[IAM] AWS IAM 역할 생성 가이드

액세스 키는 IAM 사용자 또는 AWS 계정 루트 사용자에 대한 장기 자격 증명이므로, AWS에서는 액세스 키 대신 임시 보안 자격 증명(IAM 역할)을 사용 권고하고 있다.

1. AWS 콘솔에서 역할 생성

• IAM > 역할 > 역할 생성을 클릭합니다.

2. 신뢰할 수 있는 엔터티 선택

• AWS 서비스 : 특정 서비스에서 작업 수행시 선택
• AWS 계정 : 해당 계정 전체 또는 타 계정과의 작업 수행이 필요한 경우 선택
• 그 외의 경우 하기 링크를 참조하시기 바랍니다. https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_roles_create.html

3. 권한 추가

• 필요한 권한 정책만 선택하실 것을 추천드립니다.
• 권한 정책의 예는 다음과 같습니다.
  • 예) Amazon S3 버킷에 대한 액세스 권한을 Amazon EC2 인스턴스에 부여 : AmazonS3ReadOnlyAccess 또는 AmazonS3FullAccess 관리형 IAM 정책
• IAM 역할에 부합하는 권한 정책이 없으면 고객 관리형으로 생성 가능합니다.
  • 예) S3 버킷 액세스에 대한 사용자 지정 정책 생성 : https://docs.aws.amazon.com/ko_kr/systems-manager/latest/userguide/setup-instance-permissions.html#instance-profile-add-permissions

4. 이름 지정, 검토 및 생성

• 역할 이름(필수)을 기입합니다.
• 필요한 권한을 넣었는지 확인한 후 역할 생성을 클릭하면 됩니다.

EC2에서 IAM 사용시 체크 사항

1. 인스턴스에서 IAM 역할 사용시

• EC2 인스턴스에서 IAM 역할 사용하려면 인스턴스 클릭 후 작업 > 보안 > IAM 역할 수정을 통해 기생성한 IAM 역할을 등록합니다.

2. 인스턴스에 엑세스키를 등록한 적 있다면

• 만약 기존 인스턴스에 엑세스키를 등록한 적 있다면, 다시 말해 aws configure를 통해 입력한 엑세스키 존재한다면 1에서 인스턴스에 부여한 IAM 역할과 충돌하여 에러를 야기할 수 있습니다.
• 따라서 기존 ~/.aws/credentials 내 설정 파일 내용은 주석 처리하는 등 기존 엑세스키 설정은 삭제한 후 IAM 역할을 사용하시기 바랍니다.