격 증명을 사용하여 로그인합니다.

   자세한 지침은 *AWS Sign-In 사용 설명서*의 [루트 사용자로 AWS Management Console에 로그인](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)을 참조하세요.

1. 탐색 표시줄 오른쪽에서 계정 이름을 선택하고 **Security credentials**(보안 자격 증명)를 선택합니다.  
![\[탐색 메뉴의 보안 자격 증명\]](http://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. **Multi-Factor Authentication (MFA)**(다중 인증(MFA)) 섹션에서 **Assign MFA device**(MFA 디바이스 할당)를 선택합니다.

1. 마법사에서 **디바이스 이름**을 입력하고 **인증 앱**을 선택한 후 **다음**을 선택합니다.

   IAM은 QR 코드 그래픽을 포함하여 가상 MFA 디바이스의 구성 정보를 생성 및 표시합니다. 그래픽은 QR 코드를 지원하지 않는 디바이스 상에서 수동 입력할 수 있는 보안 구성 키를 표시한 것입니다.

1. 디바이스에서 가상 MFA 앱을 엽니다.

   가상 MFA 앱이 다수의 가상 MFA 디바이스 또는 계정을 지원하는 경우 새로운 가상 MFA 디바이스 또는 계정을 생성하는 옵션을 선택합니다.

1. 앱을 구성하는 가장 쉬운 방법은 앱을 사용하여 QR 코드를 스캔하는 것입니다. 코드를 스캔하지 못하는 경우 구성 정보를 직접 입력할 수 있습니다. IAM에서 생성된 QR 코드와 보안 구성 키는 AWS 계정과 연동되기 때문에 다른 계정에서는 사용할 수 없습니다. 하지만 사용하던 MFA 디바이스에 대한 액세스 권한을 잃은 경우 재사용을 통해 계정에 대한 새로운 MFA 디바이스를 구성할 수 있습니다.
   + QR 코드를 사용하여 가상 MFA 디바이스를 구성하려면, 마법사에서 **Show QR code(QT 코드 표시)**를 선택합니다. 그리고 코드 스캔에 대한 앱 지침을 따릅니다. 예를 들어 카메라 모양의 아이콘을 선택하거나, **계정 바코드 스캔(Scan account barcode)**과 같은 명령을 선택한 다음, 디바이스의 카메라를 사용하여 QR 코드를 스캔할 수 있습니다.
   + **Set up device**(디바이스 설정) 마법사에서 **Show secret key**(보안 키 표시)를 선택한 다음 MFA 앱에 보안 키를 입력합니다.
**중요**  
QR 코드 또는 보안 구성 키를 안전하게 백업하거나, 혹은 계정의 여러 MFA 디바이스를 활성화하세요. [현재 지원되는 MFA 유형](https://aws.amazon.com/iam/features/mfa/)을 조합하여 최대 **8**개의 MFA 디바이스를 AWS 계정 루트 사용자 및 IAM 사용자에게 등록할 수 있습니다. 예를 들어 가상 MFA 디바이스가 호스팅되어 있는 스마트폰을 분실하는 경우 가상 MFA 디바이스를 사용할 수 없습니다. 이 경우 사용자에게 연결된 추가 MFA 디바이스가 없거나 [루트 사용자 MFA 디바이스 복구](id_credentials_mfa_lost-or-broken.md#root-mfa-lost-or-broken)로도 계정에 로그인할 수 없는 경우 계정에 로그인할 수 없으며 [고객 서비스에 문의](https://support.aws.amazon.com/#/contacts/aws-mfa-support)하여 계정에 대한 MFA 보호를 제거해야 합니다.

   그 디바이스는 6자리 번호를 생성합니다.

