기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # IAM Identity Center ID 및 액세스 관리 IAM Identity Center에 액세스하려면가 요청을 인증하는 데 사용할 AWS 수 있는 자격 증명이 필요합니다. 이러한 자격 증명에는 AWS 관리형 애플리케이션과 같은 AWS 리소스에 액세스할 수 있는 권한이 있어야 합니다. AWS 액세스 포털에 대한 인증은 IAM Identity Center에 연결한 디렉터리에 의해 제어됩니다. 그러나 AWS 액세스 포털 내에서 사용자가 사용할 수 AWS 계정 있는에 대한 권한 부여는 다음 두 가지 요인으로 결정됩니다. 1. IAM Identity Center 콘솔 AWS 계정 에서 액세스 권한이 할당된 사용자입니다. 자세한 내용은 [에 대한 Single Sign-On 액세스 AWS 계정](useraccess.md) 단원을 참조하십시오. 1. IAM Identity Center 콘솔의 사용자가 AWS 계정에 대한 적절한 액세스를 갖도록 허용된 권한 수준. 자세한 내용은 [권한 세트 생성, 관리 및 삭제](permissionsets.md) 단원을 참조하십시오. 다음 섹션에서는 관리자가 IAM Identity Center 콘솔에 대한 액세스를 제어하거나 IAM Identity Center 콘솔에서 일상적인 작업에 대한 관리 액세스를 위임하는 방법을 설명합니다. + [Authentication](#authentication) + [액세스 관리](#accesscontrol) ## Authentication IAM 자격 증명을 AWS 사용하여에 액세스하는 방법을 알아봅니다. [https://docs.aws.amazon.com//IAM/latest/UserGuide/id.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/id.html) ## 액세스 관리 요청을 인증하는 데 유효한 자격 증명이 있더라도 권한이 없다면 IAM Identity Center 리소스를 생성하거나 액세스할 수 없습니다. 예를 들어 IAM Identity Center에 연결된 디렉터리를 생성할 권한이 있어야 합니다. **참고** IAM Identity Center 인스턴스가 고객 관리형 KMS 키로 구성된 경우 IAM Identity Center 관리자 및 KMS 키에 액세스해야 하는 기타 액터에게 추가 권한이 필요합니다. 자세한 내용은 [에서 고객 관리형 KMS 키 구현 AWS IAM Identity Center](identity-center-customer-managed-keys.md) 항목을 참조하세요. 다음 단원에서는 IAM Identity Center에 대한 권한을 관리하는 방법을 설명합니다. 먼저 개요를 읽어보면 도움이 됩니다. + [IAM Identity Center 리소스에 대한 액세스 권한 관리 개요](iam-auth-access-overview.md) + [IAM Identity Center에 대한 자격 증명 기반 정책 예시](iam-auth-access-using-id-policies.md) + [IAM Identity Center에 대한 리소스 기반 정책 예시](iam-auth-access-using-resource-based-policies.md) + [IAM Identity Center 서비스 연결 역할 사용](using-service-linked-roles.md) # IAM Identity Center 리소스에 대한 액세스 권한 관리 개요 액세스 관리 개요 모든 AWS 리소스는에서 소유하며 AWS 계정, 리소스를 생성하거나 액세스할 수 있는 권한은 권한 정책에 의해 관리됩니다. 액세스를 제공하기 위해 계정 관리자는 IAM 자격 증명(사용자, 그룹 및 역할)에 권한을 추가할 수 있습니다. AWS Lambda같은 일부 서비스에서도 권한을 리소스에 추가할 수 있습니다. **참고** *계정 관리자* 또는 관리자 사용자는 관리자 권한이 있는 사용자입니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요. **Topics** + [ ## IAM Identity Center 리소스 및 작업 ](#creatingiampolicies) + [ ## 리소스 소유권 이해 ](#accesscontrolresourceowner) + [ ## 리소스 액세스 관리 ](#accesscontrolmanagingaccess) + [ ## 정책 요소 지정: 작업, 효과, 리소스, 보안 주체 ](#policyactions) + [ ## 정책에서 조건 지정 ](#specifyiampolicyconditions) ## IAM Identity Center 리소스 및 작업 IAM Identity Center의 기본 리소스는 애플리케이션 인스턴스, 프로필, 권한 세트입니다. ## 리소스 소유권 이해 *리소스 소유자*는 리소스를 AWS 계정 생성한 입니다. 즉, 리소스 소유자는 리소스를 생성하는 요청을 인증하는 AWS 계정 *보안 주체 엔*터티(계정, 사용자 또는 IAM 역할)의 입니다. 다음 예제에서는 이러한 작동 방법을 설명합니다. + 가 애플리케이션 인스턴스 또는 권한 세트와 같은 IAM Identity Center 리소스를 AWS 계정 루트 사용자 생성하는 경우 AWS 계정 는 해당 리소스의 소유자입니다. + AWS 계정에서 사용자를 생성하고 해당 사용자에게 IAM Identity Center 리소스를 생성할 수 있는 권한을 부여하면 사용자는 IAM Identity Center 리소스를 생성할 수 있습니다. 하지만 사용자가 속한 AWS 계정이 리소스를 소유합니다. + AWS 계정에 IAM Identity Center 리소스를 생성할 권한이 있는 IAM 역할을 생성하는 경우 해당 역할을 수임할 수 있는 사람은 누구나 IAM Identity Center 리소스를 생성할 수 있습니다. 이 경우 역할이 속한 AWS 계정이 IAM Identity Center 리소스를 소유합니다. ## 리소스 액세스 관리 *권한 정책*은 누가 무엇에 액세스 할 수 있는지를 나타냅니다. 다음 섹션에서는 권한 정책을 만드는 데 사용 가능한 옵션에 대해 설명합니다. **참고** 이 섹션에서는 IAM Identity Center의 맥락에서 IAM을 사용하는 방법에 대해 설명합니다. IAM 서비스에 대한 자세한 내용은 다루지 않습니다. IAM 설명서 전체 내용은 *IAM 사용 설명서*의 [IAM이란 무엇입니까?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)를 참조하세요. IAM 정책 구문 및 설명에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS IAM 정책 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) 단원을 참조하세요. IAM ID에 연결된 정책을 *ID 기반* 정책(IAM 정책)이라고 합니다. 리소스에 연결된 정책을 *리소스 기반* 정책이라고 합니다. IAM Identity Center는 자격 증명 기반 정책(IAM 정책)만 지원합니다. **Topics** + [ ### 자격 증명 기반 정책(IAM 정책) ](#accesscontrolidentitybased) + [ ### 리소스 기반 정책 ](#accesscontrolresourcebased) ### 자격 증명 기반 정책(IAM 정책) IAM Identity Identity에 권한을 추가할 수 있습니다. 예를 들면, 다음을 수행할 수 있습니다. + **의 사용자 또는 그룹에 권한 정책 연결 AWS 계정**- 계정 관리자는 특정 사용자와 연결된 권한 정책을 사용하여 해당 사용자에게 새 애플리케이션과 같은 IAM Identity Center 리소스를 추가할 수 있는 권한을 부여할 수 있습니다. + **역할에 정책 연결(교차 계정 권한 부여)** – ID 기반 권한 정책을 IAM 역할에 연결하여 교차 계정 권한을 부여할 수 있습니다. IAM을 사용하여 권한을 위임하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*의 [액세스 관리](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) 단원을 참조하십시오. 다음 권한 정책은 사용자에게 `List`로 시작하는 모든 작업을 실행할 수 있는 권한을 부여합니다. 