IAM Identity Center에 대한 리소스 기반 정책 예시 - AWS IAM Identity Center
정책 요구 사항정책 요소예제 정책: IAM 역할이 액세스 및 새로 고침 토큰을 생성하도록 허용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM Identity Center에 대한 리소스 기반 정책 예시

IAM Identity Center와 통합되어 작동하고 OAuth 2.0을 사용하는 모든 애플리케이션에는 리소스 기반 정책이 필요합니다. 애플리케이션은 고객 관리형 또는 AWS 관리형일 수 있습니다. 애플리케이션 정책(또는 API의 ActorPolicy)이라고 하는 필수 리소스 기반 정책은 CreateTokenWithIAM과 같은 IAM 인증 방법 API 작업을 직접 호출할 권한이 있는 IAM 위탁자를 정의합니다. IAM 인증 방법을 사용하면 IAM 역할 또는 AWS 서비스와 같은 IAM 보안 주체가 IAM 자격 증명을 제시하여 /token?aws_iam=t 엔드포인트에서 액세스 토큰을 요청하거나 관리하여 IAM Identity Center OIDC 서비스에 인증할 수 있습니다.

애플리케이션 정책은 토큰 발급(CreateTokenWithIAM) 작업을 관리합니다. 또한이 정책은 토큰 검증(IntrospectTokenWithIAM) 및 토큰 취소()를 위해 AWS 관리형 애플리케이션에서만 사용하는 권한 전용 작업을 관리합니다RevokeTokenWithIAM. 고객 관리형 애플리케이션의 경우 CreateTokenWithIAM을 직접 호출할 권한이 있는 IAM 위탁자를 지정하여 이 정책을 구성합니다. 권한이 있는 위탁자가 이 API 작업을 직접 호출하면 위탁자는 애플리케이션에 대한 액세스 및 새로 고침 토큰을 받습니다.

IAM Identity Center 콘솔을 사용하여 고객 관리형 애플리케이션에 신뢰할 수 있는 ID 전파를 설정하는 경우 애플리케이션 정책을 구성하는 방법에 대한 자세한 내용은 고객 관리형 OAuth 2.0 애플리케이션 설정의 4단계를 참조하세요. 예제 정책은 이번 주제 후반부의 예제 정책: IAM 역할이 액세스 및 새로 고침 토큰을 생성하도록 허용 섹션을 참조하세요.

정책 요구 사항

정책은 다음 요구 사항을 충족해야 합니다.

  • 정책은 "2012-10-17"로 설정된 Version 요소를 포함해야 합니다.

  • 정책은 하나 이상의 Statement 요소를 포함해야 합니다.

  • 각 정책 StatementEffect, Principal, Action, Resource 요소를 포함해야 합니다.

정책 요소

정책은 다음 요소를 포함해야 합니다.

버전

정책 문서 버전을 지정합니다. 버전을 2012-10-17(최신 버전)로 설정합니다.

명령

정책 Statements을 포함합니다. 정책은 하나 이상의 Statement를 포함해야 합니다.

각 정책 Statement는 다음 요소로 구성됩니다.

Effect

(필수) 정책 문에서 권한을 허용할지 거부할지를 결정합니다. 유효한 값은 Allow 또는 Deny입니다.

Principal

(필수) 보안 주체는 정책 설명에 지정된 권한을 갖는 자격 증명입니다. IAM 역할 또는 AWS 서비스 위탁자를 지정할 수 있습니다.

작업

(필수) 허용하거나 거부할 IAM Identity Center OIDC 서비스 API 작업입니다. 유효한 작업은 다음과 같습니다.

  • sso-oauth:CreateTokenWithIAM: CreateTokenWithIAM API 작업에 해당하는이 작업은 AWS 서비스 역할 또는 사용자와 같은 IAM 엔터티를 사용하여 인증된 승인된 클라이언트 애플리케이션에 대한 액세스 및 새로 고침 토큰을 생성하고 반환할 수 있는 권한을 부여합니다. 이러한 토큰에는 read:profile 또는 write:data와 같은 권한을 지정하는 정의된 범위가 포함될 수 있습니다.

  • sso-oauth:IntrospectTokenWithIAM[권한 전용]: 연결된 범위 및 권한을 포함하여 활성 상태의 OAuth 2.0 액세스 토큰 및 새로 고침 토큰에 대한 정보를 검증하고 검색할 수 있는 권한을 부여합니다. 이 권한은 AWS 관리형 애플리케이션에서만 사용되며 IAM Identity Center OIDC API 참조에 문서화되어 있지 않습니다.

  • RevokeTokenWithIAM [권한 전용]: OAuth 2.0 액세스 토큰 및 새로 고침 토큰을 철회하여 정상적인 만료 전에 무효화할 수 있는 권한을 부여합니다. 이 권한은 AWS 관리형 애플리케이션에서만 사용되며 IAM Identity Center OIDC API 참조에 문서화되어 있지 않습니다.

Resource

(필수) 이 정책에서 Resource 요소의 값은 "*"이며, 이는 "이 애플리케이션"을 의미합니다.

AWS 정책 구문에 대한 자세한 내용은 AWS IAM 사용 설명서의 IAM 정책 참조를 참조하세요.

예제 정책: IAM 역할이 액세스 및 새로 고침 토큰을 생성하도록 허용

다음 권한 정책은 워크로드가 수임하는 IAM 역할인 ExampleAppClientRole에 액세스 및 새로 고침 토큰을 생성하고 반환할 수 있는 권한을 부여합니다.

{
    "Version": "2012-10-17", 		 	 	  
    "Statement": [
        {
            "Sid": "AllowRoleToCreateTokens",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ExampleAppClientRole"
            },
            "Action": "sso-oauth:CreateTokenWithIAM",
            "Resource": "*"
        }
    ]
}