1. 마법사의 **MFA code 1**(MFA 코드 1) 상자에 현재 가상 MFA 디바이스에 표시된 일회용 암호를 입력합니다. 디바이스가 새로운 일회용 암호를 생성할 때까지 최대 30초 기다립니다. 그런 다음 두 번째 일회용 암호를 **MFA code 2(MFA 코드 2)** 상자에 입력합니다. **Add MFA**(MFA 추가)를 선택합니다.
**중요**  
코드를 생성한 후 즉시 요청을 제출하세요. 코드를 생성한 후 너무 오래 기다렸다 요청을 제출할 경우 MFA 디바이스가 사용자와 연결은 되지만 MFA 디바이스가 동기화되지 않습니다. 이는 시간 기반 일회용 암호(TOTP)가 잠시 후에 만료되기 때문입니다. 이 경우, [디바이스를 재동기화](id_credentials_mfa_sync.md)할 수 있습니다.

이제 AWS에서 디바이스를 사용할 준비가 끝났습니다. AWS Management Console의 MFA 사용 방법에 대한 자세한 내용은 [MFA 지원 로그인](console_sign-in-mfa.md) 섹션을 참조하세요.

# 루트 사용자에 대해 하드웨어 TOTP 토큰 활성화(콘솔)
<a name="enable-hw-mfa-for-root"></a>

AWS Management Console에서만 루트 사용자에 대한 물리적 MFA 디바이스를 구성하고 활성화할 수 있으며, AWS CLI 또는 AWS API에서는 활성화할 수 없습니다.

**참고**  
**MFA를 사용하여 로그인** 및 **인증 디바이스 문제 해결**과 같은 다른 텍스트가 나타날 수 있습니다. 그러나 동일한 기능이 제공됩니다. 어느 경우든 대체 인증 요소를 사용하여 계정 이메일 주소 및 전화번호를 확인할 수 없는 경우 [AWS Support](https://aws.amazon.com/forms/aws-mfa-support)에 문의하여 MFA 설정을 삭제합니다.<a name="enable_physical_root"></a>

**자신의 루트 사용자에 대해 하드웨어 TOTP 토큰을 활성화하려면(콘솔)**

1. [AWS Management Console](https://console.aws.amazon.com/)을 열고 루트 사용자 자격 증명을 사용하여 로그인합니다.

   자세한 지침은 *AWS Sign-In 사용 설명서*의 [루트 사용자로 AWS Management Console에 로그인](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)을 참조하세요.

1. 탐색 표시줄 오른쪽에서 계정 이름을 선택하고 **Security credentials**(보안 자격 증명)를 선택합니다.  
![\[탐색 메뉴의 보안 자격 증명\]](http://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. **Multi-factor authentication (MFA)(멀티 팩터 인증(MFA))** 섹션을 확장합니다.

1. **Assign MFA device**(MFA 디바이스 할당)를 선택합니다.

1. 마법사에서 **Device name**(디바이스 이름)을 입력하고 **Hardware TOTP token**(하드웨어 TOTP 토큰), **Next**(다음)를 차례로 선택합니다.

1. **Serial number(일련 번호)** 상자에 MFA 디바이스 뒷면에 있는 일련 번호를 입력합니다.

1. **MFA code 1(MFA 코드 1)** 상자에 MFA 디바이스에 표시된 6자리 번호를 입력합니다. 디바이스 전면의 버튼을 눌러야 번호가 표시되는 경우도 있습니다.  
![\[IAM 대시보드, MFA 디바이스\]](http://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/images/MFADevice.png)

1. 디바이스가 코드를 새로 고칠 때까지 30초 동안 기다린 다음 **MFA code 2(MFA 코드 2)** 상자에 다음 6자리 번호를 입력합니다. 다시 디바이스 전면의 버튼을 눌러야 두 번째 번호가 표시되는 경우도 있습니다.

1. **Add MFA**(MFA 추가)를 선택합니다. 이제 MFA 디바이스가 AWS 계정과 연결되었습니다.
**중요**  
인증 코드를 생성한 후 바로 요청을 제출하세요. 코드를 생성한 후 너무 오래 기다렸다 요청을 제출할 경우 MFA 디바이스가 사용자와 연결은 되지만 MFA 디바이스가 동기화되지 않습니다. 이는 시간 기반 일회용 암호(TOTP)가 잠시 후에 만료되기 때문입니다. 이 경우, [디바이스를 재동기화](id_credentials_mfa_sync.md)할 수 있습니다.

