권한 세트 생성, 관리 및 삭제

권한 집합은 사용자와 그룹이 AWS 계정에 대해 보유할 수 있는 액세스 수준을 정의합니다. 권한 집합은 IAM Identity Center에 저장되며 하나 이상의 AWS 계정에 프로비저닝할 수 있습니다. 한 사용자에게 두 개 이상의 권한 집합을 할당할 수 있습니다. 권한 집합 및 IAM Identity Center에서 권한 집합을 사용하는 방법에 대한 자세한 내용은 권한 세트 단원을 참조하세요.

권한 세트를 생성할 때 고려할 사항:

• 사전 정의된 권한 세트로 시작

  사전 정의된 권한을 사용하는 사전 정의된 권한 집합을 사용하면 사용 가능한 정책 목록에서 단일 AWS 관리형 정책을 선택할 수 있습니다. 각 정책은 AWS 서비스 및 리소스에 대한 특정 수준의 액세스 권한 또는 공통 직무에 대한 권한을 부여합니다. 각 정책에 대한 자세한 내용은 직무 역할에 대한AWS 관리형 정책을 참조하세요. 사용 데이터를 수집한 후 권한 세트를 더 제한적으로 조정할 수 있습니다.

• 관리 세션 지속 시간을 합리적인 작업 기간으로 제한

  사용자가 AWS 관리 콘솔 또는AWS CLI ( AWS 명령줄 인터페이스) 에 통합하여 사용하는 경우 IAM Identity Center는 권한 세트의 세션 기간 설정을 사용하여 세션 기간을 제어합니다. AWS 계정 사용자 세션이 세션 지속 시간에 도달하면 콘솔에서 로그아웃되고 다시 로그인하라는 메시지가 표시됩니다. 보안 모범 사례로 세션 지속 시간을 역할을 수행하는 데 필요한 길이보다 길게 설정하지 않는 것이 좋습니다. 기본적으로 세션 지속 시간 값은 1시간입니다. 최대 12시간까지 값을 지정할 수 있습니다. 자세한 정보는 세션 기간 설정을 참조하세요.

• 직원 사용자 포털 세션 지속 시간 제한

  직원 사용자는 포털 세션을 사용하여 역할을 선택하고 애플리케이션에 액세스합니다. 직원 사용자가 재인증을 받기 전에 AWS 액세스 포털에 로그인할 수 있는 시간을 결정하는 최대 세션 지속 시간 값은 기본적으로 8시간입니다. 최대 90일까지 값을 지정할 수 있습니다. 자세한 정보는 AWS 액세스 포털 및 IAM Identity Center 통합 애플리케이션의 세션 기간을 구성합니다.을 참조하세요.

• 최소 권한을 제공하는 역할 사용

  생성하여 사용자에게 할당한 각 권한 집합은 AWS 액세스 포털에서 사용 가능한 역할로 표시됩니다. 해당 사용자로 포털에 로그인할 때는 계정에서 작업을 수행하는 데 사용할 수 있는 가장 제한적인 권한 세트에 해당하는 역할을 대신 AdministratorAccess를 선택하세요. 사용자 초대를 보내기 전에 권한 세트를 테스트하여 필요한 액세스 권한을 제공하는지 확인합니다.

참고

또는 AWS CloudFormation을 사용하여 권한 세트를 생성 및 할당하고 해당 권한 세트에 사용자를 할당할 수 있습니다.

주제

• 권한 집합을 생성합니다.
• 권한 집합 관리 위임
• 권한 집합에서 IAM 정책 사용