# 튜토리얼: IAM 역할을 사용한 AWS 계정 간 액세스 권한 위임
<a name="tutorial_cross-account-with-roles"></a>

**중요**  
 IAM [모범 사례](best-practices.md)는 장기 보안 인증 정보가 있는 IAM 사용자를 사용하는 대신, 인간 사용자가 자격 증명 공급자와의 페더레이션을 사용하여 임시 보안 인증으로 AWS에 액세스하도록 하는 것입니다. 페더레이션 사용자가 지원하지 않는 [특정 사용 사례](gs-identities-iam-users.md)에는 IAM 사용자만 사용하는 것이 좋습니다.

이 자습서에서는 역할을 사용하여 **Destination**과 **Originating**이라는 서로 다른 AWS 계정의 리소스에 대한 액세스 권한을 위임하는 방법을 설명합니다. 한 계정의 리소스는 다른 계정의 사용자와 공유합니다. 이러한 방식으로 크로스 계정 액세스를 설정하면 각 계정에 개별 IAM 사용자를 생성할 필요가 없습니다. 또한 사용자는 다른 AWS 계정의 리소스에 액세스하기 위해 한 계정에서 로그아웃하고 다른 계정에 로그인할 필요가 없습니다. 역할을 구성한 후에는 AWS Management Console, AWS CLI 및 API에서 역할을 사용하는 방법에 대해서도 알아봅니다.

이 자습서에서 **Destination** 계정은 다양한 애플리케이션과 팀이 액세스하는 애플리케이션 데이터를 관리합니다. 각 계정에서 Amazon S3 버킷에 애플리케이션 정보를 저장합니다. **Developers**와 **Analysts**라는 두 가지 IAM 사용자 역할이 있는 **Originating** 계정에서 IAM 사용자를 관리합니다. Developers와 Analysts는 **Originating** 계정을 사용하여 여러 마이크로서비스가 공유하는 데이터를 생성합니다. 두 역할 모두 Originating 계정에서 작업하고 이 계정의 리소스에 액세스할 수 있는 권한이 있습니다. 개발자는 종종 **Destination** 계정의 공유 데이터를 업데이트해야 합니다. 개발자는 이 데이터를 `amzn-s3-demo-bucket-shared-container`라는 Amazon S3 버킷에 저장합니다.

이 자습서의 마지막에서는 다음 항목을 갖게 됩니다.
+ **Destination** 계정의 특정 역할을 수임할 수 있는 **Originating** 계정(신뢰할 수 있는 계정)의 사용자.
+ 특정 Amazon S3 버킷에 액세스할 수 있는 **Destination** 계정(신뢰하는 계정)의 역할.
+ **Destination** 계정의 `amzn-s3-demo-bucket-shared-container` 버킷.

개발자들은 AWS Management Console에서 이 역할을 사용하여 **Destination** 계정의 `amzn-s3-demo-bucket-shared-container` 버킷에 액세스할 수 있습니다. 또한 역할을 통해 제공되는 임시 자격 증명으로 API 호출을 인증함으로써 버킷에 액세스하는 것도 가능합니다. 하지만 분석가가 이 역할을 사용하려는 비슷한 시도는 실패합니다.

이 워크플로우는 세 가지 기본 단계로 이루어집니다.

**[Destination 계정에 역할 생성](#tutorial_cross-account-with-roles-1)**  
먼저 AWS Management Console을 사용하여 **Destination** 계정(ID 번호 999999999999)과 **Originating** 계정(ID 번호 111111111111) 사이에 신뢰를 설정합니다. *UpdateData*라는 IAM 역할을 생성하여 시작합니다. 역할을 생성할 때 **Originating** 계정을 신뢰할 수 있는 엔터티로 정의하고 신뢰할 수 있는 사용자가 `amzn-s3-demo-bucket-shared-container` 버킷을 업데이트하는 것을 허용하는 권한 정책을 지정합니다.

**[역할에 대한 액세스 권한 부여](#tutorial_cross-account-with-roles-2)**  
이 섹션에서는 분석가들이 `UpdateData` 역할에 액세스하는 것을 거부하도록 역할 정책을 수정합니다. 분석가들은 이 시나리오에서 PowerUser 액세스 권한을 갖기 때문에 역할을 사용하지 못하도록 명시적으로 *거부*해야 합니다.

**[역할을 전환하여 액세스 테스트](#tutorial_cross-account-with-roles-3)**  
마지막으로, 개발자로서 `UpdateData` 역할을 사용하여 **Destination** 계정의 `amzn-s3-demo-bucket-shared-container` 버킷을 업데이트합니다. 이제 AWS 콘솔, AWS CLI 및 API를 통해 역할에 액세스할 수 있게 되었습니다.

