철회 IAM 역할 임시 보안 자격 증명 - AWS Identity and Access Management

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

철회 IAM 역할 임시 보안 자격 증명

주의

이 페이지의 단계대로 수행하면, 역할을 수임하여 만들어진 현재 세션의 모든 사용자는 모든 AWS 작업 및 리소스에 액세스할 수 없게 됩니다. 이로 인해 사용자가 저장하지 않은 작업이 사라질 수 있습니다.

세션 지속 시간을 길게 하여(예: 12시간) 사용자가 AWS Management 콘솔에 액세스할 수 있도록 하면 사용자의 임시 자격 증명이 금방 만료되지 않습니다. 사용자가 허가 받지 않은 타사에게 실수로 자격 증명을 노출한 경우, 해당 타사는 세션의 지속 기간 동안 액세스 권한을 가지게 됩니다. 그러나 필요하다면 특정 시점 이전에 발행된 역할의 자격 증명에 대한 모든 권한을 즉시 취소할 수 있습니다. 그러면 지정한 시점 이전에 발행된 해당 역할의 임시 자격 증명은 모두 무효가 됩니다. 이에 따라 모든 사용자는 다시 인증을 받고 새 자격 증명을 요청해야 합니다.

참고

서비스 연결 역할에 대한 세션은 취소할 수 없습니다.

이 주제의 절차에 따라 역할의 권한을 취소하면 AWS는 모든 작업에 대한 모든 권한을 거부하는 새 인라인 정책을 만들어 해당 역할에 연결합니다. 여기에는 권한을 취소한 시점 이전에 역할을 위임한 사용자에게만 제한을 가하는 조건이 포함됩니다. 권한을 취소한 이후에 역할을 위임한 사용자에게는 거부 정책이 적용되지 않습니다.

중요

이 거부 정책은 콘솔 세션의 지속 기간이 긴 사용자만이 아니라 지정된 역할의 모든 사용자에게 적용됩니다.

역할에서 세션 권한을 취소할 수 있는 최소 권한

역할의 세션 권한을 취소하려면 해당 역할에 대한 PutRolePolicy 권한이 있어야 합니다. 이렇게 하면 해당 역할에 AWSRevokeOlderSessions 인라인 정책을 연결할 수 있게 됩니다.

세션 권한 취소

역할에서 세션 권한을 취소할 수 있습니다.

역할 자격 증명의 현재 사용자에 대해 모든 권한을 즉시 거부하려면

  1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. IAM Dashboard(IAM 대시보드)의 탐색 창에서 역할을 선택한 다음, 권한을 취소할 역할의 이름(확인란 아님)을 선택합니다.

  3. 선택한 역할의 요약 페이지에서 Revoke sessions(세션 취소) 탭을 선택합니다.

  4. Revoke sessions(세션 취소) 탭에서 Revoke active sessions(활성 세션 취소)를 선택합니다.

  5. AWS에 작업 확인 메시지가 나타납니다. 대화 상자에서 Revoke active sessions(활성 세션 취소)를 선택합니다.

    IAM은 AWSRevokeOlderSessions라는 정책을 즉시 해당 역할에 연결합니다. 이 정책은 Revoke active sessions(활성 세션 취소)를 선택한 순간 이전에 해당 역할을 수임한 사용자의 모든 액세스 권한을 거부합니다. 역할을 맡는 모든 사용자 이후 선택한 활성 세션 취소 은(는) 그렇지 않음 영향을 받음.

    사용자나 리소스에 새 정책을 적용할 때 정책 업데이트가 효력이 생기는 데 몇 분이 걸릴 수 있습니다.

참고

정책 삭제에 대해서는 걱정하지 마십시오. 세션을 취소한 이후에 역할을 수임한 사용자에게는 이 정책이 적용되지 않습니다. 나중에 Revoke Sessions(세션 취소)를 다시 선택하는 경우, 정책의 날짜/시간 스탬프가 새로 고쳐지면서 새로 지정된 시간 이전에 역할을 수임한 모든 사용자의 모든 권한을 거부하게 됩니다.

이러한 식으로 세션이 취소된 유효한 사용자는 작업을 계속하려면 새 세션을 위한 임시 자격 증명을 가져와야 합니다. AWS CLI는 자격 증명이 만료될 때까지 이를 캐시합니다. CLI가 더 이상 유효하지 않은 캐시된 자격 증명을 강제로 삭제하고 새로 고치게 하려면 다음 명령 중 하나를 실행합니다.

Linux, macOS 또는 Unix

$ rm -r ~/.aws/cli/cache

Windows

C:\> del /s /q %UserProfile%\.aws\cli\cache

자세한 정보는 임시 보안 자격 증명에 대한 권한 비활성화 단원을 참조하십시오.