역할로 전환(콘솔) - AWS Identity and Access Management

역할로 전환(콘솔)

역할은 필요한 AWS 리소스에 액세스하는 데 사용할 수 있는 일련의 권한을 지정합니다. 이러한 의미에서 AWS Identity and Access Management(IAM) 사용자와 비슷하다고 할 수 있습니다. 사용자로 로그인할 때는 특정 권한이 부여됩니다. 하지만 역할로 로그인하지는 못하기 때문에 일단 로그인한 후에 역할로 전환할 수 있습니다. 이 경우 초기의 사용자 권한은 잠시 무효화되고 역할에게 할당된 권한이 부여됩니다. 역할은 자신의 계정에나 그 밖에 다른 AWS 계정에도 속할 수 있습니다. 역할, 역할의 이점 및 생성 방법에 대한 자세한 내용은 다음(IAM 역할IAM 역할 생성)을 참조하십시오.

중요

IAM 사용자의 권한과 전환 대상인 역할의 권한은 누적되지 않습니다. 한 번에 오직 하나의 권한 집합만이 활성화됩니다. 어떤 역할로 전환할 때 사용자 권한은 일시적으로 포기하고 역할에 할당된 권한을 가지고 작업합니다. 역할을 끝내면 사용자 권한이 자동으로 회복됩니다.

AWS Management 콘솔에서 역할을 전환하는 경우, 콘솔은 항상 원래 자격 증명을 사용하여 전환을 승인합니다. 이는 IAM 사용자, SAML 연동 역할 또는 웹 자격 증명 연동 역할 중 어느 것으로 로그인하는지 여부에 관계없이 적용됩니다. 예를 들어, RoleA로 전환하는 경우 IAM에서는 원래 사용자 자격 증명 또는 연동 역할 자격 증명을 사용하여 RoleA를 수임할지 여부를 결정합니다. RoleA를 사용하는 중에 RoleB로 전환하는 경우에도 AWS에서는 RoleA의 자격 증명이 아닌, 원래 사용자 자격 증명 또는 연동된 역할 자격 증명을 사용하여 전환을 승인합니다.

콘솔에서의 역할 전환에 대해 알아야 할 사항

이 섹션에서는 IAM 콘솔을 사용하여 역할로 전환하는 방법에 대한 추가 정보를 제공합니다.

참고

AWS 계정 루트 사용자로 로그인할 경우 역할을 바꿀 수 없습니다. IAM 사용자로 로그인할 때만 역할을 전환할 수 있습니다.

  • 관리자가 링크를 제공하는 경우 링크를 선택하여 다음 절차에서 단계 5 단계로 넘어갑니다. 링크를 클릭하면 해당 웹 페이지로 이동하고 계정 ID(또는 별칭)와 역할 이름이 채워집니다.

  • 링크를 수동으로 구성한 후 다음 절차의 단계 5 단계로 건너뛸 수 있습니다. 링크를 구성하려면 다음 형식을 사용합니다.

    https://signin.aws.amazon.com/switchrole?account=account_id_number&roleName=role_name&displayName=text_to_display

    여기서 다음 텍스트를 바꿉니다.

    • account_id_number – 관리자가 제공한 12자리 계정 식별자입니다. 또는 URL에 계정 ID 대신 계정 이름이 포함되도록 관리자가 계정 별칭을 생성할 수 있습니다. 자세한 내용은 AWS 계정 ID 및 별칭를 참조하십시오.

    • role_name – 수임하려는 역할의 이름입니다. 이 이름은 역할의 ARN 끝에서 가져올 수 있습니다. 예를 들어 역할 ARN: TestRole에서 수임하려는 역할의 이름은 namearn:aws:iam::403299380220:role/TestRole입니다.

    • (선택 사항) text_to_display – 이 역할이 활성화되었을 때 탐색 표시줄에 사용자 이름 대신 표시되도록 하고 싶은 텍스트입니다.

  • 관리자가 제공하는 정보를 사용하여 아래 절차를 통해 역할을 수동으로 전환할 수 있습니다.

기본적으로 역할을 전환하면 AWS Management 콘솔 세션이 1시간 동안 지속됩니다. IAM 사용자 세션의 지속 시간은 기본적으로 12시간입니다. 콘솔에서 역할을 전환 중인 IAM 사용자에게 역할의 최대 세션 지속 시간이나 IAM 사용자 세션의 남은 시간 중 적은 시간이 부여됩니다. 예를 들어 역할에 대해 최대 세션 지속 시간이 10시간으로 설정되어 있다고 가정합니다. IAM 사용자는 역할로 전환하기로 결정했을 때 8시간 동안 콘솔에 로그인되었습니다. IAM 사용자 세션에는 4시간이 남아 있으므로 허용되는 역할 세션 지속 시간은 4시간입니다. 아래 표에서는 콘솔에서 역할을 전환할 때 IAM 사용자의 세션 지속 시간을 확인하는 방법을 보여 줍니다.

