역할 생성 - AWS CloudTrail

역할 생성

여러 계정의 로그 파일을 단일 Amazon S3 버킷에 취합할 경우 버킷에 대한 모든 권한을 가진 계정(이 예에서는 계정 A)만 버킷의 모든 로그 파일에 대한 전체 읽기 액세스 권한이 있습니다. 이 예에서 계정 B, C, Z는 권한이 부여될 때까지 어떠한 권한도 가지지 않습니다. 따라서 한 계정의 AWS CloudTrail 로그 파일을 다른 계정과 공유하려면(즉, 이 단원의 앞에 설명된 시나리오 1 또는 시나리오 2를 완료하려면) ‘교차 계정 액세스를 사용 설정’해야 합니다. IAM 역할 및 관련 액세스 정책을 생성하여 이 작업을 수행할 수 있습니다.

Roles

액세스 권한을 부여할 각 계정에 대해 IAM ‘역할’을 생성합니다. 이 예에서는 계정 B, C, Z에 대해 각각 하나씩 세 개의 역할을 생성합니다. 각 IAM 역할은 각 계정이 계정 A가 소유한 리소스(로그 파일)에 액세스할 수 있게 해 주는 액세스 또는 권한 정책을 정의합니다. 권한은 각 역할에 연결되며 역할이 수임될 때만 각 계정(B, C 또는 Z)과 연결됩니다. IAM 역할의 권한 관리에 대한 자세한 내용은 IAM 사용 설명서IAM 역할 단원을 참조하세요. 역할 수임 방법에 대한 자세한 내용은 역할 수임 섹션을 참조하십시오.

정책

생성하는 각 IAM 역할에 대해 두 가지 정책이 있습니다. 신뢰 정책신뢰할 수 있는 개체 또는 주체를 지정합니다. 이 예에서 계정 B, C, Z는 신뢰할 수 있는 엔터티이며 해당 계정의 적절한 권한을 가진 IAM 사용자는 역할을 맡을 수 있습니다.

콘솔을 사용하여 역할을 생성하면 신뢰 정책이 자동으로 생성됩니다. SDK를 사용하여 역할을 생성하면 CreateRole API에 신뢰 정책을 파라미터로 제공해야 합니다. CLI를 사용하여 역할을 생성하면 create-role CLI 명령에 신뢰 정책을 지정해야 합니다.

계정 A의 소유자로서 생성해야 하는 역할 액세스(또는 권한) 정책은 보안 주체 또는 신뢰할 수 있는 엔터티가 액세스할 수 있는 작업 및 리소스(이 경우 CloudTrail 로그 파일)를 정의합니다. 시나리오 1의 경우 로그 파일을 생성한 계정에 로그 파일 액세스 권한을 부여합니다(소유한 계정에 액세스 권한을 부여하는 액세스 정책 생성에 설명됨). 시나리오 2의 경우 타사에 모든 로그 파일에 대한 읽기 액세스 권한을 부여합니다(서드 파티에 액세스 권한을 부여하는 액세스 정책 생성에 설명됨).

IAM 정책 생성 및 작업에 대한 자세한 내용은 IAM 사용 설명서액세스 관리 단원을 참조하세요.

역할 생성

콘솔을 사용하여 역할을 생성하려면
  1. 계정 A의 관리자로 AWS Management Console에 로그인합니다.

  2. IAM 콘솔로 이동합니다.

  3. 탐색 창에서 역할(Roles)을 선택합니다.

  4. 새 역할 생성을 선택합니다.

  5. 새 역할의 이름을 입력한 후 [Next Step]을 선택합니다.

  6. [Role for Cross-Account Access]를 선택합니다.

  7. 시나리오 1의 경우 다음을 수행하여 소유하고 있는 계정 간에 액세스 권한을 제공합니다.

    1. 소유한 AWS 계정 간 액세스 제공(Provide access between AWS accounts you own)을 선택합니다.

    2. 액세스 권한을 부여할 계정(B, C 또는 Z)의 12자리 계정 ID를 입력합니다.

    3. 사용자가 멀티 팩터 인증을 제공해야 역할을 수임할 수 있도록 하려면 [Require MFA] 확인란을 선택합니다.

    시나리오 2의 경우 다음을 수행하여 타사 계정에 액세스 권한을 제공합니다. 이 예에서는 계정 Z, 타사 로그 분석기에 대해 다음 단계를 수행합니다.

    1. 서드 파티 AWS 계정의 IAM 사용자가 이 계정에 액세스할 수 있도록 허용(Allows IAM users from a 3rd party AWS account to access this account)을 선택합니다.

    2. 액세스 권한을 부여할 계정(계정 Z)의 12자리 계정 ID를 입력합니다.

    3. 누가 역할을 수임할 수 있는지에 대한 추가 제어를 제공하는 외부 ID를 입력합니다. 자세한 내용은 IAM 사용 설명서AWS 리소스에 대한 액세스 권한을 서드 파티에 부여할 때 외부 ID를 사용하는 방법 단원을 참조하세요.

  8. [Next Step]을 선택하여 이 역할에 대한 권한을 설정하는 정책을 연결합니다.

  9. [Attach Policy]에서 [AmazonS3ReadOnlyAccess] 정책을 선택합니다.

    참고

    기본적으로 AmazonS3ReadOnlyAccess 정책은 계정 내의 모든 Amazon S3 버킷에 대한 검색 및 나열 권한을 부여합니다.

  10. [Next Step]을 선택합니다.

  11. 역할 정보를 검토합니다.

    참고

    필요한 경우 이때 역할 이름을 편집할 수 있습니다. 이 경우 [Step 2: Select Role Type] 페이지로 돌아가게 되며 이 페이지에서 역할 정보를 다시 입력해야 합니다.

  12. 역할 생성을 선택합니다. 역할 생성 프로세스가 완료되면 생성된 역할이 역할 목록에 나타납니다.