[AWS] 📚 아마존 가입 절차 / 보안 설정 (MFA & IAM) 정리

아마존 가입하기

 

1. 먼저 아래 링크를 클릭한다.

무료 클라우드 컴퓨팅 서비스 - AWS 프리 티어

 

 

2. 그리고 무료 티어 버젼으로 무로 계정 생성 버튼을 누른다.

• 아마존은 접속 이력 캐시가 저장되어 있어서 만일 사진과 화면이 다르다면, 브라우저 캐시를 초기화하고 사용해야 한다.

 

 

3. 등록할 이메일 주소와 닉네임을 입력한다.

• 본인이 수신/발신 가능한 이메일을 사용해야 한다.
• 나중에 아마존 계정에 문제가 생겨도 이메일을 통해 해결할 수 있기 때문이다.
• 아마존에선 가입한 이메일 계정을 루트 계정이라고 한다.

 

 

4. 인증 메일이 오면 인증을 한다.

 

 

5. 인증을 완료했으면 패스워드 설정을 마친다.

 

 

 

 

6. 전반적인 가입 정보를 입력한다.

• aws계정 용도를 두가지 중에 선택할 수 있다. (개인으로 선택)
• 주소 일 경우 영문으로 작성을 해줘야 하는데 밑의 링크에서 영문 주소 변환을 쉽게 얻을 수 있다.

https://www.jusoen.com/addreng.asp

 

 

7. 신용카드 정보를 등록한다.

• aws 결제에 사용할 신용카드를 등록하는 과정이다
• 결재 내용을 전달 받을 이메일도 등록한다. (전 단계에 등록한 같은 이메일을 써도 상관 없다.)

 

 

8. 카드 확인 절차를 진행한다.

• 등록한 신용카드가 올바른 카드인지 확인 작업 차원으로 결제 문자 메세지가 올 것이다.
• 하지만 다시 회수해가니 꽁돈은 기대하지 말자 (-ㅅ-)

 

 

9. SMS나 음성통화를 통해 자격을 인증한다.

 

 

10. SMS일 경우 휴대폰 문자로 온 인증 코드를 입력하면 된다.

 

11. 이용할 Support 플랜을 선택한다

• support plan 마다 지원되는 시간, 회신 시간 및 서비스가 다르다.
• 사용중에도 언제든지 support플랜은 변경이 가능하다

 

 

12. AWS 콘솔 접속하기

• 로그인을 하면 이제 aws의 모든 서비스를 이용할 수 있다.

 

다만 지금 접속한 계정은 root 계정이므로 모든 서비스의 빌링과 관련된 아주 중요한 계정이다.

그래서 일반적으로 root게정이 아닌 sub 계정을 만들어 사용한다.

---

ROOT 계정 보안 강화하기

root계정은 처음 가입하면서 만들어진 계정이다.

root 계정은 모든 서비스의 설정과 빌링 관련 업무가 가능한 계정으로 가장 중요하게 관리를 해야 한다. 

MDA(Multi Factor Authentication) 와 보안 챌린지 질문 구성 설정을 꼭 해두어야 한다.

 

 

보안 챌린지 설정

위 내 계정 메뉴를 누르게 되면, 기본설정 페이지가 나오는데 그 안에서 보안 및 결제대금/비용 관리 등에 대한 설정을 추가적으로 더 넣을 수 있다.

보안 챌린지 질문 구성은 고객 서비스 센터에 도움을 요청하는 사용자가 해당 AWS 소유자인지 식별할 수 있게 하는 방법으로 활용할 수 있다.

흔히 어느 웹사이트를 가입할때 하는 2단계 보안인증을 설정하는 것이다.

---

MFA 설정하기

AWS에는 ROOT 계정과 IAM 계정이 있다.

 

ROOT 계정

• AWS에 처음 가입할때 생성하는 계정이다. 모든 권한을 가지고 있다.
• 보안상 ROOT계정은 최대한 자제해야하고 IAM키로 제한된 기능을 사용해야한다.

 

IAM 계정

• AWS 리소스를 안전하게 관리하기 위한 서비스이다.
• ROOT 계정 혹은 다른 IAM 계정으로부터 권한을 부여 받으며, 주어진 권한 내의 작업만 할 수 있다.

 

특히 ROOT 계정의 MFA는 필수적이다.

MFA란, Multi-Factor Authentication (MFA) 2단계 인증이라고 보면 이해가 될 것이다.

MFA 이란? 
쉽게 말하자면 해킹을 방지하기 위한 2 차 보안 인증 서비스 이다. 
은행 로그인 할 때 보안을 강화하기 위해 OTP(One Time Password) 단말기를 쓰는 것과 동일하다.
예전에는 보안카드 라는 것을 발급했지만, 이것은 탈취당하기 쉽기 때문에 "초단위 또는 분단위로 바뀌는 숫자"로 인증번호를 대체하여 보안을 강화하는 방법 이다.

