역할 생성 및 권한 할당

역할 및 권한을 통해 AWS Control Tower 및 기타 AWS 서비스 (프로그래밍 방식의 리소스 액세스 포함) 에 있는 리소스에 액세스할 수 있습니다.

액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요:

• 다음 지역의 AWS IAM Identity Center사용자 및 그룹:

  권한 세트를 생성합니다. AWS IAM Identity Center 사용 설명서의 권한 세트 생성의 지침을 따르세요.

• ID 제공자를 통해 IAM에서 관리되는 사용자:

  ID 페더레이션을 위한 역할을 생성합니다. IAM 사용 설명서의 서드 파티 자격 증명 공급자의 역할 만들기(연합)의 지침을 따르세요.

• IAM 사용자:

  • 사용자가 맡을 수 있는 역할을 생성합니다. IAM 사용 설명서에서 IAM 사용자의 역할 생성의 지침을 따르세요.

  • (권장되지 않음)정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. IAM 사용 설명서에서 사용자(콘솔)에 권한 추가의 지침을 따르세요.

IAM을 사용하여 권한을 위임하는 방법에 대한 자세한 설명은 IAM 사용자 가이드의 액세스 관리 섹션을 참조하십시오.

참고

AWS Control Tower 랜딩 존을 설정할 때는 AdministratorAccess관리형 정책을 사용하는 사용자 또는 역할이 필요합니다. (arn:AWS:iam: :AWS:policy/) AdministratorAccess

(IAM 콘솔) 역할을 만들려면 AWS 서비스

1. https://console.aws.amazon.com/iam/ 에서 AWS Management Console 로그인하고 IAM 콘솔을 엽니다.

2. IAM 콘솔의 탐색 창에서 역할을 선택하고 역할 생성을 선택합니다.

3. 신뢰할 수 있는 엔터티 유형에 AWS 서비스를 선택합니다.

4. 서비스 또는 사용 사례의 경우 서비스를 선택한 다음, 사용 사례를 선택합니다. 사용 사례는 서비스에 필요한 신뢰 정책을 포함하기 위해 서비스에서 정합니다.

5. 다음을 선택합니다.

6. 권한 정책의 경우 선택한 사용 사례에 따라 옵션이 달라집니다.

   • 서비스가 역할에 대한 권한을 정의하는 경우 권한 정책을 선택할 수 없습니다.

   • 제한된 권한 정책 세트에서 선택합니다.

   • 모든 권한 정책에서 선택합니다.

   • 권한 정책 없음을 선택하고 역할이 생성된 후 정책을 생성한 다음, 정책을 역할에 연결합니다.

7. (선택 사항) 권한 경계를 선택합니다. 이는 서비스 역할에서 가능한 고급 기능이며 서비스 링크된 역할은 아닙니다.

   1. 권한 경계 설정 섹션을 열고 최대 역할 권한을 관리하기 위한 권한 경계 사용을 선택합니다.

      IAM에는 계정의 AWS 관리형 및 고객 관리형 정책 목록이 포함되어 있습니다.

   2. 정책을 선택하여 권한 경계를 사용하세요.

8. 다음을 선택합니다.

9. 역할 이름의 경우 옵션은 서비스에 따라 달라집니다.

   • 서비스에서 역할 이름을 정의하는 경우 이 역할 이름을 편집할 수 없습니다.

   • 서비스에서 역할 이름에 대한 접두사를 정의하는 경우 사용자가 선택적 접미사를 입력할 수 있습니다.

   • 서비스에서 역할 이름을 정의하지 않는 경우 역할 이름을 지정할 수 있습니다.

     중요

     역할 이름을 지정할 때는 다음 사항에 유의하세요.

     • 역할 이름은 사용자 내에서 고유해야 AWS 계정하며 대소문자를 구분하여 고유할 수 없습니다.

       예를 들어, 이름이 PRODROLE과 prodrole, 두 가지로 지정된 역할을 만들지 마십시오. 역할 이름이 정책 또는 ARN의 일부로 사용되는 경우 역할 이름은 대소문자를 구분합니다. 그러나 로그인 프로세스와 같이 콘솔에서 역할 이름이 고객에게 표시되는 경우에는 역할 이름이 대소문자를 구분하지 않습니다.

     • 다른 엔터티가 역할을 참조할 수 있기 때문에 역할이 생성된 후에는 역할 이름을 편집할 수 없습니다.

10. (선택 사항)설명에 역할에 대한 설명을 입력합니다.