이러한 작업은 IAM Identity Center 리소스에 대한 정보(예: 애플리케이션 인스턴스 또는 권한 세트)를 보여 줍니다. `Resource` 요소에 와일드카드 문자(\$1)가 있으면 계정이 소유한 모든 IAM Identity Center 리소스에 대해 작업이 허용됩니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"sso:List*", "Resource":"*" } ] } ``` ------ IAM Identity Center에서 자격 증명 기반 정책을 사용하는 방법에 대한 자세한 내용은 [IAM Identity Center에 대한 자격 증명 기반 정책 예시](iam-auth-access-using-id-policies.md)을 참조하세요. 사용자, 그룹, 역할 및 권한에 대한 자세한 내용은 *IAM User Guide*의 [Identities (users, groups, and roles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)를 참조하세요. ### 리소스 기반 정책 Amazon S3과 같은 다른 서비스도 리소스 기반 권한 정책을 지원합니다. 예를 들어, 정책을 S3 버킷에 연결하여 해당 버킷에 대한 액세스 권한을 관리할 수 있습니다. IAM Identity Center는 리소스 기반 정책을 지원하지 않습니다. ## 정책 요소 지정: 작업, 효과, 리소스, 보안 주체 각 IAM Identity Center 리소스([IAM Identity Center 리소스 및 작업](#creatingiampolicies) 참조)에서 이 서비스는 API 작업을 정의합니다. 이러한 API 작업에 대한 권한을 부여하기 위해 IAM Identity Center는 정책에서 지정할 수 있는 작업을 정의합니다. API 작업을 수행하려면 둘 이상의 작업에 대한 권한이 필요할 수 있습니다. 다음은 기본 정책 요소입니다. + **리소스** – 정책에서 Amazon 리소스 이름(ARN)을 사용하여 정책을 적용할 리소스를 식별합니다. + **작업** – 작업 키워드를 사용하여 허용 또는 거부할 리소스 작업을 식별합니다. 예를 들어, `sso:DescribePermissionsPolicies` 권한은 사용자에게 IAM Identity Center `DescribePermissionsPolicies` 작업 수행 권한을 허용합니다. + **결과** – 사용자가 특정 작업을 요청하는 경우의 결과를 지정합니다. 이는 허용 또는 거부 중에 하나가 될 수 있습니다. 명시적으로 리소스에 대한 액세스 권한을 부여(허용)하지 않는 경우, 액세스는 암시적으로 거부됩니다. 다른 정책에서 액세스 권한을 부여하는 경우라도 사용자가 해당 리소스에 액세스할 수 없도록 하기 위해 리소스에 대한 권한을 명시적으로 거부할 수도 있습니다. + **보안 주체** – ID 기반 정책(IAM 정책)에서 정책이 연결되는 사용자는 암시적인 보안 주체입니다. 리소스 기반 정책의 경우, 사용자, 계정, 서비스 또는 권한의 수신자인 기타 개체를 지정합니다(리소스 기반 정책에만 해당). IAM Identity Center는 리소스 기반 정책을 지원하지 않습니다. IAM 정책 구문과 설명에 대한 자세한 내용은 *IAM User Guide*의 [AWS IAM policy reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)를 참조하세요. ## 정책에서 조건 지정 권한을 부여할 때 액세스 정책 언어를 사용하여 정책을 시행하기 위해 필요한 조건을 지정할 수 있습니다. 예를 들어, 특정 날짜 이후에만 정책을 적용할 수 있습니다. 정책 언어에서의 조건 지정에 관한 자세한 내용은 *IAM 사용 설명서*의 [조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하십시오. 조건을 표시하려면 미리 정의된 조건 키를 사용합니다. IAM Identity Center에만 해당되는 특정한 조건 키는 없습니다. 그러나 필요에 따라 사용할 수 있는 AWS 조건 키가 있습니다. AWS 키의 전체 목록은 *IAM 사용 설명서*의 [사용 가능한 전역 조건 키를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys) 참조하세요. # IAM Identity Center에 대한 자격 증명 기반 정책 예시 ID 기반 정책 예시 이 주제에서는 사용자와 역할에 IAM Identity Center를 관리할 권한을 부여하기 위해 생성할 수 있는 IAM 정책의 예를 제공합니다. **중요** IAM Identity Center 리소스에 대한 액세스 관리를 위해 제공되는 기본 개념과 옵션 설명이 나온 소개 주제 부분을 먼저 읽는 것이 좋습니다. 자세한 내용은 [IAM Identity Center 리소스에 대한 액세스 권한 관리 개요](iam-auth-access-overview.md) 단원을 참조하십시오. 이 주제의 섹션에서는 다음 내용을 학습합니다. + [사용자 지정 정책 예](#policyexample) + [IAM Identity Center 콘솔을 사용하는 데 필요한 권한](#requiredpermissionsconsole) ## 사용자 지정 정책 예 이 섹션에서는 사용자 지정 IAM 정책이 필요한 일반적인 사용 사례를 제공합니다. 이러한 예제 정책은 주요 요소를 지정하지 않는 자격 증명 기반 정책입니다. 자격 증명 기반 정책에서는 권한을 가질 보안 주체를 지정하지 않기 때문입니다. 대신 정책을 보안 주체에 연결합니다. IAM 역할에 자격 증명 기반 권한 정책을 연결할 경우 역할의 신뢰 정책에 식별된 보안 주체는 권한을 가집니다. IAM에서 자격 증명 기반 정책을 생성하여 사용자, 그룹 및/또는 역할에 연결할 수 있습니다. 또한 IAM IAM Identity Center에서 권한 세트를 생성할 때 IAM Identity Center 사용자에게 이러한 정책을 적용할 수 있습니다. **참고** 환경에 맞는 정책을 만들 때 이러한 예를 사용하고 프로덕션 환경에 정책을 배포하기 전에 긍정적(“액세스 허용”) 및 부정적(“액세스 거부”) 테스트 사례를 모두 테스트해야 합니다. IAM 정책 테스트에 대한 자세한 내용은 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)의 *IAM 정책 시뮬레이터로 IAM 정책 테스트*를 참조하세요. **Topics** + [ ### 예 1: 사용자가 IAM Identity Center를 볼 수 있도록 허용 ](#policyexamplesetupenable) + [ ### 예제 2: 사용자가 IAM Identity Center AWS 계정 에서에 대한 권한을 관리하도록 허용 ](#policyexamplemanageconnecteddirectory) + [ ### 예 3: 사용자가 IAM Identity Center에서 애플리케이션을 관리하도록 허용 ](#policyexamplemanageapplication) + [ ### 예 4: 사용자가 Identity Center 디렉터리의 사용자 및 그룹을 관리하도록 허용 ](#policyexamplemanageusersgroups) ### 예 1: 사용자가 IAM Identity Center를 볼 수 있도록 허용 다음 권한 정책은 IAM Identity Center에 구성된 모든 설정과 디렉터리 정보를 볼 수 있도록 사용자에게 읽기 전용 권한을 부여합니다. **참고** 이 정책은 예시용으로만 제공됩니다. 