튜토리얼: IAM 역할을 사용한 AWS 계정 간 액세스 권한 위임
중요
IAM 모범 사례는 장기 보안 인증 정보가 있는 IAM 사용자를 사용하는 대신, 인간 사용자가 자격 증명 공급자와의 페더레이션을 사용하여 임시 보안 인증으로 AWS에 액세스하도록 하는 것입니다.
이 자습서에서는 역할을 사용하여 Destination과 Originating이라는 서로 다른 AWS 계정의 리소스에 대한 액세스 권한을 위임하는 방법을 설명합니다. 한 계정의 리소스는 다른 계정의 사용자와 공유합니다. 이러한 방식으로 크로스 계정 액세스를 설정하면 각 계정에 개별 IAM 사용자를 생성할 필요가 없습니다. 또한 사용자는 다른 AWS 계정의 리소스에 액세스하기 위해 한 계정에서 로그아웃하고 다른 계정에 로그인할 필요가 없습니다. 역할을 구성한 후에는 AWS Management Console, AWS CLI 및 API에서 역할을 사용하는 방법에 대해서도 알아봅니다.
이 자습서에서 Destination 계정은 다양한 애플리케이션과 팀이 액세스하는 애플리케이션 데이터를 관리합니다. 각 계정에서 Amazon S3 버킷에 애플리케이션 정보를 저장합니다. Developers와 Analysts라는 두 가지 IAM 사용자 역할이 있는 Originating 계정에서 IAM 사용자를 관리합니다. Developers와 Analysts는 Originating 계정을 사용하여 여러 마이크로서비스가 공유하는 데이터를 생성합니다. 두 역할 모두 Originating 계정에서 작업하고 이 계정의 리소스에 액세스할 수 있는 권한이 있습니다. 개발자는 종종 Destination 계정의 공유 데이터를 업데이트해야 합니다. 개발자는 이 데이터를 shared-container
라는 Amazon S3 버킷에 저장합니다.
이 자습서의 마지막에서는 다음 항목을 갖게 됩니다.
-
Destination 계정의 특정 역할을 수임할 수 있는 Originating 계정(신뢰할 수 있는 계정)의 사용자.
-
특정 Amazon S3 버킷에 액세스할 수 있는 Destination 계정(신뢰하는 계정)의 역할.
-
Destination 계정의
shared-container
버킷.
개발자들은 AWS Management Console에서 이 역할을 사용하여 Destination 계정의 shared-container
버킷에 액세스할 수 있습니다. 또한 역할을 통해 제공되는 임시 자격 증명으로 API 호출을 인증함으로써 버킷에 액세스하는 것도 가능합니다. 하지만 분석가가 이 역할을 사용하려는 비슷한 시도는 실패합니다.
이 워크플로우는 세 가지 기본 단계로 이루어집니다.
- Destination 계정에 역할 생성
-
먼저 AWS Management Console을 사용하여 Destination 계정(ID 번호 999999999999)과 Originating 계정(ID 번호 111111111111) 사이에 신뢰를 설정합니다. UpdateData라는 IAM 역할을 생성하여 시작합니다. 역할을 생성할 때 Originating 계정을 신뢰할 수 있는 엔터티로 정의하고 신뢰할 수 있는 사용자가
shared-container
버킷을 업데이트하는 것을 허용하는 권한 정책을 지정합니다. - 역할에 대한 액세스 권한 부여
-
이 섹션에서는 분석가들이
UpdateData
역할에 액세스하는 것을 거부하도록 역할 정책을 수정합니다. 분석가들은 이 시나리오에서 PowerUser 액세스 권한을 갖기 때문에 역할을 사용하지 못하도록 명시적으로 거부해야 합니다. - 역할을 전환하여 액세스 테스트
-
마지막으로, 개발자로서
UpdateData
역할을 사용하여 Destination 계정의shared-container
버킷을 업데이트합니다. 이제 AWS 콘솔, AWS CLI 및 API를 통해 역할에 액세스할 수 있게 되었습니다.