## 고려 사항
<a name="tutorial_cross-account-with-roles-considerations"></a>

IAM 역할을 사용하여 AWS 계정 전반의 리소스 액세스를 위임하기 전에 다음 사항을 고려해야 합니다.
+ AWS 계정 루트 사용자로 로그인하면 역할을 바꿀 수 없습니다.
+ IAM 역할 및 리소스 기반 정책은 단일 파티션 내에서만 계정 간에 액세스 권한을 위임합니다. 예를 들어 표준 `aws` 파티션의 미국 서부(캘리포니아 북부)에 계정이 있다고 가정합니다. `aws-cn` 파티션의 중국(베이징)에도 계정이 있습니다. 중국(베이징)의 계정에서 Amazon S3 리소스 기반 정책을 사용하여 표준 `aws` 계정의 사용자에 대한 액세스를 허용할 수 없습니다.
+ AWS IAM Identity Center을 사용하면 SAML(Security Assertion Markup Language)을 사용한 외부 AWS 계정(사용자 AWS Organizations 외부의 계정)의 Single Sign-On(SSO)을 촉진할 수 있습니다. 자세한 내용은 [ Integrate external AWS 계정 into AWS IAM Identity Center for central access management with independent billing using SAML 2.0](https://community.aws/content/2dIMI8N7w7tGxbE0KQMrkSBfae4/aws-iam-identity-center-integration-with-external-aws-accounts-for-independent-billing?lang=en)을 참조하세요.
+ Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같은 AWS 리소스에 역할을 연결할 수 있습니다. 자세한 내용은 [AWS 서비스에 대한 권한을 위임할 역할 생성](id_roles_create_for-service.md)을 참조하세요.
+ 애플리케이션이 다른 AWS 계정의 역할을 수임하도록 하려면 크로스 계정 역할 수임에 AWS SDK를 사용할 수 있습니다. 자세한 내용은 *AWS SDK 및 도구 참조 안내서*의 [위임 및 액세스](https://docs.aws.amazon.com//sdkref/latest/guide/access.html)를 참조하세요.
+ AWS Management Console을 사용한 역할 전환은 `ExternalId`가 필요하지 않은 계정에서만 작동합니다. 예를 들어, 계정에 대한 액세스 권한을 타사에 부여하고 권한 정책의 `Condition` 요소에 `ExternalId`가 필요하다고 가정합니다. 이 경우 타사는 AWS API 또는 명령줄 도구를 사용해야만 계정에 액세스할 수 있습니다. `ExternalId`에 대한 값을 제공해야 하기 때문에 타사는 콘솔을 사용할 수 없습니다. 이 시나리오에 대한 자세한 정보는 [타사가 소유한 AWS 계정에 액세스](id_roles_common-scenarios_third-party.md) 및 AWS 보안 블로그의 [AWS Management Console에 대한 크로스 계정 액세스를 가능하게 하는 방법](https://aws.amazon.com/blogs/security/how-to-enable-cross-account-access-to-the-aws-management-console)을 참조하세요.

## 사전 조건
<a name="tutorial_cross-account-with-roles-prereqs"></a>

이 자습서에서는 다음을 이미 완료했다고 가정합니다.
+ 사용할 수 있는 **2개**의 개별 AWS 계정(**Originating** 계정을 대표하는 1개와 **Destination** 계정을 대표하는 1개).
+ **Originating** 계정에서 다음과 같이 생성 및 구성된 사용자 및 역할.  
****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html)
+ **Destination** 계정에는 사용자를 생성할 필요가 없습니다.
+ **Destination** 계정에서 생성된 Amazon S3 버킷. 이 자습서에서는 이를 `amzn-s3-demo-bucket-shared-container`(이)라고 부릅니다. 하지만 S3 버킷 이름은 전역에서 고유해야 하므로 다른 이름의 버킷을 사용해야 합니다.

## Destination 계정에 역할 생성
<a name="tutorial_cross-account-with-roles-1"></a>

한 AWS 계정의 사용자가 다른 AWS 계정의 리소스에 액세스하도록 허용할 수 있습니다. 이 자습서에서는 해당 리소스에 액세스할 수 있는 사용자와 해당 역할로 전환하는 사용자에게 부여할 권한을 정의하는 역할을 생성하여 액세스를 허용합니다.

