역할로 전환(콘솔) - AWS Identity and Access Management

역할로 전환(콘솔)

역할은 필요한 AWS 리소스에 액세스하는 데 사용할 수 있는 일련의 권한을 지정합니다. 이러한 면에서 AWS Identity and Access Management(IAM)의 사용자와 비슷합니다. 사용자로 로그인할 때는 특정 권한이 부여됩니다. 하지만 역할로 로그인하지는 못하기 때문에 일단 로그인한 후에 역할로 전환할 수 있습니다. 이 경우 초기의 사용자 권한은 잠시 무효화되고 역할에게 할당된 권한이 부여됩니다. 역할은 자신의 계정 또는 그 밖의 다른 AWS 계정에 속한 것일 수 있습니다. 역할, 역할의 이점 및 생성 방법에 대한 자세한 내용은 다음(IAM 역할IAM 역할 생성)을 참조하십시오.

중요

IAM 사용자의 권한과 전환 대상인 역할의 권한은 누적되지 않습니다. 한 번에 오직 하나의 권한 집합만이 활성화됩니다. 어떤 역할로 전환할 때 사용자 권한은 일시적으로 포기하고 역할에 할당된 권한을 가지고 작업합니다. 역할을 끝내면 사용자 권한이 자동으로 회복됩니다.

AWS Management Console에서 역할을 전환하는 경우, 콘솔은 항상 원래 자격 증명을 사용하여 전환을 승인합니다. 이는 IAM 사용자, SAML 페더레이션 역할 또는 웹 자격 증명 페더레이션 역할 중 어느 것으로 로그인하는지 여부에 관계없이 적용됩니다. 예를 들어, RoleA로 전환하는 경우 IAM에서는 원래 사용자 또는 페더레이션 역할 자격 증명을 사용하여 RoleA를 수임할 수 있는지 여부를 결정합니다. RoleA를 사용하는 중에 RoleB로 전환하는 경우에도 AWS에서는 RoleA의 자격 증명이 아닌, 원래 사용자 자격 증명 또는 연동된 역할 자격 증명을 사용하여 전환을 승인합니다.

콘솔에서 역할 전환에 관해 알아야 할 사항

이 섹션에서는 IAM 콘솔을 사용하여 역할을 전환하는 방법에 대한 추가 정보를 제공합니다.

참고

AWS 계정 루트 사용자로 로그인하는 경우 역할을 전환할 수 없습니다. IAM 사용자로 로그인할 때만 역할을 바꿀 수 있습니다.

  • 관리자가 링크를 제공하는 경우 링크를 선택하여 다음 절차의 단계 5 단계로 넘어갑니다. 링크를 클릭하면 적절한 웹 페이지로 이동하고 계정 ID(또는 별칭)와 역할 이름이 채워집니다.

  • 링크를 수동으로 구성한 후 다음 절차의 단계 5 단계로 건너뛸 수 있습니다. 링크를 구성하려면 다음 형식을 사용합니다.

    https://signin.aws.amazon.com/switchrole?account=account_id_number&roleName=role_name&displayName=text_to_display

    여기서 다음 텍스트를 바꿉니다.

    • account_id_number - 관리자가 제공한 12자리 계정 식별자. 또는 URL에 계정 ID 대신 계정 이름이 포함되도록 관리자가 계정 별칭을 생성할 수 있습니다. 자세한 내용은 섹션을 참조하세요AWS 계정 ID 및 별칭

    • role_name - 수임하려는 역할의 이름. 이 이름은 역할의 ARN 끝에서 가져올 수 있습니다. 예를 들어 역할 ARN: TestRole에서 수임하려는 역할의 이름은 namearn:aws:iam::403299380220:role/TestRole입니다.

    • (선택 사항) text_to_display - 이 역할이 활성화되었을 때 탐색 표시줄에 사용자 이름 대신 표시되도록 하고 싶은 텍스트

  • 관리자가 제공하는 정보를 사용하여 아래 절차를 통해 역할을 수동으로 전환할 수 있습니다.

기본적으로 역할을 전환할 때 AWS Management Console 세션은 1시간 동안 지속됩니다. IAM 사용자 세션은 기본적으로 12시간입니다. 콘솔에서 역할을 전환하는 IAM 사용자에게는 역할 최대 세션 기간 또는 IAM 사용자 세션의 남은 시간 중 더 적은 시간이 부여됩니다. 예를 들어 역할의 최대 세션 기간이 10시간으로 설정되어 있다고 가정합니다. IAM 사용자가 역할로 전환하기로 결정할 때까지 8시간 동안 콘솔에 로그인해 있었습니다. IAM 사용자 세션에는 4시간이 남아 있으므로 허용되는 역할 세션 기간은 4시간입니다. 다음 표에서는 콘솔에서 역할을 전환할 때 IAM 사용자의 세션 기간을 결정하는 방법을 설명합니다.