   다음에 루트 사용자 자격 증명을 사용하여 로그인할 때도 MFA 디바이스의 코드를 입력해야 합니다.

# AWS 계정 루트 사용자의 암호 변경
<a name="root-user-password"></a>

[보안 인증 정보](https://console.aws.amazon.com/iam/home?#security_credential) 또는 **계정** 페이지에서 이메일 주소 및 암호를 변경할 수 있습니다. 또한 AWS 로그인 페이지에서 **Forgot password?(암호 찾기)**를 선택하여 암호를 재설정할 수 있습니다.

루트 사용자 암호를 변경하려면 IAM 사용자가 아니라 AWS 계정 루트 사용자로 로그인해야 합니다. *잊어버린 루트 사용자 암호*를 재설정하는 방법에 대한 자세한 내용은 [잊거나 분실한 루트 사용자 암호 재설정](reset-root-password.md) 섹션을 참조하세요.

암호를 보호하려면 다음과 같은 모범 사례를 활용하는 것이 중요합니다.
+ 암호를 주기적으로 변경합니다.
+ 암호는 비공개로 유지합니다. 암호를 아는 사람이 해당 계정에 액세스할 수도 있기 때문입니다.
+ AWS의 암호를 다른 사이트에서 사용하는 것과 다르게 지정하세요.
+ 짐작하기 쉬운 암호를 사용하지 마세요. 여기에는 `secret`, `password`, `amazon` 또는 `123456` 같은 암호가 포함됩니다. 또한 사전에 나오는 단어, 사용자 이름, 이메일 주소 또는 알아내기 쉬운 그 밖의 개인 정보도 피합니다.

**중요**  
AWS Organizations를 사용하여 관리되는 AWS 계정에 멤버 계정에 대한 [중앙 집중식 루트 액세스](id_root-user.md#id_root-user-access-management)가 활성화되어 있을 수 있습니다. 이러한 멤버 계정은 루트 사용자 자격 증명이 없고, 루트 사용자로 로그인할 수 없으며, 루트 사용자 암호를 복구할 수 없습니다. 루트 사용자 자격 증명이 필요한 태스크를 수행해야 하는 경우 관리자에게 문의하세요.

------
#### [ AWS Management Console ]

**루트 사용자의 암호를 변경하려면**
**최소 권한**  
다음 단계를 수행하려면 적어도 다음과 같은 IAM 권한이 있어야 합니다.  
추가 AWS Identity and Access Management(IAM) 권한이 필요하지 않은 AWS 계정 루트 사용자로 로그인해야 합니다. IAM 사용자 또는 역할로는 이 단계를 수행할 수 없습니다.

1. [AWS Management Console](https://console.aws.amazon.com/)을 열고 루트 사용자 자격 증명을 사용하여 로그인합니다.

   자세한 지침은 *AWS Sign-In 사용 설명서*의 [루트 사용자로 AWS Management Console에 로그인](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)을 참조하세요.

1. 콘솔의 오른쪽 상단 모서리 부분에서 계정 이름이나 번호를 선택한 다음 **보안 자격 증명**을 선택합니다.

1. **계정** 페이지에서 **계정 설정** 옆의 **편집**을 선택합니다. 보안을 위해 재인증하라는 메시지가 표시됩니다.
**참고**  
**편집** 옵션이 나타나지 않으면 계정의 루트 사용자로 로그인하지 않은 것일 수 있습니다. IAM 사용자 또는 역할로 로그인한 상태에서는 계정 설정을 수정할 수 없습니다.

1. **계정 설정 업데이트** 페이지의 **암호**에서 **편집**을 선택합니다.

1. **암호 업데이트** 페이지에서 **현재 암호**, **새 암호**, **새 암호 확인** 필드를 입력합니다.
**중요**  
강력한 암호를 선택해야 합니다. IAM 사용자에 대한 계정 암호 정책을 설정할 수는 있지만 루트 사용자에게는 이 정책이 적용되지 않습니다.