프로덕션 환경에서는 IAM Identity Center에 대한 `ViewOnlyAccess` AWS 관리형 정책을 사용하는 것이 좋습니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ds:DescribeDirectories", "ds:DescribeTrusts", "iam:ListPolicies", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListChildren", "organizations:ListAccounts", "organizations:ListRoots", "organizations:ListAccountsForParent", "organizations:ListDelegatedAdministrators", "organizations:ListOrganizationalUnitsForParent", "sso:ListManagedPoliciesInPermissionSet", "sso:ListPermissionSetsProvisionedToAccount", "sso:ListAccountAssignments", "sso:ListAccountsForProvisionedPermissionSet", "sso:ListPermissionSets", "sso:DescribePermissionSet", "sso:GetInlinePolicyForPermissionSet", "sso-directory:DescribeDirectory", "sso-directory:SearchUsers", "sso-directory:SearchGroups" ], "Resource": "*" } ] } ``` ------ ### 예제 2: 사용자가 IAM Identity Center AWS 계정 에서에 대한 권한을 관리하도록 허용 다음 권한 정책은 사용자가 AWS 계정의 권한 세트를 생성, 관리 및 배포하도록 허용하는 권한을 부여합니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:AttachManagedPolicyToPermissionSet", "sso:CreateAccountAssignment", "sso:CreatePermissionSet", "sso:DeleteAccountAssignment", "sso:DeleteInlinePolicyFromPermissionSet", "sso:DeletePermissionSet", "sso:DetachManagedPolicyFromPermissionSet", "sso:ProvisionPermissionSet", "sso:PutInlinePolicyToPermissionSet", "sso:UpdatePermissionSet" ], "Resource": "*" }, { "Sid": "IAMListPermissions", "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "AccessToSSOProvisionedRoles", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:GetRole", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" }, { "Effect": "Allow", "Action": [ "iam:GetSAMLProvider" ], "Resource": "arn:aws:iam::*:saml-provider/AWSSSO_*_DO_NOT_DELETE" } ] } ``` ------ **참고** `"Sid": "IAMListPermissions"`, 및 `"Sid": "AccessToSSOProvisionedRoles"` 섹션에 나열된 추가 권한은 사용자가 AWS Organizations 관리 계정에서 할당을 생성할 수 있도록 하기 위해서만 필요합니다. 경우에 따라 이 섹션에 `iam:UpdateSAMLProvider`을 추가해야 할 수도 있습니다. ### 예 3: 사용자가 IAM Identity Center에서 애플리케이션을 관리하도록 허용 다음 권한 정책은 사용자가 IAM Identity Center 카탈로그 내에서 사전 통합된 SaaS 애플리케이션을 포함하여 IAM Identity Center의 애플리케이션을 보고 구성할 수 있는 권한을 부여합니다. **참고** 다음 정책 예제에서 사용되는 `sso:AssociateProfile` 작업은 애플리케이션에 대한 사용자 및 그룹 할당을 관리하는 데 필요합니다. 또한 사용자가 기존 권한 세트를 사용하여 AWS 계정 에 사용자 및 그룹을 할당할 수 있습니다. 사용자가 IAM Identity Center 내에서 AWS 계정 액세스를 관리해야 하고 권한 세트를 관리하는 데 필요한 권한이 필요한 경우 섹션을 참조하세요[예제 2: 사용자가 IAM Identity Center AWS 계정 에서에 대한 권한을 관리하도록 허용](#policyexamplemanageconnecteddirectory). 2020년 10월 기준, 이러한 작업 중 상당수는 AWS 콘솔을 통해서만 사용할 수 있습니다. 이 예제 정책에는 이러한 경우에 대해 콘솔의 오류 없는 작동과 관련된 목록, 가져오기, 검색과 같은 “읽기” 작업이 포함되어 있습니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:AssociateProfile", "sso:CreateApplicationInstance", "sso:ImportApplicationInstanceServiceProviderMetadata", "sso:DeleteApplicationInstance", "sso:DeleteProfile", "sso:DisassociateProfile", "sso:GetApplicationTemplate", "sso:UpdateApplicationInstanceServiceProviderConfiguration", "sso:UpdateApplicationInstanceDisplayData", "sso:DeleteManagedApplicationInstance", "sso:UpdateApplicationInstanceStatus", "sso:GetManagedApplicationInstance", "sso:UpdateManagedApplicationInstanceStatus", "sso:CreateManagedApplicationInstance", "sso:UpdateApplicationInstanceSecurityConfiguration", "sso:UpdateApplicationInstanceResponseConfiguration", "sso:GetApplicationInstance", "sso:CreateApplicationInstanceCertificate", "sso:UpdateApplicationInstanceResponseSchemaConfiguration", "sso:UpdateApplicationInstanceActiveCertificate", "sso:DeleteApplicationInstanceCertificate", "sso:ListApplicationInstanceCertificates", "sso:ListApplicationTemplates", "sso:ListApplications", "sso:ListApplicationInstances", "sso:ListDirectoryAssociations", "sso:ListProfiles", "sso:ListProfileAssociations", "sso:ListInstances", "sso:GetProfile", "sso:GetSSOStatus", "sso:GetSsoConfiguration", "sso-directory:DescribeDirectory", "sso-directory:DescribeUsers", "sso-directory:ListMembersInGroup", "sso-directory:SearchGroups", "sso-directory:SearchUsers" ], "Resource": "*" } ] } ``` ------ ### 예 4: 사용자가 Identity Center 디렉터리의 사용자 및 그룹을 관리하도록 허용 다음 권한 정책은 사용자가 IAM Identity Center에서 사용자 및 그룹을 생성, 확인, 수정 및 삭제할 수 있도록 허용하는 권한을 부여합니다. IAM Identity Center의 사용자 및 그룹에 대한 직접 수정이 제한되는 경우도 있습니다. Active Directory 또는 Automatic Provisioning이 활성화된 외부 ID 제공업체를 ID 소스로 선택한 경우를 예로 들 수 있습니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso-directory:ListGroupsForUser", "sso-directory:DisableUser", "sso-directory:EnableUser", "sso-directory:SearchGroups", "sso-directory:DeleteGroup", "sso-directory:AddMemberToGroup", "sso-directory:DescribeDirectory", "sso-directory:UpdateUser", "sso-directory:ListMembersInGroup", "sso-directory:CreateUser", "sso-directory:DescribeGroups", "sso-directory:SearchUsers", "sso:ListDirectoryAssociations", "sso-directory:RemoveMemberFromGroup", "sso-directory:DeleteUser", "sso-directory:DescribeUsers", "sso-directory:UpdateGroup", "sso-directory:CreateGroup" ], "Resource": "*" } ] } ``` ------ ## IAM Identity Center 콘솔을 사용하는 데 필요한 권한 사용자가 IAM Identity Center 콘솔을 오류 없이 사용하려면 추가 권한이 필요합니다. IAM 정책이 최소 필수 권한보다 더 제한적인 정책을 만들면 콘솔에서는 해당 정책에 연결된 사용자에 의도대로 작동하지 않습니다. 