기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
조직 내 멤버 계정에 액세스
조직에서 계정을 생성하면 AWS Organizations에서는 루트 사용자 외에 기본적으로 OrganizationAccountAccessRole
이라는 IAM 역할을 자동으로 생성합니다. 계정을 생성할 때 다른 이름을 지정할 수 있지만 모든 계정에서 일관되게 이름을 지정하는 것이 좋습니다. 이 설명서에서는 기본 이름으로 역할을 참조합니다. AWS Organizations는 다른 사용자나 역할을 생성하지 않습니다. 조직 내 계정에 액세스하려면 다음 방법 중 하나를 사용해야 합니다.
-
AWS 계정을 생성할 때는 해당 계정의 모든 AWS 서비스및 리소스에 대한 완전한 액세스 권한이 있는 단일 로그인 ID로 시작합니다. 이 자격 증명은 AWS 계정루트 사용자라고 하며, 계정을 생성할 때 사용한 이메일 주소와 암호로 로그인하여 액세스합니다. 일상적인 작업에는 루트 사용자를 가급적 사용하지 않는 것이 좋습니다. 루트 사용자 보안 인증 정보를 보호하고 루트 사용자만 수행할 수 있는 작업을 수행하는 데 사용합니다. 루트 사용자로 로그인해야 하는 전체 작업 목록은 IAM 사용 설명서의 루트 사용자 보안 인증이 필요한 작업을 참조하십시오. 추가 루트 사용자 보안 권장 사항은 AWS 계정의 루트 사용자 모범 사례를 참조하십시오.
-
AWS Organizations의 일부로 제공되는 도구를 사용하여 계정을 만드는 경우 이 방식으로 생성한 모든 신규 계정에 존재하는
OrganizationAccountAccessRole
이라는 사전 구성된 역할을 사용하여 계정에 액세스할 수 있습니다. 자세한 설명은 관리 계정 액세스 역할이 있는 멤버 계정 액세스 섹션을 참조하세요. -
기존 계정을 조직에 가입하도록 초대하고 해당 계정에서 초대를 수락한 경우, 초대받은 멤버 계정에 관리 계정이 액세스할 수 있게 허용하는 IAM 역할을 생성할 수 있습니다. 이 역할은 AWS Organizations를 사용하여 만든 계정에 자동으로 추가된 역할과 동일합니다. 이 역할을 생성하려면 초대된 멤버 OrganizationAccountAccessRole 계정에서 생성 단원을 참조하세요. 역할을 생성한 후에는 관리 계정 액세스 역할이 있는 멤버 계정 액세스에 있는 단계를 이용해 역할에 액세스할 수 있습니다.
-
AWS IAM Identity Center을 사용하여 AWS Organizations에서 IAM Identity Center에 대한 신뢰할 수 있는 액세스를 활성화합니다. 이렇게 하면 사용자가 회사 자격 증명으로 AWS 액세스 포털에 로그인한 후, 자신에게 할당된 관리 계정 또는 멤버 계정에 있는 리소스에 액세스할 수 있습니다.
자세한 내용은 AWS IAM Identity Center 사용 설명서의 다중 계정 권한을 참조하세요. IAM Identity Center의 신뢰할 수 있는 액세스 설정에 대한 자세한 내용은 AWS IAM Identity Center 및 AWS Organizations 단원을 참조하세요.
최소 권한
조직 내 다른 계정에서 AWS 계정에 액세스하려면 다음과 같은 권한이 있어야 합니다.
-
sts:AssumeRole
–Resource
요소는 별표(*), 또는 새로운 멤버 계정에 액세스해야 하는 사용자의 계정 ID 번호로 설정해야 합니다.
루트 사용자로 멤버 계정에 액세스
새 계정을 만들 때 처음에 AWS Organizations에서 루트 사용자에게 최소 64자 길이의 암호를 할당합니다. 모든 문자는 무작위로 생성되고 특정 문자 세트가 표시된다는 보장은 없습니다. 이 초기 암호는 검색할 수 없습니다. 루트 사용자로 계정에 최초 액세스할 때는 암호 복구 작업을 거쳐야 합니다. 자세한 내용은 AWS로그인 사용 설명서의 루트 사용자 암호를 잊어버렸습니다를 참조하십시오. AWS 계정
참고
-
가장 좋은 방법은 더 제한적인 권한을 가진 다른 사용자나 역할을 생성하기를 제외하고는 사용자 계정에 액세스하기 위해 루트 사용자를 사용하지 마세요. 그런 다음 해당 사용자나 역할로 로그인하세요.
