기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Identity Center에 IAM 서비스 연결 역할 사용
AWS IAM Identity Center AWS Identity and Access Management (IAM) 서비스 연결 역할을 사용합니다. 서비스 연결 역할은 Identity Center에 직접 연결되는 고유한 IAM 역할 유형입니다. IAM IAMIdentity Center에서 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다. 자세한 내용은 서비스 연결 역할 단원을 참조하십시오.
서비스 연결 역할을 사용하면 필요한 권한을 수동으로 추가할 필요가 없으므로 IAM Identity Center를 더 쉽게 설정할 수 있습니다. IAMIdentity Center는 서비스 연결 역할의 권한을 정의하며, 달리 정의되지 않는 한 IAM Identity Center만 역할을 맡을 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 해당 권한 정책은 다른 IAM 엔티티에 연결할 수 없습니다.
서비스 연결 역할을 지원하는 다른 서비스에 대한 자세한 내용은 함께 작동하는AWS 서비스를 IAM 참조하고 서비스 연결 역할 열에서 '예'로 표시된 서비스를 찾아보세요. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 예 링크를 선택합니다.
Identity Center의 서비스 연결 역할 권한 IAM
IAMIdentity Center는 이름이 지정된 AWSServiceRoleForSSO서비스 연결 역할을 사용하여 IAM Identity Center에 사용자를 대신하여 IAM 역할, 정책 및 SAML IdP를 비롯한 AWS 리소스를 관리할 수 있는 권한을 부여합니다.
AWSServiceRoleForSSO 서비스 연결 역할은 다음 서비스를 신뢰하여 역할을 수임합니다.
-
IAM아이덴티티 센터 (서비스 접두사:)
sso
AWSServiceRoleForSSO 서비스 연결 역할 권한 정책에 따라 IAM Identity Center는 “/aws-reserved/sso.amazonaws.com/” 경로에 있는 역할에 대해 이름 접두사가 “_”인 역할에 대해 다음을 수행할 수 있습니다. AWSReservedSSO
-
iam:AttachRolePolicy -
iam:CreateRole -
iam:DeleteRole -
iam:DeleteRolePermissionsBoundary -
iam:DeleteRolePolicy -
iam:DetachRolePolicy -
iam:GetRole -
iam:ListRolePolicies -
iam:PutRolePolicy -
iam:PutRolePermissionsBoundary -
iam:ListAttachedRolePolicies
AWSServiceRoleForSSO 서비스 연결 역할 권한 정책에 따라 Identity Center는 이름 접두사가 “_”인 제공자에 대해 다음을 완료할 수 있습니다. IAM SAML AWSSSO
-
iam:CreateSAMLProvider -
iam:GetSAMLProvider -
iam:UpdateSAMLProvider -
iam:DeleteSAMLProvider
AWSServiceRoleForSSO 서비스 연결 역할 권한 정책을 통해 IAM Identity Center는 모든 조직에서 다음을 완료할 수 있습니다.
-
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:ListAccounts -
organizations:ListAWSServiceAccessForOrganization -
organizations:ListDelegatedAdministrators
AWSServiceRoleForSSO 서비스 연결 역할 권한 정책을 통해 IAM Identity Center는 모든 IAM 역할 (*) 에 대해 다음을 완료할 수 있습니다.
