역할 수정(콘솔)

AWS Management Console를 사용하여 역할을 변경할 수 있습니다. 역할의 태그 세트를 변경하려면 IAM 역할의 태그 관리(콘솔) 섹션을 참조하세요.

역할 신뢰 정책 수정 (콘솔)

역할을 맡을 수 있는 주체를 바꾸려면 역할의 신뢰 정책을 변경해야 합니다. 서비스 연결 역할에 대한 신뢰 정책을 수정할 수 없습니다.

참고

• 사용자가 역할 신뢰 정책에 보안 주체로 나열되지만 역할을 수임할 수 없는 경우 사용자의 권한 경계를 확인하세요. 사용자에 대한 권한 경계가 설정된 경우 권한 경계에서 sts:AssumeRole 작업이 허용되어야 합니다.

• 사용자가 역할 세션 내에서 현재 역할을 다시 수임할 수 있도록 허용하려면 역할 ARN 또는 AWS 계정 ARN을 역할 신뢰 정책의 보안 주체로 지정합니다. Amazon EC2, Amazon ECS, Amazon EKS, Lambda와 같이 컴퓨팅 리소스를 제공하는 AWS 서비스는 임시 보안 인증을 제공하며 해당 보안 인증을 자동으로 업데이트합니다. 이렇게 하면 항상 유효한 자격 증명 집합을 가질 수 있습니다. 이러한 서비스의 경우 임시 자격 증명을 획득하기 위해 현재 역할을 다시 수임할 필요는 없습니다. 하지만 세션 태그 또는 세션 정책을 전달하려는 경우 현재 역할을 다시 수임해야 합니다.

역할 신뢰 정책을 수정하려면(콘솔)

1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

2. IAM 콘솔의 탐색 창에서 역할(Roles)을 선택합니다.

3. 계정의 역할 목록에서 변경할 역할의 이름을 선택합니다.

4. 신뢰 관계(Trust relationships) 탭을 선택한 후 신뢰 정책 편집(Edit trust policy)을 선택합니다.

5. 필요에 따라 신뢰 정책을 편집합니다. 역할을 위임할 수 있는 보안 주체를 추가하려면 Principal 요소에 해당 보안 주체를 지정하세요. 예를 들어 다음 정책 조각은 Principal 요소에서 AWS 계정 2개를 참조하는 방법을 나타냅니다.

   "Principal": {
     "AWS": [
       "arn:aws:iam::111122223333:root",
       "arn:aws:iam::444455556666:root"
     ]
   },

   다른 계정에서 보안 주체를 지정할 경우 역할의 신뢰 정책에 계정을 추가하는 것은 신뢰 관계 설정의 절반밖에 되지 않는다는 것을 유념하세요. 기본적으로 신뢰 계정의 어떠한 사용자도 역할을 위임할 수 없습니다. 새로이 신뢰받는 계정에 대한 관리자는 사용자가 역할을 수임할 수 있는 권한을 허용해야 합니다. 이를 위해 관리자는 사용자와 연결된 정책을 생성 또는 편집하여 sts:AssumeRole 작업에 대한 사용자 액세스를 허용합니다. 자세한 정보는 다음 절차 또는 사용자에게 역할을 전환할 권한 부여 섹션을 참조하세요.

   다음 정책 조각은 Principal 요소에서 두 가지 AWS 서비스를 참조하는 방법을 보여줍니다.

   "Principal": {
     "Service": [
       "opsworks.amazonaws.com",
       "ec2.amazonaws.com"
     ]
   },

6. 신뢰 정책 편집을 마쳤으면 정책 업데이트(Update policy)를 선택하여 변경 사항을 저장합니다.

   정책 구조 및 구문에 대한 자세한 정보는 IAM의 정책 및 권한 단원과 IAM JSON 정책 요소 참조 섹션을 참조하세요.

신뢰할 수 있는 외부 계정의 사용자가 역할을 사용할 수 있도록 허용하려면(콘솔 사용)

자세한 정보와 이 절차에 대한 세부 정보는 사용자에게 역할을 전환할 권한 부여 섹션을 참조하세요.

1. 신뢰할 수 있는 외부 AWS 계정에 로그인합니다.

2. 사용자 또는 그룹 중 권한을 어디에 추가할지 결정합니다. 결정에 따라 IAM 콘솔의 탐색 창에서 사용자(Users) 또는 사용자 그룹(User groups)을 선택합니다.

3. 액세스 권한을 부여하려는 사용자나 그룹의 이름을 선택한 후 권한 탭을 선택합니다.

4. 다음 중 하나를 수행합니다.

   • 고객 관리형 정책을 편집하려면 정책 이름을 선택하고 정책 편집을 선택한 다음 JSON 탭을 선택합니다. AWS 관리형 정책은 편집할 수 없습니다. AWS 관리형 정책은 AWS 아이콘( )으로 나타납니다. AWS 관리형 정책과 고객 관리형 정책의 차이점에 대한 자세한 정보는 관리형 정책과 인라인 정책 섹션을 참조하세요.

   • 인라인 정책을 편집하려면 정책 이름 옆에 있는 화살표를 선택하고 정책 편집을 선택합니다.

5. 정책 편집기에서 새로운 Statement 요소를 추가하여 다음과 같이 지정합니다.

   {
     "Effect": "Allow",
     "Action": "sts:AssumeRole",
     "Resource": "arn:aws:iam::ACCOUNT-ID:role/ROLE-NAME"
   }

   설명문의 ARN을 사용자가 수임할 수 있는 역할의 ARN으로 바꿉니다.