   AWS는 암호가 다음 조건을 충족하도록 요구합니다.
   + 최소 8자, 최대 128자여야 합니다.
   + 대문자, 소문자, 숫자, 기호(\$1 @ \$1 \$1 % ^ & \$1 () <> [] \$1\$1 \$1 \$1\$1-=) 중 적어도 세 가지 문자 유형을 혼합하여 포함해야 합니다.
   + AWS 계정 이름 또는 이메일 주소와 동일하지 않아야 합니다.

1. **변경 사항 저장**을 선택합니다.

------
#### [ AWS CLI or AWS SDK ]

이 작업은 AWS SDK 중 하나의 API 작업에서 또는 AWS CLI에서 지원되지 않습니다. 이 작업은 AWS Management Console을 사용해야만 수행할 수 있습니다.

------

# 잊거나 분실한 루트 사용자 암호 재설정
<a name="reset-root-password"></a>

AWS 계정을 처음 생성할 때 이메일 주소와 암호를 입력했습니다. 그 주소와 암호가 바로 AWS 계정 루트 사용자 자격 증명입니다. 루트 사용자 암호를 잊어버린 경우, AWS Management Console에서 암호를 재설정할 수 있습니다.

AWS Organizations를 사용하여 관리되는 AWS 계정에 멤버 계정에 대한 [중앙 집중식 루트 액세스](id_root-user.md#id_root-user-access-management)가 활성화되어 있을 수 있습니다. 이러한 멤버 계정은 루트 사용자 자격 증명이 없고, 루트 사용자로 로그인할 수 없으며, 루트 사용자 암호를 복구할 수 없습니다. 루트 사용자 자격 증명이 필요한 태스크를 수행해야 하는 경우 관리자에게 문의하세요.

**중요**  
**AWS에 로그인하는 데 문제가 있나요?** 사용자 유형에 맞는 올바른 [AWS 로그인 페이지](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html)에 있는지 확인합니다. AWS 계정 루트 사용자(계정 소유자)인 경우 AWS 계정을 생성할 때 설정한 보안 인증을 사용하여 AWS에 로그인할 수 있습니다. IAM 사용자인 경우 계정 관리자가 AWS에 로그인하는 데 사용할 수 있는 자격 증명을 제공할 수 있습니다. 지원을 요청해야 하는 경우 이 페이지의 피드백 링크를 사용하지 마세요. 이 양식은 지원가 아닌 AWS 설명서 팀에서 접수합니다. 대신 [Contact Us](https://aws.amazon.com/contact-us/)(문의처) 페이지에서 **Still unable to log into your AWS account**(여전히 계정에 로그인할 수 없음)을 선택한 다음 사용 가능한 지원 옵션 중 하나를 선택합니다.

**루트 사용자 암호 재설정하기**

1. [AWS Management Console](https://console.aws.amazon.com/)을 열고 루트 사용자 자격 증명을 사용하여 로그인합니다.

   자세한 지침은 *AWS Sign-In 사용 설명서*의 [루트 사용자로 AWS Management Console에 로그인](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)을 참조하세요.
**참고**  
 [AWS Management Console](https://console.aws.amazon.com/)에 *IAM 사용자* 자격 증명을 사용하여 로그인한 경우 로그아웃해야 루트 사용자 암호를 재설정할 수 있습니다. 해당 계정의 IAM 사용자 로그인 페이지가 표시되면, 페이지 하단에 있는 **루트 계정 자격 증명을 사용한 로그인(Sign-in using root account credentials)**을 선택합니다. 필요한 경우 계정 이메일 주소를 입력하고 **다음**을 선택하여 **Root user sign in(루트 사용자 로그인)** 페이지에 액세스합니다.

1. **비밀번호가 생각나지 않는 경우**를 선택합니다.
**참고**  
IAM 사용자인 경우 이 옵션을 사용할 수 없습니다. **비밀번호가 생각나지 않는 경우** 옵션은 루트 사용자 계정에만 제공됩니다. IAM 사용자는 관리자에게 잊어버린 암호를 재설정해달라고 요청해야 합니다. 자세한 내용은 [I forgot my IAM user password for my AWS account](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-iam-password)를 참조하세요. AWS 액세스 포털을 통해 로그인하는 경우 [Resetting your IAM Identity Center user password](https://docs.aws.amazon.com/singlesignon/latest/userguide/resetpassword-accessportal.html)를 참조하세요.

