IAM 계정 관리의 숨겨진 구멍들 : AWS SSO를 통해 계정 보안 강화하기

IAM 계정 관리의 숨겨진 구멍들 : AWS SSO를 통해 계정 보안 강화하기

Written by Hyejin Jeon

안녕하세요. 스마일샤크 전혜진입니다.

다들 AWS 계정관리를 어떻게 하고 계시나요?

일반적으로 Root 계정을 생성한 후 별도의 IAM 계정을 생성해서 IAM 그룹별로 배치하여 서비스를 이용하고 계실 겁니다.

그러나 사용자별로 여러 개의 계정을 생성하다 보면 각 계정에 속한 비밀번호, MFA 디바이스, 액세스 키 등을 관리해야 하는데, 이 방법은 매우 비효율적일뿐더러 보안에 있어서 구멍이 송송 뚫리는 격입니다.

파견 근로자, 퇴사자 등 유연하게 관리해야 하는 인력도 존재하므로 이러한 인력마다 계정을 발급하는 것 또한 번거로운 일입니다. 역할 전환 방식 또한 전환할 계정의 ID를 기억해야 하고 계정 전반에 걸쳐 많은 정책과 역할을 배포하고 관리해야 하므로 번거로운 계정 관리 방식이죠.

이렇게 번거롭고 보안이 취약한 방식을 보완하기 위해 등장한 서비스가 AWS Single Sign-On(SSO)입니다. (현재는 후속 서비스인 IAM Identity Center로 변경되었습니다)

위와 같은 소셜 로그인 화면을 본 적이 있으실 겁니다. 하나의 사이트에서 가입한 계정으로 다른 사이트로 로그인할 수 있는 간편한 인증 방식입니다.

이처럼 IAM Identity Center(AWS SSO)도 단 한 번의 인증으로 여러 AWS 계정에 액세스할 수 있습니다.

그럼 직접 사용자 생성 후 로그인을 해보고 어떤 간편한 기능이 있는지 살펴보겠습니다.

1. IAM Identity Center(AWS SSO)로 사용자 생성하기

   1. 사용자 및 그룹 생성

   2. 권한 세트 생성

   3. 권한 세트 할당

   4. 사용자로 로그인

2. IAM Identity Center(AWS SSO)의 기능

   1. Active Directory와 통합

   2. MFA 인증 설정

   3. 외부 애플리케이션 연동

3. 마무리

IAM Identity Center (AWS SSO)로 사용자 생성하기

💡 IAM Identity Center 서비스를 활성화해야 하는데요, AWS Organizations의 마스터 어카운트 계정으로 IAM Identity Center에 접속한 후 활성화를 누릅니다. 

1. 사용자 및 그룹 생성

사용자와 그룹을 각각 만든 후 사용자를 그룹에 할당해 줍니다. 저는 test 사용자를 만들어서 smileshark-admin 그룹에 할당했습니다.

AWS Identity Center에서 사용자를 추가하면 등록한 이메일로 초대 메일이 발송되는데, [Accept invitation]을 눌러 초기 비밀번호를 설정한 후 인증을 완료합니다.

아직 사용자에게 계정이나 권한 세트가 할당되지 않아 액세스가 불가능하므로 권한 세트를 생성해서 할당해 보겠습니다.

2. 권한 세트 생성

관리 계정의 Identity Center 콘솔로 돌아와 [권한 세트 생성]을 클릭합니다.

사용자 지정 권한 세트를 사용해도 되지만 AWS에서는 용도 별로 사전 정의된 관리형 정책을 제공하는데요, 손쉽게 AdministratorAccess를 선택해 정책을 추가합니다.

3. 권한 세트 할당

다중 계정 권한 - AWS 계정 메뉴에서 현재 존재하는 하나의 계정만 선택한 뒤 [사용자 또는 그룹 할당]을 클릭합니다.

사용자/그룹에 맞는 권한 세트를 이어줘야 하는데요, 저는 smileshark-admin과 AdminictratorAccess 권한 세트를 선택해서 할당했습니다.

4. 사용자로 로그인

test 사용자의 이메일로 발송된 초대 메일에서 포탈 로그인 URL을 확인할 수 있는데요,

해당 URL로 로그인하면 방금 추가한 AWS 계정인 hjin 계정으로 smileshark-admin 그룹에 할당된 AdministratorAccess 권한을 사용하여 모든 AWS 리소스에 Admin 권한으로 접근할 수 있습니다.

IAM Identity Center (AWS SSO)의 기능

Active Directory와 통합

설정 - 자격 증명 소스 변경에서 Active Directory(AWS Managed AD)와 연동하거나 외부 자격 증명 공급자(Azure AD, Okta 등)와 연동이 가능합니다.

MFA 인증 설정

설정 - 멀티 팩터 인증 구성에서 계정 MFA 인증을 설정할 수 있습니다. 로그인 시 MFA 강제 인증을 요구하거나 MFA 디바이스가 없는 경우 임시 비밀번호 전송 여부 등을 클릭 한 번으로 설정할 수 있습니다.

외부 애플리케이션 연동

설정 - 애플리케이션에서 외부 SaaS 앱과의 연동이 가능합니다. 카탈로그에서 Salesforce, Dropbox, Slack, Github 등의 SAML 2.0 애플리케이션을 검색하여 추가할 수 있습니다.

마무리

사용자는 번거로운 로그인/로그아웃을 할 필요 없이 Single Sign-On 환경에서 많은 계정들을 유연하게 관리하고 접근할 수 있습니다. 실습을 통해서 AWS 계정 관리를 SSO 환경으로 설정하는 것도 어렵지 않다고 느끼실 텐데요, 비용 또한 무료이기 때문에 사용하지 않을 이유가 없습니다.

저도 기존에 IAM 계정을 생성하고 그룹별 권한을 세팅하는 방식이 UI 상으로 익숙하고 편했고, 기존의 방식에서 SSO 방식으로 전환하는 작업에 부담을 느꼈습니다.

하지만 보안 사고 중 계정의 프로필 및 액세스 키 노출로 인한 사고가 대부분을 차지하는 만큼 되도록 IAM Identity Center(AWS SSO)를 사용하는 방법을 권장합니다.

이상으로 글을 마치며 블로그 내용에 대해 궁금한 점이 있거나 기술 문의를 원하시면 partner@smileshark.kr로 부담 없이 연락주세요.