자습서의 이 단계에서는 **Destination** 계정에서 역할을 생성하고 **Originating** 계정을 신뢰할 수 있는 엔터티로 지정합니다. 또한 역할 권한을 `amzn-s3-demo-bucket-shared-container` 버킷에 대한 읽기 및 쓰기 액세스 권한으로 제한합니다. 따라서 역할을 사용할 수 있는 권한을 받은 사용자는 누구나 `shared-container` 버킷에 대해 읽기나 쓰기가 가능합니다.

역할을 생성하기 전에 **Originating** AWS 계정의 *계정 ID*가 필요합니다. 각 AWS 계정은 할당된 고유 계정 ID 식별자를 갖습니다.

**Originating AWS 계정 ID를 가져오는 방법**

1. **Originating** 계정 관리자로 AWS Management Console에 로그인한 후 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.

1. IAM 콘솔에서 상단 오른쪽 모서리에 있는 탐색 표시줄에서 사용자 이름을 선택합니다. 일반적인 형식은 **{{username}}@{{account\_ID\_number\_or\_alias}}**입니다.

   이 시나리오에서는 **Originating** 계정에 계정 ID 111111111111을 사용할 수 있습니다. 그러나 테스트 환경에서 시나리오를 재구성하는 경우에는 유효한 계정 ID를 사용해야 합니다.

**Originating 계정이 사용할 수 있는 역할을 Destination 계정에 생성하는 방법**

1. **Destination** 계정 관리자로 에AWS Management Console 로그인한 후 IAM 콘솔을 엽니다.

1. 역할을 만들기 전에 먼저 해당 역할에 필요한 권한을 정의하는 관리형 정책을 준비합니다. 차후 단계에서 이 정책을 해당 역할에 연결합니다.

   `amzn-s3-demo-bucket-shared-container` 버킷에 대한 읽기 및 쓰기 액세스 권한을 설정하려고 합니다. AWS에 이미 몇 가지 Amazon S3 관리형 정책이 있지만, 단일 Amazon S3 버킷에 대한 읽기 및 쓰기 액세스가 가능한 정책은 없습니다. 대신에 사용자가 직접 정책을 생성할 수 있습니다.

   탐색 창에서 **정책**을 선택한 후 **정책 생성**을 선택합니다.