1. 계정과 연결된 이메일 주소를 입력합니다. 그런 다음 CAPTCHA 텍스트를 입력하고 **계속**을 선택합니다.

1. AWS 계정과 연결된 이메일에 Amazon Web Services에서 보낸 메시지가 있는지 확인합니다. `@verify.signin.aws`로 끝나는 주소에서 보낸 이메일입니다. 이메일 지침을 따릅니다. 계정으로 이메일이 오지 않았으면 스팸 폴더를 점검합니다. 이메일에 더 이상 액세스할 수 없는 경우 *AWS Sign-In 사용 설명서*의 [AWS 계정 이메일에 액세스할 수 없음](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-troubleshooting.html#credentials-not-working-console)을 참조하세요.

# 루트 사용자용 액세스 키 생성
<a name="id_root-user_manage_add-key"></a>

**주의**  
루트 사용자에 대한 액세스 키 페어는 생성하지 **않는** 것이 좋습니다. [일부 작업에만 루트 사용자가 필요하고](id_root-user.md#root-user-tasks) 이러한 작업은 대개 자주 수행하지 않으므로 AWS Management Console에 로그인하여 루트 사용자 작업을 수행하는 것이 좋습니다. 액세스 키를 생성하기 전에 [장기 액세스 키의 대안](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys)을 검토합니다.

권장하지는 않지만 루트 사용자에 대한 액세스 키를 생성할 수는 있습니다. AWS Command Line Interface(AWS CLI)에서 명령을 실행하거나 루트 사용자 보안 인증을 사용하여 AWS SDK 중 하나에서 API 작업을 사용하면 됩니다. 액세스 키를 만들 때 액세스 키 ID와 보안 액세스 키를 한 세트로 생성합니다. 액세스 키 생성 중에 AWS는 액세스 키의 보안 액세스 키 부분을 확인하고 다운로드할 기회를 한 번 부여합니다. 보안 액세스 키를 다운로드하지 않았거나 분실한 경우 액세스 키를 삭제한 다음 새로 생성할 수 있습니다. 콘솔, AWS CLI 또는 AWS API를 사용해 루트 사용자 액세스 키를 생성할 수 있습니다.

새로 생성한 액세스 키는 *활성* 상태입니다. 즉, CLI 및 API 호출에 대해 액세스 키를 사용할 수 있습니다. 루트 사용자에게 최대 두 개의 액세스 키를 할당할 수 있습니다.

사용하지 않는 액세스 키는 비활성화해야 합니다. 액세스 키가 비활성화되면 API 호출에 사용할 수 없습니다. 비활성 키는 여전히 제한에 포함됩니다. 언제든지 액세스 키를 생성하거나 삭제할 수 있습니다. 그러나 액세스 키를 삭제하면 영구 삭제되어 되돌릴 수 없습니다.

------
#### [ AWS Management Console ]

**AWS 계정 루트 사용자에 대한 액세스 키를 생성하려면**
**최소 권한**  
다음 단계를 수행하려면 적어도 다음과 같은 IAM 권한이 있어야 합니다.  
추가 AWS Identity and Access Management(IAM) 권한이 필요하지 않은 AWS 계정 루트 사용자로 로그인해야 합니다. IAM 사용자 또는 역할로는 이 단계를 수행할 수 없습니다.

1. [AWS Management Console](https://console.aws.amazon.com/)을 열고 루트 사용자 자격 증명을 사용하여 로그인합니다.

   자세한 지침은 *AWS Sign-In 사용 설명서*의 [루트 사용자로 AWS Management Console에 로그인](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)을 참조하세요.

1. 콘솔의 오른쪽 상단 모서리 부분에서 계정 이름이나 번호를 선택한 후 **보안 인증**을 선택합니다.

1. **액세스 키** 섹션에서 **액세스 키 생성**을 선택합니다. 이 옵션을 사용할 수 없는 경우 이미 최대 개수의 액세스 키가 있는 것입니다. 새 키를 생성하려면 먼저 기존 액세스 키 중 하나를 삭제해야 합니다. 자세한 내용은 [IAM 객체 할당량](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities)을 참조하세요.