고려 사항
IAM 역할을 사용하여 AWS 계정 전반의 리소스 액세스를 위임하기 전에 다음 사항을 고려해야 합니다.
-
AWS 계정 루트 사용자로 로그인하면 역할을 바꿀 수 없습니다.
-
IAM 역할 및 리소스 기반 정책은 단일 파티션 내에서만 계정 간에 액세스 권한을 위임합니다. 예를 들어 표준
aws
파티션의 미국 서부(캘리포니아 북부)에 계정이 있다고 가정합니다.aws-cn
파티션의 중국(베이징)에도 계정이 있습니다. 중국(베이징)의 계정에서 Amazon S3 리소스 기반 정책을 사용하여 표준aws
계정의 사용자에 대한 액세스를 허용할 수 없습니다. -
AWS IAM Identity Center을 사용하면 SAML(Security Assertion Markup Language)을 사용한 외부 AWS 계정(사용자 AWS Organizations 외부의 계정)의 Single Sign-On(SSO)을 촉진할 수 있습니다. 자세한 내용은 Integrate external AWS 계정 into AWS IAM Identity Center for central access management with independent billing using SAML 2.0
을 참조하세요. -
Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같은 AWS 리소스에 역할을 연결할 수 있습니다. 세부 정보는 AWS 서비스에 대한 권한을 위임할 역할 생성을 참조하세요.
-
애플리케이션이 다른 AWS 계정의 역할을 수임하도록 하려면 크로스 계정 역할 수임에 AWS SDK를 사용할 수 있습니다. 자세한 내용은 AWS SDK 및 도구 참조 안내서의 위임 및 액세스를 참조하세요.
-
AWS Management Console을 사용한 역할 전환은
ExternalId
가 필요하지 않은 계정에서만 작동합니다. 예를 들어, 계정에 대한 액세스 권한을 타사에 부여하고 권한 정책의Condition
요소에ExternalId
가 필요하다고 가정합니다. 이 경우 타사는 AWS API 또는 명령줄 도구를 사용해야만 계정에 액세스할 수 있습니다.ExternalId
에 대한 값을 제공해야 하기 때문에 타사는 콘솔을 사용할 수 없습니다. 이 시나리오에 대한 자세한 정보는 타사가 소유한 AWS 계정에 액세스 및 AWS 보안 블로그의 AWS Management Console에 대한 크로스 계정 액세스를 가능하게 하는 방법을 참조하세요.
사전 조건
이 자습서에서는 다음을 이미 완료했다고 가정합니다.
-
사용할 수 있는 2개의 개별 AWS 계정(Originating 계정을 대표하는 1개와 Destination 계정을 대표하는 1개).
-
Originating 계정에서 다음과 같이 생성 및 구성된 사용자 및 역할.
직무 User 권한 개발자 David 두 사용자 모두 Originating 계정의 AWS Management Console에 로그인하고 사용할 수 있습니다. 분석가 Jane -
Destination 계정에는 사용자를 생성할 필요가 없습니다.
-
Destination 계정에서 생성된 Amazon S3 버킷. 이 자습서에서는 이를
shared-container
(이)라고 부릅니다. 하지만 S3 버킷 이름은 전역에서 고유해야 하므로 다른 이름의 버킷을 사용해야 합니다.
Destination 계정에 역할 생성
한 AWS 계정의 사용자가 다른 AWS 계정의 리소스에 액세스하도록 허용할 수 있습니다. 이 자습서에서는 해당 리소스에 액세스할 수 있는 사용자와 해당 역할로 전환하는 사용자에게 부여할 권한을 정의하는 역할을 생성하여 액세스를 허용합니다.
자습서의 이 단계에서는 Destination 계정에서 역할을 생성하고 Originating 계정을 신뢰할 수 있는 엔터티로 지정합니다. 또한 역할 권한을 shared-container
버킷에 대한 읽기 및 쓰기 액세스 권한으로 제한합니다. 따라서 역할을 사용할 수 있는 권한을 받은 사용자는 누구나 shared-container
버킷에 대해 읽기나 쓰기가 가능합니다.