다음 예제는 IAM Identity Center 콘솔 내에서 오류 없이 운영하기 위해 필요할 수 있는 권한 세트를 나열합니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:DescribeAccountAssignmentCreationStatus", "sso:DescribeAccountAssignmentDeletionStatus", "sso:DescribePermissionSet", "sso:DescribePermissionSetProvisioningStatus", "sso:DescribeRegisteredRegions", "sso:GetApplicationInstance", "sso:GetApplicationTemplate", "sso:GetInlinePolicyForPermissionSet", "sso:GetManagedApplicationInstance", "sso:GetMfaDeviceManagementForDirectory", "sso:GetPermissionSet", "sso:GetProfile", "sso:GetSharedSsoConfiguration", "sso:GetSsoConfiguration", "sso:GetSSOStatus", "sso:GetTrust", "sso:ListAccountAssignmentCreationStatus", "sso:ListAccountAssignmentDeletionStatus", "sso:ListAccountAssignments", "sso:ListAccountsForProvisionedPermissionSet", "sso:ListApplicationInstanceCertificates", "sso:ListApplicationInstances", "sso:ListApplications", "sso:ListApplicationTemplates", "sso:ListDirectoryAssociations", "sso:ListInstances", "sso:ListManagedPoliciesInPermissionSet", "sso:ListPermissionSetProvisioningStatus", "sso:ListPermissionSets", "sso:ListPermissionSetsProvisionedToAccount", "sso:ListProfileAssociations", "sso:ListProfiles", "sso:ListTagsForResource", "sso-directory:DescribeDirectory", "sso-directory:DescribeGroups", "sso-directory:DescribeUsers", "sso-directory:ListGroupsForUser", "sso-directory:ListMembersInGroup", "sso-directory:SearchGroups", "sso-directory:SearchUsers" ], "Resource": "*" } ] } ``` ------ # IAM Identity Center에 대한 리소스 기반 정책 예시 리소스 기반 정책 예시 IAM Identity Center와 통합되어 작동하고 [OAuth 2.0](customermanagedapps-saml2-oauth2.md#oidc-concept)을 사용하는 모든 애플리케이션에는 리소스 기반 정책이 필요합니다. 애플리케이션은 고객 관리형 또는 AWS 관리형일 수 있습니다. *애플리케이션 정책*(또는 API의 [ActorPolicy](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_IamAuthenticationMethod.html#API_IamAuthenticationMethod_Contents))이라고 하는 필수 리소스 기반 정책은 [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html)과 같은 [IAM 인증 방법 API 작업을 직접 호출할 권한이 있는 IAM 위탁자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying)를 정의합니다. IAM 인증 방법을 사용하면 IAM 역할 또는 AWS 서비스와 같은 IAM 보안 주체가 IAM 자격 증명을 제시하여 **/token?aws\$1iam=t** 엔드포인트에서 액세스 토큰을 요청하거나 관리하여 IAM Identity Center OIDC 서비스에 인증할 수 있습니다. 애플리케이션 정책은 토큰 발급(`CreateTokenWithIAM`) 작업을 관리합니다. 또한이 정책은 토큰 검증(`IntrospectTokenWithIAM`) 및 토큰 취소()를 위해 AWS 관리형 애플리케이션에서만 사용하는 권한 전용 작업을 관리합니다`RevokeTokenWithIAM`. 고객 관리형 애플리케이션의 경우 `CreateTokenWithIAM`을 직접 호출할 권한이 있는 IAM 위탁자를 지정하여 이 정책을 구성합니다. 권한이 있는 위탁자가 이 API 작업을 직접 호출하면 위탁자는 애플리케이션에 대한 액세스 및 새로 고침 토큰을 받습니다. IAM Identity Center 콘솔을 사용하여 고객 관리형 애플리케이션에 [신뢰할 수 있는 ID 전파](trustedidentitypropagation-overview.md)를 설정하는 경우 애플리케이션 정책을 구성하는 방법에 대한 자세한 내용은 [고객 관리형 OAuth 2.0 애플리케이션 설정](customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2.md)의 4단계를 참조하세요. 예제 정책은 이번 주제 후반부의 [예제 정책: IAM 역할이 액세스 및 새로 고침 토큰을 생성하도록 허용](#oauth-application-policy-example) 섹션을 참조하세요. ## 정책 요구 사항 정책은 다음 요구 사항을 충족해야 합니다. + 정책은 "2012-10-17"로 설정된 `Version ` 요소를 포함해야 합니다. + 정책은 하나 이상의 `Statement` 요소를 포함해야 합니다. + 각 정책 `Statement`은 `Effect`, `Principal`, `Action`, `Resource` 요소를 포함해야 합니다. ## 정책 요소 정책은 다음 요소를 포함해야 합니다. **버전** 정책 문서 버전을 지정합니다. 버전을 `2012-10-17`(최신 버전)로 설정합니다. **명령** 정책 `Statements`을 포함합니다. 정책은 하나 이상의 `Statement`를 포함해야 합니다. 각 정책 `Statement`는 다음 요소로 구성됩니다. **Effect** (필수) 정책 문에서 권한을 허용할지 거부할지를 결정합니다. 유효한 값은 `Allow` 또는 `Deny`입니다. **Principal** (필수) [보안 주체](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying)는 정책 설명에 지정된 권한을 갖는 자격 증명입니다. IAM 역할 또는 AWS 서비스 위탁자를 지정할 수 있습니다. **작업** (필수) 허용하거나 거부할 IAM Identity Center OIDC 서비스 API 작업입니다. 유효한 작업은 다음과 같습니다. + `sso-oauth:CreateTokenWithIAM`: [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) API 작업에 해당하는이 작업은 AWS 서비스 역할 또는 사용자와 같은 IAM 엔터티를 사용하여 인증된 승인된 클라이언트 애플리케이션에 대한 액세스 및 새로 고침 토큰을 생성하고 반환할 수 있는 권한을 부여합니다. 