1. **루트 사용자 액세스 키의 대안** 페이지에서 보안 권장 사항을 검토합니다. 계속하려면 확인란을 선택하고 **액세스 키 생성**을 선택하세요.

1. **액세스 키 검색** 페이지에 **액세스 키** ID가 표시됩니다.

1. **비밀 액세스 키**에서 **표시**를 선택하고 브라우저 창에서 액세스 키 ID 및 비밀 키를 복사해 다른 안전한 곳에 붙여넣습니다. 또는 **.csv 파일 다운로드**를 선택하면 액세스 키 ID와 비밀 키가 포함된 `rootkey.csv` 파일을 다운로드할 수 있습니다. 파일을 안전한 곳에 저장합니다.

1. **완료**를 선택합니다. 액세스 키가 더 이상 필요하지 않으면 [삭제하는 것이 좋습니다.](id_root-user_manage_delete-key.md) 아니면 다른 사람이 악용하지 못하도록 최소한 비활성화하는 것이 좋습니다.

------
#### [ AWS CLI & SDKs ]

**루트 사용자에 대한 액세스 키를 생성하려면**
**참고**  
루트 사용자로 다음 명령 또는 API 작업을 실행하려면 활성 액세스 키 페어가 이미 하나 있어야 합니다. 액세스 키가 없는 경우 AWS Management Console을 사용하여 첫 번째 액세스 키를 생성합니다. 그런 다음, AWS CLI에서 첫 번째 액세스 키의 보안 인증을 사용하여 두 번째 액세스 키를 생성하거나 액세스 키를 삭제할 수 있습니다.
+ AWS CLI: [aws iam create-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)  
**Example**  

  ```
  $ aws iam create-access-key
  {
      "AccessKey": {
          "UserName": "MyUserName",
          "AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
          "Status": "Active",
          "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
          "CreateDate": "2021-04-08T19:30:16+00:00"
      }
  }
  ```
+ AWS API: *IAM API 참조*의 [CreateAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html).

------

# 루트 사용자용 액세스 키 삭제
<a name="id_root-user_manage_delete-key"></a>

AWS Management Console, AWS CLI 또는 AWS API를 사용하여 루트 사용자 액세스 키를 삭제할 수 있습니다.

------
#### [ AWS Management Console ]

**루트 사용자에 대한 액세스 키를 삭제하려면**
**최소 권한**  
다음 단계를 수행하려면 적어도 다음과 같은 IAM 권한이 있어야 합니다.  
추가 AWS Identity and Access Management(IAM) 권한이 필요하지 않은 AWS 계정 루트 사용자로 로그인해야 합니다. IAM 사용자 또는 역할로는 이 단계를 수행할 수 없습니다.

1. [AWS Management Console](https://console.aws.amazon.com/)을 열고 루트 사용자 자격 증명을 사용하여 로그인합니다.

   자세한 지침은 *AWS Sign-In 사용 설명서*의 [루트 사용자로 AWS Management Console에 로그인](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)을 참조하세요.

1. 콘솔의 오른쪽 상단 모서리 부분에서 계정 이름이나 번호를 선택한 후 **보안 인증**을 선택합니다.

1. **액세스 키** 섹션에서 삭제하려는 액세스 키를 선택하고 **작업**에서 **삭제**를 선택합니다.
**참고**  
또는 액세스 키를 영구적으로 삭제하는 대신 **비활성화**할 수도 있습니다. 이렇게 하면 키 ID나 비밀 키를 변경하지 않고도 나중에 액세스 키를 다시 사용할 수 있습니다. 키가 비활성 상태인 동안 AWS API에 대한 요청에 이 키를 사용하려고 하면 액세스 거부됨 오류로 인해 실패합니다.

1. **<access key ID> 삭제** 대화 상자에서 **비활성화**를 선택하고 삭제할 액세스 키 ID를 입력한 다음, **삭제**를 선택합니다.

