이메일 아이디로 만든 AWS 계정을 루트 계정이라고 부릅니다. AWS에서는 IAM(Identity and Access Management) 서비스를 제공합니다. IAM은 루트 계정을 사용하지 않고도 각각의 사용자들이 AWS 리소스들에 접근할 수 있도록 해주며 IAM을 통해 유저, 유저 그룹을 만들어 각각의 사용자 혹은 그룹별로 필요한 권한만을 제한적으로 부여할 수 있습니다.
IAM 사용자는 개개인마다 생성하고 여러 명이 같은 IAM 사용자를 공유하지 않습니다. 그리고 원칙적으로 IAM 사용자에게 직접 권한을 부여해서는 안 됩니다.
IAM 그룹은 관리자, 개발자, 오퍼레이터 등 역할마다 생성하길 바랍니다. IAM 사용자는 IAM 그룹에 속하는 것으로 필요한 권한을 얻을 수 있습니다. IAM 그룹에 권한을 부여할 때 IAM 정책을 이용하는데, 가능한 한 관리 정책 또는 사용자 정의 관리 정책을 이용합니다.
프로그램에서 이용할 떄는 가능한 한 IAM 역할을 이용합니다. 프로그램용 IAM 사용자를 생성해서 액세스 키를 발행하는 방법도 있지만 액세스 키의 관리 문제가 발생하기 쉬우므로 다른 대체 수단이 없는 경우에만 이용합니다.
IAM 유의사항
루트 엑세스 키를 조심해야 합니다.
오프라인 기기 혹은 앱 인증을 꼭 사용합니다.
IAM 사용자를 생성하고 필요한 권한만 할당합니다.
IAM 그룹 생성을 통해 권한을 관리합니다.
암호 생성 조건을 꼭 확인하세요
AWS에서 제공하는 비용 청구 자동 확인 서비스들을 수시로 확인합니다. 결제 대시보드에서 제공하는 비용 알람을 반드시 체크하세요. 클라우드 와치를 통해 일정 비용 이상이 초과하면 결제 정보 알람이 뜨도록 설정합니다.
실제 서비스 환경에서 루트 계정을 사용하기보다, 루트 계정은 사용자를 생성하는 용도로만 사용하며 필요한 권한을 부여한 사용자들을 이용해 콘솔에 접속합니다.