리소스 정책, Amazon EKS Cluster 구성 맵 및 AWS KMS 키 정책의 권한 세트 참조 - AWS IAM Identity Center
액세스 중단 방지를 위한 권장 사항사용자 지정 신뢰 정책 예

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

리소스 정책, Amazon EKS Cluster 구성 맵 및 AWS KMS 키 정책의 권한 세트 참조

AWS 계정에 권한 세트를 할당하면 IAM Identity Center는 로 시작하는 이름의 역할을 생성합니다AWSReservedSSO_.

역할의 전체 이름과 Amazon 리소스 이름(ARN)은 다음 형식을 사용합니다.

명칭 ARN
AWSReservedSSO_permission-set-name_unique-suffix arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/aws-region/AWSReservedSSO_permission-set-name_unique-suffix

IAM Identity Center의 자격 증명 소스가 us-east-1에서 호스팅되는 경우 aws-region 의 ARN. 역할ARN의 전체 이름 및 는 다음 형식을 사용합니다.

명칭 ARN
AWSReservedSSO_permission-set-name_unique-suffix arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/AWSReservedSSO_permission-set-name_unique-suffix

예를 들어 데이터베이스 관리자에게 AWS 계정 액세스 권한을 부여하는 권한 세트를 생성하면 다음 이름과 로 해당 역할이 생성됩니다ARN.

명칭 ARN
AWSReservedSSO_DatabaseAdministrator_1234567890abcdef arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_1234567890abcdef

AWS 계정에서 이 권한 세트에 대한 모든 할당을 삭제하면 IAM Identity Center가 생성한 해당 역할도 삭제됩니다. 나중에 동일한 권한 세트에 새로 할당하면 IAM Identity Center는 권한 세트에 대한 새 역할을 생성합니다. 새 역할ARN의 이름 및 에는 서로 다른 고유한 접미사가 포함됩니다. 이 예제에서 고유한 접미사는 abcdef0123456789입니다.

명칭 ARN
AWSReservedSSO_DatabaseAdministrator_abcdef0123456789 arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_abcdef0123456789

새 이름과 ARN 역할의 접미사가 변경되면 원래 이름을 참조하는 정책이 로 바뀌 out-of-date어 해당 권한 세트를 사용하는 개인의 액세스가 중단ARN됩니다. 예를 들어, 역할에 ARN 대한 의 변경으로 인해 원본이 다음 구성에서 참조되는 경우 권한 세트 사용자의 액세스ARN가 중단됩니다.

  • 클러스터 액세스에 를 사용할 때 Amazon Elastic Kubernetes Service(AmazonEKS) 클러스터aws-auth ConfigMapaws-auth ConfigMap 파일.

  • AWS Key Management Service (AWS KMS) 키에 대한 리소스 기반 정책. 이 정책을 키 정책이라고도 합니다.

참고

Amazon EKS 클러스터에 대한 액세스를 관리하려면 Amazon 액세스 항목을 사용하는 것이 좋습니다EKS. 이렇게 하면 IAM 권한을 사용하여 Amazon EKS 클러스터에 액세스할 수 있는 보안 주체를 관리할 수 있습니다. Amazon EKS 액세스 항목을 사용하면 Amazon EKS 권한이 있는 IAM 보안 주체를 사용하여 에 연락하지 않고 클러스터에 대한 액세스를 다시 획득할 수 있습니다 AWS Support.

대부분의 AWS 서비스에 대한 리소스 기반 정책을 업데이트하여 권한 세트에 해당하는 역할ARN의 새 를 참조할 수 있지만, ARN 변경 사항이 EKS AWS KMS 있는 경우 Amazon IAM 및 에서 생성한 백업 역할이 있어야 합니다. Amazon EKS의 경우 백업 IAM 역할이 에 있어야 합니다aws-auth ConfigMap. 의 경우 키 정책에 존재 AWS KMS해야 합니다. aws-auth ConfigMap 또는 AWS KMS 키 정책을 업데이트할 수 있는 권한이 있는 백업 IAM 역할이 없는 경우 AWS Support 에 문의하여 해당 리소스에 대한 액세스 권한을 다시 획득하세요.

