AWS Identity and Access Management 그리고 AWS Organizations

AWS Identity and Access Management 는 서비스에 대한 액세스를 안전하게 제어하기 위한 웹 AWS 서비스입니다.

IAM에서 서비스가 마지막으로 액세스한 데이터를 사용하여 조직 전반의 AWS 활동을 더욱 잘 파악할 수 있습니다. 이 데이터를 사용하여 해당 조직의 계정이 사용하는 AWS 서비스로만 액세스를 제한하는 서비스 제어 정책(SCP)을 생성하고 업데이트할 수 있습니다.

예시는 IAM 사용 설명서의 데이터를 사용하여 조직 단위의 권한 구체화를 참조하세요.

IAM을 사용하면 루트 사용자 자격 증명을 중앙에서 관리하고 멤버 계정에서 권한 있는 작업을 수행할 수 있습니다. 에서 IAM에 대한 신뢰할 수 있는 액세스를 활성화하는 루트 액세스 관리를 활성화 AWS Organizations한 후 멤버 계정의 루트 사용자 보안 인증을 중앙에서 보호할 수 있습니다. 멤버 계정은 루트 사용자로 로그인하거나 루트 사용자의 암호 복구를 수행할 수 없습니다. IAM의 관리 계정 또는 위임된 관리자 계정은 단기 루트 액세스를 사용하여 멤버 계정에서 일부 권한 있는 작업을 수행할 수도 있습니다. 단기 권한 있는 세션은 조직의 멤버 계정에서 권한 있는 작업을 수행하도록 범위를 지정할 수 있는 임시 자격 증명을 제공합니다.

자세한 내용은 IAM 사용 설명서의 멤버 계정에 대한 루트 액세스 중앙 관리를 참조하세요.

다음 정보를 사용하여 AWS Identity and Access Management 와 통합할 수 있습니다 AWS Organizations.

IAM으로 신뢰할 수 있는 액세스 활성화

루트 액세스 관리를 활성화하면의 IAM에 대해 신뢰할 수 있는 액세스가 활성화됩니다 AWS Organizations.

IAM으로 신뢰할 수 있는 액세스 비활성화

신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한 단원을 참조하세요.

AWS Organizations 관리 계정의 관리자만를 사용하여 신뢰할 수 있는 액세스를 비활성화할 수 있습니다 AWS Identity and Access Management.

Organizations 도구를 사용해야만 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.

AWS Organizations 콘솔을 사용하거나, Organizations AWS CLI 명령을 실행하거나, AWS SDKs.

AWS Management Console

Organizations 콘솔을 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화하려면

1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

2. 탐색 창에서 서비스를 선택합니다.

3. 서비스 목록에서 AWS Identity and Access Management를 선택합니다.

4. 신뢰할 수 있는 액세스 비활성화를 선택합니다.

5. 에 대해 신뢰할 수 있는 액세스 비활성화 AWS Identity and Access Management 대화 상자에서 비활성화를 입력하여 확인한 다음 신뢰할 수 있는 액세스 비활성화를 선택합니다.

6. 의 관리자만 있는 경우 이제 서비스 콘솔 또는 도구를 사용하여 해당 서비스가 작업 AWS Organizations 하지 않도록 비활성화할 수 AWS Identity and Access Management 있음을 관리자에게 AWS Organizations알립니다.

AWS CLI, AWS API

Organizations CLI/SDK를 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화하려면

다음 AWS CLI 명령 또는 API 작업을 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화할 수 있습니다.

• AWS CLI: disable-aws-service-access

  다음 명령을 실행하여 Organizations에서 신뢰할 수 있는 서비스로 AWS Identity and Access Management 를 비활성화합니다.

  $ aws organizations disable-aws-service-access \
      --service-principal iam.amazonaws.com

  이 명령은 성공 시 출력을 생성하지 않습니다.

• AWS API: DisableAWSServiceAccess

IAM에 대한 위임된 관리자 계정 활성화

멤버 계정을 조직의 위임된 관리자로 지정하면 해당 계정의 사용자와 역할이 멤버 계정에서 권한 있는 작업을 수행할 수 있습니다. 그렇지 않으면 조직의 관리 계정의 사용자 또는 역할만 수행할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 Organizations 멤버 계정에 대한 권한 있는 작업 수행을 참조하세요.

조직 관리 계정의 관리자만 IAM에 대해 위임된 관리자를 구성할 수 있습니다.

IAM 콘솔 또는 API에서 또는 Organizations CLI 또는 SDK 작업을 사용하여 위임된 관리자 계정을 지정할 수 있습니다.

IAM에 대해 위임된 관리자 비활성화

Organizations 관리 계정 또는 IAM 위임된 관리자 계정의 관리자만 조직에서 위임된 관리자 계정을 제거할 수 있습니다. Organizations DeregisterDelegatedAdministrator CLI 또는 SDK 작업을 사용하여 위임된 관리를 비활성화할 수 있습니다.