필수 조건 1단계: AWS 테스트 계정에서 결제 정보에 대한 IAM 액세스 권한 활성화 2단계: 테스트 사용자 및 그룹 만들기 3단계: AWS Billing 콘솔에 대한 액세스 권한을 부여할 역할 생성 4단계: 콘솔에 대한 액세스 테스트 요약 관련 리소스

IAM 자습서: 빌링 콘솔에 대한 액세스 권한 부여

AWS 계정 소유자(AWS 계정 루트 사용자)는 IAM 사용자 및 역할에 AWS 계정의 AWS Billing and Cost Management 데이터에 대한 액세스 권한을 부여할 수 있습니다. 이 자습서의 지침은 사전 테스트된 시나리오를 설정하는 데 참고로 사용할 수 있습니다. 이 시나리오는 기본 AWS 프로덕션 계정에 영향을 주지 않고 결제 권한을 구성하는 실무 경험을 얻는 데 도움이 됩니다.

필수 조건

이 자습서의 단계를 수행하기 전에 다음을 준비합니다.

테스트 AWS 계정을(를) 생성합니다.
테스트 AWS 계정에 루트 사용자로 로그인
자습서에서 사용할 수 있도록 테스트 계정의 AWS 계정 번호를 기록해 둡니다. 이 자습서에서는 예시 계정 번호 111122223333을 사용합니다. 단계에서 해당 계정 번호를 사용할 때마다 테스트 계정 번호로 바꿉니다.

1단계: AWS 테스트 계정에서 결제 정보에 대한 IAM 액세스 권한 활성화

이 시나리오에서는 루트 사용자로 테스트 AWS 계정에 로그인하여 IAM에 결제 정보에 대한 액세스 권한을 부여합니다. 결제 정보에 대한 액세스 권한을 IAM에 부여하면 IAM 사용자와 역할이 AWS Billing and Cost Management 콘솔에 액세스할 수 있습니다. 이 설정은 IAM 사용자 및 역할에 이러한 콘솔 페이지에 필요한 권한을 부여하지 않으며, 필요한 IAM 정책이 있는 IAM 사용자 또는 역할에 대한 액세스를 활성화합니다. 정책이 IAM 사용자 또는 역할에 이미 연결되어 있지만 이 설정이 활성화되지 않은 경우 해당 정책에서 부여한 권한이 적용되지 않습니다.

참고

AWS Organizations을(를) 사용하여 생성된 AWS 계정에는 결제 정보에 대한 IAM 액세스 권한이 기본적으로 활성화되어 있습니다.

2단계: 테스트 사용자 및 그룹 만들기

이 시나리오에서는 IAM 사용자에게 빌링 콘솔에 대한 액세스 권한을 부여하고 두 명의 사용자를 생성합니다.

Pat Candella

Pat은 재무 부서의 일원이며 청구 및 지불 업무를 담당하고 있습니다. Pat은 AWS 계정의 결제 정보에 대한 전체 액세스 권한을 필요로 합니다.
Terry Whitlock

Terry는 IT 지원 부서의 일원입니다. 대부분의 경우 Terry는 빌링 콘솔에 액세스할 필요가 없지만 재무 부서 직원의 질문에 답하기 위해 액세스해야 하는 경우도 있습니다.

3단계: AWS Billing 콘솔에 대한 액세스 권한을 부여할 역할 생성

IAM 역할은 계정에 생성할 수 있는, 특정 권한을 지닌 IAM 자격 증명입니다. AWS에서 ID가 할 수 있는 것과 없는 것을 결정하는 권한 정책을 갖춘 AWS ID라는 점에서 IAM 역할은 IAM 사용자와 유사합니다. 그러나 역할은 한 사람과만 연관되지 않고 해당 역할이 필요한 사람이라면 누구든지 맡을 수 있어야 합니다. 또한 역할에는 그와 연결된 암호 또는 액세스 키와 같은 표준 장기 자격 증명이 없습니다. 대신에 역할을 맡은 사람에게는 해당 역할 세션을 위한 임시 보안 자격 증명이 제공됩니다. 역할을 사용하여 일반적으로 AWS 리소스에 액세스할 수 없는 사용자, 애플리케이션 또는 서비스에 액세스 권한을 위임할 수 있습니다. 이 시나리오에서는 Terry Whitlock이 빌링 콘솔에 액세스하기 위해 수임할 수 있는 역할을 생성합니다.