역할을 생성하기 전에 Originating AWS 계정의 계정 ID가 필요합니다. 각 AWS 계정은 할당된 고유 계정 ID 식별자를 갖습니다.
Originating AWS 계정 ID를 가져오는 방법
-
Originating 계정 관리자로 AWS Management Console에 로그인한 후 https://console.aws.amazon.com/iam/
에서 IAM 콘솔을 엽니다. -
IAM 콘솔에서 상단 오른쪽 모서리에 있는 탐색 표시줄에서 사용자 이름을 선택합니다. 일반적인 형식은
username
@account_ID_number_or_alias
입니다.이 시나리오에서는 Originating 계정에 계정 ID 111111111111을 사용할 수 있습니다. 그러나 테스트 환경에서 시나리오를 재구성하는 경우에는 유효한 계정 ID를 사용해야 합니다.
Originating 계정이 사용할 수 있는 역할을 Destination 계정에 생성하는 방법
-
Destination 계정 관리자로 에AWS Management Console 로그인한 후 IAM 콘솔을 엽니다.
-
역할을 만들기 전에 먼저 해당 역할에 필요한 권한을 정의하는 관리형 정책을 준비합니다. 차후 단계에서 이 정책을 해당 역할에 연결합니다.
shared-container
버킷에 대한 읽기 및 쓰기 액세스 권한을 설정하려고 합니다. AWS에 이미 몇 가지 Amazon S3 관리형 정책이 있지만, 단일 Amazon S3 버킷에 대한 읽기 및 쓰기 액세스가 가능한 정책은 없습니다. 대신에 사용자가 직접 정책을 생성할 수 있습니다.탐색 창에서 정책을 선택한 후 정책 생성을 선택합니다.
-
JSON 탭을 선택하고 다음 JSON 정책 문서에서 텍스트를 복사합니다. 이 텍스트를 JSON 텍스트 상자에 붙여 넣어 리소스 ARN(
arn:aws:s3:::shared-container
)을 실제 Amazon S3 버킷에 대한 ARN으로 바꿉니다.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "
arn:aws:s3:::shared-container
" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": "arn:aws:s3:::shared-container/*
" } ] }ListAllMyBuckets
작업은 요청의 인증된 발신자가 소유한 모든 버킷을 나열할 수 있는 권한을 부여합니다.ListBucket
은 사용자가shared-container
버킷에 저장되어 있는 객체를 볼 수 있는 권한입니다.GetObject
,PutObject
및DeleteObject
는 사용자가shared-container
버킷에 저장되어 있는 콘텐츠를 각각 보거나, 업데이트하거나, 삭제할 수 있는 권한입니다.참고
언제든지 시각적 편집기 옵션과 JSON 편집기 옵션 간에 전환할 수 있습니다. 그러나 변경을 적용하거나 시각적 편집기에서 다음을 선택한 경우 IAM은 시각적 편집기에 최적화되도록 정책을 재구성할 수 있습니다. 자세한 내용은 정책 재구성 단원을 참조하십시오.
-
검토 및 생성 페이지에서 정책 이름에
read-write-app-bucket
을 입력합니다. 정책이 부여한 권한을 검토한 다음 정책 생성을 선택하여 작업을 저장합니다.새로운 정책이 관리형 정책 목록에 나타납니다.
-
탐색 창에서 역할을 선택한 후 역할 생성을 선택합니다.
-
AWS 계정 역할 유형을 선택합니다.
-
계정 ID에 Originating 계정 ID를 입력합니다.
이 자습서에서는 Originating 계정의 예제 ID
111111111111
을 사용합니다. 하지만 실제로는 유효한 계정 ID를 사용해야 합니다.111111111111
과 같이 잘못된 계정 ID를 사용할 경우, IAM에서 새로운 역할을 생성할 수 없습니다.이 연습에서는 외부 ID를 요구하거나, 사용자가 역할을 위임하기 위해 멀티 팩터 인증(MFA)을 요구할 필요가 없습니다. 이러한 옵션을 선택하지 않은 상태로 두십시오. 자세한 내용은 IAM의 AWS 다중 인증 단원을 참조하십시오.
