AWS Organizations 멤버 계정에서 권한 있는 태스크 수행 - AWS Identity and Access Management
사전 조건멤버 계정에서 권한 있는 작업 수행멤버 계정에서 권한 있는 작업 수행(AWS CLI)멤버 계정에서 권한 있는 작업 수행(AWS API)

AWS Organizations 멤버 계정에서 권한 있는 태스크 수행

IAM의 AWS Organizations 관리 계정 또는 위임된 관리자 계정은 단기 루트 액세스를 사용하여 멤버 계정에서 일부 루트 사용자 태스크를 수행할 수 있습니다. 이러한 태스크는 계정의 루트 사용자로 로그인한 경우에만 수행할 수 있습니다. 단기 권한 있는 세션은 조직의 멤버 계정에서 권한 있는 작업을 수행하도록 범위를 지정할 수 있는 임시 자격 증명을 제공합니다.

권한 있는 세션을 시작하면 잘못 구성된 Amazon S3 버킷 정책을 삭제하고, 잘못 구성된 Amazon SQS 대기열 정책을 삭제하고, 멤버 계정의 루트 사용자 자격 증명을 삭제하고, 멤버 계정에 대해 루트 사용자 자격 증명을 다시 활성화할 수 있습니다.

참고

중앙 집중식 루트 액세스를 활성화하려면 IAM에 대한 AWS Organizations 관리 계정 또는 위임된 관리자 계정에 로그인해야 합니다. AWS 계정 루트 사용자는 사용할 수 없습니다.

사전 조건

권한 있는 세션을 시작하려면 다음 설정이 필요합니다.

  • 조직에서 중앙 집중식 루트 액세스를 활성화했습니다. 이 기능을 활성화하는 단계는 멤버 계정에 대한 루트 액세스 중앙 집중화 섹션을 참조하세요.

  • 관리 계정 또는 위임된 관리자 계정에 sts:AssumeRoot 권한이 있습니다.

멤버 계정에서 권한 있는 작업 수행

AWS Management Console에서 멤버 계정의 권한 있는 작업에 대한 세션을 시작하려면 다음을 수행하세요.

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/ 에서 IAM 콘솔을 엽니다.

  2. 콘솔의 탐색 창에서 루트 액세스 관리를 선택합니다.

  3. 멤버 계정 목록에서 이름을 선택하고 권한 있는 작업 수행을 선택합니다.

  4. 멤버 계정에서 수행할 권한 있는 작업을 선택합니다.

    • 모든 위탁자의 Amazon S3 버킷 액세스를 거부하는 잘못 구성된 버킷 정책을 제거하려면 Amazon S3 버킷 정책 삭제를 선택합니다.

      1. S3 찾아보기를 선택하여 멤버 계정이 소유한 버킷에서 이름을 선택하고 선택을 선택합니다.

      2. 버킷 정책 삭제를 선택합니다.

      3. 잘못 구성된 정책을 삭제한 후 Amazon S3 콘솔을 사용하여 버킷 정책을 수정합니다. 자세한 내용은 Amazon S3 사용 설명서Amazon S3 콘솔을 사용하여 버킷 정책 추가를 참조하세요.

    • 모든 위탁자가 Amazon SQS 대기열에 액세스하는 것을 거부하는 Amazon Simple Queue Service 리소스 기반 정책을 삭제하려면 Delete Amazon SQS 정책 삭제를 선택합니다.

      1. SQS 대기열 이름에 대기열 이름을 입력하고 SQS 정책 삭제를 선택합니다.

      2. 잘못 구성된 정책을 삭제한 후 Amazon SQS 콘솔을 사용하여 대기열 정책을 수정합니다. 자세한 내용은 Amazon SQS 개발자 안내서Configuring an access policy in Amazon SQS를 참조하세요.

    • 멤버 계정에서 루트 액세스를 제거하려면 루트 자격 증명 삭제를 선택합니다. 루트 사용자 자격 증명을 삭제하면 루트 사용자 암호, 액세스 키, 서명 인증서가 제거되고 멤버 계정에 대한 다중 인증(MFA)이 비활성화됩니다.

      1. 루트 자격 증명 삭제를 선택합니다.