4단계: 콘솔에 대한 액세스 테스트

핵심 과제를 완료했으므로 정책을 테스트할 수 있습니다. 테스트는 정책이 의도된 대로 동작하는지 확인합니다. 각 사용자의 액세스를 테스트하여 사용자 경험을 비교할 수 있습니다.

필수 조건

이 자습서의 단계를 수행하기 전에 다음을 준비합니다.

테스트 AWS 계정을(를) 생성합니다.
테스트 AWS 계정에 루트 사용자로 로그인
자습서에서 사용할 수 있도록 테스트 계정의 AWS 계정 번호를 기록해 둡니다. 이 자습서에서는 예시 계정 번호 111122223333을 사용합니다. 단계에서 해당 계정 번호를 사용할 때마다 테스트 계정 번호로 바꿉니다.

1단계: AWS 테스트 계정에서 결제 정보에 대한 IAM 액세스 권한 활성화

이 시나리오에서는 루트 사용자로 테스트 AWS 계정에 로그인하여 IAM에 결제 정보에 대한 액세스 권한을 부여합니다. 결제 정보에 대한 액세스 권한을 부여하면 IAM 사용자와 역할이 AWS Billing and Cost Management 콘솔에 액세스할 수 있습니다. 이 설정은 IAM 사용자 및 역할에 이러한 콘솔 페이지에 필요한 권한을 부여하지 않으며, 단지 필요한 IAM 정책이 있는 IAM 사용자 또는 역할에 대한 액세스를 활성화합니다.

참고

AWS Organizations을(를) 사용하여 생성된 AWS 계정에는 결제 정보에 대한 IAM 액세스 권한이 기본적으로 활성화되어 있습니다.

Billing and Cost Management 콘솔에 대한 IAM 사용자 및 역할 액세스를 활성화하려면

루트 사용자 보안 인증(AWS 계정을 만들 때 사용한 이메일 주소 및 암호)을 사용하여 AWS Management Console에 로그인합니다.
탐색 표시줄에서 계정 이름을 선택한 다음 계정을 선택합니다.
결제 정보에 대한 IAM 사용자 및 역할 액세스 섹션이 나타날 때까지 페이지를 아래로 스크롤한 다음 편집을 선택합니다.
IAM 액세스 활성화(Activate IAM Access) 확인란을 선택하여 Billing and Cost Management 콘솔 페이지에 대한 액세스를 활성화합니다.
업데이트를 선택합니다.

페이지에 결제 정보에 대한 IAM 사용자/역할 액세스가 활성화됨 메시지가 표시됩니다.

이 자습서의 다음 단계에서는 IAM 정책을 연결하여 특정 결제 기능에 대한 액세스 권한을 부여하거나 거부할 수 있습니다.

2단계: 테스트 사용자 및 그룹 만들기

테스트 AWS 계정에는 루트 사용자를 제외하고 정의된 ID가 없습니다. 결제 정보에 대한 액세스 권한을 제공하기 위해 결제 정보에 액세스할 수 있는 권한을 부여할 수 있는 추가 ID가 생성됩니다.

테스트 사용자 및 그룹 생성

루트 사용자(Root user)를 선택하고 AWS 계정 계정 이메일 주소를 입력하여 IAM 콘솔에 계정 소유자로 로그인합니다. 다음 페이지에서 암호를 입력합니다.

참고
루트 사용자는 IAM 사용자로 로그인 페이지에 로그인할 수 없습니다. IAM 사용자로 로그인 페이지가 보이면 페이지 하단에 있는 루트 사용자 이메일을 사용하여 로그인을 선택합니다. 루트 사용자로 로그인하는 데 도움이 필요하면 AWS 로그인 사용 설명서의 루트 사용자로 AWS Management Console 로그인을 참조하세요.
탐색 창에서 사용자와 사용자 추가를 차례로 선택합니다.