-
다음: 권한을 선택하여 역할과 연결된 권한을 설정합니다.
-
앞에서 생성한 정책 옆의 확인란을 선택합니다.
도움말
Filter(필터)에서 Customer managed(고객 관리형)을 선택하여 생성한 정책만 포함하도록 목록을 필터링합다. 이렇게 하면 AWS에서 생성한 정책이 표시되지 않아서 필요한 정책을 쉽게 찾을 수 있습니다.
그리고 다음을 선택합니다.
-
(선택 사항)태그를 키-값 페어로 연결하여 메타데이터를 역할에 추가합니다. IAM에서의 태그 사용에 대한 자세한 내용은 AWS Identity and Access Management 리소스용 태그 섹션을 참조하세요.
-
(선택 사항)설명에 새 역할에 대한 설명을 입력합니다.
-
역할을 검토한 후 역할 만들기를 선택합니다.
역할 목록에
UpdateData
역할이 표시됩니다.
이제 역할의 Amazon 리소스 이름(ARN), 즉 역할에 대한 고유 식별자를 얻어야 합니다. Originating 계정의 Developer 역할을 수정할 때 권한을 부여하거나 거부하려면 Destination 계정의 역할 ARN을 지정해야 합니다.
UpdateData의 ARN을 가져오는 방법
-
IAM 콘솔의 탐색 창에서 역할을 선택합니다.
-
역할 목록에서
UpdateData
역할을 선택합니다. -
세부 정보 창의 요약 섹션에서 역할 ARN 값을 복사합니다.
Destination 계정 ID는 999999999999입니다. 따라서 역할 ARN은
arn:aws:iam::999999999999:role/UpdateData
입니다. Destination 계정의 실제 AWS 계정 ID를 제공해야 합니다.
이제 Destination 계정과 Originating 계정 간에 신뢰가 설정되었습니다. Destination 계정에서 Originating 계정을 신뢰할 수 있는 보안 주체로 식별하는 역할을 생성하여 이 작업을 수행했습니다. 그 밖에도 UpdateData
역할 전환 사용자의 권한까지 정의했습니다.
다음으로 Developer 역할의 권한을 수정합니다.
역할에 대한 액세스 권한 부여
이 시점에는 Analysts와 Developers 모두 Originating 계정의 데이터를 관리할 수 있는 권한을 갖고 있습니다. 역할 전환에 필요한 권한을 추가하려면 다음의 몇 단계를 거쳐야 합니다.
UpdateData 역할로 전환할 수 있도록 Developers 역할을 수정하는 방법
-
Originating 계정에 관리자로 로그인한 다음 IAM 콘솔을 엽니다.
-
역할을 선택한 후 Developers를 선택합니다.
-
권한(Permissions) 탭을 선택하고 권한 추가(Add permissions), 인라인 정책 생성(Create inline policy)을 차례로 선택합니다.
-
JSON 탭을 선택합니다.
-
아래 정책문을 추가하여 Destination 계정의
UpdateData
역할에 대한AssumeRole
작업을 허용합니다. 이때Resource
요소의DESTINATION-ACCOUNT-ID
를 Destination 계정의 실제 AWS 계정 ID로 변경해야 합니다.{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::
DESTINATION-ACCOUNT-ID
:role/UpdateData" } }Allow
는 Destination 계정에서UpdateData
역할에 대한 Developers 그룹의 액세스를 명시적으로 허용하는 값입니다. 개발자라면 누구나 이 역할에 액세스할 수 있습니다. -
정책 검토를 선택합니다.
-
이름에
allow-assume-S3-role-in-destination
과 같은 사용자 이름을 입력합니다. -
정책 생성을 선택합니다.