IAM 사용자 역할 세션 기간
IAM 사용자 세션 남은 시간… 역할 세션 기간…
역할 최대 세션 기간보다 작음 IAM 사용자 세션의 남은 시간
역할 최대 세션 기간보다 큼 최대 세션 기간 값
역할 최대 세션 기간과 같음 최대 세션 기간 값(근사치)
참고

일부 AWS 서비스 콘솔에서는 역할 세션이 만료되는 경우 아무 조치를 취하지 않아도 역할 세션을 자동으로 갱신할 수 있습니다. 또한 브라우저를 다시 로드하여 세션을 다시 인증하라는 메시지를 표시하는 경우도 있습니다.

역할을 수임할 때 발생할 수 있는 일반적인 문제를 해결하려면 역할을 수임할 수 없음 단원을 참조하십시오.

역할을 전환하려면(콘솔)

  1. AWS Management Console에 IAM 사용자로 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. IAM 콘솔에서 상단 오른쪽 모서리에 있는 탐색 표시줄에서 사용자 이름을 선택합니다. 일반적인 형식은 username@account_ID_number_or_alias입니다.

  3. [Switch Role]을 선택합니다. 이 옵션을 처음 선택하면 자세한 정보를 제공하는 페이지가 나타납니다. 그 정보를 읽은 후에 역할 전환(Switch Role)을 클릭합니다. 브라우저 쿠키를 청소하면 이 페이지가 다시 나타나게 할 수 있습니다.

  4. 역할 전환 페이지에서 계정 ID 번호 또는 계정 별칭 및 관리자가 제공한 역할 이름을 입력합니다.

    참고

    관리자가 경로를 포함하여 역할을 생성한 경우(예: division_abc/subdivision_efg/roleToDoX)에는 역할 상자에 전체 경로와 이름을 입력해야 합니다. 역할 이름만 입력하는 경우 또는 결합된 PathRoleName이 64자를 초과하는 경우 역할 전환에 실패합니다. 이것은 역할 이름을 저장하는 브라우저 쿠키의 한계입니다. 이러한 경우 관리자에게 문의해 경로 및 역할 이름의 크기를 줄여 달라고 요청하십시오.

  5. (선택 사항) 표시 이름(Display name)을 선택합니다. 이 역할이 활성화되었을 때 탐색 표시줄에 사용자 이름 대신 표시되도록 하려는 텍스트를 입력합니다. 이름은 계정 및 역할 정보에 따라 다르게 제시되지만 특별한 의미를 갖도록 직접 변경하는 것도 가능합니다. 또한, 표시되는 이름이 돋보이도록 색상을 선택할 수도 있습니다. 이름과 색상은 이 역할이 활성화되어 권한이 변경되는 시점을 다시 한 번 알려줍니다. 예를 들어 테스트 환경에 대한 액세스 권한을 부여하는 역할에 대해 표시 이름(Display name)Test로 지정하고 색상(Color)은 녹색으로 선택합니다. 프로덕션에 대한 액세스 권한을 부여하는 역할에 대해서는 표시 이름(Display name)Production으로 지정하고 색상(Color)은 빨간색으로 선택합니다.

  6. [Switch Role]을 선택합니다. 표시 이름과 색상이 탐색 표시줄에 사용자 이름 대신 나타나고, 역할에서 부여하는 권한을 사용하여 시작할 수 있습니다.

Tip

마지막으로 사용한 몇 가지 역할은 [] ] 메뉴에 표시됩니다. 다음에 이 중 하나로 역할을 전환해야 할 때는 원하는 역할을 선택하기만 하면 됩니다. 역할이 메뉴에 표시되지 않으면 계정 및 역할 정보를 수동으로 입력하면 됩니다.

역할 사용을 중지하려면(콘솔)

  1. IAM 콘솔의 탐색 모음 오른쪽 위쪽에서 역할의 표시 이름(Display name)을 선택합니다. 일반적인 형식은 rolename@account_ID_number_or_alias입니다.

  2. username으로 돌아가기(Back to username)를 선택합니다. 역할과 그 권한이 비활성화되면서 IAM 사용자 및 그룹에 연결된 권한이 자동으로 복구됩니다.

    예를 들어, 사용자 이름 123456789012을 사용하여 계정 번호 RichardRoe로 로그인했다고 가정하십시다. AdminRole 역할을 사용한 후, 사용자가 역할 사용을 중지하고 원래 사용자 권한으로 돌아가고자 합니다. 역할 사용을 중지하려면 AdminRole @ 123456789012를 선택한 후 RichardRoe로 돌아가기(Back to RichardRoe)를 선택합니다.

    
            Richard Roe는 AdminRole 역할 사용을 중지합니다