이러한 토큰에는 `read:profile` 또는 `write:data`와 같은 권한을 지정하는 정의된 범위가 포함될 수 있습니다. + `sso-oauth:IntrospectTokenWithIAM`[권한 전용]: 연결된 범위 및 권한을 포함하여 활성 상태의 OAuth 2.0 액세스 토큰 및 새로 고침 토큰에 대한 정보를 검증하고 검색할 수 있는 권한을 부여합니다. 이 권한은 AWS 관리형 애플리케이션에서만 사용되며 *IAM Identity Center OIDC API 참조*에 문서화되어 있지 않습니다. + `RevokeTokenWithIAM `[권한 전용]: OAuth 2.0 액세스 토큰 및 새로 고침 토큰을 철회하여 정상적인 만료 전에 무효화할 수 있는 권한을 부여합니다. 이 권한은 AWS 관리형 애플리케이션에서만 사용되며 *IAM Identity Center OIDC API 참조*에 문서화되어 있지 않습니다. **Resource** (필수) 이 정책에서 `Resource` 요소의 값은 `"*"`이며, 이는 "이 애플리케이션"을 의미합니다. AWS 정책 구문에 대한 자세한 내용은 [AWS IAM 사용 설명서의 IAM 정책 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)를 참조하세요. ** ## 예제 정책: IAM 역할이 액세스 및 새로 고침 토큰을 생성하도록 허용 다음 권한 정책은 워크로드가 수임하는 IAM 역할인 `ExampleAppClientRole`에 액세스 및 새로 고침 토큰을 생성하고 반환할 수 있는 권한을 부여합니다. ``` 1. { 2. "Version": "2012-10-17", 3. "Statement": [ 4. { 5. "Sid": "AllowRoleToCreateTokens", 6. "Effect": "Allow", 7. "Principal": { 8. "AWS": "arn:aws:iam::111122223333:role/ExampleAppClientRole" 9. }, 10. "Action": "sso-oauth:CreateTokenWithIAM", 11. "Resource": "*" 12. } 13. ] 14. } ``` # AWS IAM Identity Center에 대한 관리형 정책 AWS 관리형 정책 팀에 필요한 권한만 제공하는 [IAM 고객 관리형 정책을 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)하기 위해서는 시간과 전문 지식이 필요합니다. 빠르게 시작하려면 AWS 관리형 정책을 사용할 수 있습니다. 이 정책은 일반적인 사용 사례를 다루며 사용자의 AWS 계정에서 사용할 수 있습니다. AWS 관리형 정책에 대한 자세한 정보는 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)에서 *AWS 관리형 정책*을 참조하세요. AWS 서비스는 AWS 관리형 정책을 유지 관리하고 업데이트합니다. AWS 관리형 정책에서는 권한을 변경할 수 없습니다. 서비스에서 때때로 추가 권한을 AWS 관리형 정책에 추가하여 새로운 기능을 지원합니다. 이 유형의 업데이트는 정책이 연결된 모든 ID(사용자, 그룹 및 역할)에 적용됩니다. 서비스는 새로운 기능이 시작되거나 새 작업을 사용할 수 있을 때 AWS 관리형 정책에 업데이트됩니다. 서비스는 AWS 관리형 정책에서 권한을 제거하지 않으므로 정책 업데이트로 인해 기존 권한이 손상되지 않습니다. 또한는 여러 서비스에 걸쳐 있는 직무에 대한 관리형 정책을 AWS 지원합니다. 예를 들어 **ReadOnlyAccess** AWS 관리형 정책은 모든 AWS 서비스 및 리소스에 대한 읽기 전용 액세스를 제공합니다. 서비스가 새 기능을 시작하면는 새 작업 및 리소스에 대한 읽기 전용 권한을 AWS 추가합니다. 직무 정책의 목록과 설명은 *IAM 사용 설명서*의 [직무에 관한AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)을 참조하세요. 사용자 세션을 나열하고 삭제할 수 있는 새 작업은 새 네임스페이스 `identitystore-auth`에서 사용할 수 있습니다. 해당 네임스페이스의 작업에 대한 추가 권한은 이 페이지에서 업데이트됩니다. 사용자 지정 IAM 정책을 생성할 때는 `identitystore-auth` 뒤에 `*`를 사용하지 않는 것이 좋습니다. 이는 현재 또는 미래에 네임스페이스에 있는 모든 작업에 적용되기 때문입니다. ## AWS 관리형 정책: AWSSSOMasterAccountAdministrator AWSSSOMasterAccountAdministrator 이 `AWSSSOMasterAccountAdministrator` 정책은 보안 주체에게 필요한 관리 조치를 제공합니다. 이 정책은 AWS IAM Identity Center 관리자의 작업 역할을 수행하는 보안 주체를 대상으로 합니다. 제공된 작업 목록은 시간이 지나면 IAM Identity Center의 기존 기능 및 관리자에게 필요한 작업에 맞게 업데이트됩니다. `AWSSSOMasterAccountAdministrator` 정책을 IAM ID에 연결할 수 있습니다. `AWSSSOMasterAccountAdministrator` 정책을 자격 증명에 연결할 때 관리 AWS IAM Identity Center 권한을 부여합니다. 이 정책을 사용하는 보안 주체는 AWS Organizations 관리 계정 및 모든 멤버 계정 내의 IAM Identity Center에 액세스할 수 있습니다. 이 주체는 IAM Identity Center 인스턴스, 사용자, 권한 세트 및 할당을 생성하는 기능을 포함하여 모든 IAM Identity Center 작업을 완벽하게 관리할 수 있습니다. 또한 보안 주체는 AWS 조직 멤버 계정 전체에서 이러한 할당을 인스턴스화하고 AWS Directory Service 관리형 디렉터리와 IAM Identity Center 간에 연결을 설정할 수 있습니다. 새 관리 기능이 출시되면 계정 관리자에게 이러한 권한이 자동으로 부여됩니다. 이 정책에는 암호화에 고객 관리형 키를 사용하는 IAM Identity Center 인스턴스에 필요한 AWS Key Management Service 권한도 포함되어 있습니다. **권한 그룹화** 이 정책은 제공된 권한에 따라 명령문으로 그룹화됩니다. + `AWSSSOMasterAccountAdministrator`— IAM Identity Center가 `AWSServiceRoleforSSO`로 지정된 [서비스 역할을 IAM Identity Center에 전달](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)하여 이후에 역할을 맡고 대신 작업을 수행할 수 있도록 합니다. 이는 개인이나 애플리케이션이 IAM Identity Center를 활성화하려고 할 때 필요합니다. 자세한 내용은 [에 대한 액세스 구성 AWS 계정](manage-your-accounts.md) 단원을 참조하십시오. + `AWSSSOMemberAccountAdministrator` - IAM Identity Center가 다중 계정 AWS 환경에서 계정 관리자 작업을 수행할 수 있도록 허용합니다. 자세한 내용은 [AWS 관리형 정책: AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator) 단원을 참조하십시오. + `AWSSSOManageDelegatedAdministrator`— IAM Identity Center에서 조직의 위임된 관리자를 등록 및 등록 취소할 수 있습니다. + `AllowKMSKeyUseViaService` 및 `AllowKMSKeyDiscovery` - IAM Identity Center 인스턴스에서 사용하는 고객 관리형 키에 대한 AWS Key Management Service 작업을 허용합니다. 이 정책의 권한을 보려면 *AWS 관리형 정책 참조*의 [AWSSSOMasterAccountAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSOMasterAccountAdministrator.html)를 참조하세요. ### 이 정책에 대한 추가 정보입니다. IAM Identity Center가 처음 활성화된 경우 IAM Identity Center 서비스는 AWS Organizations 관리 계정(이전 마스터 계정)에 [서비스 연결 역할을](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-service-linked-roles.html) 생성하여 IAM Identity Center가 계정의 리소스를 관리할 수 있도록 합니다. 