11. (선택 사항) 역할에 대한 사용 사례와 권한을 편집하려면 1단계: 신뢰할 수 있는 엔터티 선택 또는 2단계: 권한 추가 섹션에서 편집을 선택합니다.

12. (선택 사항) 태그를 키-값 페어로 연결하여 역할을 식별, 구성 또는 검색합니다. IAM에서 태그 사용에 대한 자세한 내용을 알아보려면 IAM 사용 설명서의 IAM 리소스에 태그 지정을 참조하세요.

13. 역할을 검토한 다음 역할 생성을 선택합니다.

JSON 정책 편집기를 사용하여 정책을 생성하려면

1. 에 AWS Management Console 로그인하고 https://console.aws.amazon.com/iam/ 에서 IAM 콘솔을 엽니다.

2. 왼쪽의 탐색 창에서 정책을 선택합니다.

   정책을 처음으로 선택하는 경우 관리형 정책 소개 페이지가 나타납니다. 시작하기를 선택합니다.

3. 페이지 상단에서 정책 생성을 선택합니다.

4. 정책 편집기 섹션에서 JSON 옵션을 선택합니다.

5. JSON 정책 문서를 입력하거나 붙여 넣습니다. IAM 정책 언어에 대한 자세한 내용은 IAM JSON 정책 참조를 참조하세요.

6. 정책 검증 동안 생성된 모든 보안 경고, 오류 또는 일반 경고를 해결하고 다음을 선택합니다.

   참고

   언제든지 시각적 편집기 옵션과 JSON 편집기 옵션을 서로 전환할 수 있습니다. 그러나 변경을 적용하거나 시각적 편집기에서 다음을 선택한 경우 IAM은 시각적 편집기에 최적화되도록 정책을 재구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 정책 재구성을 참조하십시오.

7. (선택 사항) 에서 정책을 만들거나 편집할 때 템플릿에서 사용할 수 있는 JSON 또는 YAML 정책 템플릿을 생성할 수 있습니다. AWS Management Console AWS CloudFormation

   이렇게 하려면 정책 편집기에서 작업을 선택한 다음 템플릿 생성을 CloudFormation 선택합니다. 자세히 AWS CloudFormation알아보려면 AWS CloudFormation 사용 설명서의 AWS Identity and Access Management 리소스 유형 참조를 참조하십시오.

8. 정책에 권한 추가를 완료했으면 다음을 선택합니다.

9. 검토 및 생성 페이지에서 생성하는 정책의 정책 이름과 설명(선택 사항)을 입력합니다. 이 정책에 정의된 권한을 검토하여 정책이 부여한 권한을 확인합니다.

10. (선택 사항) 태그를 키 값 페어로 연결하여 메타데이터를 정책에 추가합니다. IAM에서 태그 사용에 대한 자세한 내용을 알아보려면 IAM 사용 설명서의 IAM 리소스에 태그 지정을 참조하세요.

11. 정책 생성을 선택하고 새로운 정책을 저장합니다.

시각적 편집기를 사용하여 정책을 생성하려면

1. https://console.aws.amazon.com/iam/ 에서 IAM 콘솔에 AWS Management Console 로그인하고 엽니다.

2. 왼쪽의 탐색 창에서 정책을 선택합니다.

   정책을 처음으로 선택하는 경우 관리형 정책 소개 페이지가 나타납니다. 시작하기(Get Started)를 선택합니다.

3. 정책 생성(Create policy)을 선택합니다.

4. 정책 편집기 섹션에서 서비스 선택 섹션을 찾은 다음 하나를 선택합니다. AWS 서비스상단의 검색 상자를 사용하여 서비스 목록 결과를 제한할 수 있습니다. 시각적 편집기 권한 블록 내에서 하나의 서비스만 선택할 수 있습니다. 둘 이상의 서비스에 액세스 권한을 부여하려면 더 많은 권한 추가를 선택하여 여러 개의 권한 블록을 추가합니다.

5. 허용된 작업에서 정책에 추가할 작업을 선택합니다. 작업을 선택하는 방법은 다음과 같습니다.

   • 모든 작업에 대한 확인란을 선택합니다.

   • 작업 추가를 선택하여 특정 작업의 이름을 입력합니다. 와일드카드 문자 (*) 를 사용하여 여러 동작을 지정할 수 있습니다.

   • 액세스 수준 그룹 중 하나를 선택하여 액세스 수준에 대한 모든 작업(예: 읽기, 쓰기 또는 목록)을 선택합니다.

