

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 다중 계정 설정( AWS 조직 제외)
<a name="next-gen-multi-account-setup"></a>

서비스의 리소스가 여러 AWS 계정에 걸쳐 있고 Organizations를 사용하지 AWS 않는 경우 호출자 역할 외에도 교차 계정 역할이 필요합니다.

**1단계: 교차 계정 역할 생성**

서비스에 대한 리소스가 포함된 각 계정에서 다음을 사용하여 역할을 생성합니다.
+ `ReadOnlyAccess` 정책이 연결되었습니다.
+ 호출자 역할이 이를 수임하도록 허용하는 신뢰 정책으로, `ExternalId`를 사용하여 혼동된 대리자 공격을 방지합니다. 서비스 및 계정 조합당 고유한 `ExternalId` 값을 사용합니다.

  ```
  {
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/AWSResilienceHubAssessmentRole"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "ngrh-my-service-111122223333"
        }
      }
    }]
  }
  ```

**2단계: 호출자 역할에 교차 계정 역할을 수임할 수 있는 권한 부여**

간접 호출자 역할에 교차 계정 역할을 수임할 수 있는 인라인 정책을 추가합니다.

```
{
  "Effect": "Allow",
  "Action": "sts:AssumeRole",
  "Resource": [
    "arn:aws:iam::111122223333:role/NGRHResourceRole",
    "arn:aws:iam::444455556666:role/NGRHResourceRole"
  ]
}
```

**3단계: 서비스에서 교차 계정 역할 구성**

서비스를 생성할 때 교차 계정 역할 ARNs 및 외부 IDs를 지정합니다.

```
aws resiliencehubv2 create-service \
  --name "my-service" \
  --regions '["us-east-1"]' \
  --permission-model '{
    "invokerRoleName": "AWSResilienceHubAssessmentRole",
    "crossAccountRoles": [
      {
        "crossAccountRoleArn": "arn:aws:iam::111122223333:role/NGRHResourceRole",
        "externalId": "ngrh-my-service-111122223333"
      },
      {
        "crossAccountRoleArn": "arn:aws:iam::444455556666:role/NGRHResourceRole",
        "externalId": "ngrh-my-service-444455556666"
      }
    ]
  }'
```

서비스당 최대 5개의 교차 계정 역할 ARNs을 구성할 수 있습니다.