-
루트 사용자에 대해 멀티 팩터 인증(MFA)를 설정하는 것도 좋습니다. 암호를 재설정한 후 루트 사용자에게 MFA 디바이스를 할당합니다.
-
정확하지 않은 이메일 주소로 조직의 멤버 계정을 생성한 경우 루트 사용자로 계정에 로그인할 수 없습니다. AWS 결제 및 지원
에 문의하여 지원을 받으세요.
초대된 멤버 OrganizationAccountAccessRole 계정에서 생성
조직의 일부인 멤버 계정을 생성했다면 AWS는 기본적으로 역할을 맡을 수 있는 관리 계정의 IAM 사용자에게 관리자 권한을 부여하는 계정에 역할을 자동으로 생성합니다. 기본적으로 역할 이름은 OrganizationAccountAccessRole
입니다. 자세한 정보는 관리 계정 액세스 역할이 있는 멤버 계정 액세스을 참조하세요.
그러나 조직에 초대한 멤버 계정은 생성한 관리자 역할을 자동으로 받지 않습니다. 다음 절차에 따라 직접 획득해야 합니다. 이 작업은 생성된 계정을 위해 자동으로 설정된 역할을 복제합니다. 일관성을 유지하고 기억하기 쉽도록 되도록 직접 만든 역할과 같은 이름인 OrganizationAccountAccessRole
을 사용하세요.
선택한 그룹의 멤버인 사용자는 이제 9단계에서 캡처한 URL을 이용해 멤버 계정의 역할에 액세스할 수 있습니다. 이들은 조직에서 사용자가 생성한 계정에 액세스할 때와 같은 방식으로 멤버 계정에 액세스할 수 있습니다. 역할을 이용해 멤버 계정을 관리하는 방법에 대한 자세한 내용은 관리 계정 액세스 역할이 있는 멤버 계정 액세스을(를) 참조하세요.
관리 계정 액세스 역할이 있는 멤버 계정 액세스
AWS Organizations 콘솔을 사용하여 멤버 계정을 생성하면 AWS Organizations가 자동으로 계정에 OrganizationAccountAccessRole
이라는 IAM 역할을 생성합니다. 이 역할은 멤버 계정에 대한 완전한 관리 권한을 갖습니다. 이 역할에 대한 액세스 범위에는 관리 계정의 모든 보안 주체가 포함되며, 조직의 관리 계정에 해당 액세스 권한을 부여하도록 역할이 구성됩니다. 초대된 멤버 OrganizationAccountAccessRole 계정에서 생성에 있는 단계를 이용하면 초대한 멤버 계정과 같은 역할을 만들 수 있습니다. 이 역할을 이용해 멤버 계정에 액세스하려면, 역할을 맡을 수 있는 권한이 있는 관리 계정에서 사용자로 로그인해야 합니다. 이러한 권한을 구성하려면 다음 절차를 수행해야 합니다. 관리 용이성을 위해 되도록 사용자 대신 그룹에 권한을 부여하세요.
다음 절차에 따라 그룹 멤버인 IAM 사용자는 이제 AWS Organizations 콘솔에 있는 새 역할로 전환할 수 있는 권한을 얻게 됩니다.
추가 리소스
-
역할 전환 권한 부여에 대한 자세한 내용은 IAM User Guide의 역할 전환 권한 부여를 참조하십시오.
-
위임 권한이 부여된 역할을 사용하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 역할 전환 (콘솔) 을 참조하십시오.
-
교차 계정 액세스를 위한 역할 사용에 대한 자습서는 IAM 사용 설명서의 자습서: IAM 역할 AWS 계정 사용에 대한 액세스 위임을 참조하십시오.
-
AWS 계정 해지에 대한 자세한 내용은 조직 내 멤버 계정 해지 단원을 참조하세요.