대부분 환경에서 다음과 같은 절차는 필요하지 않을 수 있습니다. 하지만 PowerUserAccess 권한을 사용하는 경우에는 역할 전환을 할 수 있는 그룹이 있을 수도 있습니다. 다음 절차는 Analysts 그룹이 역할을 수임할 수 없도록 Analysts 그룹에 "Deny"
권한을 추가하는 방법을 보여줍니다. 이 절차가 필요 없는 환경인 경우 추가하지 않는 것이 좋습니다. "Deny"
권한은 전체 권한 구조를 관리하고 이해하기가 더 복잡하게 만듭니다. "Deny"
권한은 더 좋은 방법이 없을 때만 사용하십시오.
UpdateData
역할 수임 권한을 거부하도록 Analysts 역할을 수정하는 방법
-
역할을 선택한 다음 Analysts를 선택합니다.
-
권한(Permissions) 탭을 선택하고 권한 추가(Add permissions), 인라인 정책 생성(Create inline policy)을 차례로 선택합니다.
-
JSON 탭을 선택합니다.
-
다음 정책을 추가하여
AssumeRole
역할의UpdateData
작업을 거부합니다. 이때Resource
요소의DESTINATION-ACCOUNT-ID
를 Destination 계정의 실제 AWS 계정 ID로 변경해야 합니다.{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::
DESTINATION-ACCOUNT-ID
:role/UpdateData" } }Deny
는 Destination 계정에서UpdateData
역할에 대한 Analysts 그룹의 액세스를 명시적으로 거부하는 값입니다. 이 역할에 액세스하려는 모든 분석가는 액세스 거부 메시지를 받습니다. -
정책 검토를 선택합니다.
-
deny-assume-S3-role-in-destination
과 같은 이름을 입력합니다. -
정책 생성을 선택합니다.
Developers 역할은 이제 Destination 계정에서 UpdateData
역할을 사용할 수 있는 권한이 생겼습니다. Analysts 역할은 UpdateData
역할을 사용하지 못합니다.
다음으로 개발자인 David가 Destination 계정의 shared-container
버킷에 액세스하는 방법을 알아봅니다. David는 AWS Management Console, AWS CLI 또는 AWS API에서 버킷에 액세스할 수 있습니다.
역할을 전환하여 액세스 테스트
이 자습서의 첫 두 단계를 완료하면 Destination 계정의 리소스에 대한 액세스 권한을 부여하는 역할이 생깁니다. 또한 Originating 계정에 역할 하나와 해당 역할을 사용할 수 있는 사용자도 생깁니다. 이 단계에서는 AWS Management Console, AWS CLI 및 AWS API에서 해당 역할로 전환을 테스트하는 방법을 설명합니다.
IAM 역할 작업 시 발생할 수 있는 공통적 문제에 대한 도움을 받으려면 IAM 역할 문제 해결 섹션을 참조하세요.
역할 전환(콘솔)
David가 AWS Management Console에서 Destination 계정의 데이터를 업데이트해야 할 경우 역할 전환을 사용하면 됩니다. David가 계정 ID나 별칭 및 역할 이름을 지정하면 David의 권한이 해당 역할에 허용되는 권한으로 즉시 전환됩니다. 그런 다음 David는 콘솔을 사용하여 shared-container
버킷으로 작업할 수 있지만 Destination의 다른 리소스로는 작업할 수 없습니다. David가 이 역할을 사용하는 동안에는 Originating 계정에서 파워 유저 권한도 사용할 수 없습니다. 한 번에 하나의 권한 집합만 적용할 수 있기 때문입니다.
IAM는 David가 Switch Role(역할 전환) 페이지를 시작하는 데 사용할 수 있는 두 가지 방법을 제공합니다.
-
David가 관리자로부터 미리 정의된 Switch Role 구성을 가리키는 링크를 받습니다. 이 링크는 역할 생성 마법사의 마지막 페이지 또는 크로스 계정 역할의 Role Summary(역할 요약) 페이지에서 관리자에게 제공됩니다. 이 링크를 선택하면 David는 계정 ID(Account ID) 및 역할 이름(Role name) 필드에 이미 정보가 채워진 역할 전환(Switch Role) 페이지로 이동됩니다. David는 역할 전환(Switch Roles) 버튼을 선택하기만 하면 됩니다.