1. **JSON** 탭을 선택하고 다음 JSON 정책 문서에서 텍스트를 복사합니다. 이 텍스트를 **JSON** 텍스트 상자에 붙여 넣어 리소스 ARN(`arn:aws:s3:::shared-container`)을 실제 Amazon S3 버킷에 대한 ARN으로 바꿉니다.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "s3:ListAllMyBuckets",
         "Resource": "*"
       },
       {
         "Effect": "Allow",
         "Action": [
           "s3:ListBucket",
           "s3:GetBucketLocation"
          ],
         "Resource": "{{arn:aws:s3:::amzn-s3-demo-bucket-shared-container}}"
       },
       {
         "Effect": "Allow",
         "Action": [
           "s3:GetObject",
           "s3:PutObject",
           "s3:DeleteObject"
         ],
         "Resource": "{{arn:aws:s3:::amzn-s3-demo-bucket-shared-container/*}}"
       }
     ]
   }
   ```

------

   `ListAllMyBuckets` 작업은 요청의 인증된 발신자가 소유한 모든 버킷을 나열할 수 있는 권한을 부여합니다. `ListBucket`은 사용자가 `amzn-s3-demo-bucket-shared-container` 버킷에 저장되어 있는 객체를 볼 수 있는 권한입니다. `GetObject`, `PutObject` 및 `DeleteObject`는 사용자가 `amzn-s3-demo-bucket-shared-container` 버킷에 저장되어 있는 콘텐츠를 각각 보거나, 업데이트하거나, 삭제할 수 있는 권한입니다.
**참고**  
언제든지 **시각적** 편집기 옵션과 **JSON** 편집기 옵션 간에 전환할 수 있습니다. 그러나 변경을 적용하거나 **시각적** 편집기에서 **다음**을 선택한 경우 IAM은 시각적 편집기에 최적화되도록 정책을 재구성할 수 있습니다. 자세한 내용은 [정책 재구성](troubleshoot_policies.md#troubleshoot_viseditor-restructure) 섹션을 참조하세요.

1. **검토 및 생성** 페이지에서 정책 이름에 **read-write-app-bucket**을 입력합니다. 정책이 부여한 권한을 검토한 다음 **정책 생성**을 선택하여 작업을 저장합니다.

   새로운 정책이 관리형 정책 목록에 나타납니다.

1. 탐색 창에서 **역할**을 선택한 후 **역할 생성**을 선택합니다.

1. **AWS 계정** 역할 유형을 선택합니다.

1. **계정 ID**에 **Originating** 계정 ID를 입력합니다.

   이 자습서에서는 **Originating** 계정의 예제 ID **111111111111**을 사용합니다. 하지만 실제로는 유효한 계정 ID를 사용해야 합니다. **111111111111**과 같이 잘못된 계정 ID를 사용할 경우, IAM에서 새로운 역할을 생성할 수 없습니다.

   이 연습에서는 외부 ID를 요구하거나, 사용자가 역할을 위임하기 위해 멀티 팩터 인증(MFA)을 요구할 필요가 없습니다. 이러한 옵션을 선택하지 않은 상태로 두십시오. 자세한 내용은 [IAM의 AWS 다중 인증](id_credentials_mfa.md) 섹션을 참조하세요.

1. **다음: 권한**을 선택하여 역할과 연결된 권한을 설정합니다.

1. 이전에 생성한 정책 옆의 확인란을 선택하세요.
**도움말**  
**Filter(필터)**에서 **Customer managed(고객 관리형)**을 선택하여 생성한 정책만 포함하도록 목록을 필터링합다. 이렇게 하면 AWS에서 생성한 정책이 표시되지 않아서 필요한 정책을 쉽게 찾을 수 있습니다.

   그리고 **다음**을 선택합니다.

1. (선택 사항) 태그를 키-값 페어로 연결하여 메타데이터를 역할에 추가합니다. IAM에서의 태그 사용에 대한 자세한 내용은 [AWS Identity and Access Management 리소스용 태그](id_tags.md) 섹션을 참조하세요.

1. (선택 사항)**설명**에 새 역할에 대한 설명을 입력합니다.

1. 역할을 검토한 후 **역할 만들기**를 선택합니다.

    

   역할 목록에 `UpdateData` 역할이 표시됩니다.

이제 역할의 Amazon 리소스 이름(ARN), 즉 역할에 대한 고유 식별자를 얻어야 합니다. Originating 계정의 Developer 역할을 수정할 때 권한을 부여하거나 거부하려면 Destination 계정의 역할 ARN을 지정해야 합니다.

**UpdateData의 ARN을 가져오는 방법**

1. IAM 콘솔의 탐색 창에서 **역할**을 선택합니다.

1. 역할 목록에서 `UpdateData` 역할을 선택합니다.

1. 세부 정보 창의 **요약** 섹션에서 **역할 ARN** 값을 복사합니다.

   Destination 계정 ID는 999999999999입니다. 따라서 역할 ARN은 `arn:aws:iam::999999999999:role/UpdateData`입니다. Destination 계정의 실제 AWS 계정 ID를 제공해야 합니다.

이제 **Destination** 계정과 **Originating** 계정 간에 신뢰가 설정되었습니다. **Destination** 계정에서 **Originating** 계정을 신뢰할 수 있는 보안 주체로 식별하는 역할을 생성하여 이 작업을 수행했습니다. 그 밖에도 `UpdateData` 역할 전환 사용자의 권한까지 정의했습니다.

다음으로 Developer 역할의 권한을 수정합니다.

## 역할에 대한 액세스 권한 부여
<a name="tutorial_cross-account-with-roles-2"></a>

이 시점에는 Analysts와 Developers 모두 **Originating** 계정의 데이터를 관리할 수 있는 권한을 갖고 있습니다. 역할 전환에 필요한 권한을 추가하려면 다음의 몇 단계를 거쳐야 합니다.

**UpdateData 역할로 전환할 수 있도록 Developers 역할을 수정하는 방법**

1. **Originating** 계정에 관리자로 로그인한 다음 IAM 콘솔을 엽니다.

1. **역할**을 선택한 후 **Developers**를 선택합니다.

1. **권한(Permissions)** 탭을 선택하고 **권한 추가(Add permissions)**, **인라인 정책 생성(Create inline policy)**을 차례로 선택합니다.

1. **JSON** 탭을 선택합니다.

1. 아래 정책문을 추가하여 Destination 계정의 `UpdateData` 역할에 대한 `AssumeRole` 작업을 허용합니다. 이때 `Resource` 요소의 {{DESTINATION-ACCOUNT-ID}}를 Destination 계정의 실제 AWS 계정 ID로 변경해야 합니다.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": {
           "Effect": "Allow",
           "Action": "sts:AssumeRole",
           "Resource": "arn:aws:iam::{{111122223333}}:role/UpdateData"
       }
   }
   ```

------

   `Allow`는 Destination 계정에서 `UpdateData` 역할에 대한 Developers 그룹의 액세스를 명시적으로 허용하는 값입니다. 개발자라면 누구나 이 역할에 액세스할 수 있습니다.

1. **정책 검토**를 선택합니다.

