IAM 사용자의 권한 변경 - AWS Identity and Access Management
사용자 액세스 보기사용자의 액세스 활동을 기반으로 정책 생성사용자에 권한 추가(콘솔)사용자의 권한 변경(콘솔)사용자에게서 권한 정책 제거(콘솔)사용자에게서 권한 경계 제거(콘솔)사용자 권한 추가 및 제거(AWS CLI 또는 AWS API)

IAM 사용자의 권한 변경

AWS 계정에서 IAM 사용자의 권한을 변경하려면 사용자의 그룹 멤버십을 변경하거나, 기존 사용자의 권한을 복사하거나, 사용자에 정책을 직접 연결하거나, 권한 경계를 설정할 수 있습니다. 이 권한 경계는 사용자가 가질 수 있는 최대 권한을 관리합니다. 권한 경계는 고급 AWS 기능입니다.

사용자의 권한을 수정하기 위해 필요한 권한에 대한 자세한 내용은 IAM 리소스에 액세스하는 데 필요한 권한 섹션을 참조하세요.

사용자 액세스 보기

사용자에 대한 권한을 변경하기 전에 최근 서비스 수준 활동을 검토해야 합니다. 이 기능은 사용 중인 보안 주체(사람 또는 애플리케이션)의 액세스 권한을 제거하지 않으려는 경우 중요합니다. 마지막으로 액세스한 정보 보기에 대한 자세한 내용은 마지막으로 액세스한 정보를 사용하여 AWS에서 권한 재정의 섹션을 참조하세요.

사용자의 액세스 활동을 기반으로 정책 생성

때로는 IAM 엔터티(사용자 또는 역할)에 필요한 것보다 많은 권한을 부여할 수도 있습니다. 부여하는 권한을 세분화할 수 있도록 엔터티의 액세스 활동을 기반으로 IAM 정책을 생성할 수 있습니다. IAM Access Analyzer는 사용자의 AWS CloudTrail 로그를 검토하고 지정된 날짜 범위에 엔터티에서 사용한 권한을 포함하는 정책 템플릿을 생성합니다. 이 템플릿을 사용하여 세분화된 권한이 포함된 관리형 정책을 생성한 다음 IAM 엔터티에 연결할 수 있습니다. 이렇게 하면 특정 사용 사례에 사용자나 역할이 AWS 리소스와 상호 작용하는 데 필요한 권한만 부여됩니다. 자세한 내용은 IAM Access Analyzer 정책 생성을 참조하세요.

사용자에 권한 추가(콘솔)

IAM은 사용자에 권한 정책을 추가하는 세 가지 방법을 제공합니다.

  • IAM 그룹에 IAM 사용자 추가 - 사용자를 그룹의 구성원으로 만듭니다. 그룹의 정책은 사용자로 연결됩니다.

  • 기존 IAM 사용자의 권한 복사 - 소스 사용자의 모든 그룹 멤버십, 연결된 관리형 정책, 인라인 정책 및 모든 기존 권한 경계를 복사합니다.

  • 정책을 IAM 사용자에 직접 연결 - 관리형 정책을 사용자에 직접 연결합니다. 더 쉬운 권한 관리를 위해 정책을 그룹에 연결한 다음 IAM 사용자를 적절한 그룹의 멤버로 만드세요.

중요

사용자에게 권한 경계가 있다면 권한 경계가 허용한 권한보다 더 많은 권한을 추가할 수 없습니다.

IAM 사용자를 그룹에 추가하여 권한 추가

IAM 그룹에 IAM 사용자를 추가하면 사용자 권한이 그룹에 정의된 권한으로 즉시 업데이트됩니다.

IAM console

  1. AWS 로그인 사용 설명서AWS에 로그인하는 방법 항목에 설명된 대로 사용자 유형에 맞는 로그인 절차를 따르세요.

  2. 콘솔 홈 페이지에서 IAM 서비스를 선택합니다.

  3. 탐색 창에서 사용자를 선택합니다.

  4. 사용자 목록에서 IAM 사용자 이름을 선택합니다.

  5. 그룹 탭을 선택하면 현재 사용자를 포함하는 그룹 목록이 표시됩니다.

  6. 그룹에 사용자 추가를 선택합니다.

