AWS IAM 사용자 보안 강화 가이드
MFA 강제 설정 및 IP 기반 접근 제한 방법
클라우드 환경에서 IAM 사용자 계정 보안은 전체 인프라 보안의 출발점입니다.
특히 콘솔 접근이 가능한 IAM 사용자의 경우, MFA(Multi-Factor Authentication) 강제와 접근 가능한 IP 대역 제한은 반드시 적용해야 할 기본 보안 설정입니다.
본 포스팅에서는 AWS IAM 사용자 기준으로 다음 두 가지를 중심으로 설명합니다.
IAM 사용자 MFA 강제 설정
IAM 사용자 IP 기반 접근 제한 정책 설정
본 가이드는 IAM 정책(Identity-based Policy) 기준으로 설명하며, SCP(Service Control Policy)는 다루지 않습니다.
1. 왜 MFA와 IP 제한이 중요한가?
1️⃣ MFA (다중 요소 인증)
ID / Password 유출 시에도 추가 인증 수단으로 계정 보호
AWS 보안 권장 사항 (AWS Well-Architected Framework – Security Pillar)
콘솔 접근 계정에는 사실상 필수
2️⃣ IP 기반 접근 제한
허용된 네트워크(사내, VPN, Bastion 등)에서만 AWS 접근 가능
피싱·크리덴셜 탈취 이후의 비인가 접근 차단
감사 및 보안 컴플라이언스(ISMS-P 등) 대응에 효과적
2. IAM 사용자 MFA 강제 설정 방법
? 구성 개요
조건(Condition) 을 사용하여
→ MFA가 설정되지 않은 사용자의 대부분의 API/콘솔 접근을 차단단, MFA 등록을 위한 필수 권한은 예외 처리
? IAM MFA 강제 정책 예시 (Force_MFA 정책 생성)
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAllExceptListedIfNoMFA",
"Effect": "Deny",
"NotAction": [
"iam:CreateVirtualMFADevice",
"iam:EnableMFADevice",
"iam:GetUser",
"iam:ListMFADevices",
"iam:ListVirtualMFADevices",
"iam:ResyncMFADevice",
"sts:GetSessionToken"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}✅ 정책 동작 설명
MFA가 설정되지 않은 상태에서는:
대부분의 AWS 서비스 접근 차단
단, MFA 등록을 위한 IAM API는 허용
MFA 설정 완료 후 정상 접근 가능
✅ 정책 생성 후 권한이 존재 하는 그룹에 Force_MFA 정책을 추가 하게 되면, 해당 그룹의 사용자들은 MFA 등록 후 권한 행사 가능
- 사용자 대상 MFA 등록 방법에 대해 안내 필요
- 우측 상단 프로필 -> 보안 자격 증명 메뉴를 통해 MFA 디바이스 등록
?️ 참고 이미지
AWS Console → IAM → Users → Security credentials → Assigned MFA device
“MFA device assigned” 상태 화면
3. IAM 사용자 IP 기반 접근 제한 설정
? 구성 개요
aws:SourceIp조건을 사용하여허용된 IP 대역(CIDR) 에서만 AWS 접근 허용
VPN, 사내 공인 IP, Bastion IP 등에 적용 가능
? IP 제한 IAM 정책 예시
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAccessFromUnapprovedIP",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"123.0.123.123/32",
"198.51.100.0/24"
]
}
}
}
]
}✅ 정책 동작 설명
지정된 IP 대역이 아닌 경우 모든 요청 거부
콘솔 로그인 + API 호출 모두 적용
반드시 고정 IP 또는 VPN 환경과 함께 사용 권장
?️ 참고 이미지
[이미지 예시]
사내 네트워크 → VPN → AWS Console 접근 흐름 다이어그램
“Allowed IP → IAM Policy → AWS Account” 구조 시각화
4. MFA + IP 제한 정책 함께 적용 시 권장 구조
| 항목 | 권장 방식 |
|---|---|
| MFA | 모든 콘솔 사용자 필수 |
| IP 제한 | 관리자/운영자 계정 우선 적용 |
| 정책 적용 | IAM Group 단위 적용 권장 |
| 예외 계정 | Break-glass 계정 별도 관리 |
| Root 계정 | MFA 필수 + 사용 최소화 |
5. 적용 시 주의사항 (중요)
IP 정책 적용 전 현재 접속 IP 확인 필수
VPN 장애 시 접근 불가 상황 대비 필요
자동화/CI 계정은 IAM User 대신 Role 사용 권장
콘솔 접근 계정과 API 전용 계정 분리 운영 권장
6. 베스핀글로벌 권장 보안 운영 가이드
베스핀글로벌은 고객의 클라우드 보안 강화를 위해 다음을 권장합니다.
IAM 사용자 최소화, Role 기반 운영 전환
MFA + IP 제한 기본 적용
관리자 계정 별도 분리 및 모니터링
정기적인 IAM 정책 점검 및 보안 감사
보안 설정이나 정책 설계에 대한 도움이 필요하신 경우,
베스핀글로벌 클라우드 기술지원팀으로 언제든지 문의해 주시기 바랍니다.
? 참고 문서
AWS IAM MFA 공식 문서
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.htmlIAM Policy Condition Keys
https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.htmlAWS Management Console과 AWS CLI를 사용하는 IAM 사용자에게 MFA 인증을 적용하려면 어떻게 해야 하나요?
아티클이 유용했나요?
훌륭합니다!
피드백을 제공해 주셔서 감사합니다.
도움이 되지 못해 죄송합니다!
피드백을 제공해 주셔서 감사합니다.
피드백 전송
소중한 의견을 수렴하여 아티클을 개선하도록 노력하겠습니다.