-
관리자가 이메일로 링크를 보내는 대신 계정 ID 번호 및 역할 이름 값을 보냅니다. 역할을 전환하려면 David가 값을 수동으로 입력해야 합니다. 다음 절차에 이 내용이 잘 설명되어 있습니다.
역할 위임
-
David가 Originating 역할의 일반 사용자로 AWS Management Console에 로그인합니다.
-
관리자가 이메일로 보낸 링크를 선택합니다. 계정 ID나 별칭 및 역할 이름 정보가 이미 채워진 역할 전환(Switch Role) 페이지가 David에게 표시됩니다.
- 또는 -
David는 탐색 모음에서 자신의 이름(아이덴티티(Identity) 메뉴)을 선택한 후 역할 전환(Switch Roles)을 선택합니다.
David가 이 방법으로 처음 Switch Role(역할 전환) 페이지 액세스를 시도하는 것이라면 첫 실행 Switch Role(역할 전환) 페이지가 표시됩니다. 이 페이지에는 역할 전환을 통해 사용자가 여러 AWS 계정의 리소스를 관리하는 방법에 대한 추가 정보가 제공됩니다. 이 절차의 나머지 부분을 완료하려면 David가 이 페이지에서 Switch Role(역할 전환)을 선택해야 합니다.
-
다음으로, 해당 역할에 액세스하기 위해 David는 수동으로 Destination 계정 ID 번호(
999999999999
)와 역할 이름(UpdateData
)을 입력해야 합니다.또한 David는 IAM에서 현재 활성 상태인 역할 및 관련 권한을 모니터링하려고 합니다. 이 정보를 추적하려면 표시 이름(Display Name) 텍스트 상자에
Destination
을 입력하고 빨간색 옵션을 선택한 다음 역할 전환(Switch Role)을 선택합니다. -
이제 David는 Amazon S3 콘솔을 사용하여 Amazon S3 버킷으로 작업하거나
UpdateData
역할에 권한이 있는 다른 모든 리소스로 작업할 수 있습니다. -
완료되면 David는 원래 권한으로 돌아갈 수 있습니다. 이를 위해 탐색 모음에서 Destination 역할 표시 이름을 선택한 다음 Back to David @ 111111111111을 선택합니다.
-
다음에 David가 역할을 전환하려고 탐색 모음에서 자격 증명 메뉴를 선택하면 지난 번에 사용한 Destination 항목이 표시되는 것을 볼 수 있습니다. 계정 ID와 역할 이름을 다시 입력할 필요 없이 해당 항목을 선택하기만 하면 즉시 역할이 전환됩니다.
역할 전환(AWS CLI)
David가 명령줄에서 Destination 환경으로 작업해야 할 경우 AWS CLIaws sts
assume-role
명령을 실행하고 역할 ARN을 전달하여 해당 역할에 대한 임시 보안 자격 증명을 얻습니다. 그런 다음 후속 AWS CLI 명령이 해당 역할의 권한을 사용하여 작동하도록 환경 변수에서 해당 자격 증명을 구성합니다. 한 번에 한 가지 권한 세트만 적용될 수 있기 때문에 David가 해당 역할을 사용하는 동안에는 Originating 계정의 파워 유저 권한을 사용할 수 없습니다.
모든 액세스 키와 토큰은 예시일 뿐이며 표시된 대로 사용할 수 없습니다. 라이브 환경의 적절한 값으로 바꾸세요.
역할 위임
-
David가 명령 프롬프트 창을 열고 다음 명령을 실행하여 AWS CLI 클라이언트가 작동하는지 확인합니다.
aws help
참고
David의 기본 환경에는
David
명령으로 만든 기본 프로필의aws configure
사용자 자격 증명이 사용됩니다. 자세한 내용은 AWS Command Line Interface 사용 설명서의 AWS Command Line Interface 구성을 참조하세요. -
David가 Destination 계정의
UpdateData
역할로 전환하기 위해 다음 명령을 실행하여 역할 전환 프로세스를 시작합니다. David는 해당 역할을 만든 관리자에게서 역할 ARN을 받았습니다. 이 명령을 실행하려면 세션 이름도 제공해야 합니다. 원하는 아무 텍스트나 선택할 수 있습니다.aws sts assume-role --role-arn "arn:aws:iam::999999999999:role/UpdateData" --role-session-name "David-ProdUpdate"
다음 내용이 출력됩니다.