  7. 사용자를 귀속시키려는 각 그룹의 확인란을 선택합니다. 그 목록에는 각 그룹의 이름과 사용자가 그 그룹의 구성원이 되면 받는 정책이 표시됩니다.

  8. (선택 사항) 그룹 생성을 선택하여 새 그룹을 정의할 수 있습니다. 이는 기존 그룹과 다른 정책이 연결된 그룹에 사용자를 추가하려는 경우 유용합니다.

    1. 새로운 탭에서 사용자 그룹 이름으로 새로운 그룹의 이름을 입력합니다.

      참고

      AWS 계정의 IAM 리소스 수와 크기는 제한되어 있습니다. 자세한 내용은 IAM 및 AWS STS 할당량 단원을 참조하십시오. 그룹 이름에는 최대 128개의 알파벳, 숫자 및 더하기(+), 등호(=), 쉼표(,), 마침표(.), 앳(@), 그리고 하이픈(-) 조합을 사용할 수 있습니다. 이름은 계정 내에서 고유해야 합니다. 대소문자는 구별하지 않습니다. 예를 들어 "TESTGROUP""testgroup"이라는 두 그룹을 만들 수는 없습니다.

    2. 그룹에 연결하고자 하는 관리형 정책에 대해 한 개 이상의 확인란을 선택합니다. 정책 생성을 선택하여 새로운 관리형 정책을 만들 수도 있습니다. 이렇게 하는 경우, 새 정책이 완료되면 이 브라우저 탭 또는 창으로 돌아가 새로 고침을 선택한 다음, 그룹에 연결할 새로운 정책을 선택합니다. 자세한 내용은 고객 관리형 정책으로 사용자 지정 IAM 권한 정의 단원을 참조하십시오.

    3. 사용자 그룹 만들기를 선택합니다.

    4. 기존 탭으로 반환하고 그룹 목록을 새로 고침합니다. 새로운 그룹에 대한 확인란을 선택합니다.

  9. 그룹에 사용자 추가를 선택합니다.

콘솔에 사용자가 지정한 그룹에 추가되었음을 알리는 상태 메시지가 표시됩니다.

다른 IAM 사용자에게서 복사하여 권한 추가

권한을 복사하여 IAM 사용자에게 권한을 추가하는 경우 IAM은 지정된 사용자의 모든 그룹 멤버십, 연결된 관리형 정책, 인라인 정책 및 기존 권한 경계를 복사하여 현재 선택한 사용자에게 즉시 적용합니다.

IAM console

  1. AWS 로그인 사용 설명서AWS에 로그인하는 방법 항목에 설명된 대로 사용자 유형에 맞는 로그인 절차를 따르세요.

  2. 콘솔 홈 페이지에서 IAM 서비스를 선택합니다.

  3. 탐색 창에서 사용자를 선택합니다.

  4. 사용자 목록에서 IAM 사용자 이름을 선택합니다.

  5. 권한 탭에서 권한 추가를 선택합니다.

  6. 권한 추가 페이지에서 권한 복사를 선택합니다. 목록에는 사용 가능한 IAM 사용자들이 그들의 그룹 멤버십 및 연결된 정책과 함께 표시됩니다.

  7. 복사하고자 하는 권한을 보유한 사용자 옆에 있는 라디오 버튼을 선택합니다.

  8. 다음을 선택하여 사용자에 대한 변경 사항의 목록을 확인합니다. 그런 다음 Add permissions(권한 추가)를 선택합니다.

콘솔에 지정한 IAM 사용자로부터 권한이 복사되었음을 알리는 상태 메시지가 표시됩니다.

IAM 사용자에게 정책을 직접 연결하여 권한 추가

관리형 정책을 IAM 사용자에게 직접 연결할 수 있습니다. 업데이트된 권한은 즉시 적용됩니다.

IAM console

  1. AWS 로그인 사용 설명서AWS에 로그인하는 방법 항목에 설명된 대로 사용자 유형에 맞는 로그인 절차를 따르세요.

  2. 콘솔 홈 페이지에서 IAM 서비스를 선택합니다.

  3. 탐색 창에서 사용자를 선택합니다.

  4. 사용자 목록에서 IAM 사용자 이름을 선택합니다.

  5. 권한 탭에서 권한 추가를 선택합니다.