------
#### [ AWS CLI & SDKs ]

**루트 사용자에 대한 액세스 키를 삭제하려면**
**최소 권한**  
다음 단계를 수행하려면 적어도 다음과 같은 IAM 권한이 있어야 합니다.  
추가 AWS Identity and Access Management(IAM) 권한이 필요하지 않은 AWS 계정 루트 사용자로 로그인해야 합니다. IAM 사용자 또는 역할로는 이 단계를 수행할 수 없습니다.
+ AWS CLI: [aws iam delete-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)  
**Example**  

  ```
  $ aws iam delete-access-key \
      --access-key-id AKIAIOSFODNN7EXAMPLE
  ```

  이 명령은 성공 시 출력을 생성하지 않습니다.
+ AWS API: [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html) 

------

## 루트 사용자 보안 인증이 필요한 작업
<a name="root-user-tasks"></a>

일상 작업을 수행하고 AWS 리소스에 액세스하도록 [AWS IAM Identity Center에서 관리 사용자를 구성](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)하는 것이 좋습니다. 하지만 아래 나열된 작업은 계정의 루트 사용자로 로그인한 경우에만 수행할 수 있습니다.

AWS Organizations의 멤버 계정에서 권한 있는 루트 사용자 자격 증명을 간편하게 관리하기 위해 중앙 집중식 루트 액세스를 활성화하여 AWS 계정에 대한 높은 권한의 액세스를 중앙에서 보호할 수 있습니다. [중앙에서 멤버 계정에 대한 루트 액세스 관리](#id_root-user-access-management)를 통해 장기 루트 사용자 자격 증명 복구를 중앙에서 제거하고 방지하여 조직의 계정 보안을 강화할 수 있습니다. 이 기능을 활성화한 후 멤버 계정에서 다음과 같은 권한 있는 태스크를 수행할 수 있습니다.
+ 멤버 계정 루트 사용자 자격 증명을 제거하여 루트 사용자의 계정 복구를 방지합니다. 암호 복구를 허용하여 멤버 계정에 대한 루트 사용자 자격 증명을 복구할 수도 있습니다.
+ 모든 위탁자의 Amazon S3 버킷 액세스를 거부하는 잘못 구성된 버킷 정책을 제거합니다.
+ 모든 위탁자가 Amazon SQS 대기열에 액세스하는 것을 거부하는 Amazon Simple Queue Service 리소스 기반 정책을 삭제합니다.

**계정 관리 작업**
+ [AWS 계정 설정을 변경합니다.](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html) AWS Organizations의 일부가 아닌 독립 실행형 AWS 계정는 이메일 주소, 루트 사용자 암호, 루트 사용자 액세스 키를 업데이트하는 데 루트 자격 증명이 필요합니다. 계정 이름, 연락처 정보, 대체 연락처, 결제 통화 기본 설정, AWS 리전 등의 기타 계정 설정에는 루트 사용자 자격 증명이 필요하지 않습니다.
**참고**  
AWS Organizations는 모든 기능이 활성화된 상태에서 관리 계정 및 위임된 관리자 계정으로 멤버 계정 설정을 중앙에서 관리하는 데 사용할 수 있습니다. 관리 계정과 위임된 관리자 계정 모두에서 승인된 IAM 사용자 또는 IAM 역할은 멤버 계정을 닫고 멤버 계정의 루트 이메일 주소, 계정 이름, 연락처 정보, 대체 연락처, AWS 리전를 업데이트할 수 있습니다.
+ [AWS 계정를 닫습니다.](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) AWS Organizations의 일부가 아닌 독립 실행형 AWS 계정는 계정을 해지하기 위해 루트 자격 증명이 필요합니다. AWS Organizations를 사용하면 관리 계정 및 위임된 관리자 계정으로 멤버 계정을 중앙에서 해지할수 있습니다.
+ [IAM 사용자 권한을 복원합니다.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) IAM 관리자가 실수로 권한을 취소하면 루트 사용자로 로그인하여 정책을 편집하고 해당 권한을 복원할 수 있습니다.