1. **이름**에 **allow-assume-S3-role-in-destination**과 같은 사용자 이름을 입력합니다.

1. **정책 생성**을 선택합니다.

대부분 환경에서 다음과 같은 절차는 필요하지 않을 수 있습니다. 하지만 PowerUserAccess 권한을 사용하는 경우에는 역할 전환을 할 수 있는 그룹이 있을 수도 있습니다. 다음 절차는 Analysts 그룹이 역할을 수임할 수 없도록 Analysts 그룹에 `"Deny"` 권한을 추가하는 방법을 보여줍니다. 이 절차가 필요 없는 환경인 경우 추가하지 않는 것이 좋습니다. `"Deny"` 권한은 전체 권한 구조를 관리하고 이해하기가 더 복잡하게 만듭니다. `"Deny"` 권한은 더 좋은 방법이 없을 때만 사용하십시오.

**`UpdateData` 역할 수임 권한을 거부하도록 Analysts 역할을 수정하는 방법**

1. **역할**을 선택한 다음 **Analysts**를 선택합니다.

1. **권한(Permissions)** 탭을 선택하고 **권한 추가(Add permissions)**, **인라인 정책 생성(Create inline policy)**을 차례로 선택합니다.

1. **JSON** 탭을 선택합니다.

1. 다음 정책을 추가하여 `AssumeRole` 역할의 `UpdateData` 작업을 거부합니다. 이때 `Resource` 요소의 {{DESTINATION-ACCOUNT-ID}}를 Destination 계정의 실제 AWS 계정 ID로 변경해야 합니다.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": {
           "Effect": "Deny",
           "Action": "sts:AssumeRole",
           "Resource": "arn:aws:iam::{{111122223333}}:role/UpdateData"
       }
   }
   ```

------

   `Deny`는 Destination 계정에서 `UpdateData` 역할에 대한 Analysts 그룹의 액세스를 명시적으로 거부하는 값입니다. 이 역할에 액세스하려는 모든 분석가는 액세스 거부 메시지를 받습니다.

1. **정책 검토**를 선택합니다.

1. **deny-assume-S3-role-in-destination**과 같은 **이름**을 입력합니다.

1. **정책 생성**을 선택합니다.

Developers 역할은 이제 Destination 계정에서 `UpdateData` 역할을 사용할 수 있는 권한이 생겼습니다. Analysts 역할은 `UpdateData` 역할을 사용하지 못합니다.

다음으로 개발자인 David가 Destination 계정의 `amzn-s3-demo-bucket-shared-container` 버킷에 액세스하는 방법을 알아봅니다. David는 AWS Management Console, AWS CLI 또는 AWS API에서 버킷에 액세스할 수 있습니다.

## 역할을 전환하여 액세스 테스트
<a name="tutorial_cross-account-with-roles-3"></a>

이 자습서의 첫 두 단계를 완료하면 **Destination** 계정의 리소스에 대한 액세스 권한을 부여하는 역할이 생깁니다. 또한 **Originating** 계정에 역할 하나와 해당 역할을 사용할 수 있는 사용자도 생깁니다. 이 단계에서는 AWS Management Console, AWS CLI 및 AWS API에서 해당 역할로 전환을 테스트하는 방법을 설명합니다.

IAM 역할 작업 시 발생할 수 있는 공통적 문제에 대한 도움을 받으려면 [IAM 역할 문제 해결](troubleshoot_roles.md) 섹션을 참조하세요.

### 역할 전환(콘솔)
<a name="switch-tutorial_cross-account-with-roles"></a>

David가 AWS Management Console에서 **Destination** 계정의 데이터를 업데이트해야 할 경우 **역할 전환**을 사용하면 됩니다. David가 계정 ID나 별칭 및 역할 이름을 지정하면 David의 권한이 해당 역할에 허용되는 권한으로 즉시 전환됩니다. 그런 다음 David는 콘솔을 사용하여 `amzn-s3-demo-bucket-shared-container` 버킷으로 작업할 수 있지만 **Destination**의 다른 리소스로는 작업할 수 없습니다. David가 이 역할을 사용하는 동안에는 **Originating** 계정에서 파워 유저 권한도 사용할 수 없습니다. 한 번에 하나의 권한 집합만 적용할 수 있기 때문입니다.

IAM는 David가 **Switch Role(역할 전환)** 페이지를 시작하는 데 사용할 수 있는 두 가지 방법을 제공합니다.
