IAM 역할 관리

사용자, 애플리케이션 또는 서비스에서 이전에 생성한 역할을 사용하려면 그 역할로 전환할 수 있는 권한을 부여해야 합니다. 그룹 또는 사용자에게 추가된 어떤 정책도 필요한 권한을 부여하는 데 사용할 수 있습니다. 이 섹션에서는 사용자에게 역할을 사용할 권한을 부여하는 방법을 설명합니다. 또한 사용자가 AWS Management Console, Tools for Windows PowerShell, AWS Command Line Interface(AWS CLI) 및 AssumeRole API에서 역할로 전환하는 방법도 설명합니다.

중요

IAM 콘솔 대신 프로그래밍 방식으로 역할을 생성하는 경우에는 사용자의 선택에 따라 최대 64자인 RoleName뿐만 아니라 최대 512자인 Path도 추가할 수 있습니다. 그러나 AWS Management Console에서 역할 전환(Switch Role) 기능이 있는 역할을 사용하려면 Path와 RoleName을 합해 64자를 초과할 수 없습니다.

주제

• 역할 액세스 보기
• 액세스 정보를 기반으로 정책 생성
• 사용자에게 역할을 전환할 권한 부여
• 사용자에게 AWS 서비스에 역할을 전달할 권한 부여
• IAM 역할 임시 보안 자격 증명 취소
• 서비스 연결 역할 업데이트
• 역할 트러스트 정책 업데이트
• 역할 권한 업데이트
• 역할 설정 업데이트
• 역할 또는 인스턴스 프로파일 삭제

역할 액세스 보기

역할에 대한 권한을 변경하기 전에 최근 서비스 수준 활동을 검토해야 합니다. 이 기능은 사용 중인 보안 주체(사람 또는 애플리케이션)의 액세스 권한을 제거하지 않으려는 경우 중요합니다. 마지막으로 액세스한 정보 보기에 대한 자세한 내용은 마지막으로 액세스한 정보를 사용하여 AWS에서의 권한 재정의 섹션을 참조하세요.

액세스 정보를 기반으로 정책 생성

때로는 IAM 엔터티(사용자 또는 역할)에 필요한 것보다 많은 권한을 부여할 수도 있습니다. 부여하는 권한을 세분화할 수 있도록 엔터티의 액세스 활동을 기반으로 IAM 정책을 생성할 수 있습니다. IAM Access Analyzer는 사용자의 AWS CloudTrail 로그를 검토하고 지정된 날짜 범위에 엔터티에서 사용한 권한을 포함하는 정책 템플릿을 생성합니다. 이 템플릿을 사용하여 세분화된 권한이 포함된 관리형 정책을 생성한 다음 IAM 엔터티에 연결할 수 있습니다. 이렇게 하면 특정 사용 사례에 사용자나 역할이 AWS 리소스와 상호 작용하는 데 필요한 권한만 부여됩니다. 자세한 내용은 액세스 활동을 기반으로 정책 생성 섹션을 참조하세요.