Amazon EC2 인스턴스가 역할 보안 인증 정보 대신 IAM 사용자 보안 인증 정보을 사용하는 이유는 무엇인가요?

2분 분량
0

AWS Identity and Access Management(IAM) 역할을 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 연결했습니다. 그런데 Amazon EC2 인스턴스에서 IAM 역할 대신 IAM 사용자를 사용해 API 호출을 실행합니다.

간략한 설명


AWS Command Line Interface(AWS CLI)에서는 일련의 보안 인증 정보 공급자를 사용해 AWS 보안 인증 정보를 순서대로 찾습니다. 사용되는 보안 인증 정보는 보안 인증 정보 공급자의 순서와 우선 순위에 따라 다릅니다. 자세한 내용은 구성 및 보안 인증 정보 우선 순위를 참고하세요.

해결 방법

IAM 사용자 ID와 IAM 사용자 보안 인증 정보가 저장된 위치를 찾습니다. 그 후 AWS CLI를 사용해 IAM 보안 인증을 관리하고 우선 순위가 더 높은 사전 설정을 삭제합니다.

참고: AWS CLI 명령을 실행할 때 오류가 발생하는 경우, 최신 버전의 AWS CLI를 사용하고 있는지 확인하세요.

IAM 사용자 ID 찾기 및 IAM 사용자 보안 인증 정보 위치 가져오기

  1. get-caller-identity 명령을 실행해 API 호출에 사용되는 IAM 보안 인증 정보를 확인합니다.
aws sts get-caller-identity

다음과 같은 출력이 표시됩니다.

{

    "Account": "123456789012",

    "UserId": "AIDACKCEVSQ6C2EXAMPLE",

    "Arn": "arn:aws:iam::123456789012:user/ExampleIAMuser"

}

이 예제 출력에서 IAM 보안 인증 정보는 사용자 보안 인증 정보 ExampleIAMuser입니다.

  1. [\--debug](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-troubleshooting.html#general-debug) 옵션을 사용해 사용자 보안 인증 정보 위치를 확인합니다.
    
aws s3 ls --debug
2020-03-28 02:04:29,478 - MainThread - botocore.credentials - INFO - Found credentials in shared credentials file: ~/.aws/credentials

위 예제 출력에서 IAM 사용자 보안 인증 정보는 .aws/credentials 파일에 저장되어 있습니다. 이러한 보안 인증 정보는 역할 보안 인증 정보에 선행하므로 IAM 사용자 보안 인증 정보가 API 호출에 사용됩니다.

AWS CLI를 사용해 IAM 보안 인증 정보를 관리하고 더 높은 우선 순위 설정을 삭제합니다.

다음은 IAM 보안 인증 정보를 관리하는 모범 사례입니다.

  • AWS CLI에서 --profile 옵션을 사용하지 마세요.
  • 모든 환경 변수를 설정 해제하거나 제거하세요.
  • 구성 명령의 경우, .aws/credentials 폴더에서 보안 인증 정보 파일을 삭제합니다. 그리고 .aws 폴더를 삭제하여 인스턴스 프로필 기본 보안 인증 정보를 설정합니다.
  • .aws/config 파일에 설정된 프로필의 경우 프로필을 삭제합니다. 그런 다음 .aws 폴더를 삭제합니다.

구성 설정을 제거한 후 get-caller-identity 명령을 실행하여 IAM 역할 보안 인증 정보를 확인합니다.

aws sts get-caller-identity

{
    "UserId": "AROACKCEVSQ6C2EXAMPLE:i-01773d4a8ed647342",
    "Account": "123456789012",
    "Arn": "arn:aws:sts::123456789012:assumed-role/ExampleInstanceRole/i-01773d4a8ed647342"
}

위 예제 출력에서는 IAM 역할 ExampleInstanceRole 보안 인증 정보가 사용되었습니다.

AWS 공식
AWS 공식업데이트됨 8달 전
댓글 없음