+ David가 관리자로부터 미리 정의된 Switch Role 구성을 가리키는 링크를 받습니다. 이 링크는 **역할 생성** 마법사의 마지막 페이지 또는 크로스 계정 역할의 **Role Summary(역할 요약)** 페이지에서 관리자에게 제공됩니다. 이 링크를 선택하면 David는 **계정 ID(Account ID)** 및 **역할 이름(Role name)** 필드에 이미 정보가 채워진 **역할 전환(Switch Role)** 페이지로 이동됩니다. David는 **역할 전환**을 선택하기만 하면 됩니다.
+ 관리자가 이메일로 링크를 보내는 대신 **계정 ID** 번호 및 **역할 이름** 값을 보냅니다. 역할을 전환하려면 David가 값을 수동으로 입력해야 합니다. 다음 절차에 이 내용이 잘 설명되어 있습니다.

**역할 수임**

1. David가 **Originating** 계정의 일반 사용자로 AWS Management Console에 로그인합니다.

1. 관리자가 이메일로 보낸 링크를 선택합니다. 계정 ID나 별칭 및 역할 이름 정보가 이미 채워진 **역할 전환(Switch Role)** 페이지가 David에게 표시됩니다.

   —또는—

   David는 탐색 모음에서 자신의 이름(아이덴티티(Identity) 메뉴)을 선택한 후 **역할 전환(Switch Roles)**을 선택합니다.

   David가 이 방법으로 처음 Switch Role(역할 전환) 페이지 액세스를 시도하는 것이라면 첫 실행 **Switch Role(역할 전환)** 페이지가 표시됩니다. 이 페이지에는 역할 전환을 통해 사용자가 여러 AWS 계정의 리소스를 관리하는 방법에 대한 추가 정보가 제공됩니다. 이 절차의 나머지 부분을 완료하려면 David가 이 페이지에서 **Switch Role(역할 전환)**을 선택해야 합니다.

1. 다음으로, 해당 역할에 액세스하기 위해 David는 수동으로 Destination 계정 ID 번호(`999999999999`)와 역할 이름(`UpdateData`)을 입력해야 합니다.

   또한 David는 IAM에서 현재 활성 상태인 역할 및 관련 권한을 모니터링하려고 합니다. 이 정보를 추적하려면 **표시 이름(Display Name)** 텍스트 상자에 `Destination`을 입력하고 빨간색 옵션을 선택한 다음 **역할 전환(Switch Role)**을 선택합니다.

1. 이제 David는 Amazon S3 콘솔을 사용하여 Amazon S3 버킷으로 작업하거나 `UpdateData` 역할에 권한이 있는 다른 모든 리소스로 작업할 수 있습니다.

1. 완료되면 David는 원래 권한으로 돌아갈 수 있습니다. 이를 위해 탐색 모음에서 **Destination **역할 표시 이름을 선택한 다음 **Back to David @ 111111111111**을 선택합니다.

1. 다음에 David가 역할을 전환하려고 탐색 모음에서 **자격 증명** 메뉴를 선택하면 지난 번에 사용한 Destination 항목이 표시되는 것을 볼 수 있습니다. 계정 ID와 역할 이름을 다시 입력할 필요 없이 해당 항목을 선택하기만 하면 즉시 역할이 전환됩니다.

### 역할 전환(AWS CLI)
<a name="switch-cli-tutorial_cross-account-with-roles"></a>

 David가 명령줄에서 **Destination** 환경으로 작업해야 할 경우 [AWS CLI](https://aws.amazon.com/cli/)을 사용하면 됩니다. David는 `aws sts assume-role` 명령을 실행하고 역할 ARN을 전달하여 해당 역할에 대한 임시 보안 자격 증명을 얻습니다. 그런 다음 후속 AWS CLI 명령이 해당 역할의 권한을 사용하여 작동하도록 환경 변수에서 해당 자격 증명을 구성합니다. 한 번에 한 가지 권한 세트만 적용될 수 있기 때문에 David가 해당 역할을 사용하는 동안에는 **Originating** 계정의 파워 유저 권한을 사용할 수 없습니다.

모든 액세스 키와 토큰은 예시일 뿐이며 표시된 대로 사용할 수 없습니다. 라이브 환경의 적절한 값으로 바꾸세요.

**역할 수임**

1. David가 명령 프롬프트 창을 열고 다음 명령을 실행하여 AWS CLI 클라이언트가 작동하는지 확인합니다.

   ```
   aws help
   ```
**참고**  
David의 기본 환경에는 `David` 명령으로 만든 기본 프로필의 `aws configure` 사용자 자격 증명이 사용됩니다. 자세한 내용은 *AWS Command Line Interface 사용 설명서*의 [AWS Command Line Interface 구성](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html#cli-quick-configuration)을 참조하세요.

1. David가 **Destination** 계정의 `UpdateData` 역할로 전환하기 위해 다음 명령을 실행하여 역할 전환 프로세스를 시작합니다. David는 해당 역할을 만든 관리자에게서 역할 ARN을 받았습니다. 이 명령을 실행하려면 세션 이름도 제공해야 합니다. 원하는 아무 텍스트나 선택할 수 있습니다.

