AWS IAM vs IAM Identity Center: 비밀번호 정책 차이 완벽 정리
AWS에서 사용자 계정 보안을 관리할 때 IAM과 IAM Identity Center의 비밀번호 정책 차이를 이해하는 것은 매우 중요합니다. 이 글에서는 두 서비스의 정책 차이와 운영 시 주의점을 정리합니다.
1️⃣ AWS IAM User: 세밀한 비밀번호 정책 설정 가능
AWS IAM User는 계정 내에서 직접 생성하는 사용자 계정입니다. IAM User를 사용하면 비밀번호 정책을 세밀하게 설정할 수 있습니다.
설정 가능한 항목
- 최소/최대 길이
- 대문자, 소문자, 숫자, 특수문자 포함 여부
- 비밀번호 만료 기간
- 이전 비밀번호 재사용 제한
예: 90일마다 비밀번호를 변경하도록 정책을 설정하면, IAM User는 90일이 지나면 반드시 비밀번호를 변경해야 합니다.
핵심: IAM User는 계정 단위로 비밀번호 보안 정책을 직접 관리할 수 있습니다.
2️⃣ IAM Identity Center(Local Users): 기본 정책만 존재
IAM Identity Center(이전 AWS SSO)는 여러 AWS 계정과 애플리케이션에 대한 SSO 인증을 제공합니다. 하지만 Local Users의 경우, 비밀번호 정책은 매우 제한적입니다.
특징
- AWS에서 제공하는 기본 비밀번호 정책만 적용
- 비밀번호 만료, 장기 미접속자 자동 비활성화 지원하지 않음
- 정책 확인/수정 기능 없음
즉, Identity Center Local Users는 비밀번호 유효 기간 관리가 불가능합니다.
3️⃣ 외부 IdP 연동 시 정책 적용
Identity Center는 AWS Managed Microsoft AD, AD Connector, SAML 2.0 기반 외부 IdP와 연동 가능하며, 이 경우 비밀번호 정책은 연동된 디렉터리나 IdP에서 관리됩니다.
| 환경 | 비밀번호 정책 관리 |
|---|---|
| IAM User | AWS 계정 내 직접 설정 가능 |
| Identity Center Local Users | 불가 (기본 정책만 적용) |
| Identity Center + 외부 IdP | IdP 정책 적용 |
참고: 외부 IdP를 연동하면 장기 미접속자 정책, 비밀번호 만료 정책 등 다양한 기능을 활용할 수 있습니다.
4️⃣ 운영 시 주의점
- IAM User와 Identity Center는 비밀번호 정책 관리 방식이 다르다는 점을 명확히 이해해야 합니다.
- Identity Center Local Users를 사용할 경우, 장기 미접속자 관리나 비밀번호 만료 정책을 구현하려면 로그 분석 + 자동화 스크립트가 필요합니다.
- 보안 강화를 위해 가능하다면 외부 IdP 연동을 적극 고려하세요.