IAM 사용자 콘솔 역할 세션 지속 시간
IAM 사용자 세션의 남은 시간은… 역할 세션의 지속 시간은…
역할 최대 세션 지속 시간보다 작음 IAM 사용자 세션의 남은 시간
역할 최대 세션 지속 시간보다 큼 최대 세션 지속 시간 값
역할의 최대 세션 지속 시간과 같음 최대 세션 지속 시간 값(근사치)
참고

일부 AWS 서비스 콘솔에서는 사용자가 조치를 취하지 않고 역할 세션이 만료될 때 역할 세션을 자동 갱신할 수 있습니다. 일부 콘솔에서는 세션을 재인증하기 위해 브라우저 페이지를 다시 로드하라는 메시지가 표시될 수 있습니다.

역할을 수임할 때 발생할 수 있는 일반적인 문제를 해결하려면 역할을 수임할 수 없음 단원을 참조하십시오.

역할을 전환하려면(콘솔)

  1. IAM 사용자로 AWS Management 콘솔에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. IAM 콘솔에서 상단 오른쪽 모서리에 있는 탐색 표시줄에서 사용자 이름을 선택합니다. 일반적인 형식은 username@account_ID_number_or_alias입니다.

  3. [Switch Role]을 선택합니다. 이 옵션을 처음 선택하면 자세한 정보를 제공하는 페이지가 나타납니다. 그 정보를 읽은 후에 역할 전환(Switch Role)을 클릭합니다. 브라우저 쿠키를 청소하면 이 페이지가 다시 나타나게 할 수 있습니다.

  4. 역할 전환 페이지에서 계정 ID 번호 또는 계정 별칭 및 관리자가 제공한 역할 이름을 입력합니다.

    참고

    관리자가 경로를 포함하여 역할을 생성한 경우(예: division_abc/subdivision_efg/roleToDoX)에는 역할 상자에 전체 경로와 이름을 입력해야 합니다. 역할 이름만 입력하는 경우 또는 결합된 PathRoleName이 64자를 초과하는 경우 역할 전환에 실패합니다. 이것은 역할 이름을 저장하는 브라우저 쿠키의 한계입니다. 이러한 경우 관리자에게 문의해 경로 및 역할 이름의 크기를 줄여 달라고 요청하십시오.

  5. (선택 사항) 표시 이름을 선택합니다. (선택 사항) 이 역할이 활성화되었을 때 탐색 표시줄에 사용자 이름 대신 표시되도록 하려는 텍스트를 입력합니다. 이름은 계정 및 역할 정보에 따라 다르게 제시되지만 특별한 의미를 갖도록 직접 변경하는 것도 가능합니다. 또한, 표시되는 이름이 돋보이도록 색상을 선택할 수도 있습니다. 이름과 색상은 이 역할이 활성화되어 권한이 변경되는 시점을 다시 한 번 알려줍니다. 예를 들어 테스트 환경에 대한 액세스 권한을 부여하는 역할에 대해 표시 이름Test로 지정하고 색상은 녹색으로 선택합니다. 프로덕션 환경에 대한 액세스 권한을 부여하는 역할에 대해서는 표시 이름Production으로 지정하고 색상은 빨간색으로 선택합니다.

  6. [Switch Role]을 선택합니다. 표시 이름과 색상이 탐색 표시줄에 사용자 이름 대신 나타나고, 역할에서 부여하는 권한을 사용하여 시작할 수 있습니다.

도움말

마지막으로 사용한 몇 가지 역할은 [] ] 메뉴에 표시됩니다. 다음에 이 중 하나로 역할을 전환해야 할 때는 원하는 역할을 선택하기만 하면 됩니다. 역할이 메뉴에 표시되지 않으면 계정 및 역할 정보를 수동으로 입력해야 합니다.

역할 사용을 중지하려면(콘솔)

  1. IAM 콘솔의 오른쪽 위에 있는 탐색 모음에서 역할의 표시 이름을 선택합니다. 일반적인 형식은 rolename@account_ID_number_or_alias입니다.

  2. Back to username(username으로 돌아가기)을 선택합니다. 역할과 그 권한이 비활성화되면서 IAM 사용자 및 그룹에 연결된 권한이 자동으로 복구됩니다.

    예를 들어, 사용자 이름 123456789012을 사용하여 계정 번호 RichardRoe로 로그인했다고 가정하십시다. AdminRole 역할을 사용한 후, 사용자가 역할 사용을 중지하고 원래 사용자 권한으로 돌아가고자 합니다. 역할 사용을 중지하려면 AdminRole @ 123456789012을 선택한 후 Back to RichardRoe(RichardRoe로 돌아가기)를 선택합니다.

    
            Richard Roe는 AdminRole 역할 사용을 중지합니다