6. 화면의 메시지에 따라 정책 편집을 마칩니다.

역할 권한 정책 수정(콘솔)

역할이 허용하는 권한을 변경하려면, 역할의 권한 정책을 수정합니다. IAM에서 서비스 연결 역할에 대한 권한 정책을 수정할 수 없습니다. 역할에 따른 서비스 내 권한 정책을 수정할 수 있는 가능성이 있습니다. 서비스에서 이 기능을 지원하는지 여부를 알아보려면 AWS IAM으로 작업하는 서비스를 참조하고 서비스 연결 역할(Service-linked roles) 열에 예(Yes)가 있는 서비스를 찾습니다. 해당 서비스에 대한 서비스 링크 역할 설명서를 보려면 예 링크를 선택합니다.

역할이 허용하는 권한을 변경하려면(콘솔 사용)

1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

2. IAM 콘솔의 탐색 창에서 역할을 선택합니다.

3. 수정하려는 역할의 이름을 선택한 후 권한 탭을 선택합니다.

4. 다음 중 하나를 수행합니다.

   • 기존의 고객 관리형 정책을 편집하려면 정책 이름을 선택한 후 정책 편집을 선택합니다.

     참고

     AWS 관리형 정책은 편집할 수 없습니다. AWS 관리형 정책은 AWS 아이콘( )으로 나타납니다. AWS 관리형 정책과 고객 관리형 정책의 차이점에 대한 자세한 정보는 관리형 정책과 인라인 정책 섹션을 참조하세요.

   • 기존 관리형 정책을 역할에 연결하려면 권한 추가(Add permissions)를 선택한 다음 정책 연결(Attach policies)을 선택합니다.

   • 기존 인라인 정책을 편집하려면 정책을 확장하고 편집(Edit)을 선택합니다.

   • 새 인라인 정책을 포함하려면 권한 추가(Add permissions)를 선택한 다음 인라인 정책 생성(Create inline policy)을 선택합니다.

역할 설명 수정(콘솔)

역할의 설명을 변경하려면 설명 텍스트를 수정합니다.

역할의 설명을 변경하려면(콘솔 사용)

1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

2. IAM 콘솔의 탐색 창에서 역할을 선택합니다.

3. 변경할 역할 이름을 선택합니다.

4. 요약(Summary) 섹션에서 편집(Edit)을 선택합니다.

5. 상자에 새 설명을 입력하고 변경 사항 저장을 선택합니다.

역할 최대 세션 기간 수정(콘솔)

콘솔, AWS CLI 또는 AWS API를 사용하여 수임한 역할에 대한 최대 세션 기간 설정을 지정하려면 최대 세션 지속 시간 설정의 값을 수정합니다. 이 설정에는 1~12시간의 값을 지정할 수 있습니다. 값을 지정하지 않으면 기본 최댓값인 1시간이 적용됩니다. 이 설정은 AWS 서비스에서 수임하는 세션을 제한하지 않습니다.

콘솔, AWS CLI 또는 AWS API를 사용하여 수임한 역할에 대한 최대 세션 지속 시간 설정을 변경하려면(콘솔)

1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

2. IAM 콘솔의 탐색 창에서 역할을 선택합니다.

3. 변경할 역할 이름을 선택합니다.

4. 요약(Summary) 섹션에서 편집(Edit)을 선택합니다.

5. 최대 세션 지속 시간(Maximum session duration)에서 값을 선택합니다. 또는 사용자 지정 기간(Custom duration)을 선택하고 값(초)을 입력합니다.

6. Save changes(변경 사항 저장)를 선택합니다.

   다음에 다른 사람이 이 역할을 수임할 때까지 변경 사항은 적용되지 않습니다. 이 역할에 대한 기존 세션을 취소하는 방법을 알아보려면 IAM 역할의 임시 보안 자격 증명 취소 섹션을 참조하세요.

AWS Management Console에서 IAM 사용자 세션은 기본적으로 12시간입니다. 콘솔에서 역할을 전환하는 IAM 사용자에게는 역할 최대 세션 기간 또는 사용자 세션의 남은 시간 중 더 적은 시간이 부여됩니다.

AWS CLI 또는 AWS API에서 역할을 수임한 사람은 이 최대값까지 더 긴 세션을 요청할 수 있습니다. MaxSessionDuration 설정은 요청할 수 있는 역할 세션의 최대 지속 시간을 결정합니다.

• AWS CLI을 사용하여 세션 지속 시간을 지정하려면 duration-seconds 파라미터를 사용합니다. 자세한 내용은 IAM 역할로 전환(AWS CLI) 섹션을 참조하세요.

• AWS API를 사용하여 세션 지속 시간을 지정하려면 DurationSeconds 파라미터를 사용합니다. 자세한 내용은 IAM 역할로 전환(AWS API) 섹션을 참조하세요.

역할 권한 경계 수정(콘솔)

역할이 허용하는 최대 권한을 변경하려면, 역할의 권한 경계를 수정합니다.

역할에 대한 권한 경계 설정에 사용된 정책을 변경하려면

1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

2. 탐색 창에서 역할을 선택합니다.

3. 변경하려는 권한 경계가 있는 역할의 이름을 선택합니다.

4. 권한 탭을 선택합니다. 필요하다면 Permissions boundary(권한 경계) 섹션을 열고 Change boundary(경계 변경)을 선택합니다.

5. 정책을 선택하여 원하는 권한 경계를 사용하세요.

6. Change boundary(경계 변경)을 선택합니다.

   다음에 다른 사람이 이 역할을 수임할 때까지 변경 사항은 적용되지 않습니다.