IAM ID 기반 정책을 사용하여 특정 IAM 역할 세션에 대한 액세스를 제한하려면 어떻게 해야 합니까?
ID 기반 정책을 사용하여 특정 AWS Identity and Access Management(IAM) 역할 세션에 권한을 부여하려고 합니다.
해결 방법
특정 IAM 역할 세션에 대한 액세스를 허용하는 IAM 정책을 만들려면 AWS 전역 조건 컨텍스트 키 aws:userid를 사용하십시오.
참고: AWS Command Line Interface(AWS CLI) 명령 실행 시 오류가 발생하는 경우, AWS CLI 오류 해결을 참조하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.
aws:userid 전역 조건 키는 요청을 보내는 위탁자의 고유 ID가 IAM 정책에 지정된 고유 ID와 일치하는지 여부를 확인합니다. 예를 들어 IAM 역할 세션이 AWS 계정에서 특정 Amazon Elastic Compute Cloud(Amazon EC2) 작업을 수행할 수 있도록 허용하려면 IAM 정책을 만드십시오.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowASpecificRoleSession", "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances", "ec2:RebootInstances", "ec2:TerminateInstances" ], "Resource": "*", "Condition": { "StringEquals": { "aws:userid": "AROA123456789EXAMPLE:&ExampleRoleSessionName" } } } ] }
참고: aws:userid를 역할의 고유 ID 및 세션 이름으로 바꾸십시오.
위의 IAM 정책은 Amazon EC2 인스턴스에 aws:userid 전역 조건 키의 IAM 역할 세션에 대한 액세스 권한을 부여합니다. 다른 역할 세션은 Amazon EC2 작업을 수행할 수 없습니다.
IAM 역할의 역할 ID를 가져오려면 get-role AWS CLI 명령을 실행합니다.
aws iam get-role --role-name role_name
참고: role_name을 역할 이름으로 바꾸십시오.
다음과 유사한 출력이 표시됩니다.
{ "Role": { "Path": "/", "RoleName": "Test-Role", "RoleId": "AROA123456789EXAMPLE", "Arn": "arn:aws:iam::444455556666:role/Role", "CreateDate": "2023-08-04T12:37:14+00:00", "AssumeRolePolicyDocument": "URL-encoded-JSON", "Description": "Test Role", "MaxSessionDuration": 3600, "RoleLastUsed": { "Region": "us-east-1", "LastUsedDate": "2025-10-27T12:36:29+00:00" } } }
출력에서 RoleId 문자열을 확인합니다. 역할 ID는 ID 기반 정책에서 IAM 역할 세션에 대한 Amazon EC2 인스턴스의 액세스 범위를 지정하는 데 사용됩니다.
참고: aws:userid 전역 조건 키는 ID 기반 정책, 리소스 기반 정책, 권한 경계 정책과 같은 모든 유형의 IAM 정책에서 사용할 수 있습니다. aws:userid 전역 조건 키의 값은 요청을 시작하는 위탁자 유형에 따라 달라집니다. 여러 유형의 위탁자에 대한 값을 결정하려면 위탁자 키 값을 참조하십시오.
관련 정보
특정 Amazon EC2 리소스에 대한 IAM ID 액세스를 제한하려면 어떻게 해야 합니까?
IAM 정책 태그를 사용하여 EC2 인스턴스 또는 EBS 볼륨의 만들기 및 액세스 방법을 제한하려면 어떻게 해야 합니까?
- 언어
- 한국어
관련 콘텐츠
- 질문됨 2년 전