   • 각 액세스 레벨 그룹을 확장하여 개별 작업을 선택합니다.

   기본적으로 생성되는 정책은 사용자가 선택하는 작업을 허용합니다. 대신 선택한 작업을 거부하려면 Switch to deny permissions(권한 거부로 전환)을 선택합니다. 기본적으로 IAM은 거부하기 때문에, 보안 모범 사례로 사용자에게 필요한 작업과 리소스에만 권한을 허용하는 것이 좋습니다. 다른 명령문이나 정책에서 별도로 허용한 권한을 재정의하려는 경우에만 권한을 거부하는 JSON 문을 만드십시오. 권한 거부의 수가 늘어나면 권한 문제를 해결하기가 더 어려워질 수 있기 때문에 그 수를 최소한으로 제한하는 것이 좋습니다.

6. 리소스에서 이전 단계에서 선택한 서비스 및 작업이 특정 리소스 선택을 지원하지 않는 경우에는 모든 리소스가 허용되며 이 섹션을 편집할 수 없습니다.

   리소스 수준 권한을 지원하는 작업을 하나 이상 선택하면 시각적 편집기에 해당 리소스가 나열됩니다. 그러면 리소스를 확장하여 정책에 대한 리소스를 지정할 수 있습니다.

   다음과 같은 방법으로 리소스를 지정할 수 있습니다.

   • ARN 추가를 선택하여 Amazon 리소스 이름(ARN)별로 리소스를 지정합니다. 시각적 ARN 편집기를 사용하거나 ARN을 수동으로 나열할 수 있습니다. ARN 구문에 대한 자세한 내용은 IAM 사용 설명서의 Amazon 리소스 이름 (ARN) 을 참조하십시오. 정책 Resource 요소에서 ARN을 사용하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 IAM JSON 정책 요소: 리소스를 참조하십시오.

   • 리소스 옆의 이 계정에서 모두를 선택하여 해당 유형의 모든 리소스에 권한을 부여합니다.

   • 모두를 선택하여 해당 서비스에 대한 모든 리소스를 선택합니다.

7. (선택 사항) 요청 조건 - 선택 사항을 선택하여 생성하는 정책에 조건을 추가합니다. 조건은 JSON 정책 문의 효과를 제한합니다. 예를 들어 특정 시간 범위 내에 사용자의 요청이 발생하는 경우에만 사용자가 리소스에 대한 작업을 수행할 수 있도록 지정할 수 있습니다. 또한 일반적으로 사용되는 조건을 사용하여 다중 요소 인증 (MFA) 디바이스를 사용하여 사용자를 인증해야 하는지 여부를 제한할 수 있습니다. 또는 요청이 특정 IP 주소 범위에서 발생하도록 요구할 수 있습니다. 정책 조건에서 사용할 수 있는 모든 컨텍스트 키 목록은 서비스 권한 부여 참조의 AWS 서비스에 대한 작업, 리소스 및 조건 키를 참조하십시오.

   조건을 선택하는 방법은 다음과 같습니다.

   • 확인란을 사용하여 일반적으로 사용되는 조건을 선택합니다.

   • 다른 조건 추가를 선택하여 다른 조건을 지정합니다. 조건의 조건 키, 한정자 및 운영자를 선택한 다음 값을 입력합니다. 값을 두 개 이상 추가하려면 추가를 선택합니다. 값이 논리 OR 연산자로 연결된 것으로 간주할 수 있습니다. 마치면 조건 추가를 선택합니다.

   조건을 두 개 이상 추가하려면 다시 다른 조건 추가를 선택합니다. 필요에 따라 반복합니다. 각 조건은 이 시각적 편집기 권한 블록 하나에만 적용됩니다. 권한 블록이 일치하는 것으로 간주되려면 모든 조건이 true여야 합니다. 즉, 조건을 논리 AND 연산자로 연결한다고 가정해 보겠습니다.

   조건 요소에 대한 자세한 내용은 IAM 사용 설명서의 IAM JSON 정책 요소: 조건을 참조하십시오.

8. 더 많은 권한 블록을 추가하려면 더 많은 권한 추가를 선택합니다. 각 블록에 대해 2~5단계를 반복합니다.

   참고

   언제든지 시각적 편집기 옵션과 JSON 편집기 옵션을 서로 전환할 수 있습니다. 그러나 변경을 적용하거나 시각적 편집기에서 다음을 선택한 경우 IAM은 시각적 편집기에 최적화되도록 정책을 재구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 정책 재구성을 참조하십시오.

