임시 위임 요청 시작 - AWS Identity and Access Management
권한 시뮬레이션 기능 - 베타다음 단계

임시 위임 요청 시작

지원되는 Amazon 또는 AWS 파트너 제품에서만 임시 위임 요청을 시작할 수 있습니다. 임시 위임을 지원하는 워크플로 중에 제품 제공업체에 계정에서 필요한 AWS 리소스를 구성할 수 있는 일시적이고 제한된 권한을 부여하라는 메시지가 표시됩니다. 이 자동화된 접근 방식을 사용하면 이러한 리소스를 수동으로 구성할 필요가 없으므로 보다 간소화된 환경이 제공됩니다.

액세스 권한을 부여하기 전에 제품 제공업체에 필요한 특정 IAM 역할, 정책 및 AWS 서비스와 같은 위임 요청 세부 정보를 검토할 수 있습니다. 충분한 권한이 있는 경우 직접 요청을 승인하거나 계정 관리자에게 요청을 전달하여 승인을 받을 수 있습니다. 모든 제품 제공업체 액세스는 시간 제한이 있으며 필요에 따라 모니터링하고 취소할 수 있습니다.

임시 위임 요청을 시작하려면

  1. AWS 계정과의 통합이 필요한 Amazon 또는 AWS 파트너가 지원하는 제품의 콘솔로 이동합니다.

  2. IAM 임시 위임으로 배포를 선택합니다. 옵션 이름은 지원되는 제품마다 다를 수 있습니다. 자세한 내용은 제품 제공업체의 설명서를 참조하세요.

    참고

    AWS Management Console에 아직 로그인하지 않은 경우 AWS 로그인 페이지에 새 창이 열립니다. 제품 콘솔에서 임시 위임 요청을 시작하기 전에 AWS 계정에 로그인하는 것이 좋습니다. 사용자 유형 및 액세스하려는 AWS 리소스에 따라 로그인하는 방법에 대한 자세한 내용은 AWS 로그인 사용 설명서를 참조하세요.

  3. 요청 세부 정보를 검토하여 제품 제공업체의 제품 이름 및 AWS 계정을 확인합니다. 제품 제공업체가 사용자를 대신하여 작업을 수행하는 데 사용할 AWS ID를 검토할 수도 있습니다.

  4. 이 요청을 승인하여 임시로 위임할 권한에 대한 액세스 세부 정보를 검토합니다.

    • 권한 요약 섹션은 AI에서 생성한 개략적인 개요를 제공하므로, 액세스할 수 있는 AWS 서비스 범주와 각 서비스에서 수행할 수 있는 작업 유형을 이해하는 데 도움이 됩니다.

    • JSON 보기를 선택하여 액세스 범위, 리소스 제한 등, 제품 제공업체가 AWS 계정에 배포해야 하는 특정 권한을 검토합니다.

    • 제품 제공업체가 임시 위임 요청의 일부로 IAM 역할을 생성하는 경우 권한 경계를 역할에 연결해야 합니다. 이러한 IAM 역할에는 요청된 액세스 기간이 만료된 후에도 리소스 및 작업에 대한 액세스를 계속 허용하는 권한이 있습니다. 세부 정보 보기를 선택하여 역할이 가질 수 있는 최대 권한을 정의하는 권한 경계를 검토합니다. 제품 제공업체는 생성 중에 실제 권한을 정의하는 추가 정책을 역할에 적용합니다. 이러한 정책은 제품 제공업체가 정책을 정의하는 방식에 따라 경계보다 더 좁거나 광범위해 보일 수 있습니다. 하지만 권한 경계는 역할에 연결된 정책에 관계없이 역할의 유효 권한이 요청 승인 중에 표시되는 권한을 초과하지 않도록 보장합니다. 권한 경계에 대한 자세한 내용은 권한 경계를 참조하세요.

