역할 변경(AWS API)
AWS API를 사용하여 역할을 변경할 수 있습니다. 역할의 태그 세트를 변경하려면 IAM 역할의 태그 관리(AWS CLI 또는 AWS API) 섹션을 참조하세요.
주제
역할 신뢰 정책 수정(AWS API)
역할을 맡을 수 있는 주체를 바꾸려면 역할의 신뢰 정책을 변경해야 합니다. 서비스 연결 역할에 대한 신뢰 정책을 수정할 수 없습니다.
주의
-
사용자가 역할 신뢰 정책에 보안 주체로 나열되지만 역할을 수임할 수 없는 경우 사용자의 권한 경계를 확인하세요. 사용자에 대한 권한 경계가 설정된 경우 권한 경계에서
sts:AssumeRole작업이 허용되어야 합니다. -
사용자가 역할 세션 내에서 현재 역할을 다시 수임할 수 있도록 허용하려면 역할 ARN 또는 AWS 계정 ARN을 역할 신뢰 정책의 보안 주체로 지정합니다. Amazon EC2, Amazon ECS, Amazon EKS, Lambda와 같이 컴퓨팅 리소스를 제공하는 AWS 서비스는 임시 보안 인증을 제공하며 해당 보안 인증을 자동으로 업데이트합니다. 이렇게 하면 항상 유효한 자격 증명 집합을 가질 수 있습니다. 이러한 서비스의 경우 임시 자격 증명을 획득하기 위해 현재 역할을 다시 수임할 필요는 없습니다. 하지만 세션 태그 또는 세션 정책을 전달하려는 경우 현재 역할을 다시 수임해야 합니다. 보안 주체 역할 ARN 또는 AWS 계정 ARN을 추가하기 위해 역할 신뢰 정책을 수정하는 방법을 알아보려면 역할 신뢰 정책 수정 (콘솔)을 참조하세요.
역할 신뢰 정책을 수정하려면(AWS API)
-
(선택 사항) 변경할 역할의 이름을 모르는 경우 다음 연산을 호출하여 계정의 역할을 나열합니다.
-
(옵션) 현재 역할의 신뢰 정책을 확인하려면 다음 연산을 호출합니다.
-
역할에 액세스할 수 있는 신뢰할 수 있는 보안 주체를 변경하려면 업데이트된 신뢰 정책을 추가하여 텍스트 파일을 생성합니다. 정책 구조를 작성할 때는 어떤 텍스트 편집기든 사용할 수 있습니다.
예를 들어 다음 신뢰 정책 조각은
Principal요소에서 AWS 계정 2개를 참조하는 방법을 나타냅니다. 사용자가 개별 AWS 계정 2개를 사용하도록 허용하여 이 역할을 수임하도록 합니다.{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ]}, "Action": "sts:AssumeRole" } }다른 계정에서 보안 주체를 지정할 경우 역할의 신뢰 정책에 계정을 추가하는 것은 신뢰 관계 설정의 절반밖에 되지 않는다는 것을 유념하세요. 기본적으로 신뢰 계정의 어떠한 사용자도 역할을 위임할 수 없습니다. 새로이 신뢰받는 계정에 대한 관리자는 사용자가 역할을 수임할 수 있는 권한을 허용해야 합니다. 이를 위해 관리자는 사용자와 연결된 정책을 생성 또는 편집하여
sts:AssumeRole작업에 대한 사용자 액세스를 허용합니다. 자세한 정보는 다음 절차 또는 사용자에게 역할을 전환할 권한 부여 섹션을 참조하세요. -
방금 생성한 파일을 사용하여 신뢰 정책을 업데이트하려면 다음 작업을 호출합니다.
신뢰할 수 있는 외부 계정 사용자에게 역할 사용을 허용하려면(AWS API)
자세한 정보와 이 절차에 대한 세부 정보는 사용자에게 역할을 전환할 권한 부여 섹션을 참조하세요.
-
역할에 대한 권한 정책을 포함하는 JSON 파일을 생성하여 역할을 수임할 수 있는 권한을 허용합니다. 예를 들어 다음 정책에는 필요한 최소 권한이 포함되어 있습니다.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME" } }설명문의 ARN을 사용자가 수임할 수 있는 역할의 ARN으로 바꿉니다.
-
다음 작업을 호출하여 신뢰 정책을 포함하는 JSON 파일을 IAM에 업로드합니다.
이 연산의 출력 화면에는 정책의 ARN이 포함됩니다. 이후 단계에서 사용해야 하므로 이 ARN을 기록해 두세요.
