# AWS 계정 루트 사용자
<a name="id_root-user"></a>

Amazon Web Services(AWS) 계정을 처음 생성하는 경우에는 계정의 모든 AWS 서비스 및 리소스에 대한 전체 액세스 권한을 지닌 단일 로그인 자격 증명으로 시작합니다. 이 자격 증명을 AWS계정 루트 사용자라고 합니다.** AWS 계정을 생성할 때 사용한 이메일 주소 및 암호가 루트 사용자로 로그인할 때 사용하는 자격 증명입니다.
+ 루트 수준 권한이 필요한 작업을 수행하는 경우에만 루트 사용자를 사용합니다. 루트 사용자로 로그인해야 하는 전체 작업 목록을 보려면 [루트 사용자 보안 인증이 필요한 작업](#root-user-tasks) 섹션을 참조하세요.
+ [AWS 계정에 대한 루트 사용자 모범 사례](root-user-best-practices.md)를 따릅니다.
+ 로그인하는 데 문제가 있는 경우 [AWS Management Console 로그인](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html)을 참조하세요.

**중요**  
일상적인 작업에 루트 사용자를 사용하지 말고 [AWS 계정에 대한 루트 사용자 모범 사례](root-user-best-practices.md)를 따르는 것이 좋습니다. 루트 사용자 자격 증명을 보호하고 루트 사용자만 수행할 수 있는 작업을 수행하는 데 사용합니다. 루트 사용자로 로그인해야 하는 전체 작업 목록을 보려면 [루트 사용자 보안 인증이 필요한 작업](#root-user-tasks) 섹션을 참조하세요.

MFA는 기본적으로 루트 사용자에게 적용되지만 초기 계정 생성 중에 또는 로그인 중에 프롬프트가 표시될 때 MFA를 추가하는 고객 측 작업이 필요합니다. MFA를 사용하여 루트 사용자를 보호하는 방법에 대한 자세한 내용은 [AWS 계정 루트 사용자에 대한 다중 인증](enable-mfa-for-root.md) 섹션을 참조하세요.

## 중앙에서 멤버 계정에 대한 루트 액세스 관리
<a name="id_root-user-access-management"></a>

자격 증명을 대규모로 관리할 수 있도록 AWS Organizations에서 멤버 계정의 루트 사용자 자격 증명에 대한 액세스를 중앙에서 보호할 수 있습니다. AWS Organizations를 활성화하면 중앙 관리를 위해 모든 AWS 계정을 조직으로 결합합니다. 루트 액세스를 중앙 집중화하면 루트 사용자 자격 증명을 제거하고 멤버 계정에서 다음과 같은 권한 있는 태스크를 수행할 수 있습니다.

**멤버 계정 루트 사용자 자격 증명 제거**  
[멤버 계정에 대한 루트 액세스를 중앙 집중화](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html)한 후 Organizations의 멤버 계정에서 루트 사용자 자격 증명을 삭제하도록 선택할 수 있습니다. 루트 사용자 암호, 액세스 키, 서명 인증서를 제거하고, 다중 인증(MFA)을 비활성화할 수 있습니다. Organizations에서 생성하는 새 계정에는 기본적으로 루트 사용자 자격 증명이 없습니다. 계정 복구가 활성화되지 않으면 멤버 계정은 루트 사용자로 로그인하거나 루트 사용자의 암호 복구를 수행할 수 없습니다.

**루트 사용자 자격 증명이 필요한 권한 있는 태스크 수행**  
일부 태스크는 계정의 루트 사용자로 로그인한 경우에만 수행할 수 있습니다. 이 [루트 사용자 보안 인증이 필요한 작업](#root-user-tasks) 중 일부는 IAM에 대한 관리 계정 또는 위임된 관리자가 수행할 수 있습니다. 멤버 계정에서 권한 있는 작업을 수행하는 방법에 대해 자세히 알아보려면 [권한 있는 태스크 수행](id_root-user-privileged-task.md) 섹션을 참조하세요.

