IAM Identity Center 서비스 연결 역할 사용
AWS IAM Identity Center은(는) AWS Identity and Access Management(IAM) service-linked roles(서비스 링크 역할)을 사용합니다. 서비스 연결 역할은 IAM Identity Center에 직접 연결된 고유한 유형의 IAM 역할입니다. 이는 IAM Identity Center에 의해 사전 정의되며 서비스에서 다른 AWS 서비스를 자동으로 호출하기 위해 필요한 모든 권한을 포함합니다. 자세한 내용은 IAM Identity Center 서비스 연결 역할 파악 단원을 참조하십시오.
필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할은 IAM Identity Center을 더 쉽게 설정할 수 있습니다. IAM Identity Center가 서비스 연결 역할의 권한을 정의하므로 다르게 정의되지 않은 한, IAM Identity Center만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 IAM으로 작업하는 AWS 서비스를 참조해 서비스 연결 역할(Service-Linked Role) 열이 예(Yes)인 서비스를 찾으세요. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 링크가 있는 예를 선택합니다.
IAM Identity Center에 대한 서비스 연결 역할 권한
IAM ID 센터는 AWSServiceRoleForSSO라는 서비스 연결 역할을 사용하여 IAM Identity Center에 사용자를 대신하여 IAM 역할, 정책 및 SAML IdP를 비롯한 AWS리소스를 관리할 수 있는 권한을 부여합니다.
AWSServiceRoleForSSO 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
-
IAM Identity Center(서비스 접두사:
sso
)
AWSServiceRoleForSSO 서비스 연결 역할 권한 정책에 따라 IAM Identity Center는 “/aws-reserved/sso.amazonaws.com/” 경로에서 이름 접두사가 “AWSReserveDsso_”인 역할에 대해 다음과 같은 작업을 수행할 수 있습니다.
-
iam:AttachRolePolicy
-
iam:CreateRole
-
iam:DeleteRole
-
iam:DeleteRolePermissionsBoundary
-
iam:DeleteRolePolicy
-
iam:DetachRolePolicy
-
iam:GetRole
-
iam:ListRolePolicies
-
iam:PutRolePolicy
-
iam:PutRolePermissionsBoundary
-
iam:ListAttachedRolePolicies
AWSServiceRoleForSSO 서비스 연결 역할 권한 정책은 IAM Identity Center가 이름 접두사가 “AWSSSSO_”인 SAML 제공업체에서 다음을 완료하도록 허용합니다.
-
iam:CreateSAMLProvider
-
iam:GetSAMLProvider
-
iam:UpdateSAMLProvider
-
iam:DeleteSAMLProvider
AWSServiceRoleForSSO 서비스 연결 역할 권한 정책은 모든 조직에서 IAM Identity Center의 다음을 완료하도록 허용합니다.
-
organizations:DescribeAccount
-
organizations:DescribeOrganization
-
organizations:ListAccounts
-
organizations:ListAWSServiceAccessForOrganization
-
organizations:ListDelegatedAdministrators
AWSServiceRoleForSSO 서비스 연결 역할 권한 정책은 모든 IAM 역할에서 IAM Identity Center의 다음을 완료하도록 허용합니다(*).
-
iam:listRoles
AWSServiceRoleForSSO 서비스 연결 역할 권한 정책은 IAM Identity Center가 “arn:aws:iam: :role/AWS-ServiceRole/AWS-ServiceRoleForSSO/AWSServiceRoleForSSO”에서 다음을 완료하도록 허용합니다.
