IAM Identity Center 서비스 연결 역할 사용 - AWS IAM Identity Center

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM Identity Center 서비스 연결 역할 사용

AWS IAM Identity Center AWS Identity and Access Management (IAM) 서비스 연결 역할을 사용합니다. 서비스 연결 역할은 IAM Identity Center에 직접 연결된 고유한 유형의 IAM 역할입니다. IAM Identity Center에서 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다. 자세한 설명은 서비스 링크 역할 섹션을 참조하세요.

필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할은 IAM Identity Center을 더 쉽게 설정할 수 있습니다. IAM Identity Center가 서비스 연결 역할의 권한을 정의하므로 다르게 정의되지 않은 한, IAM Identity Center만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.

서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 IAM으로 작업하는AWS 서비스를 참조해 서비스 연결 역할 열이 인 서비스를 찾으세요. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 링크를 선택합니다.

IAM Identity Center에 대한 서비스 연결 역할 권한

IAM Identity Center는 이름이 지정된 AWSServiceRoleForSSO서비스 연결 역할을 사용하여 IAM ID 센터에 IAM 역할, 정책, SAML IdP를 비롯한 AWS 리소스를 관리할 수 있는 권한을 부여합니다.

AWSServiceRoleForSSO 서비스 연결 역할은 다음 서비스를 신뢰하여 역할을 수임합니다.

  • IAM Identity Center

AWSServiceRoleForSSO 서비스 연결 역할 권한 정책에 따라 IAM Identity Center는 “/aws-reserved/sso.amazonaws.com/” 경로의 역할에 대해 이름 접두사가 “_”인 역할에 대해 다음을 수행할 수 있습니다. AWSReservedSSO

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:DeleteRole

  • iam:DeleteRolePermissionsBoundary

  • iam:DeleteRolePolicy

  • iam:DetachRolePolicy

  • iam:GetRole

  • iam:ListRolePolicies

  • iam:PutRolePolicy

  • iam:PutRolePermissionsBoundary

  • iam:ListAttachedRolePolicies

AWSServiceRoleForSSO 서비스 연결 역할 권한 정책에 따라 IAM Identity Center는 이름 접두사가 “_”인 SAML 공급자에 대해 다음을 완료할 수 있습니다. AWSSSO

  • iam:CreateSAMLProvider

  • iam:GetSAMLProvider

  • iam:UpdateSAMLProvider

  • iam:DeleteSAMLProvider

AWSServiceRoleForSSO 서비스 연결 역할 권한 정책을 통해 IAM Identity Center는 모든 조직에서 다음을 완료할 수 있습니다.

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:ListAccounts

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:ListDelegatedAdministrators

AWSServiceRoleForSSO 서비스 연결 역할 권한 정책에 따라 IAM Identity Center는 모든 IAM 역할 (*) 에 대해 다음을 완료할 수 있습니다.

  • iam:listRoles

AWSServiceRoleForSSO 서비스 연결 역할 권한 정책에 따라 IAM ID 센터는 “arn:aws:iam: :*:role/ /sso.amazonaws.com/”에서 다음을 완료할 수 있습니다. aws-service-role AWSServiceRoleForSSO