-
iam:listRoles
AWSServiceRoleForSSO 서비스 연결 역할 권한 정책에 따라 IAM Identity Center는 “arn:aws:iam: :*:role/ /sso.amazonaws.com/”에서 다음을 완료할 수 있습니다. aws-service-role AWSServiceRoleForSSO
-
iam:GetServiceLinkedRoleDeletionStatus -
iam:DeleteServiceLinkedRole
역할 권한 정책을 IAM 통해 Identity Center는 리소스에 대해 다음 작업을 완료할 수 있습니다.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"IAMRoleProvisioningActions", "Effect":"Allow", "Action":[ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRolePermissionsBoundary", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription", "iam:UpdateAssumeRolePolicy" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ], "Condition":{ "StringNotEquals":{ "aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}" } } }, { "Sid":"IAMRoleReadActions", "Effect":"Allow", "Action":[ "iam:GetRole", "iam:ListRoles" ], "Resource":[ "*" ] }, { "Sid":"IAMRoleCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ] }, { "Sid":"IAMSLRCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus", "iam:DeleteRole", "iam:GetRole" ], "Resource":[ "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO" ] }, { "Sid": "IAMSAMLProviderCreationAction", "Effect": "Allow", "Action": [ "iam:CreateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ], "Condition": { "StringNotEquals": { "aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMSAMLProviderUpdateAction", "Effect": "Allow", "Action": [ "iam:UpdateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Sid":"IAMSAMLProviderCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteSAMLProvider", "iam:GetSAMLProvider" ], "Resource":[ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource":[ "*" ] }, { "Sid":"AllowUnauthAppForDirectory", "Effect":"Allow", "Action":[ "ds:UnauthorizeApplication" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeForDirectory", "Effect":"Allow", "Action":[ "ds:DescribeDirectories", "ds:DescribeTrusts" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeAndListOperationsOnIdentitySource", "Effect":"Allow", "Action":[ "identitystore:DescribeUser", "identitystore:DescribeGroup", "identitystore:ListGroups", "identitystore:ListUsers" ], "Resource":[ "*" ] } ] }
IAM엔티티 (예: 사용자, 그룹 또는 역할) 가 서비스 연결 역할을 생성, 편집 또는 삭제할 수 있도록 권한을 구성해야 합니다. 자세한 내용은 사용 설명서의 서비스 연결 역할 권한을 참조하십시오. IAM
Identity Center를 위한 서비스 연결 역할 생성 IAM
서비스 링크 역할은 수동으로 생성할 필요가 없습니다. 활성화되면 IAM Identity Center는 Organizations의 조직 AWS 내 모든 계정에 서비스 연결 역할을 생성합니다. IAM또한 Identity Center는 이후에 조직에 추가되는 모든 계정에 동일한 서비스 연결 역할을 생성합니다. 이 역할을 통해 IAM Identity Center는 사용자를 대신하여 각 계정의 리소스에 액세스할 수 있습니다.
참고
-
관리 계정에 로그인한 경우, AWS Organizations 관리 계정에는 서비스에 연결된 역할이 아닌 현재 로그인한 역할이 사용됩니다. 이렇게 하면 권한이 에스컬레이션되는 것을 방지할 수 있습니다.
-
IAMIdentity Center가 AWS Organizations 관리 계정에서 IAM 작업을 수행하는 경우 모든 작업은 보안 주체의 자격 증명을 사용하여 수행됩니다. IAM 이렇게 하면 CloudTrail 로그인을 통해 누가 관리 계정의 모든 권한을 변경했는지 확인할 수 있습니다.
중요
서비스 연결 역할을 지원하기 시작한 2017년 12월 7일 이전에 IAM Identity Center 서비스를 사용하고 있었다면 IAM Identity Center가 사용자 계정에 AWSServiceRoleForSSO 역할을 생성한 것입니다. 자세한 내용은 내 IAM 계정에 새 역할이 나타났음을 참조하십시오.
이 서비스 연결 역할을 삭제한 다음 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다.
Identity Center의 서비스 연결 역할 편집 IAM
IAMIdentity Center에서는 AWSServiceRoleForSSO 서비스 연결 역할을 편집할 수 없습니다. 서비스 링크 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 를 사용하여 역할에 대한 설명을 편집할 수 있습니다. IAM 자세한 내용은 사용 IAM설명서의 서비스 연결 역할 편집을 참조하십시오.
Identity Center의 서비스 연결 역할 삭제 IAM
역할을 수동으로 삭제할 필요는 없습니다. AWSServiceRoleForSSO AWS 조직에서 AWS 계정 가 제거되면 IAM Identity Center는 자동으로 리소스를 정리하고 해당 리소스에서 서비스 연결 역할을 삭제합니다. AWS 계정
IAM콘솔 IAMCLI, 또는 를 사용하여 서비스 연결 역할을 수동으로 삭제할 수도 있습니다. IAM API 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.
참고
IAMIdentity Center 서비스가 리소스를 삭제하려고 할 때 역할을 사용하는 경우 삭제가 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.
에서 사용하는 IAM Identity Center 리소스를 삭제하려면 AWSServiceRoleForSSO
-
AWS 계정에 액세스할 수 있는 모든 사용자 및 그룹용 사용자 및 그룹 액세스 제거.
-
AWS 계정와 연결한 권한 집합을 삭제합니다..
를 사용하여 서비스 연결 역할을 수동으로 삭제하려면 IAM
IAM콘솔 IAMCLI, 또는 를 IAM API 사용하여 AWSServiceRoleForSSO 서비스 연결 역할을 삭제합니다. 자세한 내용은 사용 설명서의 서비스 연결 역할 삭제를 참조하십시오. IAM