    • 멤버 계정에 대한 루트 사용자 자격 증명을 복구하려면 암호 복구 허용을 선택합니다.

      이 옵션은 멤버 계정에 루트 사용자 자격 증명이 없는 경우에만 사용할 수 있습니다.

      1. 암호 복구 허용을 선택합니다.

      2. 이 권한 있는 작업을 수행한 후 멤버 계정의 루트 사용자 이메일 받은 편지함에 액세스할 수 있는 사람은 루트 사용자 암호를 재설정하고 멤버 계정 루트 사용자로 로그인할 수 있습니다.

멤버 계정에서 권한 있는 작업 수행(AWS CLI)

AWS Command Line Interface에서 멤버 계정의 권한 있는 작업에 대한 세션을 시작하려면 다음을 수행하세요.

  1. aws sts assume-root 명령을 사용하여 루트 사용자 세션을 수임합니다.

    참고

    sts:AssumeRoot에는 글로벌 엔드포인트가 지원되지 않습니다. 이 요청을 리전 AWS STS 엔드포인트로 보내야 합니다. 자세한 내용은 AWS 리전에서 AWS STS 관리 단원을 참조하십시오.

    멤버 계정에 대해 권한 있는 루트 사용자 세션을 시작할 때 task-policy-arn을 정의하여 세션 중 수행할 권한 있는 작업에 대한 세션 범위를 지정해야 합니다. 다음 AWS 관리형 정책 중 하나를 사용하여 권한 있는 세션 작업의 범위를 지정할 수 있습니다.

    권한 있는 루트 사용자 세션 중 관리 계정 또는 위임된 관리자가 수행할 수 있는 작업을 제한하려면 AWS STS 조건 키 sts:TaskPolicyArn을 사용합니다.

    다음 예에서는 위임된 관리자가 루트를 수임하여 멤버 계정 ID 111122223333에 대한 루트 사용자 자격 증명을 삭제합니다.

    aws sts assume-root \
  --target-principal 111122223333 \
  --task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
  --duration-seconds 900

  2. 응답에서 SessionToken, AccessKeyId, SecretAccessKey를 사용하여 멤버 계정에서 권한 있는 작업을 수행합니다. 요청에서 사용자 이름과 암호를 생략하여 멤버 계정으로 기본 설정할 수 있습니다.

멤버 계정에서 권한 있는 작업 수행(AWS API)

AWS API에서 멤버 계정의 권한 있는 작업에 대한 세션을 시작하려면 다음을 수행하세요.

  1. AssumeRoot 명령을 사용하여 루트 사용자 세션을 가장합니다.

    참고

    AssumeRoot에는 글로벌 엔드포인트가 지원되지 않습니다. 이 요청을 리전 AWS STS 엔드포인트로 보내야 합니다. 자세한 내용은 AWS 리전에서 AWS STS 관리 단원을 참조하십시오.

    멤버 계정에 대해 권한 있는 루트 사용자 세션을 시작할 때 TaskPolicyArn을 정의하여 세션 중 수행할 권한 있는 작업에 대한 세션 범위를 지정해야 합니다. 다음 AWS 관리형 정책 중 하나를 사용하여 권한 있는 세션 작업의 범위를 지정할 수 있습니다.

    권한 있는 루트 사용자 세션 중 관리 계정 또는 위임된 관리자가 수행할 수 있는 작업을 제한하려면 AWS STS 조건 키 sts:TaskPolicyArn을 사용합니다.

    다음 예에서 위임된 관리자는 멤버 계정 ID 111122223333의 Amazon S3 버킷에 대해 잘못 구성된 리소스 기반 정책을 읽고, 편집하고, 삭제할 루트를 수임합니다.

    https://sts.us-east-2.amazonaws.com/
  ?Version=2011-06-15
  &Action=AssumeRoot
  &TargetPrincipal=111122223333
  &PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy 
  &DurationSeconds 900

  2. 응답에서 SessionToken, AccessKeyId, SecretAccessKey를 사용하여 멤버 계정에서 권한 있는 작업을 수행합니다. 요청에서 사용자 이름과 암호를 생략하여 멤버 계정으로 기본 설정할 수 있습니다.