작업 함수에 대한 권한 세트 생성 - AWS IAM Identity Center
최소 권한을 적용하는 권한 세트 생성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

작업 함수에 대한 권한 세트 생성

권한 세트는 IAM Identity Center에 저장되며 사용자 및 그룹이 에 대해 갖는 액세스 수준을 정의합니다 AWS 계정. 가장 먼저 생성하는 권한 세트는 관리 권한 세트입니다. IAM Identity Center Identity 소스 자습서 가운데 하나를 완료한 경우 이미 관리 권한 세트를 생성한 것입니다. 이 절차를 사용하여 IAM 사용 설명서AWS 작업 기능에 대한 관리형 정책에 설명된 대로 권한 세트를 생성합니다.

  1. AWS Management Console에 로그인하려면 다음 중 하나를 수행합니다.

    • AWS (루트 사용자) 신규 사용자 - 루트 사용자를 선택하고 AWS 계정 이메일 주소를 입력하여 계정 소유자로 로그인합니다. 다음 페이지에서 비밀번호를 입력합니다.

    • 이미 AWS (IAM 자격 증명) 사용 - 관리 권한이 있는 자격 IAM 증명을 사용하여 로그인합니다.

  2. IAM Identity Center 콘솔 을 엽니다.

  3. IAM Identity Center 탐색 창의 다중 계정 권한에서 권한 세트 를 선택합니다.

  4. 권한 집합 생성을 선택합니다.

    1. 권한 세트 유형 선택 페이지의 권한 세트 유형 섹션에서 사전 정의된 권한 세트를 선택합니다.

    2. 사전 정의된 권한 세트 정책 섹션에서 다음 중 하나를 선택합니다.

      • AdministratorAccess

      • 결제

      • DatabaseAdministrator

      • DataScientist

      • NetworkAdministrator

      • PowerUserAccess

      • ReadOnlyAccess

      • SecurityAudit

      • SupportUser

      • SystemAdministrator

      • ViewOnlyAccess

  5. 권한 세트 세부 정보 지정 페이지에서 기본 설정을 유지하고 다음을 선택합니다. 기본 설정은 세션을 1시간으로 제한합니다.

  6. 검토 및 생성 페이지에서 다음을 확인합니다.

    1. 1단계: 권한 세트 유형 을 선택하면 에서 선택한 권한 세트 유형을 표시합니다.

    2. 2단계: 권한 세트 세부 정보 정의의 경우 에서 선택한 권한 세트의 이름을 표시합니다.

    3. 생성(Create)을 선택합니다.

최소 권한을 적용하는 권한 세트 생성

최소 권한 적용 모범 사례를 따르려면 관리 권한 세트를 생성한 후 보다 제한적인 권한 세트를 생성하여 한 명 이상의 사용자에게 할당합니다. 이전 절차에서 생성한 권한 세트는 사용자가 필요로 하는 리소스에 대한 액세스 범위를 평가하는 출발점 역할을 합니다. 최소 권한으로 전환하려면 IAM Access Analyzer를 실행하여 관리형 정책으로 AWS 보안 주체를 모니터링할 수 있습니다. 사용하는 권한을 학습한 후 사용자 지정 정책을 작성하거나 팀에 필요한 권한만 있는 정책을 생성할 수 있습니다.

IAM Identity Center를 사용하면 동일한 사용자에게 여러 권한 세트를 할당할 수 있습니다. 또한 관리자에게 더 제한적인 추가 권한 세트를 할당해야 합니다. 이렇게 하면 항상 관리 권한을 사용하는 대신 필요한 권한 AWS 계정 으로만 에 액세스할 수 있습니다.

예를 들어 개발자인 경우 IAM Identity Center에서 관리 사용자를 생성한 후 PowerUserAccess 권한을 부여하는 새 권한 세트를 생성한 다음 해당 권한 세트를 자신에게 할당할 수 있습니다. AdministratorAccess 권한을 사용하는 관리 권한 세트와 달리 PowerUserAccess 권한 세트는 IAM 사용자 및 그룹 관리를 허용하지 않습니다. AWS 액세스 포털에 로그인하여 AWS 계정에 액세스하면 PowerUserAccess가 아닌 AdministratorAccess를 선택하여 계정에서 개발 작업을 수행할 수 있습니다.

다음 사항에 유의하세요.

  • 보다 제한적인 권한 세트를 빠르게 생성하려면 사용자 지정 권한 세트 대신 미리 정의된 권한 세트를 사용하세요.

    사전 정의된 권한 을 사용하는 사전 정의된 권한 세트를 사용하면 사용 가능한 정책 목록에서 단일 AWS 관리형 정책을 선택할 수 있습니다. 각 정책은 서비스 AWS 및 리소스에 대한 특정 수준의 액세스 권한 또는 공통 작업 함수에 대한 권한을 부여합니다. 각 정책에 대한 자세한 내용은 직무 역할에 대한AWS 관리형 정책을 참조하세요.

  • 권한 세트의 세션 기간을 구성하여 사용자가 AWS 계정에 로그인하는 시간을 제어할 수 있습니다.

    사용자가 에 페더레이션 AWS 계정 하고 AWS 관리 콘솔 또는 AWS 명령줄 인터페이스(AWS CLI)를 사용하는 경우 IAM Identity Center는 권한 세트의 세션 기간 설정을 사용하여 세션 기간을 제어합니다. 기본적으로 사용자가 세션에서 로그아웃하기 전에 에 로그인할 수 있는 시간을 결정하는 세션 지속 시간 의 값은 1시간으로 설정됩니다. AWS 계정 AWS 최대 12시간까지 값을 지정할 수 있습니다. 자세한 내용은 에 대한 세션 기간 설정 AWS 계정 단원을 참조하십시오.

  • AWS 액세스 포털 세션 기간을 구성하여 인력 사용자가 포털에 로그인하는 시간을 제어할 수도 있습니다.

    기본적으로 최대 세션 기간 의 값은 인력 사용자가 재인증하기 전에 AWS 액세스 포털에 로그인할 수 있는 시간을 결정하는 8시간입니다. 최대 90일까지 값을 지정할 수 있습니다. 자세한 내용은 AWS 액세스 포털 및 IAM Identity Center 통합 애플리케이션의 세션 기간 구성 단원을 참조하십시오.

  • AWS 액세스 포털에 로그인할 때 최소 권한 권한을 제공하는 역할을 선택합니다.

    생성하여 사용자에게 할당하는 각 권한 세트는 AWS 액세스 포털에서 사용 가능한 역할로 표시됩니다. 해당 사용자로 포털에 로그인할 때는 계정에서 작업을 수행하는 데 사용할 수 있는 가장 제한적인 권한 세트에 해당하는 역할을 대신 AdministratorAccess를 선택하세요.

  • IAM Identity Center에 다른 사용자를 추가하고 해당 사용자에게 기존 또는 새 권한 세트를 할당할 수 있습니다.

    자세한 내용은 그룹에 대한 AWS 계정 액세스 할당의 내용을 참조하세요.