역할 트러스트 정책 업데이트
역할을 맡을 수 있는 주체를 바꾸려면 역할의 신뢰 정책을 변경해야 합니다. 서비스 연결 역할에 대한 신뢰 정책을 수정할 수 없습니다.
참고
-
사용자가 역할 신뢰 정책에 보안 주체로 나열되지만 역할을 수임할 수 없는 경우 사용자의 권한 경계를 확인하세요. 사용자에 대한 권한 경계가 설정된 경우 권한 경계에서
sts:AssumeRole작업이 허용되어야 합니다. -
사용자가 역할 세션 내에서 현재 역할을 다시 수임할 수 있도록 허용하려면 역할 ARN 또는 AWS 계정 ARN을 역할 신뢰 정책의 보안 주체로 지정합니다. Amazon EC2, Amazon ECS, Amazon EKS, Lambda와 같이 컴퓨팅 리소스를 제공하는 AWS 서비스는 임시 보안 인증을 제공하며 해당 보안 인증을 자동으로 업데이트합니다. 이렇게 하면 항상 유효한 자격 증명 집합을 가질 수 있습니다. 이러한 서비스의 경우 임시 자격 증명을 획득하기 위해 현재 역할을 다시 수임할 필요는 없습니다. 하지만 세션 태그 또는 세션 정책을 전달하려는 경우 현재 역할을 다시 수임해야 합니다.
역할 트러스트 정책 업데이트(콘솔)
AWS Management Console에서 역할 트러스트 정책 변경
AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/
에서 IAM 콘솔을 엽니다. -
IAM 콘솔의 탐색 창에서 역할(Roles)을 선택합니다.
-
계정의 역할 목록에서 변경할 역할의 이름을 선택합니다.
-
신뢰 관계(Trust relationships) 탭을 선택한 후 신뢰 정책 편집(Edit trust policy)을 선택합니다.
-
필요에 따라 신뢰 정책을 편집합니다. 역할을 위임할 수 있는 보안 주체를 추가하려면
Principal요소에 해당 보안 주체를 지정하세요. 예를 들어 다음 정책 조각은Principal요소에서 AWS 계정 2개를 참조하는 방법을 나타냅니다."Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] },다른 계정에서 보안 주체를 지정할 경우 역할의 신뢰 정책에 계정을 추가하는 것은 신뢰 관계 설정의 절반밖에 되지 않는다는 것을 유념하세요. 기본적으로 신뢰 계정의 어떠한 사용자도 역할을 위임할 수 없습니다. 새로이 신뢰받는 계정에 대한 관리자는 사용자가 역할을 수임할 수 있는 권한을 허용해야 합니다. 이를 위해 관리자는 사용자와 연결된 정책을 생성 또는 편집하여
sts:AssumeRole작업에 대한 사용자 액세스를 허용합니다. 자세한 정보는 다음 절차 또는 사용자에게 역할을 전환할 권한 부여 섹션을 참조하세요.다음 정책 조각은
Principal요소에서 두 가지 AWS 서비스를 참조하는 방법을 보여줍니다."Principal": { "Service": [ "opsworks.amazonaws.com", "ec2.amazonaws.com" ] }, -
신뢰 정책 편집을 마쳤으면 정책 업데이트(Update policy)를 선택하여 변경 사항을 저장합니다.
정책 구조 및 구문에 대한 자세한 정보는 AWS Identity and Access Management의 정책 및 권한 단원과 IAM JSON 정책 요소 참조 섹션을 참조하세요.
신뢰할 수 있는 외부 계정의 사용자가 역할을 사용할 수 있도록 허용하려면(콘솔 사용)
자세한 정보와 이 절차에 대한 세부 정보는 사용자에게 역할을 전환할 권한 부여 섹션을 참조하세요.
-
신뢰할 수 있는 외부 AWS 계정에 로그인합니다.