**결제 작업**
+ [과금 정보 및 비용 관리 콘솔에 대한 IAM 액세스를 활성화합니다](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html#ControllingAccessWebsite-Activate).
+ 일부 결제 작업은 루트 사용자만 수행할 수 있습니다. 자세한 내용은 AWS Billing 사용 설명서에서 [AWS 계정 관리](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-account-payment.html)를 참조하세요.
+ 특정 세금 계산서를 조회합니다. [aws-portal:ViewBilling](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions) 권한이 있는 IAM 사용자는 AWS 유럽(AWS Inc. 또는 Amazon Internet Services Private Limited(AISPL) 제외)에서 VAT 인보이스를 보고 다운로드할 수 있습니다.

**AWS GovCloud (US) 작업**
+ [AWS GovCloud (US)에 대한 가입.](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/getting-started-sign-up.html)
+ AWS Support에서 AWS GovCloud (US) 계정 루트 사용자 액세스 키를 요청합니다.

**Amazon EC2 작업**
+ 예약 인스턴스 마켓플레이스에 [판매자로 등록](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ri-market-general.html)합니다.

**AWS KMS 작업**
+ AWS Key Management Service 키를 관리할 수 없게 된 경우 관리자는 지원에 연락하여 키를 복구할 수 있습니다. 그러나 지원는 티켓 OTP 확인을 통한 권한 부여를 위해 루트 사용자의 기본 전화번호로 응답합니다.

**Amazon Mechanical Turk Task**
+  [귀하의 AWS 계정을 MTurk 요청자 계정에 연결합니다](https://docs.aws.amazon.com/AWSMechTurk/latest/AWSMechanicalTurkGettingStartedGuide/SetUp.html#accountlinking).

**Amazon Simple Storage Service Tasks**
+ [멀티 팩터 인증(MFA)을 활성화하도록 Amazon S3 버킷을 구성합니다](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html).
+ [모든 보안 주체를 거부하는 Amazon S3 버킷 정책을 편집하거나 삭제합니다](https://aws.amazon.com/premiumsupport/knowledge-center/change-vpc-endpoint-s3-bucket-policy/).

  권한 있는 작업을 사용하여 버킷 정책이 잘못 구성된 Amazon S3 버킷을 열 수 있습니다. 자세한 내용은 [AWS Organizations 멤버 계정에서 권한 있는 태스크 수행](id_root-user-privileged-task.md)을 참조하세요.

**Amazon Simple Queue Service Task**
+ [모든 위탁자를 거부하는 Amazon SQS 리소스 기반 정책을 편집하거나 삭제합니다](https://aws.amazon.com/premiumsupport/knowledge-center/sqs-queue-access-issues-deny-policy).

  권한 있는 작업을 사용하여 리소스 기반 정책이 잘못 구성된 Amazon SQS 대기열을 열 수 있습니다. 자세한 내용은 [AWS Organizations 멤버 계정에서 권한 있는 태스크 수행](id_root-user-privileged-task.md)을 참조하세요.

## 추가 리소스
<a name="id_root-user-resources"></a>

AWS 루트 사용자에 대한 자세한 내용은 다음 리소스를 참조하세요.
+ 루트 사용자 문제에 대한 도움말은 [루트 사용자 관련 문제 해결](troubleshooting_root-user.md)의 내용을 참조하세요.
+ AWS Organizations에서 루트 사용자 이메일 주소를 중앙에서 관리하려면 *AWS Organizations 사용 설명서*의 [멤버 계정의 루트 사용자 이메일 주소 업데이트](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html)를 참조하세요.

다음 문서에서는 루트 사용자 작업에 대한 추가 정보를 제공합니다.
+ [내 AWS 계정 및 해당 리소스를 보호하기 위한 모범 사례로 무엇이 있나요?](https://repost.aws/knowledge-center/security-best-practices)
+ [내 루트 사용자가 사용되었음을 알리는 EventBridge 이벤트 규칙을 생성하려면 어떻게 해야 하나요?](https://repost.aws/knowledge-center/root-user-account-eventbridge-rule)
+ [AWS 계정 루트 사용자 활동 모니터링 및 알림](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) 
+ [IAM 루트 사용자 활동 모니터링](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html)