기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 의 인증서 기반 액세스 제어를 위한 아키텍처 AWS AWS Identity and Access Management Roles Anywhere 를 사용하여 외부에서 실행되는 서버, 컨테이너 및 애플리케이션과 같은 워크로드에 대한 임시 보안 자격 증명을 AWS Identity and Access Management (IAM)에서 얻을 수 있습니다 AWS. 워크로드는 AWS 리소스에 액세스하는 데 사용하는 것과 동일한 [IAM 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) 및 [IAM 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) 사용할 수 있습니다.는 외부에서 작동하는 워크로드에 대한 장기 자격 증명을 관리할 필요성을 IAM Roles Anywhere 제거합니다 AWS 클라우드. 를 사용하려면 IAM Roles Anywhere워크로드가 [인증 기관(CA)](https://docs.aws.amazon.com/privateca/latest/userguide/PcaTerms.html#terms-ca)에서 발급한 X.509 인증서를 사용해야 합니다. CA를에 트러스트 앵커 IAM Roles Anywhere 로 등록하여 퍼블릭 키 인프라와 간에 신뢰를 설정합니다 IAM Roles Anywhere. 이 가이드에서는 [AWS Private Certificate Authority (AWS Private CA)](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html)를 CA로 사용한 다음와 신뢰를 설정합니다 IAM Roles Anywhere. 의 맥락에서 IAM Roles Anywhere AWS Private CA 는 세분화된 정책을 통해 AWS 리소스에 대한 액세스를 제어하는 데 사용할 수 있는 특정 속성이 있는 인증서를 발급하기 위한 신뢰할 수 있는 소스 역할을 합니다. 이 가이드에서는 대상 AWS 계정 및의 AWS 리소스에 대한 인증서 기반 액세스를 구성하는 두 가지 옵션을 제공합니다 AWS 리전. 다음 다이어그램은 두 옵션 간에 일반적인 리소스를 보여줍니다. AWS Private CA 는 IAM Roles Anywhere 가 배포된 동일한 계정과 리전에 설정됩니다. 트러스트 앵커는 IAM Roles Anywhere \~ 사이에 있습니다 AWS Private CA. 기본적으로에서 AWS Private CA 생성하는 모든 인증서는 서명 프로세스 중에 사용할 수 있으며 AWS Certificate Manager (ACM) 내에 저장됩니다. 이 안내서의 목적상 애플리케이션은에서 하나 이상의 Amazon Simple Storage Service(Amazon S3) 버킷에 액세스합니다 AWS 계정. ![IAM Roles Anywhere 는 동일한 계정 및 리전에 배포됩니다 AWS Private CA.](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/certificate-based-access-controls/images/iam-roles-anywhere-same-account-region.png) 아키텍처에는 다음과 같은 기능이 있어야 합니다. + **인증서** - ACM을 사용하여 인증서를 생성할 수 있습니다. ACM은 리전 서비스이므로 AWS 리전 와 동일한에 배포해야 합니다 AWS Private CA. 교차 계정 제한으로 인해 동일한 계정에 ACM을 배포하는 것이 좋습니다 AWS Private CA. 자세한 내용은 [ACM 설명서의를 사용하여 ACM 프라이빗 인증서에 서명 AWS Private CA 하는 조건을](https://docs.aws.amazon.com/acm/latest/userguide/ca-access.html) 참조하세요. + **인증 기관** - 외부 CA를 사용하거나 AWS Private CA 사용할 수 있습니다. AWS Private CA 는 리전 서비스이므로 ACM 및 인증서 AWS 리전 와 동일한에 배포해야 합니다. + **IAM 역할** - 조직의 비즈니스 또는 사용 사례 요구 사항에 따라 IAM 정책 및 권한을 IAM 역할에** **매핑합니다. 자세한 내용은 [IAM 설명서의 IAM 역할 생성을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html) 참조하세요. + **IAM Roles Anywhere 프로파일** - 프로파일을 설정하여가 IAM Roles Anywhere 수임하는 역할과 워크로드가 임시 자격 증명으로 수행할 수 있는 작업을 지정합니다. 프로파일에서 IAM 세션 정책을 정의하여 세션에 대해 생성된 권한을 제한합니다. 자세한 내용은 IAM Roles Anywhere 설명서의 [역할 구성을](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/getting-started.html#getting-started-step2) 참조하세요. + **자격 증명 헬퍼 도구** - 임시 보안 자격 증명을 얻기 위해에서 IAM Roles Anywhere 제공하는 자격 증명 헬퍼 도구를 사용합니다. 자세한 내용은 설명서의 [에서 임시 보안 자격 증명 가져오기 IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/credential-helper.html)를 참조하세요 IAM Roles Anywhere . 를 통해 리소스에 액세스할 수 있는 권한을 위임하려면 권한 정책과 신뢰 정책이 있는 IAM 역할을 IAM Roles Anywhere생성합니다. *권한 정책은* 수임하는 엔터티에 리소스에서 의도한 작업을 수행하는 데 필요한 권한을 부여합니다. [신뢰 정책은](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html) 역할을 수임할 수 있는 신뢰할 수 있는 계정 멤버를 지정합니다. 이 가이드에서 권한 정책은 엔터티가 액세스할 수 있는 Amazon S3 버킷을 정의하고 신뢰 정책은 역할을 수임할 수 있는 애플리케이션을 정의합니다. 이 안내서에서는 IAM 역할 신뢰 정책의 구성 옵션을 설명하기 위해 다음 시나리오를 다룹니다. + [옵션 1: 애플리케이션이 IAM Roles Anywhere 프로필에 연결된 모든 역할을 수임할 수 있음](option-1.md) - 하나 이상의 인증서가에서 ACM에 프로비저닝 AWS Private CA 되어 AWS 리소스에 액세스해야 하는 애플리케이션과 공유되었습니다. 이러한 애플리케이션은 IAM Roles Anywhere 프로필에 연결된 모든 역할을 수임할 수 있습니다. 이는 신뢰 정책이 이를 수임할 수 있는 애플리케이션을 제한하지 않기 때문입니다. + [옵션 2: 애플리케이션이 신뢰 정책에서 허용하는 역할만 수임할 수 있음](option-2.md) -에서 ACM에 두 개의 인증서가 프로비저닝되어 AWS 리소스에 액세스해야 하는 애플리케이션과 AWS Private CA 공유되었습니다. 신뢰 정책의 인증서 기반 액세스 제어로 인해 **애플리케이션 1**은 **역할 1**만 수임할 수 있고 **애플리케이션 2**는 **역할 2**만 수임할 수 있습니다. **사전 조건** 이러한 옵션을 설정하려면 다음을 완료해야 합니다. AWS 계정 및 대상의 리소스에 액세스해야 하는 외부 애플리케이션입니다 AWS 리전. 인증 기관은와 동일한 리전에 설정됩니다 IAM Roles Anywhere. 설정에 대한 지침은 [시작하기를 IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/getting-started.html) AWS Private Certificate Authority참조하세요. 애플리케이션에 대한 인증서를 발급했습니다. 자세한 내용과 지침은 [AWS Certificate Manager 인증서를](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) 참조하세요.