기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
리소스 정책, Amazon EKS 클러스터 구성 맵 및 AWS KMS 키 정책에서 권한 세트 참조
AWS 계정에 권한 세트를 할당하면 IAM Identity Center는 로 시작하는 이름으로 역할을 생성합니다AWSReservedSSO_.
역할의 전체 이름과 Amazon 리소스 이름(ARN)은 다음 형식을 사용합니다.
| 명칭 | ARN |
|---|---|
AWSReservedSSO_ |
arn:aws:iam:: |
IAM Identity Center의 자격 증명 소스가 us-east-1에서 호스팅되는 경우 aws-region에이 없습니다ARN. 역할ARN의 전체 이름 및는 다음 형식을 사용합니다.
| 명칭 | ARN |
|---|---|
AWSReservedSSO_ |
arn:aws:iam:: |
예를 들어 데이터베이스 관리자에게 AWS 계정 액세스 권한을 부여하는 권한 세트를 생성하면 해당 역할이 다음과 같은 이름과 로 생성됩니다ARN.
| 명칭 | ARN |
|---|---|
AWSReservedSSO_DatabaseAdministrator_1234567890abcdef
|
arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_1234567890abcdef |
AWS 계정에서이 권한 세트에 대한 모든 할당을 삭제하면 IAM Identity Center가 생성한 해당 역할도 삭제됩니다. 나중에 동일한 권한 세트에 새로 할당하면 IAM Identity Center는 권한 세트에 대한 새 역할을 생성합니다. 새 역할ARN의 이름 및 에는 고유 접미사가 다릅니다. 이 예제에서 고유한 접미사는 abcdef0123456789입니다.
| 명칭 | ARN |
|---|---|
AWSReservedSSO_DatabaseAdministrator_abcdef0123456789 |
arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_abcdef0123456789 |
새 이름과 ARN 역할의 접미사가 변경되면 원래 이름을 참조하는 정책이 변경 out-of-date되어 해당 권한 세트를 사용하는 개인의 액세스가 중단ARN됩니다. 예를 들어 역할에 ARN 대한의 변경으로 인해 원본이 다음 구성에서 참조되는 경우 권한 세트 사용자의 액세스가 중단ARN됩니다.
-
클러스터 액세스에를 사용할 때 Amazon Elastic Kubernetes Service(AmazonEKS) 클러스터
aws-auth ConfigMap의aws-auth ConfigMap파일에서. -
AWS Key Management Service (AWS KMS) 키에 대한 리소스 기반 정책. 이 정책을 키 정책이라고도 합니다.
참고
Amazon EKS 클러스터에 대한 액세스를 관리하려면 Amazon 액세스 항목을 사용하는 것이 좋습니다EKS. 이렇게 하면 IAM 권한을 사용하여 Amazon EKS 클러스터에 액세스할 수 있는 보안 주체를 관리할 수 있습니다. Amazon EKS 액세스 항목을 사용하면 Amazon EKS 권한이 있는 IAM 보안 주체를 사용하여 연락 없이 클러스터에 다시 액세스할 수 있습니다 AWS Support.
대부분의 AWS 서비스에 대한 리소스 기반 정책을 업데이트하여 권한 세트에 해당하는 역할ARN의 새를 참조할 수 있지만, Amazon에 IAM 대해에서 생성한 백업 역할EKS이 있어야 하며이 ARN 변경되는 AWS KMS 경우 백업 역할이 있어야 합니다. Amazon EKS의 경우 백업 IAM 역할이에 있어야 합니다aws-auth ConfigMap. AWS KMS의 경우 키 정책에 존재해야 합니다. aws-auth ConfigMap 또는 AWS KMS 키 정책을 업데이트할 수 있는 권한이 있는 백업 IAM 역할이 없는 경우 AWS Support 에 문의하여 해당 리소스에 대한 액세스 권한을 다시 얻습니다.
액세스 중단 방지를 위한 권장 사항
권한 세트에 해당하는 역할에 ARN 대한의 변경으로 인한 액세스 중단을 방지하려면 다음을 수행하는 것이 좋습니다.
-
하나 이상의 권한 집합 할당을 유지합니다.
Amazon의 경우에서 참조하는 역할EKS,의 키 정책 AWS KMS또는 다른의
aws-auth ConfigMap경우 리소스 기반 정책이 포함된 AWS 계정에이 할당을 유지합니다 AWS 서비스.예를 들어
EKSAccess권한 세트를 생성하고 AWS 계정 ARN에서 해당 역할을 참조하는 경우 해당 계정의 권한 세트에 관리 그룹을111122223333영구적으로 할당합니다. 할당은 영구적이므로 IAM Identity Center는 해당 역할을 삭제하지 않으므로 이름 변경 위험이 없습니다. 관리자 그룹은 권한 상승 위험 없이 항상 액세스할 수 있습니다. -
aws-auth ConfigMap및를 사용하는 Amazon EKS 클러스터의 경우 AWS KMS:에서 생성된 역할을 포함합니다IAM.Amazon EKS 클러스터ARNs용의 권한 세트에 대한 역할 또는 AWS KMS 키에 대한 키 정책에
aws-auth ConfigMap참조하는 경우에서 생성한 역할도 하나 이상 포함하는 것이 좋습니다IAM. 역할은 Amazon EKS 클러스터에 액세스하거나 AWS KMS 키 정책을 관리할 수 있도록 허용해야 합니다. 권한 집합이 이 역할을 맡을 수 있어야 합니다. 이렇게 하면 권한 세트의 역할이 변경되면aws-auth ConfigMap또는 AWS KMS 키 정책ARN에서에 ARN 대한 참조를 업데이트할 수 있습니다. 다음 섹션에서는에서 생성된 역할에 대한 신뢰 정책을 생성하는 방법의 예를 제공합니다IAM.AdministratorAccess권한 집합으로만 역할을 수임할 수 있습니다.
사용자 지정 신뢰 정책 예
다음은에서 생성된 역할에 액세스할 수 있는 AdministratorAccess 권한 세트를 제공하는 사용자 지정 신뢰 정책의 예입니다IAM. 다음은 이 정책의 주요 요소입니다.
-
이 신뢰 정책의 보안 주체 요소는 AWS 계정 보안 주체를 지정합니다. 이 정책에서
sts:AssumeRole권한이111122223333있는 AWS 계정의 보안 주체는에서 생성된 역할을 수임할 수 있습니다IAM. -
Condition element이 신뢰 정책의는에서 생성된 역할을 수임할 수 있는 보안 주체에 대한 추가 요구 사항을 지정합니다IAM. 이 정책에서 다음 역할을 가진 권한 세트가 역할을 수임할 ARN 수 있습니다.arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"참고
Condition요소에는ArnLike조건 연산자가 포함되며 고유한 접미사가 ARN아닌 권한 세트 역할의 끝에 와일드카드를 사용합니다. 즉, 권한 세트의 역할이 변경IAM되더라도 정책은 권한 ARN 세트가에서 생성된 역할을 수임하도록 허용합니다.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*" } } } ] }이러한 정책에 IAM에서 생성하는 역할을 포함하면 권한 세트 AWS KMS keys또는 권한 세트에 대한 모든 할당이 실수로 삭제되고 다시 생성되는 경우 Amazon EKS 클러스터 또는 기타 AWS 리소스에 대한 긴급 액세스 권한이 제공됩니다.
