모범 사례에 따라 AWS 계정에서 미사용 IAM 사용자를 제거하는 것이 좋습니다. 나중에 사용할 수 있도록 IAM 사용자 자격 증명을 유지하려면 계정에서 삭제하는 대신 사용자의 액세스를 비활성화할 수 있습니다. 자세한 내용은 IAM 사용자 비활성화 단원을 참조하십시오.
사전 조건 - IAM 사용자 액세스 보기
사용자를 제거하기 전에 최근 서비스 수준 활동을 검토합니다. 이렇게 하면 이를 사용하는 보안 주체(개인 또는 애플리케이션)의 액세스 권한 제거를 방지할 수 있습니다. 마지막으로 액세스한 정보 보기에 대한 자세한 내용은 마지막으로 액세스한 정보를 사용하여 AWS에서 권한 재정의 섹션을 참조하세요.
IAM 사용자 제거(콘솔)
AWS Management Console을 사용하여 IAM 사용자를 제거하면 IAM에서 자동으로 다음 관련 정보를 삭제합니다.
-
IAM 사용자 식별자
-
모든 그룹 멤버십(IAM 사용자가 속해 있던 모든 IAM 그룹에서 제거됨)
-
IAM 사용자와 연결된 모든 암호
-
IAM 사용자에게 속한 모든 액세스 키
-
IAM 사용자에게 포함된 모든 인라인 정책(사용자 그룹 권한을 사용하여 IAM 사용자에게 적용되는 정책은 영향을 받지 않음)
참고
사용자를 삭제할 때 IAM은 IAM 사용자에 연결된 관리형 정책을 제거하지만 관리형 정책을 삭제하지는 않습니다.
-
연결된 모든 MFA 디바이스
IAM 사용자 제거(콘솔)
-
AWS 로그인 사용 설명서의 AWS에 로그인하는 방법 항목에 설명된 대로 사용자 유형에 맞는 로그인 절차를 따르세요.
-
콘솔 홈 페이지에서 IAM 서비스를 선택합니다.
-
왼쪽 탐색 창에서 사용자를 선택한 후 삭제할 IAM 사용자 이름 옆에 있는 확인란을 선택하세요.
-
페이지 상단에서 삭제(Delete)를 선택합니다.
-
확인 대화 상자에서 텍스트 입력 필드에 사용자 이름을 입력하여 사용자 삭제를 확인합니다. Delete(삭제)를 선택합니다.
콘솔에 IAM 사용자가 삭제되었다는 상태 알림이 표시됩니다.
IAM 사용자 삭제(AWS CLI)
AWS Management Console과 달리 AWS CLI로 IAM 사용자를 삭제할 때는 IAM 사용자에게 연결된 항목들을 수동으로 삭제해야 합니다. 다음 절차는 그 과정을 보여줍니다.
AWS 계정(AWS CLI)에서 IAM 사용자 삭제
-
해당 사용자의 암호가 있으면 삭제합니다.
-
해당 사용자의 액세스 키가 있으면 삭제합니다.
aws iam list-access-keys(사용자의 액세스 키 나열) 및aws iam delete-access-key -
사용자 서명 인증서를 삭제합니다. 보안 자격 증명을 삭제하면 영원히 지워져 검색할 수 없습니다.
aws iam list-signing-certificates(사용자의 서명 인증서 나열) 및aws iam delete-signing-certificate -
해당 사용자의 SSH 퍼블릭 키가 있으면 삭제합니다.
aws iam list-ssh-public-keys(사용자의 SSH 퍼블릭 키 나열) 및aws iam delete-ssh-public-key -
사용자의 Git 자격 증명을 삭제합니다.
aws iam list-service-specific-credentials(사용자의 Git 자격 증명 나열) 및aws iam delete-service-specific-credential -
해당 사용자의 Multi-Factor Authentication(MFA) 디바이스가 있으면 비활성화합니다.
aws iam list-mfa-devices(사용자의 MFA 디바이스 나열),aws iam deactivate-mfa-device(디바이스 비활성화) 및aws iam delete-virtual-mfa-device(가상 MFA 디바이스를 영구 삭제) -
사용자의 인라인 정책을 삭제합니다.
aws iam list-user-policies(사용자에 대한 인라인 정책 나열) 및aws iam delete-user-policy(정책 삭제) -
사용자에 연결된 관리형 정책을 모두 분리합니다.
aws iam list-attached-user-policies(사용자에게 연결된 관리형 정책 나열) 및aws iam detach-user-policy(정책 분리) -
사용자를 모든 IAM 그룹에서 제거합니다.
aws iam list-groups-for-user(사용자가 속한 IAM 그룹 나열) 및aws iam remove-user-from-group -
사용자를 삭제합니다.
IAM 사용자 비활성화
IAM 사용자가 잠시 회사를 떠나 있는 동안 IAM 사용자를 비활성화해야 할 수 있습니다. IAM 사용자 자격 증명을 그대로 두고 AWS 액세스를 계속 차단할 수 있습니다.
사용자를 비활성화하려면 AWS에 대한 사용자 액세스를 거부하는 정책을 생성하고 연결합니다. 나중에 사용자의 액세스 권한을 복원할 수 있습니다.
다음은 액세스를 거부하기 위해 사용자에게 연결할 수 있는 거부 정책의 두 가지 예입니다.
다음 정책에는 시간 제한이 포함되지 않습니다. 사용자의 액세스 권한을 복원하려면 정책을 제거해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*" } ] }
다음 정책에는 2024년 12월 24일 오후 11:59(UTC)에 시작하여 2025년 2월 28일 오후 11:59(UTC)에 종료하는 조건이 포함되어 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"}, "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"} } } ] }