-
사용자 또는 그룹 중 권한을 어디에 추가할지 결정합니다. 결정에 따라 IAM 콘솔의 탐색 창에서 사용자(Users) 또는 사용자 그룹(User groups)을 선택합니다.
-
액세스 권한을 부여하려는 사용자나 그룹의 이름을 선택한 후 권한 탭을 선택합니다.
-
다음 중 하나를 수행합니다.
-
고객 관리형 정책을 편집하려면 정책 이름을 선택하고 정책 편집을 선택한 다음 JSON 탭을 선택합니다. AWS 관리형 정책은 편집할 수 없습니다. AWS 관리형 정책은 AWS 아이콘(
)으로 나타납니다. AWS 관리형 정책과 고객 관리형 정책의 차이점에 대한 자세한 정보는 관리형 정책과 인라인 정책 섹션을 참조하세요. -
인라인 정책을 편집하려면 정책 이름 옆에 있는 화살표를 선택하고 정책 편집을 선택합니다.
-
-
정책 편집기에서 새로운
Statement요소를 추가하여 다음과 같이 지정합니다.{ "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID:role/ROLE-NAME" }설명문의 ARN을 사용자가 수임할 수 있는 역할의 ARN으로 바꿉니다.
-
화면의 메시지에 따라 정책 편집을 마칩니다.
역할 트러스트 정책 업데이트(AWS CLI)
AWS CLI를 사용하여 역할을 수임할 수 있는 주체를 변경할 수 있습니다.
역할 신뢰 정책을 수정하려면(AWS CLI)
-
(선택 사항) 수정할 역할의 이름을 모르는 경우 다음 명령을 실행하여 계정의 역할을 나열합니다.
-
(옵션) 현재 역할의 신뢰 정책을 확인하려면 다음 명령을 실행합니다.
-
역할에 액세스할 수 있는 신뢰할 수 있는 보안 주체를 변경하려면 업데이트된 신뢰 정책을 추가하여 텍스트 파일을 생성합니다. 정책 구조를 작성할 때는 어떤 텍스트 편집기든 사용할 수 있습니다.
예를 들어 다음 신뢰 정책 조각은
Principal요소에서 AWS 계정 2개를 참조하는 방법을 나타냅니다. 사용자가 개별 AWS 계정 2개를 사용하도록 허용하여 이 역할을 수임하도록 합니다.{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ]}, "Action": "sts:AssumeRole" } }다른 계정에서 보안 주체를 지정할 경우 역할의 신뢰 정책에 계정을 추가하는 것은 신뢰 관계 설정의 절반밖에 되지 않는다는 것을 유념하세요. 기본적으로 신뢰 계정의 어떠한 사용자도 역할을 위임할 수 없습니다. 새로이 신뢰받는 계정에 대한 관리자는 사용자가 역할을 수임할 수 있는 권한을 허용해야 합니다. 이를 위해 관리자는 사용자와 연결된 정책을 생성 또는 편집하여
sts:AssumeRole작업에 대한 사용자 액세스를 허용합니다. 자세한 정보는 다음 절차 또는 사용자에게 역할을 전환할 권한 부여 섹션을 참조하세요. -
방금 생성한 파일을 사용하여 신뢰 정책을 업데이트하려면 다음 명령을 실행합니다.
신뢰할 수 있는 외부 계정 사용자에게 역할 사용을 허용하려면(AWS CLI)
자세한 정보와 이 절차에 대한 세부 정보는 사용자에게 역할을 전환할 권한 부여 섹션을 참조하세요.
-
역할에 대한 권한 정책을 포함하는 JSON 파일을 생성하여 역할을 수임할 수 있는 권한을 허용합니다. 예를 들어 다음 정책에는 필요한 최소 권한이 포함되어 있습니다.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME" } }설명문의 ARN을 사용자가 수임할 수 있는 역할의 ARN으로 바꿉니다.