**루트 사용자의 계정 복구 활성화**  
멤버 계정에 대한 루트 사용자 자격 증명을 복구해야 하는 경우 Organizations 관리 계정 또는 위임된 관리자가 **암호 복구 허용** 권한 있는 태스크를 수행할 수 있습니다. 멤버 계정의 루트 사용자 이메일 받은 편지함에 액세스할 수 있는 사람은 [루트 사용자 암호를 재설정](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)하여 루트 사용자 자격 증명을 복구할 수 있습니다. 루트 사용자에 대한 액세스가 필요한 태스크를 완료한 후에는 루트 사용자 자격 증명을 삭제하는 것이 좋습니다.

## 루트 사용자 보안 인증이 필요한 작업
<a name="root-user-tasks"></a>

일상 작업을 수행하고 AWS 리소스에 액세스하도록 [AWS IAM Identity Center에서 관리 사용자를 구성](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)하는 것이 좋습니다. 하지만 아래 나열된 작업은 계정의 루트 사용자로 로그인한 경우에만 수행할 수 있습니다.

AWS Organizations의 멤버 계정에서 권한 있는 루트 사용자 자격 증명을 간편하게 관리하기 위해 중앙 집중식 루트 액세스를 활성화하여 AWS 계정에 대한 높은 권한의 액세스를 중앙에서 보호할 수 있습니다. [중앙에서 멤버 계정에 대한 루트 액세스 관리](#id_root-user-access-management)를 통해 장기 루트 사용자 자격 증명 복구를 중앙에서 제거하고 방지하여 조직의 계정 보안을 강화할 수 있습니다. 이 기능을 활성화한 후 멤버 계정에서 다음과 같은 권한 있는 태스크를 수행할 수 있습니다.
+ 멤버 계정 루트 사용자 자격 증명을 제거하여 루트 사용자의 계정 복구를 방지합니다. 암호 복구를 허용하여 멤버 계정에 대한 루트 사용자 자격 증명을 복구할 수도 있습니다.
+ 모든 위탁자의 Amazon S3 버킷 액세스를 거부하는 잘못 구성된 버킷 정책을 제거합니다.
+ 모든 위탁자가 Amazon SQS 대기열에 액세스하는 것을 거부하는 Amazon Simple Queue Service 리소스 기반 정책을 삭제합니다.

**계정 관리 작업**
+ [AWS 계정 설정을 변경합니다.](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html) AWS Organizations의 일부가 아닌 독립 실행형 AWS 계정는 이메일 주소, 루트 사용자 암호, 루트 사용자 액세스 키를 업데이트하는 데 루트 자격 증명이 필요합니다. 계정 이름, 연락처 정보, 대체 연락처, 결제 통화 기본 설정, AWS 리전 등의 기타 계정 설정에는 루트 사용자 자격 증명이 필요하지 않습니다.
**참고**  
AWS Organizations는 모든 기능이 활성화된 상태에서 관리 계정 및 위임된 관리자 계정으로 멤버 계정 설정을 중앙에서 관리하는 데 사용할 수 있습니다. 관리 계정과 위임된 관리자 계정 모두에서 승인된 IAM 사용자 또는 IAM 역할은 멤버 계정을 닫고 멤버 계정의 루트 이메일 주소, 계정 이름, 연락처 정보, 대체 연락처, AWS 리전를 업데이트할 수 있습니다.
+ [AWS 계정를 닫습니다.](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) AWS Organizations의 일부가 아닌 독립 실행형 AWS 계정는 계정을 해지하기 위해 루트 자격 증명이 필요합니다. AWS Organizations를 사용하면 관리 계정 및 위임된 관리자 계정으로 멤버 계정을 중앙에서 해지할수 있습니다.
+ [IAM 사용자 권한을 복원합니다.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) IAM 관리자가 실수로 권한을 취소하면 루트 사용자로 로그인하여 정책을 편집하고 해당 권한을 복원할 수 있습니다.

