IAM 권한 및 역할 전환
1. 유저에게 직접 권한 주기
2. 그룹에게 권한 주기
3. 그룹에게 접근 권한을 주고, 역할 전환
1. 유저에게 직접 권한 주기
권한 추가를 누른다.
직접 정책 연결을 통해 권한을 부여한다.
관리자 권한을 선택하고 다음으로 넘어간다.
최종적으로 확인한다.
기존의 패스워드 변경 권한을 제외한 관리자 권한이 생긴것을 볼수 있다.
유저로 로그인하고, EC2 서비스를 확인해보자.
API를 잘 호출하고 있음을 볼수 있다.
이제 관리자 권한을 제거해보자.
추가한 관리자 권한을 선택하고 제거한다.
이제 다시 EC2 서비스를 확인해보자
권한이 없기에 API 오류가 나는것을 볼수 있다.
2. 그룹에게 권한 주기
좌측 IAM에서 사용자 그룹
우측에서 그룹을 생성한다.
그룹의 이름을 지정하고, 유저를 연결한다.
그룹에 관리자 권한을 부여하고 생성한다.
생성된 그룹에 유저가 포함되어있고,
위에서 추가한 관리자 권한이 있는것을 볼수 있다.
이제 그룹에 속한 유저로 접속하고 다시 EC2 서비스를 확인해보자.
보다시피 유저에게 권한이 없음에도 관리자 권한이 동작하는 것을 볼수 있다.
3. 역할 생성 및 역할 전환
다시 그룹에게 줬던 권한을 제거한다.
아무런 권한이 없는 것을 볼수 있다.
역할을 하나 생성한다.
좌측 IAM대시보드에서 역할을 선택한다.
우측에서 역할을 생성한다.
엔터티 유형을 AWS계정으로 선택한다.
선택 계정은 이 계정(root)로 지정한다.
생성하는 역할에 관리자 권한을 준다.
생성하는 역할에 이름을 지어주고, 설명을 적는다.
최종적으로 부여된 권한을 확인하고 역할을 생성한다.
역할 = SwitchRole이 생성됐다.
SwitchRole의 ARN을 복사한다.
이후 이 ARN은 전환 정책에 사용된다.
이제 역할 전환 정책을 생성하자.
IAM 대시보드에서 정책을 선택
우측에서 정책 선택
AWS 문서에서 찾은 역할 전환 Jason코드를 입력한다.
---
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::계정:role/SwitchRole"
}
]
}
...
리소스란에 위에서 복사한 SwitchRole의 ARN을 붙여 넣는다.
최종적으로 정책 이름(SwitchRole-Assume)을 정한다.
생성된 정책을 확인한다.
현재 생성한 정책은 지정된 Role에 접근하는 정책이다.
이 정책(SwitchRole-Assume)을 그룹(Groub01)에 부여한다.
이제 그룹에 속한 유저로 로그인한다.
역할 전환을 통해 역할로서 접근한다.
계정에는 역할(SwitchRole)의 신뢰 엔터티에 등록된 본인 계정을 적는다.
역할에는 전환할 역할 이름을,
표시 이름은 전환시 보이는 태그다.
성공적으로 역할에 로그인한 모습을 볼수 있다.
또한 역할에 관리자 권한을 주었기에 EC2 서비스가 정상적으로 동작하는 걸 볼수 있다.
다시 전환 버튼을 통해 기존의 유저로 돌아온다.
현재 유저가 속한 그룹에는 관리자 권한이 없기에 EC2의 API 오류가 난걸 볼수 있다.
접근 순서
1. 유저(User01)은 그룹(Groub01)에 속한다.
2. 그룹(Groub01)에는 전환 정책(SwitchRole-Assume)을 가지고 있다.
3. 그룹이 가진 정책을 통해 역할(SwitchRole)에 접근한다.
4. 역할(SwitchRole)은 관리자 권한을 가지고 있기에 EC2 서비스를 이용 가능하다.
-막간-
역할(SwitchRole)에 신뢰 엔티티 추가(다른 계정)
다른 계정에서 ‘내’역할에 접근
다른계정에서 역할 전환
역할로 접근 확인
이런식으로 다른 계정에게 역할에 대한 접근을 허가를 통해 접속 및 권한을 부여할수도 있다.
'AWS > IAM' 카테고리의 다른 글
| IAM 유저 생성 및 콘솔 로그인 (0) | 2023.09.25 |
|---|