{ "Credentials": { "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY", "SessionToken": "AQoDYXdzEGcaEXAMPLE2gsYULo+Im5ZEXAMPLEeYjs1M2FUIgIJx9tQqNMBEXAMPLE CvSRyh0FW7jEXAMPLEW+vE/7s1HRpXviG7b+qYf4nD00EXAMPLEmj4wxS04L/uZEXAMPLECihzFB5lTYLto9dyBgSDy EXAMPLE9/g7QRUhZp4bqbEXAMPLENwGPyOj59pFA4lNKCIkVgkREXAMPLEjlzxQ7y52gekeVEXAMPLEDiB9ST3Uuysg sKdEXAMPLE1TVastU1A0SKFEXAMPLEiywCC/Cs8EXAMPLEpZgOs+6hz4AP4KEXAMPLERbASP+4eZScEXAMPLEsnf87e NhyDHq6ikBQ==", "Expiration": "2014-12-11T23:08:07Z", "AccessKeyId": "AKIAIOSFODNN7EXAMPLE" } }
-
출력의 Credentials 섹션에 David에게 필요한 세 가지 항목이 표시됩니다.
-
AccessKeyId
-
SecretAccessKey
-
SessionToken
David는 후속 호출 시 이러한 파라미터를 사용하도록 AWS CLI 환경을 구성해야 합니다. 자격 증명을 구성하는 다양한 방법에 대한 자세한 정보는 AWS Command Line Interface 구성을 참조하십시오.
aws configure
명령은 세션 토큰 캡처를 지원하지 않기 때문에 사용할 수 없습니다.ㅂ 하지만 구성 파일에 정보를 수동으로 입력할 수 있습니다. 이는 비교적 만료 시간이 짧은 임시 자격 증명이기 때문에 현재 명령줄 세션의 환경에 추가하는 것이 가장 쉽습니다. -
-
세 값을 환경에 추가하기 위해 David는 이전 단계의 출력을 잘라내어 다음 명령에 붙여 넣습니다. 세션 토큰 출력의 줄 바꿈 문제를 해결하기 위해 간단한 텍스트 편집기에서 텍스트 출력을 잘라내어 붙여 넣을 수 있습니다. 여기서는 명확성을 위해 줄을 바꾸어 표시했지만 긴 문자열 하나로 추가해야 합니다.
다음 예시는 Windows 환경에 표시된 명령을 나타내며, 여기서 "set"은 환경 변수를 생성하라는 명령입니다. Linux 또는 macOS 컴퓨터에서는 "export" 명령을 대신 사용할 수 있습니다. 예시의 나머지 부분은 세 환경에서 모두 유효합니다.
Windows Powershell용 도구를 사용하는 방법에 대한 자세한 내용은 IAM 역할로 전환(Tools for Windows PowerShell)을 참조하세요.
set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY set AWS_SESSION_TOKEN=AQoDYXdzEGcaEXAMPLE2gsYULo+Im5ZEXAMPLEeYjs1M2FUIgIJx9tQqNMBEXAMPLECvS Ryh0FW7jEXAMPLEW+vE/7s1HRpXviG7b+qYf4nD00EXAMPLEmj4wxS04L/uZEXAMPLECihzFB5lTYLto9dyBgSDyEXA MPLEKEY9/g7QRUhZp4bqbEXAMPLENwGPyOj59pFA4lNKCIkVgkREXAMPLEjlzxQ7y52gekeVEXAMPLEDiB9ST3UusKd EXAMPLE1TVastU1A0SKFEXAMPLEiywCC/Cs8EXAMPLEpZgOs+6hz4AP4KEXAMPLERbASP+4eZScEXAMPLENhykxiHen DHq6ikBQ==
이 시점에서 모든 후속 명령은 해당 자격 증명으로 식별되는 역할의 권한에 따라 실행됩니다. David의 경우
UpdateData
역할입니다.중요
AWS CLI에서 유지되는 파일에 자주 사용되는 구성 설정과 보안 인증을 저장할 수 있습니다. 자세한 내용은 AWS Command Line Interface 사용 설명서의 기존 구성 및 보안 인증 파일 사용을 참조하세요.
