IAM Roles Anywhere - AWS SDKs및 도구
1단계: IAM Roles Anywhere 구성2단계: IAM Roles Anywhere 사용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM Roles Anywhere

IAM Roles Anywhere를 사용하여 AWS 외부에서 실행되는 서버, 컨테이너 및 애플리케이션과 같은 워크로드에 대한 IAM의 임시 보안 인증을 획득할 수 있습니다. IAM Roles Anywhere를 사용하려면 워크로드에 X.509 인증서를 사용해야 합니다. 클라우드 관리자는 IAM Roles Anywhere를 보안 인증 공급자로 구성하는 데 필요한 인증서와 프라이빗 키를 제공해야 합니다.

1단계: IAM Roles Anywhere 구성

IAM Roles Anywhere는 AWS 외부에서 실행되는 워크로드 또는 프로세스에 대한 임시 자격 증명을 얻을 수 있는 방법을 제공합니다. 인증 권한에 트러스트 앵커를 설정하여 관련 IAM 역할에 대한 임시 보안 인증을 가져옵니다. 역할에서 코드가 IAM Roles Anywhere로 인증될 때 워크로드가 갖게 될 권한을 설정합니다.

트러스트 앵커, IAM 역할 및 IAM Roles Anywhere 프로필 설정 단계는 IAM Roles Anywhere 사용 설명서AWS Identity and Access ManagementRoles Anywhere의 트러스트 앵커 및 프로필 생성을 참조하십시오.

참고

IAM Roles Anywhere 사용 설명서프로필은 IAM Roles Anywhere 서비스 내의 고유한 개념을 말합니다. 공유 AWS config 파일 내의 프로필과는 관련이 없습니다.

2단계: IAM Roles Anywhere 사용

IAM Roles Anywhere에서 임시 보안 인증을 가져오려면 IAM Roles Anywhere에서 제공하는 보안 인증 도우미 도구를 사용합니다. 보안 인증 도구는 IAM Roles Anywhere의 서명 프로세스를 구현합니다.

보안 인증 도우미 도구를 다운로드하는 방법에 대한 지침은 IAM Roles Anywhere 사용 설명서AWS Identity and Access ManagementRoles Anywhere에서 임시 보안 보안 인증 획득을 참조하십시오.

IAM Roles Anywhere의 임시 보안 인증을 AWS SDK 및 AWS CLI 함께 사용하려면 공유 AWS config 파일에서 credential_process 설정을 구성하면 됩니다. SDK와 AWS CLI은 인증에 사용하는 프로세스 보안 인증 공급자를 credential_process 지원합니다. 다음은 credential_process 설정의 일반 구조를 보여줍니다. 

credential_process = [path to helper tool] [command] [--parameter1 value] [--parameter2 value] [...]

도우미 도구의 credential-process 명령은 credential_process 설정과 호환되는 표준 JSON 형식의 임시 보안 인증을 반환합니다. 명령 이름에는 하이픈이 포함되지만 설정 이름에는 밑줄이 포함된다는 점에 유의하십시오. 명령에는 다음과 같은 파라미터를 요구합니다.

  • private-key - 요청에 서명한 개인 키의 경로.

  • certificate - 보안 인증의 경로.

  • role-arn - 임시 보안 인증을 가져올 역할의 ARN.

  • profile-arn - 지정된 역할에 대한 매핑을 제공하는 프로파일의 ARN.

  • trust-anchor-arn - 트러스트 앵커의 ARN.

클라우드 관리자가 인증서와 프라이빗 키를 제공해야 합니다 AWS Management Console에서 세 개의 ARN 값을 모두 복사할 수 있습니다. 다음 예는 도우미 도구에서 임시 보안 인증을 검색하도록 구성하는 공유 config 파일을 보여줍니다.

[profile dev]
credential_process = ./aws_signing_helper credential-process --certificate /path/to/certificate --private-key /path/to/private-key --trust-anchor-arn arn:aws:rolesanywhere:region:account:trust-anchor/TA_ID --profile-arn arn:aws:rolesanywhere:region:account:profile/PROFILE_ID --role-arn arn:aws:iam::account:role/ROLE_ID

선택적 파라미터 및 추가 도우미 도구 세부 정보는 GitHub의 IAM Roles Anywhere 보안 인증 도우미를 참조하십시오.

SDK 구성 설정 자체 및 프로세스 보안 인증 공급자에 대한 자세한 내용은 이 설명서의 프로세스 보안 인증 제공자을 참조하십시오.