**결제 작업**
+ [과금 정보 및 비용 관리 콘솔에 대한 IAM 액세스를 활성화합니다](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html#ControllingAccessWebsite-Activate).
+ 일부 결제 작업은 루트 사용자만 수행할 수 있습니다. 자세한 내용은 AWS Billing 사용 설명서에서 [AWS 계정 관리](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-account-payment.html)를 참조하세요.
+ 특정 세금 계산서를 조회합니다. [aws-portal:ViewBilling](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions) 권한이 있는 IAM 사용자는 AWS 유럽(AWS Inc. 또는 Amazon Internet Services Private Limited(AISPL) 제외)에서 VAT 인보이스를 보고 다운로드할 수 있습니다.

**AWS GovCloud (US) 작업**
+ [AWS GovCloud (US)에 대한 가입.](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/getting-started-sign-up.html)
+ AWS Support에서 AWS GovCloud (US) 계정 루트 사용자 액세스 키를 요청합니다.

**Amazon EC2 작업**
+ 예약 인스턴스 마켓플레이스에 [판매자로 등록](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ri-market-general.html)합니다.

**AWS KMS 작업**
+ AWS Key Management Service 키를 관리할 수 없게 된 경우 관리자는 지원에 연락하여 키를 복구할 수 있습니다. 그러나 지원는 티켓 OTP 확인을 통한 권한 부여를 위해 루트 사용자의 기본 전화번호로 응답합니다.

**Amazon Mechanical Turk Task**
+  [귀하의 AWS 계정을 MTurk 요청자 계정에 연결합니다](https://docs.aws.amazon.com/AWSMechTurk/latest/AWSMechanicalTurkGettingStartedGuide/SetUp.html#accountlinking).

**Amazon Simple Storage Service Tasks**
+ [멀티 팩터 인증(MFA)을 활성화하도록 Amazon S3 버킷을 구성합니다](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html).
+ [모든 보안 주체를 거부하는 Amazon S3 버킷 정책을 편집하거나 삭제합니다](https://aws.amazon.com/premiumsupport/knowledge-center/change-vpc-endpoint-s3-bucket-policy/).

  권한 있는 작업을 사용하여 버킷 정책이 잘못 구성된 Amazon S3 버킷을 열 수 있습니다. 자세한 내용은 [AWS Organizations 멤버 계정에서 권한 있는 태스크 수행](id_root-user-privileged-task.md)을 참조하세요.

**Amazon Simple Queue Service Task**
+ [모든 위탁자를 거부하는 Amazon SQS 리소스 기반 정책을 편집하거나 삭제합니다](https://aws.amazon.com/premiumsupport/knowledge-center/sqs-queue-access-issues-deny-policy).

  권한 있는 작업을 사용하여 리소스 기반 정책이 잘못 구성된 Amazon SQS 대기열을 열 수 있습니다. 자세한 내용은 [AWS Organizations 멤버 계정에서 권한 있는 태스크 수행](id_root-user-privileged-task.md)을 참조하세요.

## 추가 리소스
<a name="id_root-user-resources"></a>

AWS 루트 사용자에 대한 자세한 내용은 다음 리소스를 참조하세요.
+ 루트 사용자 문제에 대한 도움말은 [루트 사용자 관련 문제 해결](troubleshooting_root-user.md)의 내용을 참조하세요.
+ AWS Organizations에서 루트 사용자 이메일 주소를 중앙에서 관리하려면 *AWS Organizations 사용 설명서*의 [멤버 계정의 루트 사용자 이메일 주소 업데이트](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html)를 참조하세요.

다음 문서에서는 루트 사용자 작업에 대한 추가 정보를 제공합니다.
+ [내 AWS 계정 및 해당 리소스를 보호하기 위한 모범 사례로 무엇이 있나요?](https://repost.aws/knowledge-center/security-best-practices)
+ [내 루트 사용자가 사용되었음을 알리는 EventBridge 이벤트 규칙을 생성하려면 어떻게 해야 하나요?](https://repost.aws/knowledge-center/root-user-account-eventbridge-rule)
+ [AWS 계정 루트 사용자 활동 모니터링 및 알림](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) 
+ [IAM 루트 사용자 활동 모니터링](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html)