  6. 권한 추가 페이지에서 정책을 직접 연결을 선택합니다. 권한 정책 목록에는 사용 가능한 정책 유형 및 연결된 엔터티와 함께 사용 가능한 정책이 표시됩니다.

  7. 연결하려는 정책 이름 옆에 있는 라디오 버튼을 선택합니다.

  8. 다음을 선택하여 사용자에 대한 변경 사항의 목록을 확인합니다. 그런 다음 Add permissions(권한 추가)를 선택합니다.

콘솔에 지정한 IAM 사용자에게 정책이 추가되었음을 알리는 상태 메시지가 표시됩니다.

IAM 사용자에 대한 권한 경계 설정

권한 경계는 IAM 사용자가 가질 수 있는 최대 권한을 설정하는 데 사용되는 AWS의 권한을 관리하기 위한 고급 기능입니다. 권한 경계를 설정하면 부여된 다른 권한과 무관하게 IAM 사용자 권한이 경계로 즉시 제한됩니다.

IAM console

  1. AWS 로그인 사용 설명서AWS에 로그인하는 방법 항목에 설명된 대로 사용자 유형에 맞는 로그인 절차를 따르세요.

  2. 콘솔 홈 페이지에서 IAM 서비스를 선택합니다.

  3. 탐색 창에서 사용자를 선택합니다.

  4. 사용자 목록에서 권한 경계를 변경하려는 IAM 사용자의 이름을 선택합니다.

  5. 권한 탭을 선택합니다. 필요하다면 권한 경계 섹션을 열고 권한 경계 설정을 선택합니다.

  6. 권한 경계 설정 페이지의 권한 정책에서 권한 경계에 사용할 정책을 선택합니다.

  7. Set boundary(경계 설정)을 선택합니다.

콘솔에 권한 경계가 추가되었음을 알리는 상태 메시지가 표시됩니다.

사용자의 권한 변경(콘솔)

IAM을 사용하면 다음과 같은 방법으로 사용자와 연결된 권한을 변경할 수 있습니다.

  • 권한 정책 편집 - 사용자 인라인 정책, 사용자 그룹의 인라인 정책을 편집하거나 사용자에 직접 연결되거나 그룹에서 연결된 관리형 정책을 편집합니다. 사용자에게 권한 경계가 있다면 권한 경계로 사용된 정책이 허용한 권한보다 더 많은 권한을 제공할 수 없습니다.

  • 권한 경계 변경 - 사용자의 권한 경계로 사용되는 정책을 변경합니다. 이로써 사용자가 가질 수 있는 최대 권한을 확장 또는 제한할 수 있습니다.

사용자에 연결된 권한 정책 편집

권한 변경으로 사용자 액세스는 바로 업데이트됩니다.

IAM console

  1. AWS 로그인 사용 설명서AWS에 로그인하는 방법 항목에 설명된 대로 사용자 유형에 맞는 로그인 절차를 따르세요.

  2. 콘솔 홈 페이지에서 IAM 서비스를 선택합니다.

  3. 탐색 창에서 사용자를 선택합니다.

  4. 사용자 목록에서 권한 경계를 변경하려는 IAM 사용자의 이름을 선택합니다.

  5. 권한 탭을 선택합니다. 필요하다면 권한 경계 섹션을 엽니다.

  6. 정책에 대한 세부 정보를 보기 위해서 편집하고자 하는 정책 이름을 선택합니다. 정책을 편집하면 영향을 받을 수 있는 다른 엔터티(IAM 사용자, 그룹 및 역할)를 보려면 연결된 엔터티 탭을 선택합니다.

  7. 그런 다음 Permissions tab(권한 탭)을 정책이 허용한 권한을 검토합니다. 권한을 변경하려면 편집을 선택합니다.

  8. 정책을 편집하고 모든 정책 검사 권장 사항을 해결합니다. 자세한 내용은 IAM 정책 편집 단원을 참조하십시오.

  9. 다음을 선택한 다음 정책 요약을 검토한 후 변경 사항 저장을 선택합니다.

콘솔에 정책이 업데이트되었음을 알리는 상태 메시지가 표시됩니다.

사용자에 대한 권한 경계 변경

권한 경계 변경으로 사용자 액세스는 바로 업데이트됩니다.