  5. 권한 시뮬레이션 결과를 검토합니다. 권한 시뮬레이션 기능은 요청에 포함된 권한을 기준으로 ID의 권한을 자동으로 평가합니다. 이 분석 결과를 바탕으로 현재 ID로 요청을 승인할지 아니면 관리자에게 요청을 전달할지 여부를 나타내는 권장 사항이 표시됩니다. 자세한 내용은 권한 시뮬레이션 베타 기능을 참조하세요.

  6. 대화 상자에서 진행 방법을 선택합니다.

    • ID에 제품 제공업체가 사용자를 대신하여 온보딩 절차를 수행할 수 있는 충분한 권한이 있는 경우 액세스 허용을 선택합니다. 이 옵션을 선택할 경우, 액세스를 제공하면 제품 제공업체의 액세스 기간이 시작됩니다.

    • ID에 제품 제공업체가 사용자를 대신하여 온보딩 절차를 수행할 수 있는 충분한 권한이 없는 경우 요청 승인을 선택합니다. 그런 다음 승인 요청 생성을 선택합니다. 이 옵션을 선택하면 계정 관리자와 공유할 수 있는 임시 위임 요청 링크가 생성됩니다. 관리자는 AWS Management Console에 액세스하거나 액세스 링크를 통해 임시 위임 요청을 검토하여 요청을 승인하고 요청자와 임시 액세스를 공유할 수 있습니다.

참고

제품 제공업체에 액세스 권한을 부여하려면 위임 요청 수락(AcceptDelegationRequest)과 교환 토큰 릴리스(SendDelegatedToken)라는 두 가지 작업이 필요합니다. AWS Management Console은 요청을 승인할 때 이 두 단계를 자동으로 수행합니다. AWS CLI 또는 API를 사용하는 경우 두 단계를 별도로 실행해야 합니다.

권한 시뮬레이션 기능 - 베타

임시 위임 요청을 받으면 직접 승인하거나 승인을 위해 계정 관리자에게 전달할 수 있습니다. 임시 위임 요청에 포함된 서비스 및 작업에 대한 권한이 있는 경우에만 제품 제공업체에 권한을 위임할 수 있습니다. 요청된 서비스 및 작업에 액세스할 수 없는 경우 제품 제공업체는 요청에 포함되어 있더라도 이러한 권한을 받지 못합니다.

예를 들어 임시 위임 요청에는 Amazon S3 버킷을 생성하고, Amazon EC2에서 인스턴스를 시작 및 중지하고, IAM 역할을 수임할 수 있는 기능이 필요합니다. 요청을 승인하는 ID는 Amazon EC2에서 인스턴스를 시작 및 중지하고 IAM 역할을 수임할 수 있지만 Amazon S3 버킷을 생성할 권한이 없습니다. 이 ID가 요청을 승인하면 제품 제공업체는 이러한 권한이 임시 위임 요청에 포함되었더라도 Amazon S3 버킷을 생성할 수 없습니다.

이미 보유한 권한만 위임할 수 있으므로 승인하기 전에 요청된 권한이 있는지 평가하는 것이 중요합니다. 권한 시뮬레이션 베타 기능은 권한을 요청에 포함된 권한과 비교하여 이 평가를 지원합니다. 평가는 현재 ID로 요청을 승인할 수 있는지 아니면 관리자에게 전달해야 하는지를 나타냅니다. 분석에서 충분한 권한이 있는지 확인할 수 없는 경우 검토를 위해 관리자에게 요청을 전달합니다. 이 평가는 시뮬레이션된 권한 분석을 기반으로 하며 라이브 AWS 환경과 다를 수 있으므로 진행하기 전에 요청된 권한을 주의 깊게 검토해야 합니다.

다음 단계

임시 위임 요청을 시작한 후 수명 주기 동안 요청을 관리하고 모니터링할 수 있습니다. 다음 절차는 임시 액세스를 추적, 승인 및 제어하는 데 도움이 됩니다.

  • 임시 위임 요청 검토 - 액세스 요청의 상태를 모니터링하고 임시 위임 요청을 승인하거나 거부하는 요청에 대한 자세한 정보를 봅니다.

  • 임시 위임 액세스 취소 - 활성 임시 위임 세션이 자연스럽게 만료되기 전에 즉시 종료합니다.