AWS Identity and Access Management Access Analyzer에 서비스 연결 역할 사용 - AWS Identity and Access Management

AWS Identity and Access Management Access Analyzer에 서비스 연결 역할 사용

AWS Identity and Access Management Access Analyzer은 IAM 서비스 연결 역할을 사용합니다. 서비스 연결 역할은 IAM Access Analyzer에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 IAM Access Analyzer에서 사전 정의되며. 사용자를 대신해 다른 AWS 서비스를 호출하기 위해 필요한 모든 권한을 포함합니다.

필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할은 IAM Access Analyzer를 더 쉽게 설정할 수 있습니다. IAM Access Analyzer에서 서비스 연결 역할의 권한을 정의하므로 다르게 정의되지 않은 한, IAM Access Analyzer만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.

서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 IAM으로 작업하는 AWS 서비스를 참조해 서비스 연결 역할(Service-Linked Role) 열이 예(Yes)인 서비스를 찾으세요. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 링크가 있는 를 선택합니다.

AWS Identity and Access Management Access Analyzer에 대한 서비스 링크 역할 권한

AWS Identity and Access Management Access Analyzer는 AWSServiceRoleForAccessAnalyzer라는 서비스 연결 역할을 사용합니다 - Access Analyzer가 외부 액세스에 대한 리소스 메타데이터를 분석하고 미사용 액세스를 식별할 수 있도록 활동을 분석하는 것을 허용합니다.

AWSServiceRoleForAccessAnalyzer 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.

  • access-analyzer.amazonaws.com

AccessAnalyzerServiceRolePolicy라는 역할 권한 정책을 사용하면 IAM Access Analyzer가 특정 리소스에 대한 작업을 완료할 수 있습니다.

IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 링크 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 권한 섹션을 참조하세요.

IAM Access Analyzer의 서비스 연결 역할 생성

서비스 링크 역할은 수동으로 생성할 필요가 없습니다. AWS Management Console 또는 AWS API에서 Access Analyzer를 활성화하면 IAM Access Analyzer에서 서비스 연결 역할을 생성합니다. IAM Access Analyzer를 활성화한 모든 리전에서 동일한 서비스 연결 역할이 사용됩니다. 외부 액세스와 미사용 액세스 조사 결과 모두 동일한 서비스 연결 역할을 사용합니다.

참고

IAM Access Analyzer는 리전별로 적용됩니다. 각 리전에서 독립적으로 IAM Access Analyzer를 활성화해야 합니다.

이 서비스 연결 역할을 삭제하면 다음에 분석기를 생성할 때 IAM Access Analyzer에서 역할이 다시 생성됩니다.

IAM 콘솔을 사용해 Access Analyzer 사용 사례로 서비스 연결 역할을 생성할 수도 있습니다. AWS CLI 또는 AWS API에서 access-analyzer.amazonaws.com 서비스 이름의 서비스 연결 역할을 생성합니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 생성 단원을 참조하세요. 이 서비스 연결 역할을 삭제하면 동일한 프로세스를 사용하여 역할을 다시 생성할 수 있습니다.

IAM Access Analyzer의 서비스 연결 역할 편집

IAM Access Analyzer에서는 AWSServiceRoleForAccessAnalyzer 서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 편집을 참조하세요.

IAM Access Analyzer의 서비스 연결 역할 삭제

서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 이렇게 하면 적극적으로 모니터링하거나 유지 관리하지 않는 미사용 엔터티가 없게 됩니다. 단, 서비스 링크 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.

참고

리소스를 삭제할 때 IAM Access Analyzer가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

AWSServiceRoleForAccessAnalyzer에서 사용하는 IAM Access Analyzer 리소스를 삭제하려면
  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. Access reports(보고서 액세스) 섹션의 Access analyzer(분석기 액세스)에서 Analyzers(분석기)를 선택합니다.

  3. 분석기 테이블의 분석기 목록 위의 왼쪽 위에 있는 확인란을 선택하여 모든 분석기를 선택합니다.

  4. Delete(삭제)를 선택합니다.

  5. 분석기를 삭제할 것인지 확인하려면 delete을 입력한 다음, 삭제를 선택합니다.

IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면

IAM 콘솔, AWS CLI 또는 AWS API를 사용하여 AWSServiceRoleForAccessAnalyzer 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 삭제 섹션을 참조하십시오.

IAM Access Analyzer 서비스 연결 역할이 지원되는 리전

IAM Access Analyzer에서는 서비스를 사용할 수 있는 모든 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 AWS 리전 및 엔드포인트 섹션을 참조하십시오.