IAM Identify Center 패스워드 정책 설정

1. 개요

IAM의 경우에는 패스워드 정책을 설정하는 메뉴가 따로 있던것같은데, IAM Identify Center의 경우에는 자동으로 복잡도 설정이 되어있는 경우가 있다. 외에 점검 시 복잡도 설정, 재사용 제약, 만료기간을 확인하곤 하는데 해당 내용 어떻게 확인하는지 보자 . .

 

 

2. 패스워드 정책 설정

패스워드 정책의 경우, ID 소스에 따라 다르다. ID 소스라는거는 AWS에서 권한을 부여받을때, 어떤걸 기준으로 로그인하는지에 관한 거라고생각하면 쉽다. 유형은 아래 3가지가 있다. 

 

🏷️ IAM Identity Center: "AWS IAM Identity Center"라고 표시되면, AWS에서 직접 사용자 계정을 관리하는 방식입니다.

🏷️ Active Directory: "AWS Directory Service" 또는 "Connected Directory"라고 나오면, Active Directory를 사용 중인 것입니다.

🏷️ External Identity Provider (SAML, OIDC): "External Identity Provider"라고 표시되면, Okta, Google Workspace, Azure AD 등 외부 ID 공급자를 사용 중인 것입니다.

 

 

아래에서 정책을 알아보자. 

 

📌  복잡도 및 재사용 여부

🏷️ IAM Identity Center를 ID 소스로 사용

• 암호는 대/소문자를 구분하며, 길이는 8~64자여야 합니다.
• 다음 네 가지 범주의 문자를 각각 최소 1자 이상 포함해야 합니다: 소문자 (a~z), 대문자 (A~Z), 숫자 (0-9), 특수 문자 (~!@#$%^&*_-+=`|\ () { } []:;"'<>,.?/)
• 최근 사용한 세 개의 암호는 다시 사용할 수 없습니다.
• 공개적으로 알려진 유출된 암호는 사용할 수 없습니다.
• 이러한 정책은 기본적으로 적용되며, 별도의 설정 없이도 모든 사용자에게 동일하게 적용됩니다. 

 

🏷️ 외부 ID 소스를 사용하는 경우

• Active Directory와 같은 외부 ID 소스를 사용하는 경우, 패스워드 복잡도 정책은 해당 ID 소스에서 관리됩니다.
• 예를 들어, Active Directory를 사용하는 경우, AD의 그룹 정책 관리 도구(gpmc.msc)를 통해 패스워드 복잡도 설정을 확인하고 변경할 수 있습니다.
• 이러한 경우, IAM Identity Center는 외부 ID 소스의 패스워드 정책을 따르므로, 해당 시스템의 관리 도구를 사용하여 설정을 확인해야 합니다.

 

초대를 받을 때 ID 소스는?

만약 IAM Identity Center에서 초대 이메일을 받았다면, IAM Identity Center 자체를 ID 소스로 사용하고 있다는 의미입니다. 즉, AWS에서 직접 사용자의 계정을 관리하며, 패스워드 복잡도 설정도 AWS 기본 정책이 적용됩니다.

 

반면, 초대 없이 기존 회사 계정(예: Google 계정, 회사 이메일)으로 로그인하는 방식이라면, 외부 ID 공급자가 사용되는 것입니다.

 

 

ID 소스 유형 확인

 

ID 소스 변경 가능할까?

• ID 소스를 변경하려면 "Change identity source(신원 소스 변경)" 버튼을 클릭해야 합니다.
• 하지만 변경하면 기존 사용자 데이터가 사라질 수 있으므로 주의해야 합니다.

 

📌  패스워드 사용기간 및 주기

 

🏷️ IAM Identity Center를 ID 소스로 사용

• IAM Identity Center 자체를 ID 소스로 사용할 경우, 패스워드 사용 기간(만료 기간, 변경 주기) 관리는 지원되지 않습니다.
• 즉, IAM Identity Center에서는 사용자가 설정한 패스워드를 주기적으로 변경하도록 강제할 수 없습니다.

 

🏷️ 외부 ID 소스를 사용하는 경우

• 외부에서 관리!