필요한 작업은 `iam:CreateServiceLinkedRole` 및 `iam:PassRole`입니다. ## AWS 관리형 정책: AWSSSOMemberAccountAdministrator AWSSSOMemberAccountAdministrator 이 `AWSSSOMemberAccountAdministrator` 정책은 보안 주체에게 필요한 관리 조치를 제공합니다. 이 정책은 IAM Identity Center 관리자 역할을 수행하는 주체를 대상으로 합니다. 제공된 작업 목록은 시간이 지나면 IAM Identity Center의 기존 기능 및 관리자에게 필요한 작업에 맞게 업데이트됩니다. `AWSSSOMemberAccountAdministrator` 정책을 IAM ID에 연결할 수 있습니다. `AWSSSOMemberAccountAdministrator` 정책을 자격 증명에 연결할 때 관리 AWS IAM Identity Center 권한을 부여합니다. 이 정책을 사용하는 보안 주체는 AWS Organizations 관리 계정 및 모든 멤버 계정 내의 IAM Identity Center에 액세스할 수 있습니다. 이 주체는 사용자, 권한 세트 및 할당을 생성하는 기능을 포함하여 모든 IAM Identity Center 작업을 완벽하게 관리할 수 있습니다. 또한 보안 주체는 AWS 조직 멤버 계정 전체에서 이러한 할당을 인스턴스화하고 AWS Directory Service 관리형 디렉터리와 IAM Identity Center 간에 연결을 설정할 수 있습니다. 새 관리 기능이 출시되면 계정 관리자에게 이러한 권한이 자동으로 부여됩니다. 이 정책에는 암호화에 고객 관리형 키를 사용하는 IAM Identity Center 인스턴스에 필요한 AWS Key Management Service 권한도 포함되어 있습니다. 이 정책의 권한을 보려면 *AWS 관리형 정책 참조*의 [AWSSSOMemberAccountAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSOMemberAccountAdministrator.html)를 참조하세요. ### 이 정책에 대한 추가 정보입니다. IAM Identity Center 관리자는 Identity Center 디렉터리 저장소(sso-directory)에서 사용자, 그룹 및 암호를 관리합니다. 계정 관리자 역할에는 다음 작업에 대한 권한이 포함되어 있습니다. + `"sso:*"` + `"sso-directory:*"` IAM Identity Center 관리자는 일상적인 작업을 수행하려면 다음 Directory Service 작업에 대한 제한된 권한이 필요합니다. + `"ds:DescribeTrusts"` + `"ds:UnauthorizeApplication"` + `"ds:DescribeDirectories"` + `"ds:AuthorizeApplication"` + `“ds:CreateAlias”` 이러한 권한을 통해 IAM Identity Center 관리자는 기존 디렉터리를 식별하고 애플리케이션을 관리하여 IAM Identity Center와 함께 사용하도록 구성할 수 있습니다. 각 작업에 대한 자세한 내용을 알아보려면 [Directory Service API 권한: 작업, 리소스 및 조건 참조](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/UsingWithDS_IAM_ResourcePermissions.html)를 참조하세요. IAM Identity Center는 IAM 정책을 사용하여 IAM Identity Center 사용자에게 권한을 부여합니다. IAM Identity Center 관리자는 권한 세트를 생성하고 여기에 정책을 연결합니다. IAM Identity Center 관리자는 생성 또는 업데이트 중인 권한 세트와 함께 사용할 정책을 선택할 수 있도록 기존 정책을 나열할 권한이 있어야 합니다. 안전하고 기능적인 권한을 설정하려면 IAM Identity Center 관리자에게 IAM Access Analyzer 정책 검증을 실행할 수 있는 권한이 있어야 합니다. + `"iam:ListPolicies"` + `"access-analyzer:ValidatePolicy"` IAM Identity Center 관리자는 일상적인 작업을 수행하려면 다음 AWS Organizations 작업에 대한 제한된 액세스 권한이 필요합니다. + `"organizations:EnableAWSServiceAccess"` + `"organizations:ListRoots"` + `"organizations:ListAccounts"` + `"organizations:ListOrganizationalUnitsForParent"` + `"organizations:ListAccountsForParent"` + `"organizations:DescribeOrganization"` + `"organizations:ListChildren"` + `"organizations:DescribeAccount"` + `"organizations:ListParents"` + `"organizations:ListDelegatedAdministrators"` + `"organizations:RegisterDelegatedAdministrator"` + `"organizations:DeregisterDelegatedAdministrator"` 이러한 권한을 통해 IAM Identity Center 관리자는 조직 리소스(계정)를 사용하여 다음과 같은 기본적인 IAM Identity Center 관리 작업을 수행할 수 있습니다. + 조직에 속한 관리 계정 식별 + 조직에 속한 구성원 계정 식별 + 계정에 대한 AWS 서비스 액세스 활성화 + 위임된 관리자 설정 및 관리 IAM Identity Center에서 위임된 관리자를 사용하는 방법에 대한 자세한 내용을 알아보려면 [위임된 관리](delegated-admin.md)를 참조하세요. 이러한 권한을와 함께 사용하는 방법에 대한 자세한 내용은 [다른 AWS 서비스와 AWS Organizations 함께 사용을](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) AWS Organizations참조하세요. ## AWS 관리형 정책: AWSSSODirectoryAdministrator AWSSSODirectoryAdministrator `AWSSSODirectoryAdministrator` 정책을 IAM ID에 연결할 수 있습니다. 이 정책은 IAM Identity Center 사용자 및 그룹에 대한 관리 권한을 부여합니다. 이 정책이 연결된 보안 주체는 IAM Identity Center 사용자 및 그룹을 업데이트할 수 있습니다. 이 정책에는 암호화에 고객 관리형 키를 사용하는 IAM Identity Center 인스턴스에 필요한 AWS Key Management Service 권한도 포함되어 있습니다. 이 정책에는 다음 권한이 포함되어 있습니다. + **IAM Identity Center 디렉터리** - IAM Identity Center 디렉터리 작업에 대한 전체 관리 액세스. + **자격 증명 스토어** - 자격 증명 스토어 작업 및 인증에 대한 전체 관리 액세스. + **IAM Identity Center** - 디렉터리 연결을 나열할 수 있는 권한. + **AWS Key Management Service** - IAM Identity Center 인스턴스에서 사용하는 고객 관리형 키에 대한 복호화, 키 설명, 데이터 키 생성 권한. 이 정책의 권한을 보려면 *AWS 관리형 정책 참조*의 [AWSSSODirectoryAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSODirectoryAdministrator.html)를 참조하세요. ## AWS 관리형 정책: AWSSSOReadOnly AWSSSOReadOnly `AWSSSOReadOnly` 정책을 IAM ID에 연결할 수 있습니다. 이 정책은 IAM Identity Center의 정보를 볼 수 있는 읽기 전용 권한을 사용자에게 부여합니다. 이 정책이 연결된 보안 주체는 IAM Identity Center 사용자 및 그룹을 직접 볼 수 없습니다. 이 정책이 연결된 보안 주체는 IAM Identity Center에서 어떤 업데이트도 수행할 수 없습니다. 