MFA 를 활성화하면 사용자가 AWS 웹 사이트에 로그인할 때 사용자 이름과 암호뿐만 아니라 AWS MFA 디바이스의 6 자리 인증 코드를 입력하라는 메시지가 표시된다.
이러한 다중 요소를 통해 AWS 계정 설정 및 리소스에 대한 보안을 높일 수 있다.

이러한 MFA는 하드웨어만 있는게 아니고 스마트폰에 앱을 설치하여 동일한 효과를 낼 수도 있다.

IAM 이란?
IAM(AWS Identity and Access Management)은 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스다.
IAM을 사용하여 리소스를 사용하도록 인증 및 권한 부여된 대상을 제어한다.

물리 데이터 센터를 생각해보자
출입이 허가된 인원들은 출입 카드를 통해 출입하거나, 리스트에 방문 기록을 하고 허가를 받아야 한다.
IAM은 이러한 데이터 센터의 출입 권한을 부여하는 출입카드나, 방문 허가 같은 기능을 가지고 있는 AWS 서비스 라고 보면 된다.
보안 주체가 인증(Authentication)과 권한부여(Authorization)을 받아 리소스에 대한 요청을 승인하는 것이 IAM의 주요 작동 방식이다.

 

 

1. 서비스 검색창에 IAM이라 치고 클릭한다.

 

 

2. MFA 활성화 버튼을 누르고 가상 MFA 디바이스를 등록한다

가상 MFA 디바이스는 안드로이드나 애플 앱스토어에서 구글 OTP를 사용해서 인증하는 방법이다.

 

 

3. 구글 OTP 앱을 다운로드 한다.

Google OTP - Google Play 앱

 

 

4. 가상 MFA 디바이스 설정 창에서 QR 코드를 표시하고 휴대폰으로 이를 촬영 한다.

 

 

5. 구글 OTP 앱에서 6자리 숫자를 두번 입력한다.

1. 먼저 MFA 코드1에 화면의 숫자를 입력해주고 우측의 원형 바가 다 지날떄까지 기다린다.
2. 일정시간이 지나면 숫자가 바뀌게 되는데 바뀐 코드를 MFA 코드2에 적어주면 된다.

 

 

6. 자격 증명 등록에 성공 하였다.

이제부터 로그인 할때는 기본적으로 아이디와 패스워들 입력하고, 추가적으로 OTP 인증을 통해 나오는 숫자를 입력해야 로그인이 가능하게 된다.

---

IAM 서브 계정 사용자 추가하기

 

1. 사용자 메뉴에 들어가서 사용자 추가 버튼을 누른다.

 

 

2. 추가할 사용자 정보를 설정한다.

 

 

3. 사용자에 대한 권한 정책을 설정한다.

• 정책 이름에 대한 표들이 펼쳐져 있는데, 이들중 사용자에게 권한을 주고 싶은 정책을 선택해서 제공하는 것이다.
• 기존에 있는 정책 권한을 선택해줘도 되고 아예 새롭게 정책을 만들어도 된다.
• 어떤 정책을 가지고 있느냐에 따라 사용자는 할 수 있는게 달라지게 된다.
• 본 강의에선는 Administrator접근 권한을 줘 보겠다.

 

 

4. 접속한다사용자 권한 설정

• 사용자 추가가 되면은 비밀 엑세스 키와 비밀번호가 있는데, 특히 비밀 엑세스 키는 다운을 미리 받아놓아야 한다.
• csv파일로 다운받아 로컬에 저장해놓거나 이메일 전송을 한다.
• 이메일 전송(이메일 로그인 지침) 을 하게되면, 메일로 로그인url이 보내지게 된다.

 

만일 이메일 내용이 인코딩 되어 해괴한 문자로 나온다면, 이 사이트를 이용하길 바란다.

메일 내용을 복붙하고 Decode버튼을 누르면 한글로 출력되게 된다.

URL Decoder/Encoder

 

 

5. 생성한 서브 계정으로 로그인 해본다

• 계정 12자리는 이메일을 통해 온 url에 적혀 있다.
• 암호는 다운한 csv에 적혀있다. 그대로 복붙하면 된다.

 

 

6. 서브 계정 비밀번호를 설정해준다.

비밀번호 설정해줬으면 무사히 로그인에 성공하게 된다.

이제 서브계정도 위 루트 계정에서 했던것 처럼 2단계 OTP 인증을 수행하면 된다.

---

자동 결제 방지 설정하기

좌측 메뉴 하단으로 내려가면 결제 기본 설정이 있는데, 이곳에서 프리티어 사용량에 대해 안내를 미리 받아서 사용량 제한에 도달했을 때 서비스를 중지시켜서 과금을 막을 수 있다.

자주 쓰는 이메일을 등록해야 좋고, 초반에 스팸 메일함에 갈 수 있으니 확인 후 스팸 해지 설정해두어 누락되는 일이 없게 만들어야 한다.