참고
IAM Identity Center를 활성화한 경우 IAM Identity Center에서 사용자 액세스를 관리하는 것이 가장 좋다는 알림이 AWS Management Console에 표시됩니다. 이 자습서에서는 생성된 IAM 사용자가 결제 정보에 대한 액세스 권한을 제공하는 방법을 배웁니다. IAM Identity Center에서 사용자를 생성한 경우 IAM 대신 IAM Identity Center를 사용하여 해당 사용자 또는 그룹에 결제 권한 세트를 할당합니다.
사용자 이름(User name)에 pcandella를 입력합니다. 이름에는 공백이 있어서는 안 됩니다.
사용자에게 AWS Management Console에 대한 액세스 권한 제공 - 선택 사항 옆의 확인란을 선택한 다음 IAM 사용자를 생성하고 싶음을 선택합니다.
콘솔 암호에서 자동 생성된 암호(권장)을 선택합니다.
다음 로그인 시 사용자가 새 암호를 생성해야 함(권장) 옆의 확인란 선택을 취소하고 다음을 선택합니다. 이 IAM 사용자는 테스트용이므로 확인 절차 중 사용할 암호를 다운로드하겠습니다.
권한 설정 페이지의 권한 옵션에서 그룹에 사용자 추가를 선택합니다. 그런 다음 사용자 그룹에서 그룹 생성을 선택합니다.
사용자 그룹 생성 페이지의 사용자 그룹 이름에 BillingGroup을 입력합니다. 그런 다음 권한 정책에서 AWS 관리형 직무 정책 결제를 선택합니다.
권한 설정 페이지로 돌아가려면 사용자 그룹 생성을 선택합니다.
사용자 그룹에서 생성한 BillingGroup의 확인란을 선택합니다.
다음을 선택하여 검토 및 생성 페이지로 이동합니다.
검토 및 생성 페이지에서 새 사용자의 사용자 그룹 멤버십의 목록을 검토합니다. 계속 진행할 준비가 되었으면 사용자 생성을 선택합니다.
암호 검색 페이지에서 .csv 파일 다운로드를 선택하여 사용자 로그인 정보(연결 URL, 사용자 이름 및 암호)가 포함된 .csv 파일을 저장합니다.

이 파일을 저장하여 이 IAM 사용자로 AWS에 로그인할 때 참조로 사용합니다.
사용자 목록으로 돌아가기를 선택합니다.
다음 수정 사항을 사용하여 이 절차를 반복하여 Terry Whitlock에 대한 사용자와 지원 사용자에 대한 그룹을 생성합니다.
1. 3단계에서 사용자 이름에 twhitlock을 입력합니다.
2. 8단계에서 사용자 그룹 이름에 SupportGroup을 입력합니다. 그런 다음 권한 정책에서 AWS 관리형 직무 정책 SupportUser를 선택합니다.

콘솔 목록에서 새 IAM 사용자, 그룹 및 역할을 검토할 수 있습니다. 생성한 각 항목에 대해 이름을 선택하여 해당 세부 정보를 볼 수 있습니다. 사용자 세부 정보를 볼 때 콘솔에는 pcandella에 대한 권한 정책 아래에 나열된 결제와 twhitlock에 대한 권한 정책 아래에 나열된 SupportUser가 표시됩니다.

정책을 사용하여 IAM 사용자에게 AWS Billing and Cost Management 기능에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용을 알아보려면 AWS Billing 사용 설명서의 AWS Billing에 대한 자격 증명 기반 정책(IAM 정책) 사용을 참조하세요.

3단계: AWS Billing 콘솔에 대한 액세스 권한을 부여할 역할 생성

역할을 사용하여 IAM 사용자에게 빌링 콘솔에 대한 액세스 권한을 부여할 수 있습니다. 역할은 사용자가 필요할 때 수임할 수 있는 임시 자격 증명을 제공합니다. 이 자습서에서 사용자 twhitlock은 재무 부서의 지원 요청에 따라 문제를 조사해야 할 때 결제 정보에 액세스할 수 있어야 합니다.

루트 사용자(Root user)를 선택하고 AWS 계정 계정 이메일 주소를 입력하여 IAM 콘솔에 계정 소유자로 로그인합니다. 다음 페이지에서 암호를 입력합니다.

참고
루트 사용자는 IAM 사용자로 로그인 페이지에 로그인할 수 없습니다. IAM 사용자로 로그인 페이지가 보이면 페이지 하단에 있는 루트 사용자 이메일을 사용하여 로그인을 선택합니다. 루트 사용자로 로그인하는 데 도움이 필요하면 AWS 로그인 사용 설명서의 루트 사용자로 AWS Management Console 로그인을 참조하세요.
탐색 창에서 사용자를 선택한 다음 twhitlock 사용자를 선택하여 사용자 세부 정보를 봅니다. twhitlock 사용자의 ARN을 클립보드에 복사합니다.
탐색 창에서 역할을 선택한 다음 역할 생성을 선택합니다.
신뢰할 수 있는 엔터티 선택 페이지에서 사용자 지정 신뢰 정책을 선택하고 명령문 편집에서 다음 항목을 완료합니다.
- STS에 대한 작업 추가 - AssumeRole이 선택되었는지 확인합니다.
- 보안 주체 추가 - 추가를 선택하여 보안 주체 추가 대화 상자를 표시합니다. 보안 주체 유형에서 IAM 사용자를 선택한 다음, ARN에 16단계에서 클립보드에 복사한 twhitlock 사용자의 ARN을 붙여 넣습니다. 그런 다음 보안 주체 추가를 선택합니다.
다음을 선택하여 권한 추가 페이지로 이동합니다.
필터 상자의 권한 정책에 Billing을 입력하고 AWS 관리형 직무 정책 결제를 선택합니다.
다음을 선택하여 이름 지정, 검토 및 생성 페이지로 이동합니다. 역할 이름에 TempBillingAccess를 입력한 다음 역할 생성을 선택합니다.

