IAM Identity Center 서비스 연결 역할 사용 - AWS IAM Identity Center

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM Identity Center 서비스 연결 역할 사용

AWS IAM Identity Center 는 AWS Identity and Access Management (IAM) 서비스 연결 역할을 사용합니다. 서비스 연결 역할은 IAM Identity Center에 직접 연결된 고유한 유형의 IAM 역할입니다. IAM Identity Center에서 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다. 자세한 내용은 IAM Identity Center의 서비스 연결 역할 이해 단원을 참조하십시오.

필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할은 IAM Identity Center을 더 쉽게 설정할 수 있습니다. IAM Identity Center가 서비스 연결 역할의 권한을 정의하므로 다르게 정의되지 않은 한, IAM Identity Center만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔티티에 연결할 수 없습니다.

서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 IAM으로 작업하는AWS 서비스를 참조해 서비스 연결 역할(Service-Linked Role) 열이 예(Yes)인 서비스를 찾으세요. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 링크가 있는 를 선택합니다.

IAM Identity Center에 대한 서비스 연결 역할 권한

IAM Identity Center는 AWSServiceRoleForSSO라는 서비스 연결 역할을 사용하여 IAM Identity Center에 사용자를 대신하여 IAM 역할, 정책 및 SAML IdP를 포함한 AWS 리소스를 관리할 수 있는 권한을 부여합니다.

AWSServiceRoleForSSO 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.

  • IAM Identity Center(서비스 접두사: sso)

AWSServiceRoleForSSO 서비스 연결 역할 권한 정책에 따라 IAM Identity Center는 “/aws-reserved/sso.amazonaws.com/” 경로에서 이름 접두사가 “AWSReserveDsso_”인 역할에 대해 다음과 같은 작업을 수행할 수 있습니다.

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:DeleteRole

  • iam:DeleteRolePermissionsBoundary

  • iam:DeleteRolePolicy

  • iam:DetachRolePolicy

  • iam:GetRole

  • iam:ListRolePolicies

  • iam:PutRolePolicy

  • iam:PutRolePermissionsBoundary

  • iam:ListAttachedRolePolicies

AWSServiceRoleForSSO 서비스 연결 역할 권한 정책은 IAM Identity Center가 이름 접두사가 “AWSSSSO_”인 SAML 제공업체에서 다음을 완료하도록 허용합니다.

  • iam:CreateSAMLProvider

  • iam:GetSAMLProvider

  • iam:UpdateSAMLProvider

  • iam:DeleteSAMLProvider

AWSServiceRoleForSSO 서비스 연결 역할 권한 정책은 모든 조직에서 IAM Identity Center의 다음을 완료하도록 허용합니다.

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:ListAccounts

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:ListDelegatedAdministrators

AWSServiceRoleForSSO 서비스 연결 역할 권한 정책은 모든 IAM 역할에서 IAM Identity Center의 다음을 완료하도록 허용합니다(*).

  • iam:listRoles

AWSServiceRoleForSSO 서비스 연결 역할 권한 정책은 IAM Identity Center가 “arn:aws:iam: :role/AWS-ServiceRole/AWS-ServiceRoleForSSO/AWSServiceRoleForSSO”에서 다음을 완료하도록 허용합니다.

