사용자에서 IAM 역할로 전환(콘솔) - AWS Identity and Access Management
역할 세션고려 사항역할을 전환하는 방법추가 리소스

사용자에서 IAM 역할로 전환(콘솔)

IAM 사용자, IAM Identity Center의 사용자, SAML 페더레이션 역할 또는 웹 아이덴티티 페더레이션 역할로 로그인할 때 역할을 전환할 수 있습니다. 역할은 필요한 AWS 리소스에 액세스하는 데 사용할 수 있는 일련의 권한을 지정합니다. 하지만 역할로 로그인하지는 못하지만, 일단 IAM 사용자로 로그인한 후에 IAM 역할로 전환할 수 있습니다. 이 경우 초기의 사용자 권한은 잠시 무효화되고 역할에게 할당된 권한이 부여됩니다. 역할은 자신의 계정 또는 그 밖의 다른 AWS 계정에 속한 것일 수 있습니다. 역할, 역할의 이점 및 생성 방법에 대한 자세한 내용은 다음(IAM 역할IAM 역할 생성)을 참조하세요.

사용자의 권한과 전환 대상인 역할의 권한은 누적되지 않습니다. 한 번에 오직 하나의 권한 집합만이 활성화됩니다. 어떤 역할로 전환할 때 사용자 권한은 일시적으로 포기하고 역할에 할당된 권한을 가지고 작업합니다. 역할을 끝내면 사용자 권한이 자동으로 회복됩니다.

AWS Management Console에서 역할을 전환하는 경우, 콘솔은 항상 원래 자격 증명을 사용하여 전환을 승인합니다. 예를 들어, RoleA로 전환하는 경우 IAM에서는 원래 자격 증명을 사용하여 RoleA를 수임할 수 있는지 여부를 결정합니다. RoleA를 사용하는 중에 RoleB로 전환하는 경우에도 AWS에서는 RoleA의 자격 증명이 아닌, 원래 자격 증명을 사용하여 전환을 승인합니다.

참고

세션을 시작할 때 IAM Identity Center의 사용자, SAML 페더레이션 역할 또는 웹 ID 페더레이션 역할로 로그인하는 경우 IAM 역할을 수임합니다. 예를 들어 IAM Identity Center의 사용자가 AWS 액세스 포털에 로그인할 때 AWS 리소스에 액세스하려면 먼저 역할과 관련된 권한 세트를 선택해야 합니다.

역할 세션

역할을 전환할 때 AWS Management Console 세션은 기본적으로 1시간 동안 지속됩니다. IAM 사용자 세션은 기본적으로 12시간이며, 다른 사용자에게는 정의된 세션 기간이 다를 수 있습니다. 콘솔에서 역할을 전환할 때 최대 세션 기간 또는 사용자 세션의 남은 시간 중 더 적은 시간이 부여됩니다. 역할을 수임하여 세션 기간을 연장할 수 없습니다. 예를 들어 역할의 최대 세션 기간이 10시간으로 설정되어 있다고 가정합니다. 역할로 전환하기로 결정할 때까지 8시간 동안 콘솔에 로그인해 있었습니다. 사용자 세션에는 4시간이 남아 있으므로, 허용되는 역할 세션 기간은 4시간입니다(10시간의 최대 세션 지속 시간이 아님). 다음 표에서는 콘솔에서 역할을 전환할 때 IAM 사용자의 세션 기간을 결정하는 방법을 설명합니다.

IAM 사용자 세션 남은 시간… 역할 세션 기간…
역할 최대 세션 기간보다 작음 사용자 세션의 남은 시간
역할 최대 세션 기간보다 큼 최대 세션 기간 값
역할 최대 세션 기간과 같음 최대 세션 기간 값(근사치)
참고

일부 AWS 서비스 콘솔에서는 역할 세션이 만료되는 경우 아무 조치를 취하지 않아도 역할 세션을 자동으로 갱신할 수 있습니다. 또한 브라우저를 다시 로드하여 세션을 다시 인증하라는 메시지를 표시하는 경우도 있습니다.

고려 사항

  • AWS 계정 루트 사용자로 로그인할 경우 역할을 전활할 수 없습니다.