9. (선택 사항) 에서 정책을 생성하거나 편집할 때 템플릿에서 사용할 수 있는 JSON 또는 YAML 정책 템플릿을 생성할 수 있습니다. AWS Management Console AWS CloudFormation

   이렇게 하려면 정책 편집기에서 작업을 선택한 다음 템플릿 생성을 CloudFormation 선택합니다. 자세히 AWS CloudFormation알아보려면 AWS CloudFormation 사용 설명서의 AWS Identity and Access Management 리소스 유형 참조를 참조하십시오.

10. 정책에 권한 추가를 완료했으면 다음을 선택합니다.

11. 검토 및 생성 페이지에서 생성하는 정책의 정책 이름과 설명(선택 사항)을 입력합니다. 이 정책에 정의된 권한을 검토하여 의도한 권한을 부여했는지 확인합니다.

12. (선택 사항) 태그를 키 값 페어로 연결하여 메타데이터를 정책에 추가합니다. IAM에서 태그 사용에 대한 자세한 내용을 알아보려면 IAM 사용 설명서의 IAM 리소스에 태그 지정을 참조하세요.

13. 정책 생성을 선택하고 새로운 정책을 저장합니다.

프로그래밍 방식으로 액세스 권한을 부여하려면

사용자가 AWS 외부 사용자와 상호 작용하려는 경우 프로그래밍 방식의 액세스가 필요합니다. AWS Management Console프로그래밍 방식의 액세스 권한을 부여하는 방법은 액세스하는 사용자 유형에 따라 다릅니다. AWS

사용자에게 프로그래밍 방식 액세스 권한을 부여하려면 다음 옵션 중 하나를 선택합니다.

프로그래밍 방식 액세스가 필요한 사용자는 누구인가요?	To	액세스 권한을 부여하는 사용자
작업 인력 ID (IAM Identity Center가 관리하는 사용자)	임시 자격 증명을 사용하여 AWS CLI, AWS SDK 또는 API에 대한 프로그래밍 요청에 서명할 수 있습니다. AWS	사용하고자 하는 인터페이스에 대한 지침을 따릅니다. AWS CLI 에 대한 내용은 사용 설명서의 AWS CLI사용을 AWS IAM Identity Center위한 구성을 참조하십시오.AWS Command Line Interface AWS SDK, 도구 및 AWS API의 경우 AWS SDK 및 도구 참조 안내서의 IAM ID 센터 인증을 참조하십시오.
IAM	임시 자격 증명을 사용하여 AWS CLI, AWS SDK 또는 API에 대한 프로그래밍 방식 요청에 서명할 수 있습니다. AWS	IAM 사용 설명서의 AWS 리소스와 함께 임시 자격 증명 사용의 지침을 따르십시오.
IAM	(권장되지 않음) 장기 자격 증명을 사용하여 AWS CLI, AWS SDK 또는 API에 대한 프로그래밍 요청에 서명하십시오. AWS	사용하고자 하는 인터페이스에 대한 지침을 따릅니다. 에 대한 내용은 사용 설명서의 IAM 사용자 자격 증명을 사용한 인증을 참조하십시오. AWS CLIAWS Command Line Interface AWS SDK 및 도구의 경우 SDK 및 도구 참조 안내서의 장기 자격 증명을 사용한 인증을 참조하십시오.AWS AWS API의 경우 IAM 사용 설명서의 IAM 사용자의 액세스 키 관리를 참조하십시오.

공격자로부터 보호

다른 AWS 서비스 주체에게 권한을 부여할 때 공격자로부터 보호하는 방법에 대한 자세한 내용은 역할 신뢰 관계의 선택적 조건을 참조하십시오. 정책에 특정 조건을 추가하면 특정 유형의 공격 (혼동 대리 공격) 을 방지하는 데 도움이 될 수 있습니다. 이러한 공격은 특정 주체가 서비스 간 사칭 등의 작업을 수행하도록 강요할 때 발생하는 혼동 보조 공격입니다. 정책 조건에 대한 일반적인 내용은 을 참조하십시오. 정책에서 조건 지정

AWS Control Tower에서 자격 증명 기반 정책을 사용하는 방법에 대한 자세한 내용은 을 참조하십시오. AWS Control Tower에 대한 자격 증명 기반 정책 (IAM 정책) 사용 사용자, 그룹, 역할 및 권한에 대한 자세한 내용은 IAM 사용 설명서의 자격 증명(사용자, 그룹 및 역할)을 참조하세요.