기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Identity and Access Management AMS Accelerate의
<a name="acc-sec-iam"></a>

AWS Identity and Access Management 는 AWS 리소스에 대한 액세스를 안전하게 제어하는 데 도움이 되는 웹 서비스입니다. IAM을 사용하여 리소스를 사용하도록 인증(로그인) 및 권한 부여(권한 있음)된 대상을 제어합니다. AMS Accelerate 온보딩 중에 각 관리형 계정 내에서 교차 계정 IAM 관리자 역할을 생성할 책임은 사용자에게 있습니다.

AMS Accelerate에서는 액세스 관리 솔루션, 액세스 정책 AWS 계정 및 관련 프로세스와 같은 및 기본 리소스에 대한 액세스를 관리할 책임이 있습니다. 즉, 사용자 수명 주기, 디렉터리 서비스의 권한 및 페더레이션 인증 시스템을 관리하여 AWS 콘솔 또는 AWS APIs. 액세스 솔루션을 관리하는 데 도움이 되도록 AMS Accelerate는 일반적인 IAM 구성 오류를 감지하는 AWS Config 규칙을 배포하고 문제 해결 알림을 제공합니다. 자세한 내용은 [AWS Config 관리형 규칙](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)을 참조하세요.

## AMS Accelerate에서 자격 증명으로 인증
<a name="acc-sec-iam-auth"></a>

AMS는 IAM 자격 증명의 한 유형인 IAM 역할을 사용합니다. IAM 역할은 자격 증명이 할 수 있는 것과 없는 것을 결정하는 권한 정책이 있는 자격 증명이라는 점에서 사용자와 유사합니다 AWS. 그러나 역할에는 자격 증명이 연결되어 있지 않으며, 역할이 필요한 사람은 한 사람과 고유하게 연결되는 대신 역할을 수임할 수 있습니다. IAM 사용자는 한 가지 역할을 맡음으로써 특정 작업을 위해 다른 권한을 임시로 얻을 수 있습니다.

액세스 역할은 Operations Management에서 관리하고 정기적으로 검토하는 내부 그룹 멤버십에 의해 제어됩니다. AMS는 다음 IAM 역할을 사용합니다.

**참고**  
AMS 액세스 역할을 사용하면 AMS 운영자가 리소스에 액세스하여 AMS 기능을 제공할 수 있습니다( 참조[서비스 설명](acc-sd.md)). 이러한 역할을 변경하면 이러한 기능을 제공할 수 없게 될 수 있습니다. AMS 액세스 역할을 변경해야 하는 경우 Cloud Architect에 문의하세요.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/accelerate-guide/acc-sec-iam.html)

**참고**  
ams-access-management 역할의 템플릿입니다. 온보딩 시 클라우드 아키텍트(CAs)가 계정에 수동으로 배포하는 스택은 [management-role.yaml](https://ams-account-access-templates.s3.amazonaws.com/management-role.yaml)입니다.  
이 템플릿은 ams-access-read-only, ams-access-operations, ams-access-admin-operations, ams-access-admin: [accelerate-roles.yaml](https://ams-account-access-templates.s3.amazonaws.com/accelerate-roles.yaml) 등 다양한 액세스 역할 및 액세스 수준에 대한 템플릿입니다.

해시를 포함한 AWS Cloud Development Kit (AWS CDK) (AWS CDK) 식별자에 대한 자세한 내용은 [UniqueIDs](https://docs.aws.amazon.com/cdk/latest/guide/identifiers.html#identifiers_unique_ids).

AMS Accelerate 기능 서비스는 계정에 프로그래밍 방식으로 액세스하기 위한 **ams-access-admin** 역할을 수임하지만 각 기능 서비스(예: 패치, 백업, 모니터링 등)에 대해 세션 정책 범위가 축소됩니다.

AMS Accelerate는 규정 준수 자격을 충족하고 유지하기 위해 업계 모범 사례를 따릅니다. 계정에 대한 AMS Accelerate 액세스는 CloudTrail에 기록되며 변경 사항 추적을 통해 검토할 수도 있습니다. 이 정보를 가져오는 데 사용할 수 있는 쿼리에 대한 자세한 내용은 섹션을 참조하세요[AMS Accelerate 계정의 변경 사항 추적](acc-change-record.md).

## 정책을 사용하여 액세스 관리
<a name="acc-sec-iam-policy"></a>

운영 엔지니어, 클라우드 아키텍트, 클라우드 서비스 제공 관리자(CSDMs)와 같은 다양한 AMS Accelerate 지원 팀이 서비스 요청 및 인시던트에 대응하기 위해 계정에 액세스해야 하는 경우가 있습니다. 액세스는 비즈니스 정당화, 서비스 요청, 운영 항목 및 지원 사례와 같은 제어를 적용하는 내부 AMS 액세스 서비스에 의해 관리됩니다. 기본 액세스는 읽기 전용이며 모든 액세스가 추적되고 기록됩니다. 단원도 참조하십시오[AMS Accelerate 계정의 변경 사항 추적](acc-change-record.md).

### IAM 리소스 검증
<a name="acc-sec-iam-policy-valid"></a>

AMS Accelerate 액세스 시스템은 계정의 역할을 주기적으로 수임하고(최소 24시간마다) 모든 IAM 리소스가 예상대로인지 확인합니다.

계정을 보호하기 위해 AMS Accelerate에는 위에서 언급한 IAM 역할의 존재 및 상태와 연결된 정책을 모니터링하고 경고하는 "canary"가 있습니다. 주기적으로 canary는 **ams-access-read-only** 역할을 수임하고 계정에 대해 CloudFormation 및 IAM API 호출을 시작합니다. canary는 AMS Accelerate 액세스 역할의 상태를 평가하여 항상 수정되지 않고 up-to-date 상태인지 확인합니다. 이 활동은 계정에 CloudTrail 로그를 생성합니다.

canary의 AWS Security Token Service (AWS STS) 세션 이름은 CloudTrail에 표시된 **AMS-Access-Roles-Auditor-\$1uuid4()\$1**이며 다음과 같은 API 호출이 발생합니다.
+ Cloud Formation API 호출: `describe_stacks()`
+ IAM API 호출:
  + `get_role()`
  + `list_attached_role_policies()`
  + `list_role_policies()`
  + `get_policy()`
  + `get_policy_version()`
  + `get_role_policy()`