예를 들어 이러한 권한이 있는 보안 주체는 IAM Identity Center 설정을 볼 수 있지만 설정 값은 변경할 수 없습니다. 이 정책에는 암호화에 고객 관리형 키를 사용하는 IAM Identity Center 인스턴스에 필요한 AWS Key Management Service 권한도 포함되어 있습니다. 이 정책의 권한을 보려면 *AWS 관리형 정책 참조*의 [AWSSSOReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSOReadOnly.html)를 참조하세요. ## AWS 관리형 정책: AWSSSODirectoryReadOnly AWSSSODirectoryReadOnly `AWSSSODirectoryReadOnly` 정책을 IAM ID에 연결할 수 있습니다. 이 정책은 IAM Identity Center의 사용자 및 그룹을 볼 수 있는 읽기 전용 권한을 사용자에게 부여합니다. 이 정책이 연결된 보안 주체는 IAM Identity Center 할당, 권한 세트, 애플리케이션 또는 설정을 볼 수 없습니다. 이 정책이 연결된 보안 주체는 IAM Identity Center에서 어떤 업데이트도 수행할 수 없습니다. 예를 들어 이러한 권한을 가진 위탁자는 IAM Identity Center 사용자를 볼 수 있지만 사용자 속성을 변경하거나 MFA 디바이스를 할당할 수는 없습니다. 이 정책에는 암호화에 고객 관리형 키를 사용하는 IAM Identity Center 인스턴스에 필요한 AWS Key Management Service 권한도 포함되어 있습니다. 이 정책의 권한을 보려면 *AWS 관리형 정책 참조*의 [AWSSSODirectoryReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSODirectoryReadOnly.html)를 참조하세요. ## AWS 관리형 정책: AWSIdentitySyncFullAccess AWSIdentitySyncFullAccess `AWSIdentitySyncFullAccess` 정책을 IAM ID에 연결할 수 있습니다. 이 정책이 연결된 보안 주체는 동기화 프로필을 생성 및 삭제하고, 동기화 프로필을 동기화 대상과 연결 또는 업데이트하고, 동기화 필터를 생성, 나열 및 삭제하고, 동기화를 시작 또는 중지할 수 있는 전체 액세스 권한을 가집니다. **권한 세부 정보** 이 정책의 권한을 보려면 *AWS 관리형 정책 참조*의 [AWSIdentitySyncFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIdentitySyncFullAccess.html)를 참조하세요. ## AWS 관리형 정책: AWSIdentitySyncReadOnlyAccess AWSIdentitySyncReadOnlyAccess `AWSIdentitySyncReadOnlyAccess` 정책을 IAM ID에 연결할 수 있습니다. 이 정책은 사용자가 ID 동기화 프로필, 필터 및 대상 설정에 대한 정보를 볼 수 있는 읽기 전용 권한을 부여합니다. 이 정책이 연결된 위탁자는 동기화 설정을 업데이트할 수 없습니다. 예를 들어 이러한 권한이 있는 위탁자는 프로필 동기화 설정을 볼 수 있지만 프로필 또는 필터 값은 변경할 수 없습니다. 이 정책의 권한을 보려면 *AWS 관리형 정책 참조*의 [AWSIdentitySyncReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIdentitySyncReadOnlyAccess.html)를 참조하세요. ## AWS 관리형 정책: AWSSSOServiceRolePolicy AWSSSOServiceRolePolicy `AWSSSOServiceRolePolicy` 정책은 IAM ID에 연결할 수 없습니다. 이 정책은 IAM Identity Center가 특정에 대한 Single Sign-On 액세스 권한이 있는 사용자를 위임하고 적용할 수 있도록 서비스 연결 역할에 연결됩니다 AWS 계정 AWS Organizations. IAM을 활성화하면 조직 AWS 계정 내 모든에 서비스 연결 역할이 생성됩니다. 또한 IAM Identity Center는 이후에 조직에 추가되는 모든 계정에 동일한 서비스 연결 역할을 생성합니다. 이 역할을 통해 IAM Identity Center는 사용자를 대신하여 각 계정의 리소스에 액세스할 수 있습니다. 각에서 생성되는 서비스 연결 역할의 이름은 AWS 계정 입니다`AWSServiceRoleForSSO`. 자세한 내용은 [IAM Identity Center 서비스 연결 역할 사용](using-service-linked-roles.md) 단원을 참조하십시오. ## AWS 관리형 정책: AWSIAMIdentityCenterAllowListForIdentityContext AWSIAMIdentityCenterAllowListForIdentityContext IAM Identity Center 자격 증명 컨텍스트로 역할을 수임할 때 AWS Security Token Service (AWS STS)는 `AWSIAMIdentityCenterAllowListForIdentityContext` 정책을 역할에 자동으로 연결합니다. 이 정책은 IAM Identity Center ID 컨텍스트를 사용하여 수임한 역할에서 신뢰할 수 있는 ID 전파를 사용할 때 허용되는 작업 목록을 제공합니다. 이 컨텍스트로 호출되는 다른 모든 작업은 차단됩니다. ID 컨텍스트는 `ProvidedContext`로 전달됩니다. 이 정책의 권한을 보려면 *AWS 관리형 정책 참조*의 [AWSIAMIdentityCenterAllowListForIdentityContext](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIAMIdentityCenterAllowListForIdentityContext.html)를 참조하세요. ## AWS 관리형 정책: AWSIdentityCenterExternalManagementPolicy AWSIdentityCenterExternalManagementPolicy `AWSIdentityCenterExternalManagementPolicy` 정책을 IAM ID에 연결할 수 있습니다. 이 정책은 외부 공급자의 IAM Identity Center 사용자를 관리할 수 있는 액세스 권한을 제공합니다. 이 정책의 권한을 보려면 *AWS 관리*형 정책 참조의 [AWSIdentityCenterExternalManagementPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIdentityCenterExternalManagementPolicy.html)를 참조하세요. ## AWS 관리형 정책에 대한 IAM Identity Center 업데이트 다음 표에서는이 서비스가 이러한 변경 사항을 추적하기 시작한 이후 IAM Identity Center의 AWS 관리형 정책 업데이트에 대해 설명합니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 IAM Identity Center 문서 기록 페이지에서 RSS 피드를 구독하세요. | 변경 | 설명 | Date | | --- | --- | --- | | [AWSIdentityCenterExternalManagementPolicy](#security-iam-awsmanpol-AWSIdentityCenterExternalManagementPolicy) | 프로비저닝 테넌트의 ARN을 변경하도록 관리형 정책을 업데이트했습니다. | 2025년 12월 5일 | | [AWSIdentityCenterExternalManagementPolicy](#security-iam-awsmanpol-AWSIdentityCenterExternalManagementPolicy) | 이 정책은 외부 공급자의 IAM Identity Center 사용자를 관리할 수 있는 액세스 권한을 제공합니다. | 2025년 11월 21일 | | [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator), [AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator), [AWSSSOReadOnly](#security-iam-awsmanpol-AWSSSOReadOnly), [AWSSSODirectoryAdministrator](#security-iam-awsmanpol-AWSSSODirectoryAdministrator), [AWSSSODirectoryReadOnly](#security-iam-awsmanpol-AWSSSODirectoryReadOnly) | 