  • iam:GetServiceLinkedRoleDeletionStatus

  • iam:DeleteServiceLinkedRole

역할 권한 정책은 IAM Identity Center가 리소스에서 다음 작업을 완료하도록 허용합니다.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"IAMRoleProvisioningActions", "Effect":"Allow", "Action":[ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRolePermissionsBoundary", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription", "iam:UpdateAssumeRolePolicy" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ], "Condition":{ "StringNotEquals":{ "aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}" } } }, { "Sid":"IAMRoleReadActions", "Effect":"Allow", "Action":[ "iam:GetRole", "iam:ListRoles" ], "Resource":[ "*" ] }, { "Sid":"IAMRoleCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ] }, { "Sid":"IAMSLRCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus", "iam:DeleteRole", "iam:GetRole" ], "Resource":[ "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO" ] }, { "Sid": "IAMSAMLProviderCreationAction", "Effect": "Allow", "Action": [ "iam:CreateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ], "Condition": { "StringNotEquals": { "aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMSAMLProviderUpdateAction", "Effect": "Allow", "Action": [ "iam:UpdateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Sid":"IAMSAMLProviderCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteSAMLProvider", "iam:GetSAMLProvider" ], "Resource":[ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource":[ "*" ] }, { "Sid":"AllowUnauthAppForDirectory", "Effect":"Allow", "Action":[ "ds:UnauthorizeApplication" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeForDirectory", "Effect":"Allow", "Action":[ "ds:DescribeDirectories", "ds:DescribeTrusts" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeAndListOperationsOnIdentitySource", "Effect":"Allow", "Action":[ "identitystore:DescribeUser", "identitystore:DescribeGroup", "identitystore:ListGroups", "identitystore:ListUsers" ], "Resource":[ "*" ] } ] }

IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 링크 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 권한을 참조하세요.

IAM Identity Center에 대한 서비스 연결 역할 생성

서비스 링크 역할은 수동으로 생성할 필요가 없습니다. 활성화되면 IAM Identity Center는 AWS Organizations의 조직 내 모든 계정에 서비스 연결 역할을 생성합니다. 또한 IAM Identity Center는 이후에 조직에 추가되는 모든 계정에 동일한 서비스 연결 역할을 생성합니다. 이 역할을 통해 IAM Identity Center는 사용자를 대신하여 각 계정의 리소스에 액세스할 수 있습니다.

참고
  • AWS Organizations 관리 계정에 로그인한 경우 서비스 연결 역할이 아닌 현재 로그인한 역할을 사용합니다. 이렇게 하면 권한이 에스컬레이션되는 것을 방지할 수 있습니다.

  • IAM Identity Center가 AWS Organizations 관리 계정에서 IAM 작업을 수행하면 모든 작업은 IAM 보안 주체의 자격 증명을 사용하여 수행됩니다. 이렇게 하면 CloudTrail의 로그에서 누가 관리 계정의 모든 권한을 변경했는지 파악할 수 있습니다.

중요

IAM Identity Center 서비스가 서비스 연결 역할을 지원하기 시작한 2017년 12월 7일 이전에 이 서비스를 사용 중이었다면 IAM Identity Center에서 사용자 계정에 AWSServiceRoleForSSO 역할을 이미 생성했습니다. 자세한 내용은 내 IAM 계정에 표시되는 새 역할을 참조하세요.

이 서비스 연결 역할을 삭제한 다음 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다.

IAM Identity Center에 대한 서비스 연결 역할 편집

IAM Identity Center에서는 AWSServiceRoleForSSO 서비스 연결 역할을 편집할 수 없습니다. 서비스 링크 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 편집을 참조하세요.

IAM Identity Center에 대한 서비스 연결 역할 삭제

AWSServiceRoleForSSO 역할을 수동으로 삭제하지 않아도 됩니다. AWS 조직에서이 제거되면 IAM Identity Center AWS 계정 는 리소스를 자동으로 정리하고 해당 리소스에서 서비스 연결 역할을 삭제합니다 AWS 계정.

또한 IAM 콘솔, IAM CLI 또는 IAM API를 사용하여 서비스 연결 역할을 수동으로 삭제할 수 있습니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.

참고

리소스를 삭제하려 할 때 IAM Identity Center 서비스가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

AWSServiceRoleForSSO에서 사용하는 IAM Identity Center 리소스를 삭제하려면
  1. AWS 계정에 액세스할 수 있는 모든 사용자 및 그룹용 AWS 계정에 대한 사용자 및 그룹 액세스를 제거.

  2. AWS 계정와 연결한 IAM Identity Center에서 권한 세트 삭제.

IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.

IAM 콘솔, IAM CLI 또는 IAM API를 사용하여 AWSServiceRoleForSSO 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 삭제 섹션을 참조하십시오.