-
정책을 연결할 사용자 또는 그룹을 결정합니다. 원하는 사용자 또는 그룹의 이름을 모르는 경우에는 다음 작업 중 하나를 호출하여 계정에 속한 사용자 또는 그룹 목록을 조회합니다.
-
다음 연산 중 하나를 호출하여 이전 단계에서 생성한 정책을 사용자 또는 그룹에게 추가합니다.
역할 권한 정책 수정(AWS API)
역할이 허용하는 권한을 변경하려면, 역할의 권한 정책을 수정합니다. IAM에서 서비스 연결 역할에 대한 권한 정책을 수정할 수 없습니다. 역할에 따른 서비스 내 권한 정책을 수정할 수 있는 가능성이 있습니다. 서비스에서 이 기능을 지원하는지 여부를 알아보려면 AWS IAM으로 작업하는 서비스를 참조하고 서비스 연결 역할(Service-linked roles) 열에 예(Yes)가 있는 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 예(Yes) 링크를 선택합니다.
역할에서 허용되는 권한을 변경하려면(AWS API)
-
(옵션) 현재 역할과 연동되어 있는 권한을 확인하려면 다음 연산을 호출합니다.
-
인라인 정책을 나열하기 위한 ListRolePolicies
-
관리형 정책을 나열하기 위한 ListAttachedRolePolicies
-
-
역할 권한의 업데이트 작업은 관리형 정책을 업데이트할 때와 인라인 정책을 업데이트할 때 서로 다릅니다.
관리형 정책을 업데이트하려면 다음 연산을 호출하여 새로운 버전의 관리형 정책을 생성합니다.
인라인 정책을 업데이트하려면 다음 연산을 호출합니다.
역할 설명 수정(AWS API)
역할의 설명을 변경하려면 설명 텍스트를 수정합니다.
역할의 설명을 변경하려면(AWS API)
-
(옵션) 현재 역할의 설명을 확인하려면 다음 연산을 호출합니다.
-
역할의 설명을 업데이트하려면 설명 파라미터와 함께 다음 연산을 호출합니다.
역할 최대 세션 기간 수정(AWS API)
AWS CLI 또는 API를 사용하여 수임한 역할에 대한 최대 세션 기간 설정을 지정하려면 최대 세션 기간 설정의 값을 수정합니다. 이 설정에는 1~12시간의 값을 지정할 수 있습니다. 값을 지정하지 않으면 기본 최댓값인 1시간이 적용됩니다. 이 설정은 AWS 서비스에서 수임하는 세션을 제한하지 않습니다.
참고
AWS CLI 또는 API에서 역할을 수임한 사람은 누구나 duration-seconds CLI 파라미터 또는 DurationSeconds API 파라미터를 사용해 더 긴 세션을 요청할 수 있습니다. MaxSessionDuration 설정은 DurationSeconds 파라미터를 사용해 요청할 수 있는 역할 세션에 대한 최대 기간을 결정합니다. 사용자가 DurationSeconds 파라미터의 값을 지정하지 않으면 보안 자격 증명이 한 시간 동안 유효하게 됩니다.
API를 사용하여 수임한 역할에 대한 최대 세션 기간 설정을 변경하려면(AWS API)
-
(옵션) 역할에 대한 현재 최대 세션 기간 설정을 확인하려면 다음 연산을 호출합니다.
-
역할의 최대 세션 기간 설정을 업데이트하려면
max-sessiondurationCLI 파라미터 또는MaxSessionDurationAPI 파라미터와 함께 다음 연산을 호출합니다.다음에 다른 사람이 이 역할을 수임할 때까지 변경 사항은 적용되지 않습니다. 이 역할에 대한 기존 세션을 취소하는 방법을 알아보려면 IAM 역할의 임시 보안 자격 증명 취소 섹션을 참조하세요.
역할 권한 경계 수정(AWS API)
역할이 허용하는 최대 권한을 변경하려면, 역할의 권한 경계를 수정합니다.
역할(AWS API)에 대한 권한 경계 설정에 사용된 관리형 정책을 변경하려면
-
(선택 사항) 역할의 현재 권한 경계를 확인하려면 다음 작업을 호출합니다.
-
다른 관리형 정책을 사용하여 역할에 대한 권한 경계를 업데이트하려면 다음 작업 중 하나를 호출합니다.
역할은 권한 경계로서 하나의 관리형 정책만 가질 수 있습니다. 권한 경계를 변경하면 역할이 허용하는 최대 권한을 변경합니다.
