IAM 임시 위임 - AWS Identity and Access Management
개요임시 위임 작동 방식위임 요청의 권한 관리

IAM 임시 위임

개요

임시 위임은 온보딩을 가속화하고 AWS 계정과 통합되는 Amazon 및 AWS 파트너의 제품 관리를 간소화합니다. 여러 AWS 서비스를 수동으로 구성할 필요 없이, 자동화된 배포 워크플로를 통해 제품 제공업체가 몇 분 만에 사용자를 대신하여 설정 작업을 완료할 수 있도록 허용하는 제한된 임시 권한을 위임할 수 있습니다. 사용자가 승인 요구 사항 및 권한 경계를 통해 관리 통제권을 유지하며, 제품 제공업체 권한은 수동 정리 없이 승인된 기간 후에 자동으로 만료됩니다. 제품에 지속적인 작업에 대한 지속적인 액세스가 필요한 경우 공급자는 임시 위임을 사용하여 역할의 최대 권한을 정의하는 권한 경계가 있는 IAM 역할을 생성할 수 있습니다. 모든 제품 제공업체 활동은 규정 준수 및 보안 모니터링을 위해 AWS CloudTrail을 통해 추적됩니다.

참고

임시 위임 요청은 기능 온보딩 프로세스를 완료한 Amazon 제품 및 적격 AWS 파트너만 생성할 수 있습니다. 고객은 이러한 요청을 검토하고 승인하지만 직접 생성할 수는 없습니다. IAM 임시 위임을 제품에 통합하려는 AWS 파트너의 경우 온보딩 및 통합 지침은 파트너 통합 가이드를 참조하세요.

임시 위임 작동 방식

임시 위임을 통해 Amazon과 AWS 파트너는 계정에 대한 일시적이고 제한된 액세스를 요청할 수 있습니다. 승인되면 위임된 권한을 사용하여 사용자 대신 작업을 수행할 수 있습니다. 위임 요청은 제품 제공업체가 AWS 계정에서 리소스를 배포하거나 구성하는 데 필요한 AWS 서비스 및 작업에 대한 특정 권한을 정의합니다. 이러한 권한은 제한된 시간 동안만 사용할 수 있으며 요청에 지정된 기간이 지나면 자동으로 만료됩니다.

참고

위임된 액세스의 최대 기간은 12시간입니다. 하지만 루트 사용자는 4시간 이하의 기간으로만 위임 요청을 승인할 수 있습니다. 요청이 4시간 이상을 지정하는 경우 루트가 아닌 ID를 사용하여 요청을 승인해야 합니다. 자세한 내용은 권한 시뮬레이션 베타 기능을 참조하세요.

Amazon S3 버킷에서 읽기 등의 진행 중인 작업의 경우, 위임 요청에는 임시 액세스가 만료된 후 리소스 및 작업에 대한 지속적인 액세스를 허용하는 IAM 역할 생성이 포함될 수 있습니다. 제품 제공업체는 임시 위임을 통해 생성된 모든 IAM 역할에 권한 경계를 연결해야 합니다. 권한 경계는 역할의 최대 권한을 제한하되, 자체적으로 권한을 부여하지는 않습니다. 권한 경계를 승인하기 전에 요청의 일부로 검토할 수 있습니다. 자세한 내용은 권한 경계를 참조하세요.

이 프로세스는 다음과 같이 작동합니다.

  1. Amazon 또는 AWS 파트너 제품에 로그인하여 AWS 환경과 통합합니다.

  2. 제품 제공업체는 사용자를 대신하여 위임 요청을 시작하고 사용자를 AWS Management Console로 리디렉션합니다.

  3. 요청된 권한을 검토하고 요청을 승인할지, 거부할지, 아니면 관리자에게 전달할지 결정합니다.

  4. 사용자 또는 관리자가 요청을 승인하면 제품 제공업체는 필요한 작업을 수행하기 위해 승인자의 임시 자격 증명을 얻을 수 있습니다.

  5. 지정된 기간이 지나면 제품 제공업체 액세스가 자동으로 만료됩니다. 하지만 임시 위임 요청을 통해 생성된 모든 IAM 역할은 이 기간 이후에도 유지되므로, 제품 제공업체는 지속적인 관리 작업을 위해 리소스 및 작업에 계속 액세스할 수 있습니다.

참고

임시 위임 요청에 포함된 서비스 및 작업에 대한 권한이 있는 경우에만 제품 제공업체에 권한을 위임할 수 있습니다. 요청된 서비스 및 작업에 액세스할 수 없는 경우 요청을 승인할 때 제품 제공업체는 이러한 권한을 받지 않습니다.

권한 검사에 성공할 가능성이 있는 것으로 표시되면 임시 위임 요청을 승인하고 워크플로를 계속 진행할 수 있습니다.

권한 검사에 충분한 권한이 없는 것으로 표시되면 승인을 위해 관리자에게 요청을 전달합니다. 이메일이나 티켓과 같은 선호하는 방법을 사용하여 이 요청에 대해 관리자에게 알리는 것이 좋습니다.

관리자가 요청을 승인하면 다음 단계는 제품 제공업체의 구성에 따라 달라집니다.

  • 제품 제공업체가 즉시 액세스를 요청하면 자동으로 임시 권한을 받고 액세스 기간이 시작됩니다.

  • 제품 제공업체가 소유자(최초 수신자)의 릴리스를 요청한 경우 액세스 기간이 시작되기 전에 요청으로 돌아가 임시 계정 액세스를 명시적으로 공유해야 합니다. 제품 제공업체는 일반적으로 필요한 작업을 완료하기 위해 리소스 선택 또는 구성 세부 정보와 같은 추가 입력이 필요한 경우 이 옵션을 사용합니다.

위임 요청의 권한 관리

관리자는 IAM 위탁자에게 제품 제공업체의 위임 요청을 관리할 수 있는 권한을 부여할 수 있습니다. 이는 조직의 특정 사용자 또는 팀에 승인 권한을 위임하려는 경우 또는 위임 요청에 대해 특정 작업을 수행할 수 있는 사용자를 제어해야 하는 경우에 유용합니다.

위임 요청을 관리하는 데 사용 가능한 IAM 권한은 다음과 같습니다.

권한 설명
iam:AssociateDelegationRequest 할당되지 않은 위임 요청을 AWS 계정과 연결
iam:GetDelegationRequest 위임 요청의 세부 정보 보기
iam:UpdateDelegationRequest 승인을 위해 관리자에게 위임 요청 전달
iam:AcceptDelegationRequest 위임 요청 승인
iam:SendDelegationToken 승인 후 교환 토큰을 제품 제공업체에 릴리스
iam:RejectDelegationRequest 위임 요청 거부
iam:ListDelegationRequests 계정에 대한 위임 요청 나열
참고

기본적으로 위임 요청을 시작하는 IAM 위탁자에게는 해당 특정 요청을 관리할 수 있는 권한이 자동으로 부여됩니다. 계정과 연결하고, 요청 세부 정보를 보고, 요청을 거부하고, 승인을 위해 관리자에게 전달하고, 관리자 승인 후 제품 제공업체에 교환 토큰을 릴리스하고, 자신이 소유한 위임 요청을 나열할 수 있습니다.