-
명령을 실행하여 Destination 계정의 리소스에 액세스합니다. 이 예시에서 David는 단순히 다음 명령을 사용하여 S3 버킷의 콘텐츠를 나열합니다.
aws s3 ls s3://shared-container
Amazon S3 버킷 이름은 범용 고유 이름이기 때문에 해당 버킷을 소유하는 계정 ID를 지정할 필요가 없습니다. 다른 AWS 서비스의 리소스에 액세스하려면 해당 서비스의 AWS CLI 설명서에서 해당 리소스를 참조하는 데 필요한 명령과 구문을 참조하세요.
AssumeRole(AWS API)사용
David가 코드에서 Destination 계정을 업데이트해야 하는 경우 AssumeRole
을 호출하여 UpdateData
역할을 수임합니다. 이 호출은 Destination 계정에서 David가 shared-container
버킷에 액세스하기 위해 사용할 수 있는 임시 보안 인증 정보를 반환합니다. David는 해당 자격 증명을 사용하여 shared-container
버킷을 업데이트하는 API 호출을 실행할 수 있습니다. 그러나 David는 Originating 계정의 파워 유저 권한이 있더라도 Destination 계정의 다른 리소스에 액세스하는 API 호출을 실행할 수 없습니다.
역할 위임
-
David가 애플리케이션의 일부로
AssumeRole
을 호출합니다.UpdateData
ARN인arn:aws:iam::999999999999:role/UpdateData
을 지정해야 합니다.AssumeRole
호출의 응답에는AccessKeyId
및SecretAccessKey
가 있는 임시 자격 증명이 포함됩니다. 또한 자격 증명이 만료되고 새 자격 증명을 요청해야 하는 시점을 나타내는Expiration
시간이 포함됩니다. AWS SDK로 역할 함께 묶기를 설정하면 많은 보안 인증 정보 공급자가 만료 전에 보안 인증 정보를 자동으로 새로 고칩니다. -
David가 임시 자격 증명을 사용하여
s3:PutObject
버킷을 업데이트하는shared-container
호출을 실행합니다. 이때 자격 증명을AuthParams
파라미터로 API 호출에 전달합니다. 임시 역할 보안 인증 정보에는shared-container
버킷에 대한 읽기 및 쓰기 권한만 있기 때문에 Destination 계정의 다른 모든 작업은 거부됩니다.
코드 샘플(Python 사용)은 IAM 역할로 전환(AWS API) 단원을 참조하십시오.
추가 리소스
다음 리소스는 이 자습서의 주제에 대해 자세히 알아보는 데 도움이 됩니다.
-
IAM 사용자에 대한 자세한 내용은 IAM 자격 증명(사용자, 사용자 그룹 및 역할) 섹션을 참조하세요.
-
Amazon S3 버킷에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 Create a Bucket(버킷 생성)을 참조하세요.
-
해당 신뢰 영역(신뢰할 수 있는 조직 또는 계정) 외의 계정 내 보안 주체가 역할을 수임하는 권한이 있는지 자세히 알고 싶다면, IAM Access Analyzer란 무엇일까요?를 참조하세요.
요약
크로스 계정 API 액세스 자습서를 완료했습니다. 다른 계정과 신뢰 관계를 설정하기 위한 역할을 만들고 신뢰할 수 있는 주체가 수행할 수 있는 작업을 정의했습니다. 그런 다음 해당 역할에 액세스할 수 있는 IAM 사용자를 제어하도록 역할 정책을 수정했습니다. 그 결과 Originating 계정의 개발자가 임시 보안 인증 정보를 사용하여 Destination 계정에서 shared-container
버킷을 업데이트할 수 있습니다.