-
다음 명령을 실행하여 신뢰 정책을 포함하는 JSON 파일을 IAM에 업로드합니다.
이 명령의 출력 화면에는 정책의 ARN이 포함됩니다. 이후 단계에서 사용해야 하므로 이 ARN을 기록해 두세요.
-
정책을 연결할 사용자 또는 그룹을 결정합니다. 원하는 사용자 또는 그룹의 이름을 모르는 경우에는 다음 명령 중 하나를 사용하여 계정에 속한 사용자 또는 그룹 목록을 조회합니다.
-
다음 명령 중 한 가지를 사용하여 이전 단계에서 생성한 정책을 사용자 또는 그룹에게 추가합니다.
역할 트러스트 정책 업데이트(AWS API)
AWS API를 사용하여 역할을 수임할 수 있는 주체를 변경할 수 있습니다.
역할 신뢰 정책을 수정하려면(AWS API)
-
(선택 사항) 변경할 역할의 이름을 모르는 경우 다음 연산을 호출하여 계정의 역할을 나열합니다.
-
(옵션) 현재 역할의 신뢰 정책을 확인하려면 다음 연산을 호출합니다.
-
역할에 액세스할 수 있는 신뢰할 수 있는 보안 주체를 변경하려면 업데이트된 신뢰 정책을 추가하여 텍스트 파일을 생성합니다. 정책 구조를 작성할 때는 어떤 텍스트 편집기든 사용할 수 있습니다.
예를 들어 다음 신뢰 정책 조각은
Principal요소에서 AWS 계정 2개를 참조하는 방법을 나타냅니다. 사용자가 개별 AWS 계정 2개를 사용하도록 허용하여 이 역할을 수임하도록 합니다.{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ]}, "Action": "sts:AssumeRole" } }다른 계정에서 보안 주체를 지정할 경우 역할의 신뢰 정책에 계정을 추가하는 것은 신뢰 관계 설정의 절반밖에 되지 않는다는 것을 유념하세요. 기본적으로 신뢰 계정의 어떠한 사용자도 역할을 위임할 수 없습니다. 새로이 신뢰받는 계정에 대한 관리자는 사용자가 역할을 수임할 수 있는 권한을 허용해야 합니다. 이를 위해 관리자는 사용자와 연결된 정책을 생성 또는 편집하여
sts:AssumeRole작업에 대한 사용자 액세스를 허용합니다. 자세한 정보는 다음 절차 또는 사용자에게 역할을 전환할 권한 부여 섹션을 참조하세요. -
방금 생성한 파일을 사용하여 신뢰 정책을 업데이트하려면 다음 작업을 호출합니다.
신뢰할 수 있는 외부 계정 사용자에게 역할 사용을 허용하려면(AWS API)
자세한 정보와 이 절차에 대한 세부 정보는 사용자에게 역할을 전환할 권한 부여 섹션을 참조하세요.
-
역할에 대한 권한 정책을 포함하는 JSON 파일을 생성하여 역할을 수임할 수 있는 권한을 허용합니다. 예를 들어 다음 정책에는 필요한 최소 권한이 포함되어 있습니다.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME" } }설명문의 ARN을 사용자가 수임할 수 있는 역할의 ARN으로 바꿉니다.
-
다음 작업을 호출하여 신뢰 정책을 포함하는 JSON 파일을 IAM에 업로드합니다.
이 연산의 출력 화면에는 정책의 ARN이 포함됩니다. 이후 단계에서 사용해야 하므로 이 ARN을 기록해 두세요.
-
정책을 연결할 사용자 또는 그룹을 결정합니다. 원하는 사용자 또는 그룹의 이름을 모르는 경우에는 다음 작업 중 하나를 호출하여 계정에 속한 사용자 또는 그룹 목록을 조회합니다.
-
다음 연산 중 하나를 호출하여 이전 단계에서 생성한 정책을 사용자 또는 그룹에게 추가합니다.