  • 정책에 따라 사용자에게 역할 전환 권한을 부여해야 합니다. 지침은 사용자에게 역할을 전환할 권한 부여 단원을 참조하십시오.

  • AWS Management Console에서의 역할을 ExternalId 값이 필요한 역할로 전환할 수 없습니다. ExternalId 파라미터를 지원하는 AssumeRole API를 호출해야만 이러한 역할로 전환할 수 있습니다.

역할을 전환하는 방법

  1. AWS 로그인 사용 설명서AWS에 로그인하는 방법 항목에 설명된 대로 사용자 유형에 맞는 로그인 절차를 따르세요.

  2. 콘솔 홈 페이지에서 IAM 서비스를 선택합니다.

  3. AWS Management Console에서 오른쪽 상단에 있는 탐색 표시줄에서 사용자 이름을 선택합니다. 일반적인 형식은 username@account_ID_number_or_alias입니다.

  4. 역할 전환을 선택합니다.

  5. 역할 전환 페이지에서 계정 ID 번호 또는 계정 별칭 및 관리자가 제공한 역할 이름을 입력합니다.

    참고

    관리자가 경로를 포함하여 역할을 생성한 경우(예: division_abc/subdivision_efg/roleToDoX)에는 역할 상자에 전체 경로와 이름을 입력해야 합니다. 역할 이름만 입력하는 경우 또는 결합된 PathRoleName이 64자를 초과하는 경우 역할 전환에 실패합니다. 이것은 역할 이름을 저장하는 브라우저 쿠키의 한계입니다. 이러한 경우 관리자에게 문의해 경로 및 역할 이름의 크기를 줄여 달라고 요청하세요.

  6. (선택 사항) 표시 이름을 입력하고 콘솔 탐색 표시줄에서 역할을 강조할 표시 색상을 선택할 수 있습니다.

    • 표시 이름에는 이 역할이 활성 상태일 때 탐색 표시줄에 사용자 이름 대신 표시할 텍스트를 입력합니다. 이름은 계정 및 역할 정보에 따라 다르게 제시되지만 특별한 의미를 갖도록 직접 변경하는 것도 가능합니다.

    • 표시 색상에서 표시 이름을 강조 표시할 색상을 선택합니다.

    이름과 색상은 이 역할이 활성화되어 권한이 변경되는 시점을 다시 한 번 알려줍니다. 예를 들어 테스트 환경에 대한 액세스 권한을 부여하는 역할에 대해 표시 이름(Display name)Test로 지정하고 색상(Color)은 녹색으로 선택합니다. 프로덕션에 대한 액세스 권한을 부여하는 역할에 대해서는 표시 이름(Display name)Production으로 지정하고 색상(Color)은 빨간색으로 선택합니다.

  7. 역할 전환을 선택합니다. 표시 이름과 색상이 탐색 표시줄에 사용자 이름 대신 나타나고, 역할에서 부여하는 권한을 사용하여 시작할 수 있습니다.

  8. IAM 역할이 필요한 작업을 완료한 후 원래 세션으로 다시 전환할 수 있습니다. 이렇게 하면 역할에서 제공한 추가 권한이 제거되고 표준 권한으로 돌아갑니다.

    1. IAM 콘솔의 탐색 모음 오른쪽 위쪽에서 역할의 표시 이름(Display name)을 선택합니다.

    2. 다시 전환을 선택합니다.

      예를 들어, 사용자 이름 123456789012을 사용하여 계정 번호 RichardRoe로 로그인했다고 가정하십시다. admin-role 역할을 사용한 후, 사용자가 역할 사용을 중지하고 원래 사용자 권한으로 돌아가고자 합니다. 역할 사용을 중지하려면 admin-role @ 123456789012를 선택하고 다시 전환을 선택합니다.

      IAM 역할 사용을 중지하고 원래 사용자에게 돌아가도록 다시 전환 기능을 찾는 그래픽.
작은 정보

마지막으로 사용한 몇 가지 역할은 [] ] 메뉴에 표시됩니다. 다음에 이 중 하나로 역할을 전환하려는 경우 원하는 역할을 선택하기만 하면 됩니다. 역할이 메뉴에 표시되지 않으면 계정 및 역할 정보를 수동으로 입력하기만 하면 됩니다.

추가 리소스