[1] 배경
- 신규 aws 계정 생성 및 조직에서 갖춰야 하는 필수 보안 설정에 대하여 알아보도록 합니다.
AWS Linked Account를 설정하려면 AWS Organizations 서비스를 사용하거나 AWS IAM (Identity and Access Management)을 통해 필요한 권한을 부여하고 관리할 수 있습니다. Linked Account를 사용하면 AWS 리소스를 보다 효율적으로 관리하고 보안을 강화할 수 있으며, 다양한 계정 간의 협력을 단순화할 수 있습니다. 조직에서 필요한 설정 부분도 함께 알아보면 좋을 것 같습니다.
[2] 작업 내용
2-1. AWS 공식 매뉴얼 참고
https://aws.amazon.com/ko/premiumsupport/knowledge-center/create-and-activate-aws-account/
- 기본적으로 위 공식 매뉴얼을 참고하도록 합니다.
2-2. AWS Account 생성 절차 소개
https://console.aws.amazon.com/
- 위 링크를 클릭하여 aws console 로 접속합니다.
2-3. 생성 프로세스 요약
- AWS Console 에서 계정 생성
- Root Email 및 AWS Account Name(Account Nickname) 생성
- Root Email 인증 (Code 6 Digit)
- Root Email > Password 지정 및 확인
- 비즈니스 정보 입력(주소, 전화번호, 우편번호 등)
- 결제 수단 정보 입력(신용카드 및 카드 소유주, 청구 이메일 정보 등)
- 결제 카드 검증
- 전화 인증 (Voice call 지정)
- 전화 키패드에서 4 Digit 입력
- Support Plan 지정
2-4. 작업 상세
1. Root Email 및 AWS Account Name(Account Nickname) 생성
- console 접속 후 “AWS 계정 새로 만들기” 클릭
2. Root Email 인증 (Code 6 Digit)
- Root user email addrss: 수신 가능한 “Email Account” 를 입력합니다. (소유자의 고유 Root 계정입니다. 추후 변경 불가능)
- AWS account name: AWS Console 상에 표시될 AWS 계정 이름입니다. (추후 변경 가능)
- (1)항에 입력한 이메일 유효성을 검증하기 위하기 Code를 보내기입니다.
- 이 화면이 표시될 때, 입력한 Root Email 사서함을 확인합니다.
- 입력한 Root Email 에 수신된 6자리 코드를 확인한 후 이전 Console 화면에 입력합니다.
- 6자리 코드를 입력 후 검증하기를 진행합니다.
3. Root Email > Password 지정 및 확인
- Root Email 검증 완료 후 Password 를 두 번 입력합니다.
- 입력이 완료된 후 “계속하기” 버튼을 클릭합니다.
4. 비즈니스 정보 입력(주소, 전화번호, 우편번호 등)
- 위 예시로 Contact Information 을 작성합니다.
- 추후 관리자의 부주의 또는 계정 탈취로 인하여, AWS 계정 복원을 위하여 사용 될 수 있으므로, 정확하게 입력합니다.
- 작성이 완료되면 “계속하기”를 클릭합니다.
5. 결제 수단 정보 입력(신용카드 및 카드 소유주, 청구 이메일 정보 등)
- 결제 수단을 입력합니다.
- 카드번호 정보 및 Invoice 를 수신할 이메일 주소를 입력 후 계속하기를 진행합니다.
6. 결제 카드 검증
- 카드 결제 업데이트를 위한 “카드 비밀번호 2자리”를 입력합니다.
- 법인 공용카드일 경우, “법인공용카드” 체크 후 사업자번호 10자리를 입력합니다.
- 개인이 사용할 경우, 생년월일을 입력합니다.
- 서비스 이용에 대한 전체 동의 체크 후 하단에 “다음”을 클릭합니다.
7. 전화 인증 (Voice call 지정 및 검증)
- 카드 입력 당사자에 관한 신원 확인을 위하여 다음을 진행합니다.
- “Voice call” 체크 및 “국번”, “전화번호(필요시 내선번호)”를 입력한 후 보안 문자를 정확하게 입력합니다.
- “Call me now” 를 클릭하면 위 전화번호로 전화가 옵니다.
- 화면에 “4 Digit Number”가 표시되면 전화기(휴대폰)의 키패드를 열어 입력합니다.
- 완료 음성이 나올 때까지 기다린 후 전화를 종료합니다.
8. Support Plan 지정
- MSP 운영 필요시 Business Support 체크하며, 자체 관리시 Support Plan 을 체크합니다. (Cloud MSP 운영 조직 협의 필요)
- “Complete sign up”을 클릭합니다.
- 완료 화면 노출 후 중간에 “Go to the AWS Management Console” 을 클릭합니다.
- 체크박스에서 “루트 사용자”로 체크합니다.
- 위에서 입력한 Root Email 주소를 입력 후 “다음”을 클릭합니다.
- 위에서 설정한 Root Email 비밀번호 입력 후 로그인을 클릭합니다.
- Console Home 에 접속을 완료합니다.
- 정상적으로 계정이 생성되었습니다.
- 위에서 설정한 Root Email 비밀번호 입력 후 로그인을 클릭합니다.
- Console Home 에 접속을 완료합니다.
- 정상적으로 계정이 생성되었습니다.
[3] 계정 보안 설정
3-1. Root Account 의 용도
- 조직 가입
- 조직 탈퇴
- Root Account 의 변경
- Root Account 의 암호 변경
- IAM User에 관한 Billing 생성
- MFA(Device, YubiKey) 설정
** 보안사고를 대비하여 그 외 사용을 자제할 것. 브라우져 내 정보저장 절대 금물임!
3-2. U2F MFA 설정
Yubico | YubiKey Strong Two Factor Authentication
Get the YubiKey, the #1 security key, offering strong two factor authentication from industry leader Yubico.
YubiKey 를 활용하여 AWS Root Account 의 보안을 한층 강화시키자.
[설정 방법]
1. 보안자격 증명 (Security credentials)
2. 팩터 인증(MFA)
3. 보안키 인증 설정 완료(저장되어야 함)
- 이때 두차례 검증을 통해 보안키(Security Key)를 USB(Yubikey)에 저장한다.
4. aws account 관리대장 > 정보 저장 완료
- 조직에서 운영하는 암호화된 문서에 관련 내용을 저장한다.
5. YubiKey USB 보관방식
- 조직의 비밀 금고에 보관한다.
- 관리자 인가 후 사용 가능해야 함(프로세스 정립 필요)
- 아래 용도에만 사용한다. 그 외 사용 금지
- 조직 가입
- 조직 탈퇴
- Root Account 의 변경
- Root Account 의 암호 변경
- IAM User에 관한 Billing 생성
- MFA(Device, YubiKey) 설정
[4] 결론
- 조직의 신규 계정 생성을 위해 아주 기본적인 내용만 알아보았습니다.
- 사용자와 조직의 계정을 AWS Linked Account 로 설정하여 Master 조직계정에서 관리하는 것은 필수입니다. (IAM Identity Center를 통해 관리 가능합니다!)
- 조직을 생성하고 관리하는 AWS 계정을 “조직 마스터 계정“이라고 부르며, 이 계정 아래에 다른 AWS 계정을 연결하거나 가입시킬 수 있음
- 예를 들어, A계정이 있고, B계정이 있는데 B계정이 A계정의 조직에 가입이 되어 있다면,
- A계정은 AWS 조직의 Master Account, B계정은 AWS Linked Account 이다.