액세스 중단 방지를 위한 권장 사항

권한 세트에 해당하는 역할에 ARN 대한 의 변경으로 인한 액세스 중단을 방지하려면 다음을 수행하는 것이 좋습니다.

  • 하나 이상의 권한 집합 할당을 유지합니다.

    Amazon 의 경우 에서 참조하는 역할EKS, 의 키 정책 AWS KMS또는 다른 의 aws-auth ConfigMap 경우 리소스 기반 정책이 포함된 AWS 계정에서 이 할당을 유지합니다 AWS 서비스.

    예를 들어 EKSAccess 권한 세트를 생성하고 AWS 계정 ARN 에서 해당 역할을 참조하는 경우 해당 계정의 권한 세트에 관리 그룹을 111122223333영구적으로 할당합니다. 할당은 영구적이므로 IAM Identity Center는 해당 역할을 삭제하지 않으므로 이름 변경 위험이 제거됩니다. 관리자 그룹은 권한 상승 위험 없이 항상 액세스할 수 있습니다.

  • aws-auth ConfigMap 및 를 사용하는 Amazon EKS 클러스터의 경우 AWS KMS: 에서 생성한 역할을 포함합니다IAM.

    의 권한 세트에 ARNs 대한 역할을 Amazon EKS 클러스터aws-auth ConfigMap에 참조하거나 AWS KMS 키에 대한 키 정책에 참조하는 경우 에 생성한 역할도 하나 이상 포함하는 것이 좋습니다IAM. 역할은 Amazon EKS 클러스터에 액세스하거나 AWS KMS 키 정책을 관리할 수 있도록 허용해야 합니다. 권한 집합이 이 역할을 맡을 수 있어야 합니다. 이렇게 하면 권한 세트의 역할이 변경되면 aws-auth ConfigMap 또는 AWS KMS 키 정책ARN에서 에 ARN 대한 참조를 업데이트할 수 있습니다. 다음 섹션에서는 에서 생성된 역할에 대한 신뢰 정책을 생성하는 방법의 예를 제공합니다IAM. AdministratorAccess 권한 집합으로만 역할을 수임할 수 있습니다.

사용자 지정 신뢰 정책 예

다음은 에서 생성된 역할에 액세스할 수 있는 AdministratorAccess 권한 세트를 제공하는 사용자 지정 신뢰 정책의 예입니다IAM. 다음은 이 정책의 주요 요소입니다.

  • 이 신뢰 정책의 보안 주체 요소는 AWS 계정 보안 주체를 지정합니다. 이 정책에서 sts:AssumeRole 권한이 111122223333 있는 AWS 계정의 보안 주체는 에서 생성된 역할을 수임할 수 있습니다IAM.

  • Condition element 이 신뢰 정책의 는 에서 생성된 역할을 수임할 수 있는 보안 주체에 대한 추가 요구 사항을 지정합니다IAM. 이 정책에서 다음 역할을 가진 권한 세트가 역할을 수임할 ARN 수 있습니다.

    arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
    참고

    Condition 요소에는 ArnLike 조건 연산자가 포함되며 고유한 접미사가 ARN아닌 권한 세트 역할의 끝에 와일드카드를 사용합니다. 즉, 권한 세트의 역할이 변경IAM되더라도 정책은 권한 ARN 세트가 에서 생성된 역할을 수임하도록 허용합니다.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
        }
      }
    }
  ]
}

    이러한 정책에 IAM에서 생성한 역할을 포함하면 권한 세트 AWS KMS keys또는 권한 세트에 대한 모든 할당이 실수로 삭제되고 다시 생성되는 경우 Amazon EKS 클러스터 또는 기타 AWS 리소스에 대한 긴급 액세스 권한이 제공됩니다.