기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 옵션 1: 애플리케이션이 IAM Roles Anywhere 프로필에 연결된 모든 역할을 수임할 수 있음 이 시나리오에서는 인스턴스의 AWS Certificate Manager (ACM)에 두 개의 인증서가 프로비저닝되어 리소스에 AWS 액세스해야 하는 애플리케이션과 AWS Private Certificate Authority 공유되었습니다. 이러한 애플리케이션은 프로필에 연결된 모든 역할을 수임할 수 있습니다 IAM Roles Anywhere . 이는 신뢰 정책이 이를 수임할 수 있는 애플리케이션을 제한하지 않기 때문입니다. **참고** 이 시나리오에서는 애플리케이션에 별도의 인증서가 필요하지 않습니다. 단일 인증서를 공유할 수 있습니다. 애플리케이션이 역할을 수임할 때 권한은 IAM 역할과 IAM Roles Anywhere 프로파일 모두에서 명시적으로 허용되는 것의 수렴입니다. 이 접근 방식을 사용하면 IAM 역할에 허용되는 다른 권한에 관계없이 IAM Roles Anywhere 프로필을 통해 세션 권한을 제한할 수 있습니다. 다음 이미지는 각 애플리케이션에 있는 액세스를 보여줍니다. 애플리케이션은 IAM 역할과 IAM Roles Anywhere 프로필 모두에서 명시적으로 액세스 권한이 부여되지 않기 때문에 일부 AWS 리소스에 대한 액세스가 거부됩니다. 자격 증명 헬퍼 호출에 **역할 1**의 Amazon 리소스 이름(ARN)이 포함된 경우 애플리케이션에**는 역할** 1을 통해 **버킷 1**에 액세스할 수 있는 임시 보안 자격 증명이 부여됩니다. 자격 증명 헬퍼 호출에 **역할 2**에 대한 ARN이 포함된 경우 애플리케이션에**는 역할** 2를 통해 **버킷 2**에 액세스할 수 있는 임시 보안 자격 증명이 부여됩니다. ![애플리케이션은 동일한 인증서를 사용하며 여러 역할에 액세스할 수 있습니다. 프로필은 액세스를 제한합니다.](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/certificate-based-access-controls/images/option-1-overview.png) **역할 1** 및 **역할 2** 신뢰 정책은가 역할을 IAM Roles Anywhere 수임하고, 소스 자격 증명을 설정하고, 세션에 태그를 지정할 수 있도록 구성됩니다. 다음은 애플리케이션이 프로파일에 연결된 IAM Roles Anywhere 모든 역할을 수임하도록 허용하는 샘플 신뢰 정책입니다. ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "rolesanywhere.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetSourceIdentity", "sts:TagSession" ], "Condition": { "StringEquals": { "sts:SourceIdentity": [ "${sourceIdentityPrefix}${sourceIdentityValue}" ] } } } ] } ``` 역할 신뢰 정책 및이 샘플을 수정하는 방법에 대한 자세한 내용은 IAM Roles Anywhere 설명서의 [신뢰 정책을](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/trust-model.html#trust-policy) 참조하세요. **애플리케이션 1** 및 **애플리케이션 2**에 대한 샘플 역할 및 프로필 정책은이 가이드의 [부록: 샘플 프로필 및 역할 정책](appendix-sample-policies.md) 섹션에 포함되어 있습니다.