역할이 생성되었다는 알림이 표시됩니다. 역할을 보고 역할에 대한 세부 정보를 표시합니다. 요약 섹션에서 다음 정보를 기록해 둡니다.
- 기본적으로 최대 세션 기간은 1시간입니다. 그 후에는 역할을 수임한 사용자가 기본 계정 권한으로 돌아갑니다. 사용자가 역할 권한을 계속 사용하려면 역할을 다시 전환해야 합니다. 역할을 편집하여 최대 기간을 늘릴 수 있습니다. 가능한 가장 긴 세션 시간은 12시간입니다.
- 콘솔에서 역할 전환 링크. 링크를 복사하여 신뢰 정책에서 보안 주체로 추가하는 사용자에게 직접 제공할 수 있습니다. 신뢰 관계 탭에서 신뢰 정책을 보고 편집할 수 있습니다.

4단계: 콘솔에 대한 액세스 테스트

사용자가 어떤 경험을 하게 되는지 볼 수 있도록 테스트 사용자로 로그인하여 액세스 권한을 테스트할 것을 권장합니다. 다음 단계에 따라 두 테스트 계정으로 로그인하여 액세스 권한 차이를 확인합니다.

두 테스트 사용자로 로그인하여 결제 액세스 권한을 테스트하려면

AWS 계정 ID나 계정 별칭, IAM 사용자 이름 및 암호를 사용하여 IAM 콘솔에 로그인합니다.

참고
사용자 편의를 위해 AWS 로그인 페이지는 브라우저 쿠키를 사용하여 IAM 사용자 이름 및 계정 정보를 기억합니다. 이전에 다른 사용자로 로그인한 경우 페이지 하단 근처의 다른 계정에 로그인(Sign in to a different account)을 선택하여 기본 로그인 페이지로 돌아갑니다. 여기서 AWS 계정 ID 또는 계정 별칭을 입력하면 계정의 IAM 사용자 로그인 페이지로 리디렉션됩니다.
각 사용자 환경을 비교할 수 있도록 아래 제공된 단계를 사용하여 각 사용자로 로그인합니다.

모든 액세스
1. 사용자 pcandella로 AWS 계정에 로그인
2. 탐색 모음에서 pcandella@111122223333을 선택하고 결제 대시보드를 선택합니다.
3. 각 페이지를 탐색하면서 다양한 버튼을 선택하여 모든 수정 권한이 있는지 확인합니다.
접근 불가
1. 사용자 twhitlock로 AWS 계정에 로그인
2. 탐색 모음에서 twhitlock@111122223333을 선택하고 결제 대시보드를 선택합니다.
3. 권한이 필요함 메시지가 표시됩니다. 결제 데이터는 표시되지 않습니다.
역할을 전환하여 액세스 권한 상승
1. 사용자 twhitlock로 AWS 계정에 로그인
2. 탐색 모음에서 twhitlock@111122223333을 선택하고 역할 전환을 선택합니다.
  
  역할 전환 페이지가 열립니다. 다음과 같이 정보를 입력합니다.
  - 계정-111122223333
  - 역할-TempBillingAccess
  역할 전환을 선택합니다.
  
  또는 콘솔에서 역할 전환 링크에 제공된 URL을 사용하여 역할 전환 페이지를 열 수 있습니다.
3. 콘솔에 AWS Billing 대시보드가 표시되고 탐색 모음에 TempBillingAccess@111122223333이 표시됩니다.

요약

이제 IAM 사용자에게 AWS Billing 콘솔에 대한 액세스 권한을 제공하는 데 필요한 단계를 완료했습니다. 결과적으로 사용자 빌링 콘솔 환경을 직접 확인할 수 있습니다. 이제 편의에 따라 프로덕션 환경에서 이 로직을 구현할 수 있습니다.