IAM을 사용하여 다른 AWS 계정의 리소스에 액세스하려면 어떻게 해야 합니까?

3분 분량
0

다른 AWS 계정의 AWS Identity and Access Management(IAM) 역할에 대한 교차 계정 액세스를 설정하려고 합니다.

간략한 설명

다른 AWS 계정의 리소스에 액세스하려면 IAM 역할과 신뢰 관계를 설정합니다.

예를 들어 소스 계정에서 대상 계정에 액세스하려고 합니다. 소스에서 대상 계정으로 IAM 역할을 맡기려면 AssumeRole API에 대한 IAM 사용자 권한을 제공합니다. 대상 IAM 역할의 신뢰 관계에서 IAM 사용자를 지정해야 합니다.

참고: 역할 체인을 사용한 사용자-역할 연결을 사용하는 대신 소스 IAM 역할에서 대상 IAM 역할에 역할을 맡길 수도 있습니다. 역할 체인은 AWS Command Line Interface(AWS CLI) 또는 API와 같은 프로그래밍 방식 액세스에서만 작동합니다. 역할 변경은 AWS Management Console에서 사용할 수 없습니다.

해결 방법

IAM을 사용하여 다른 AWS 계정의 리소스에 액세스하려면 다음 작업을 수행하십시오.

참고: AWS CLI 명령을 실행할 때 오류가 발생하면 AWS CLI의 오류 문제 해결을 참조하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.

소스 계정

다음 단계를 완료하십시오.

  1. JSON 편집기를 사용하여 다음 예와 비슷한 IAM 정책을 생성합니다.

    참고: DESTINATION-ACCOUNT-IDDESTINATION-ROLENAME을 해당 값으로 바꾸십시오.

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "sts:AssumeRole"
          ],
          "Resource": [
            "arn:aws:iam::DESTINATION-ACCOUNT-ID:role/DESTINATION-ROLENAME"
          ]
        }
      ]
    }
  2. IAM 정책을 IAM 사용자 권한에 연결합니다.

대상 계정

다음 단계를 완료하십시오.

  1. 콘솔에서 IAM 역할을 생성합니다.

  2. 다음과 비슷한 사용자 지정 신뢰 정책을 붙여넣습니다.

    참고: SOURCE-ACCOUNT-IDSOURCE-USERNAME을 자체 값으로 바꾸십시오.

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::SOURCE-ACCOUNT-ID:user/SOURCE-USERNAME"
          },
          "Action": "sts:AssumeRole"
        }
      ]
    }

참고: IAM 역할 및 사용자를 생성하고 편집할 수 있는 액세스 권한이 없는 경우 계정 소유자의 도움을 받아 프로세스를 완료하십시오. 신뢰할 수 있는 엔터티만 액세스할 수 있도록 계정 및 리소스에 대한 액세스를 제한하는 것이 좋습니다.

필요한 만큼 많은 소스 엔터티를 대상 역할에 할당할 수 있도록 이 정책을 수정할 수 있습니다. 예를 들어 대상 계정 신뢰 정책의 Principal 값을 **"AWS": "SOURCE-ACCOUNT-ID"**로 변경할 수 있습니다. 이렇게 하면 역할을 맡을 권한이 있는 소스 계정의 모든 엔터티가 대상 계정 역할을 맡을 수 있습니다. 자세한 내용은 위탁자 지정 방법정책 생성 또는 편집을 참조하십시오.

액세스 테스트

액세스를 테스트하려면 사용자에서 IAM 역할로 전환(콘솔) 또는 IAM 역할로 전환(AWS CLI)의 지침을 따르십시오. 자세한 내용은 IAM 자습서: IAM 역할을 사용하여 AWS 계정 전체에 대한 액세스 위임을 참조하십시오.

관련 정보

AWS CLI를 사용하여 IAM 역할을 맡으려면 어떻게 해야 합니까?

IAM 정책을 생성하거나 업데이트했는데 "Has prohibited field Principal" 오류가 발생했습니다. 이 문제를 해결하려면 어떻게 해야 합니까?

Amazon S3 버킷에 있는 객체에 교차 계정 액세스를 제공하려면 어떻게 해야 합니까?

교차 계정 IAM 역할을 맡으려고 할 때 "AccessDenied" 또는 "잘못된 정보" 오류를 해결하려면 어떻게 해야 합니까?