   ```
   aws sts assume-role --role-arn "arn:aws:iam::999999999999:role/UpdateData" --role-session-name "David-ProdUpdate"
   ```

   다음 내용이 출력됩니다.

   ```
   {
       "Credentials": {
           "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
           "SessionToken": "AQoDYXdzEGcaEXAMPLE2gsYULo+Im5ZEXAMPLEeYjs1M2FUIgIJx9tQqNMBEXAMPLE
   CvSRyh0FW7jEXAMPLEW+vE/7s1HRpXviG7b+qYf4nD00EXAMPLEmj4wxS04L/uZEXAMPLECihzFB5lTYLto9dyBgSDy
   EXAMPLE9/g7QRUhZp4bqbEXAMPLENwGPyOj59pFA4lNKCIkVgkREXAMPLEjlzxQ7y52gekeVEXAMPLEDiB9ST3Uuysg
   sKdEXAMPLE1TVastU1A0SKFEXAMPLEiywCC/Cs8EXAMPLEpZgOs+6hz4AP4KEXAMPLERbASP+4eZScEXAMPLEsnf87e
   NhyDHq6ikBQ==",
           "Expiration": "2014-12-11T23:08:07Z",
           "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
       }
   }
   ```

1. 출력의 Credentials 섹션에 David에게 필요한 세 가지 항목이 표시됩니다.
   + `AccessKeyId`
   + `SecretAccessKey`
   + `SessionToken`

   David는 후속 호출 시 이러한 파라미터를 사용하도록 AWS CLI 환경을 구성해야 합니다. 자격 증명을 구성하는 다양한 방법에 대한 자세한 정보는 [AWS Command Line Interface 구성](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html#config-settings-and-precedence)을 참조하십시오. `aws configure` 명령은 세션 토큰 캡처를 지원하지 않기 때문에 사용할 수 없습니다.ㅂ 하지만 구성 파일에 정보를 수동으로 입력할 수 있습니다. 이는 비교적 만료 시간이 짧은 임시 자격 증명이기 때문에 현재 명령줄 세션의 환경에 추가하는 것이 가장 쉽습니다.

1. 세 값을 환경에 추가하기 위해 David는 이전 단계의 출력을 잘라내어 다음 명령에 붙여 넣습니다. 세션 토큰 출력의 줄 바꿈 문제를 해결하기 위해 간단한 텍스트 편집기에서 텍스트 출력을 잘라내어 붙여 넣을 수 있습니다. 여기서는 명확성을 위해 줄을 바꾸어 표시했지만 긴 문자열 하나로 추가해야 합니다.

   다음 예시는 Windows 환경에 표시된 명령을 나타내며, 여기서 "set"은 환경 변수를 생성하라는 명령입니다. Linux 또는 macOS 컴퓨터에서는 "export" 명령을 대신 사용할 수 있습니다. 예시의 나머지 부분은 세 환경에서 모두 유효합니다.

   Windows Powershell용 도구를 사용하는 방법에 대한 자세한 내용은 [IAM 역할로 전환(Tools for Windows PowerShell)](id_roles_use_switch-role-twp.md)을 참조하세요.

   ```
   set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
   set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
   set AWS_SESSION_TOKEN=AQoDYXdzEGcaEXAMPLE2gsYULo+Im5ZEXAMPLEeYjs1M2FUIgIJx9tQqNMBEXAMPLECvS
   Ryh0FW7jEXAMPLEW+vE/7s1HRpXviG7b+qYf4nD00EXAMPLEmj4wxS04L/uZEXAMPLECihzFB5lTYLto9dyBgSDyEXA
   MPLEKEY9/g7QRUhZp4bqbEXAMPLENwGPyOj59pFA4lNKCIkVgkREXAMPLEjlzxQ7y52gekeVEXAMPLEDiB9ST3UusKd
   EXAMPLE1TVastU1A0SKFEXAMPLEiywCC/Cs8EXAMPLEpZgOs+6hz4AP4KEXAMPLERbASP+4eZScEXAMPLENhykxiHen
   DHq6ikBQ==
   ```

   이 시점에서 모든 후속 명령은 해당 자격 증명으로 식별되는 역할의 권한에 따라 실행됩니다. David의 경우 `UpdateData` 역할입니다.