  • iam:GetServiceLinkedRoleDeletionStatus

  • iam:DeleteServiceLinkedRole

역할 권한 정책은 IAM Identity Center가 리소스에서 다음 작업을 완료하도록 허용합니다.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"IAMRoleProvisioningActions", "Effect":"Allow", "Action":[ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRolePermissionsBoundary", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription", "iam:UpdateAssumeRolePolicy" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ], "Condition":{ "StringNotEquals":{ "aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}" } } }, { "Sid":"IAMRoleReadActions", "Effect":"Allow", "Action":[ "iam:GetRole", "iam:ListRoles" ], "Resource":[ "*" ] }, { "Sid":"IAMRoleCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ] }, { "Sid":"IAMSLRCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus", "iam:DeleteRole", "iam:GetRole" ], "Resource":[ "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO" ] }, { "Sid": "IAMSAMLProviderCreationAction", "Effect": "Allow", "Action": [ "iam:CreateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ], "Condition": { "StringNotEquals": { "aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMSAMLProviderUpdateAction", "Effect": "Allow", "Action": [ "iam:UpdateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Sid":"IAMSAMLProviderCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteSAMLProvider", "iam:GetSAMLProvider" ], "Resource":[ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource":[ "*" ] }, { "Sid":"AllowUnauthAppForDirectory", "Effect":"Allow", "Action":[ "ds:UnauthorizeApplication" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeForDirectory", "Effect":"Allow", "Action":[ "ds:DescribeDirectories", "ds:DescribeTrusts" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeAndListOperationsOnIdentitySource", "Effect":"Allow", "Action":[ "identitystore:DescribeUser", "identitystore:DescribeGroup", "identitystore:ListGroups", "identitystore:ListUsers" ], "Resource":[ "*" ] } ] }

IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 링크 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 권한을 참조하십시오.

IAM Identity Center에 대한 서비스 연결 역할 생성

서비스 링크 역할은 수동으로 생성할 필요가 없습니다. 활성화되면 IAM Identity Center는 Organizations의 조직 내 모든 계정에 서비스 연결 역할을 생성합니다. AWS 또한 IAM Identity Center는 이후에 조직에 추가되는 모든 계정에 동일한 서비스 연결 역할을 생성합니다. 이 역할을 통해 IAM Identity Center는 사용자를 대신하여 각 계정의 리소스에 액세스할 수 있습니다.

참고
  • 관리 계정에 로그인한 경우, AWS Organizations 관리 계정에는 서비스 연결 역할이 아닌 현재 로그인한 역할이 사용됩니다. 이렇게 하면 권한이 에스컬레이션되는 것을 방지할 수 있습니다.

  • IAM Identity Center가 AWS Organizations 관리 계정에서 IAM 작업을 수행하는 경우 모든 작업은 IAM 보안 주체의 자격 증명을 사용하여 수행됩니다. 이렇게 하면 CloudTrail 로그인을 통해 누가 관리 계정에서 모든 권한을 변경했는지 확인할 수 있습니다.

중요

서비스 연결 역할을 지원하기 시작한 2017년 12월 7일 이전에 IAM Identity Center 서비스를 사용하고 있었다면 IAM Identity Center가 사용자 계정에 역할을 생성한 것입니다. AWSServiceRoleForSSO 자세한 내용은 내 IAM 계정에 표시되는 새 역할을 참조하세요.

이 서비스 연결 역할을 삭제한 다음 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다.

IAM Identity Center에 대한 서비스 연결 역할 편집

IAM ID 센터에서는 서비스 연결 역할을 편집할 수 없습니다. AWSServiceRoleForSSO 서비스 링크 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 편집을 참조하세요.

IAM Identity Center에 대한 서비스 연결 역할 삭제

역할을 수동으로 삭제할 필요는 없습니다. AWSServiceRoleForSSO AWS 조직에서 AWS 계정 가 제거되면 IAM Identity Center는 자동으로 리소스를 정리하고 해당 리소스에서 서비스 연결 역할을 삭제합니다. AWS 계정

또한 IAM 콘솔, IAM CLI 또는 IAM API를 사용하여 서비스 연결 역할을 수동으로 삭제할 수 있습니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.

참고

리소스를 삭제하려 할 때 IAM Identity Center 서비스가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

에서 사용하는 IAM ID 센터 리소스를 삭제하려면 AWSServiceRoleForSSO
  1. AWS 계정에 액세스할 수 있는 모든 사용자 및 그룹용 사용자 및 그룹 액세스 제거.

  2. AWS 계정와 연결한 권한 집합을 삭제합니다..

IAM을 사용하여 수동으로 서비스 링크 역할을 삭제하려면

IAM 콘솔, IAM CLI 또는 IAM API를 사용하여 AWSServiceRoleForSSO 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서서비스 링크 역할 삭제를 참조하세요.