AWS 접근 관리, IAM User로 충분할까? Identity Center가 답일까?

AWS에서 권한 관리를 어떻게 할지는 늘 고민되는 주제입니다.
처음에는 단순하게 **IAM User를 만들어서 계정별로 권한을 주면 되지 않을까?**라고 생각했습니다. 계정마다 따로 로그인하고, 누가 뭘 했는지 CloudTrail로 추적도 가능하니까요. 얼핏 보면 보안적으로도 괜찮아 보입니다.

하지만 실제 운영 환경에서는 얘기가 달라집니다. 계정이 하나라면 상관없지만, 회사 차원에서 AWS 계정을 여러 개(운영/스테이징/개발 등) 쓰기 시작하면 관리가 점점 힘들어집니다.

IAM User 방식에서 겪는 문제

• 계정이 늘어날수록 복잡해짐: 각 계정마다 유저를 만들고 권한을 붙여야 합니다.
• Access Key 문제: 장기 Access Key를 발급해두면 유출 시 리스크가 큽니다.
• 인사 변동 처리: 퇴사자가 생기면 계정마다 직접 지워야 합니다. 실수하기 쉽습니다.

Identity Center(옛 AWS SSO)로 바꿔보면

여기서는 회사 계정(예: 구글, Azure AD)으로 로그인합니다.
한 번 로그인하면 자신에게 권한이 있는 AWS 계정과 Role이 쭉 나오고, 필요한 걸 선택해서 들어가면 됩니다.

• 보안 정책을 중앙에서 통제할 수 있습니다. MFA, 비밀번호 정책, 조건부 접근 등을 IdP에서 통합 관리.
• 장기 키 불필요: 임시 세션 토큰으로만 접근 → 세션이 끝나면 자동 만료.
• 입사/퇴사 관리 간소화: 회사 계정만 정리하면 AWS 접근 권한도 자동 반영.

“계정별로 로그인하는 게 더 안전한 거 아닌가?”

겉으로 보기엔 안전해 보이지만, 실제로는 반대입니다.
계정별로 로그인하면 사용자가 여러 비밀번호/키를 관리해야 하고, 이게 오히려 보안 구멍이 됩니다.
Identity Center는 중앙 집중식 MFA 강제, 세션 만료 자동 적용 덕분에 실질적으로 더 안전합니다.

결론

• IAM User: 소규모나 테스트용이라면 괜찮음.
• Identity Center: 계정이 여러 개이거나 조직 단위 운영에서는 사실상 필수.

AWS의 권장 패턴은 명확합니다.

• 사람 = Identity Center
• 서비스 = IAM Role