**중요**  
AWS CLI에서 유지되는 파일에 자주 사용되는 구성 설정과 보안 인증을 저장할 수 있습니다. 자세한 내용은 *AWS Command Line Interface 사용 설명서*의 [기존 구성 및 보안 인증 파일 사용](https://docs.aws.amazon.com//cli/latest/userguide/getting-started-quickstart.html#getting-started-quickstart-existing)을 참조하세요.

1. 명령을 실행하여 Destination 계정의 리소스에 액세스합니다. 이 예시에서 David는 단순히 다음 명령을 사용하여 S3 버킷의 콘텐츠를 나열합니다.

   ```
   aws s3 ls s3://shared-container
   ```

   Amazon S3 버킷 이름은 범용 고유 이름이기 때문에 해당 버킷을 소유하는 계정 ID를 지정할 필요가 없습니다. 다른 AWS 서비스의 리소스에 액세스하려면 해당 서비스의 AWS CLI 설명서에서 해당 리소스를 참조하는 데 필요한 명령과 구문을 참조하세요.

### AssumeRole(AWS API)사용
<a name="api-tutorial_cross-account-with-roles"></a>

David가 코드에서 **Destination** 계정을 업데이트해야 하는 경우 `AssumeRole`을 호출하여 `UpdateData` 역할을 수임합니다. 이 호출은 **Destination** 계정에서 David가 `amzn-s3-demo-bucket-shared-container` 버킷에 액세스하기 위해 사용할 수 있는 임시 보안 인증 정보를 반환합니다. David는 해당 자격 증명을 사용하여 `amzn-s3-demo-bucket-shared-container` 버킷을 업데이트하는 API 호출을 실행할 수 있습니다. 그러나 David는 **Originating** 계정의 파워 유저 권한이 있더라도 **Destination** 계정의 다른 리소스에 액세스하는 API 호출을 실행할 수 없습니다.

**역할 수임**

1. David가 애플리케이션의 일부로 `AssumeRole`을 호출합니다. `UpdateData` ARN인 `arn:aws:iam::999999999999:role/UpdateData`을 지정해야 합니다.

   `AssumeRole` 호출의 응답에는 `AccessKeyId` 및 `SecretAccessKey`가 있는 임시 자격 증명이 포함됩니다. 또한 자격 증명이 만료되고 새 자격 증명을 요청해야 하는 시점을 나타내는 `Expiration` 시간이 포함됩니다. AWS SDK로 역할 함께 묶기를 설정하면 많은 보안 인증 정보 공급자가 만료 전에 보안 인증 정보를 자동으로 새로 고칩니다.

1. David가 임시 자격 증명을 사용하여 `s3:PutObject` 버킷을 업데이트하는 `amzn-s3-demo-bucket-shared-container` 호출을 실행합니다. 이때 자격 증명을 `AuthParams` 파라미터로 API 호출에 전달합니다. 임시 역할 보안 인증 정보에는 `amzn-s3-demo-bucket-shared-container` 버킷에 대한 읽기 및 쓰기 권한만 있기 때문에 Destination 계정의 다른 모든 작업은 거부됩니다.

코드 샘플(Python 사용)은 [IAM 역할로 전환(AWS API)](id_roles_use_switch-role-api.md) 단원을 참조하십시오.

## 추가 리소스
<a name="tutorial_cross-account-with-roles-related"></a>

다음 리소스는 이 자습서의 주제에 대해 자세히 알아보는 데 도움이 됩니다.
+ IAM 사용자에 대한 자세한 내용은 [IAM 자격 증명](id.md) 섹션을 참조하세요.
+ Amazon S3 버킷에 대한 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [Create a Bucket(버킷 생성)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html)을 참조하세요.
+  해당 신뢰 영역(신뢰할 수 있는 조직 또는 계정) 외의 계정 내 보안 주체가 역할을 수임하는 권한이 있는지 자세히 알고 싶다면, [IAM Access Analyzer란 무엇일까요?](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)를 참조하세요.

## 요약
<a name="tutorial_cross-account-with-roles-summary"></a>

크로스 계정 API 액세스 자습서를 완료했습니다. 다른 계정과 신뢰 관계를 설정하기 위한 역할을 만들고 신뢰할 수 있는 주체가 수행할 수 있는 작업을 정의했습니다. 그런 다음 해당 역할에 액세스할 수 있는 IAM 사용자를 제어하도록 역할 정책을 수정했습니다. 그 결과 **Originating** 계정의 개발자가 임시 보안 인증 정보를 사용하여 **Destination** 계정에서 `amzn-s3-demo-bucket-shared-container` 버킷을 업데이트할 수 있습니다.