-
iam:GetServiceLinkedRoleDeletionStatus
-
iam:DeleteServiceLinkedRole
역할 권한 정책은 IAM Identity Center가 리소스에서 다음 작업을 완료하도록 허용합니다.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"IAMRoleProvisioningActions", "Effect":"Allow", "Action":[ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRolePermissionsBoundary", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription", "iam:UpdateAssumeRolePolicy" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ], "Condition":{ "StringNotEquals":{ "aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}" } } }, { "Sid":"IAMRoleReadActions", "Effect":"Allow", "Action":[ "iam:GetRole", "iam:ListRoles" ], "Resource":[ "*" ] }, { "Sid":"IAMRoleCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ] }, { "Sid":"IAMSLRCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus", "iam:DeleteRole", "iam:GetRole" ], "Resource":[ "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO" ] }, { "Sid": "IAMSAMLProviderCreationAction", "Effect": "Allow", "Action": [ "iam:CreateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ], "Condition": { "StringNotEquals": { "aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMSAMLProviderUpdateAction", "Effect": "Allow", "Action": [ "iam:UpdateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Sid":"IAMSAMLProviderCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteSAMLProvider", "iam:GetSAMLProvider" ], "Resource":[ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource":[ "*" ] }, { "Sid":"AllowUnauthAppForDirectory", "Effect":"Allow", "Action":[ "ds:UnauthorizeApplication" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeForDirectory", "Effect":"Allow", "Action":[ "ds:DescribeDirectories", "ds:DescribeTrusts" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeAndListOperationsOnIdentitySource", "Effect":"Allow", "Action":[ "identitystore:DescribeUser", "identitystore:DescribeGroup", "identitystore:ListGroups", "identitystore:ListUsers" ], "Resource":[ "*" ] } ] }
IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 링크 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 권한을 참조하십시오.
IAM Identity Center에 대한 서비스 연결 역할 생성
서비스 링크 역할은 수동으로 생성할 필요가 없습니다. 활성화되면 IAM Identity Center는 AWS 조직의 조직 내 모든 계정에 서비스 연결 역할을 생성합니다. 또한 IAM Identity Center는 이후에 조직에 추가되는 모든 계정에 동일한 서비스 연결 역할을 생성합니다. 이 역할을 통해 IAM Identity Center는 사용자를 대신하여 각 계정의 리소스에 액세스할 수 있습니다.
참고
-
AWS Organizations 관리 계정에 로그인한 경우 서비스 연결 역할이 아닌 현재 로그인한 역할을 사용합니다. 이렇게 하면 권한이 에스컬레이션되는 것을 방지할 수 있습니다.
-
IAM Identity Center가 AWS Organizations 관리 계정에서 IAM 작업을 수행하는 경우 모든 작업은 IAM 보안 주체의 보안 인증을 사용하여 수행됩니다. 이렇게 하면 CloudTrail의 로그에서 누가 관리 계정의 모든 권한을 변경했는지 파악할 수 있습니다.
중요
IAM Identity Center 서비스가 서비스 연결 역할을 지원하기 시작한 2017년 12월 7일 이전에 이 서비스를 사용 중이었다면 IAM Identity Center에서 사용자 계정에 AWSServiceRoleForSSO 역할을 이미 생성했습니다. 자세한 내용은 내 IAM 계정에 표시되는 새 역할을 참조하세요.
이 서비스 연결 역할을 삭제한 다음 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다.
IAM Identity Center에 대한 서비스 연결 역할 편집
IAM Identity Center에서는 AWSServiceRoleForSSO 서비스 연결 역할을 편집할 수 없습니다. 서비스 링크 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 편집을 참조하십시오.
IAM Identity Center에 대한 서비스 연결 역할 삭제
AWSServiceRoleForSSO 역할을 수동으로 삭제하지 않아도 됩니다. AWS 계정가 AWS 조직에서 제거되면 IAM Identity Center는 리소스를 자동으로 정리하고 해당 AWS 계정에서 서비스 연결 역할을 삭제합니다.
또한 IAM 콘솔, IAM CLI 또는 IAM API를 사용하여 서비스 연결 역할을 수동으로 삭제할 수 있습니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.
참고
리소스를 삭제하려 할 때 IAM Identity Center 서비스가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.
AWSServiceRoleForSSO에서 사용하는 IAM Identity Center 리소스를 삭제하려면
-
AWS 계정에 액세스할 수 있는 모든 사용자 및 그룹용 AWS 계정에 대한 사용자 및 그룹 액세스를 제거.
-
AWS 계정와 연결한 IAM Identity Center에서 권한 세트 삭제.
IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면
IAM 콘솔, IAM CLI 또는 IAM API를 사용하여 AWSServiceRoleForSSO 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 삭제 섹션을 참조하십시오.