IAM console

  1. AWS 로그인 사용 설명서AWS에 로그인하는 방법 항목에 설명된 대로 사용자 유형에 맞는 로그인 절차를 따르세요.

  2. 콘솔 홈 페이지에서 IAM 서비스를 선택합니다.

  3. 탐색 창에서 사용자를 선택합니다.

  4. 사용자 목록에서 권한 경계를 변경하려는 IAM 사용자의 이름을 선택합니다.

  5. 권한 탭을 선택합니다. 필요하다면 Permissions boundary(권한 경계) 섹션을 열고 Change boundary(경계 변경)을 선택합니다.

  6. 정책을 선택하여 원하는 권한 경계를 사용하세요.

  7. Set boundary(경계 설정)을 선택합니다.

콘솔에 권한 경계가 변경되었음을 알리는 상태 메시지가 표시됩니다.

사용자에게서 권한 정책 제거(콘솔)

권한 정책 제거로 사용자 액세스는 바로 업데이트됩니다.

IAM console

  1. AWS 로그인 사용 설명서AWS에 로그인하는 방법 항목에 설명된 대로 사용자 유형에 맞는 로그인 절차를 따르세요.

  2. 콘솔 홈 페이지에서 IAM 서비스를 선택합니다.

  3. 탐색 창에서 사용자를 선택합니다.

  4. 권한 정책을 제거하려는 사용자의 이름을 선택합니다.

  5. 권한 탭을 선택합니다.

  6. 기존 정책을 제거하여 권한을 제거하려면 제거를 선택하여 정책을 제거하기 전에 연결 수단 열을 보고 사용자가 해당 정책을 가져오는 방법을 파악합니다.

    • 그 정책이 그룹 멤버십 때문에 적용되는 경우, 제거를 선택하면 사용자가 그룹에서 제거됩니다. 한 그룹에 여러 정책이 연결될 수 있습니다. 따라서 그룹에서 사용자를 제거할 경우 사용자는 그 그룹의 멤버십을 통해 받은 모든 정책에 대한 액세스 권한을 잃게 됩니다.

    • 정책이 사용자에 직접 연결된 관리형 정책인 경우 제거를 선택하면 정책이 사용자와 분리됩니다. 이렇게 해도 정책 자체 또는 그 정책이 연결되어 있을 수 있는 다른 개체에는 영향을 미치지 않습니다.

    • 정책이 인라인 포함 정책인 경우, 제거를 선택하면 정책이 IAM에서 제거됩니다. 사용자에 직접 연결된 인라인 정책은 해당 사용자에만 존재합니다.

그룹 멤버십을 통해 정책이 사용자에게 부여된 경우 콘솔에 IAM 사용자가 IAM 그룹에서 제거되었음을 알리는 상태 메시지가 표시됩니다. 정책이 직접 연결되거나 인라인인 경우 정책이 제거되었음을 알리는 상태 메시지가 표시됩니다.

사용자에게서 권한 경계 제거(콘솔)

권한 경계 제거로 사용자 액세스는 바로 업데이트됩니다.

IAM console

  1. AWS 로그인 사용 설명서AWS에 로그인하는 방법 항목에 설명된 대로 사용자 유형에 맞는 로그인 절차를 따르세요.

  2. 콘솔 홈 페이지에서 IAM 서비스를 선택합니다.

  3. 탐색 창에서 사용자를 선택합니다.

  4. 사용자 목록에서 권한 경계를 제거하려는 IAM 사용자의 이름을 선택합니다.

  5. 권한 탭을 선택합니다. 필요하다면 권한 경계 섹션을 엽니다.

  6. Change boundary(경계 변경)을 선택합니다. 권한 경계 제거를 확인하려면 확인 대화 상자에서 경계 제거를 선택합니다.

콘솔에 권한 경계가 제거되었음을 알리는 상태 메시지가 표시됩니다.

사용자 권한 추가 및 제거(AWS CLI 또는 AWS API)

프로그래밍 방식으로 권한을 추가 또는 제거하려면 그룹 멤버십을 추가 또는 제거하거나 관리형 정책을 연결 또는 분리하거나 인라인 정책을 추가 또는 삭제해야 합니다. 자세한 정보는 다음 주제를 참조하세요.