암호화에 고객 관리형 키를 사용하는 IAM Identity Center 인스턴스에 필요한 AWS KMS 권한을 포함하도록 관리형 정책을 업데이트했습니다. | 2025년 9월 17일 | | [ AWSSSOServiceRolePolicy](#security-iam-awsmanpol-AWSSSOServiceRolePolicy) | 이제 이 정책에는 `identity-sync:DeleteSyncProfile`을 직접 호출하는 권한이 포함됩니다. | 2025년 2월 11일 | | [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 이제이 정책에는 이러한 세션을 지원하는 AWS 관리형 애플리케이션에 대한 자격 증명 강화 콘솔 세션을 지원하는 `qapps:ListQAppSessionData` 및 `qapps:ExportQAppSessionData` 작업이 포함됩니다. | 2024년 10월 2일 | | [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) | IAM Identity Center는 이 정책을 사용하여 동기화 프로파일을 삭제할 수 있는 DeleteSyncProfile 권한을 부여하는 새 작업을 추가했습니다. DeleteInstance API와 연결된 작업입니다. | 2024년 9월 26일 | | [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 이제이 정책에는 이러한 세션을 지원하는 AWS 관리형 애플리케이션에 대한 자격 증명 강화 콘솔 세션을 지원하는 `s3:ListCallerAccessGrants` 작업이 포함되어 있습니다. | 2024년 9월 4일 | | [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 이제이 정책에는 `aoss:APIAccessAll`, , `es:ESHttpHead`, `es:ESHttpPost``es:ESHttpGet`, `es:ESHttpPatch``es:ESHttpDelete`, 및 이러한 세션을 지원하는 AWS 관리형 애플리케이션에 대한 자격 증명 강화 콘솔 세션을 지원하는 `es:ESHttpPut` 작업이 포함됩니다. | 2024년 7월 12일 | | [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 이제이 정책에는 `qapps:PredictQApp`, , `qapps:ImportDocument`, `qapps:AssociateLibraryItemReview``qapps:DisassociateLibraryItemReview`, `qapps:GetQAppSession`, `qapps:UpdateQAppSession`, `qapps:GetQAppSessionMetadata``qapps:UpdateQAppSessionMetadata`, 및 이러한 세션을 지원하는 AWS 관리형 애플리케이션에 대한 자격 증명 강화 콘솔 세션을 지원하는 `qapps:TagResource` 작업이 포함됩니다. | 2024년 6월 27일 | | [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 이제 이 정책에는 Amazon EMR에서 신뢰할 수 있는 ID 전파를 지원하는 `elasticmapreduce:AddJobFlowSteps`, `elasticmapreduce:DescribeCluster`, `elasticmapreduce:CancelSteps`, `elasticmapreduce:DescribeStep`, 및 `elasticmapreduce:ListSteps` 작업이 포함됩니다. | 2024년 5월 17일 | | [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 이제이 정책에는 `qapps:CreateQApp`, `qapps:PredictProblemStatementFromConversation`, `qapps:PredictQAppFromProblemStatement`, `qapps:CopyQApp`, `qapps:GetQApp`, `qapps:ListQApps`, `qapps:UpdateQApp`, `qapps:AssociateQAppWithUser`, `qapps:DeleteQApp``qapps:ImportDocumentToQApp`, `qapps:ImportDocumentToQAppSession`, `qapps:DisassociateQAppFromUser``qapps:CreateLibraryItem`, `qapps:GetLibraryItem`, , `qapps:UpdateLibraryItem`, `qapps:CreateLibraryItemReview`, `qapps:ListLibraryItems`, `qapps:CreateSubscriptionToken``qapps:StartQAppSession`, 및 이러한 세션을 지원하는 AWS 관리형 애플리케이션에 대한 자격 증명 강화 콘솔 세션을 지원하는 `qapps:StopQAppSession` 작업이 포함됩니다. | 2024년 4월 30일 | | [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) | 이제이 정책에는 이러한 세션을 지원하는 AWS 관리형 애플리케이션에 대한 자격 증명 강화 콘솔 세션을 지원하는 `signin:CreateTrustedIdentityPropagationApplicationForConsole` 및 `signin:ListTrustedIdentityPropagationApplicationsForConsole` 작업이 포함됩니다. | 2024년 4월 26일 | | [AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator) | 이제이 정책에는 이러한 세션을 지원하는 AWS 관리형 애플리케이션에 대한 자격 증명 강화 콘솔 세션을 지원하는 `signin:CreateTrustedIdentityPropagationApplicationForConsole` 및 `signin:ListTrustedIdentityPropagationApplicationsForConsole` 작업이 포함됩니다. | 2024년 4월 26일 | | [AWSSSOReadOnly](#security-iam-awsmanpol-AWSSSOReadOnly) | 이제이 정책에는 이러한 세션을 지원하는 AWS 관리형 애플리케이션에 대한 자격 증명 강화 콘솔 세션을 지원하는 `signin:ListTrustedIdentityPropagationApplicationsForConsole` 작업이 포함되어 있습니다. | 2024년 4월 26일 | | [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 이제이 정책에는 이러한 세션을 지원하는 AWS 관리형 애플리케이션에 대한 자격 증명 강화 콘솔 세션을 지원하는 `qbusiness:PutFeedback` 작업이 포함되어 있습니다. | 2024년 4월 26일 | | [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 이제이 정책에는 `q:StartConversation`, , `q:SendMessage`, `q:ListConversations``q:GetConversation`, `q:StartTroubleshootingAnalysis`, `q:GetTroubleshootingResults``q:StartTroubleshootingResolutionExplanation`, 및 이러한 세션을 지원하는 AWS 관리형 애플리케이션에 대한 자격 증명 강화 콘솔 세션을 지원하는 ` q:UpdateTroubleshootingCommandResult` 작업이 포함됩니다. | 2024년 4월 24일 | | [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 이제이 정책에는 이러한 세션을 지원하는 AWS 관리형 애플리케이션에 대한 자격 증명 강화 콘솔 세션을 지원하는 `sts:SetContext` 작업이 포함되어 있습니다. | 2024년 4월 19일 | | [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 이제이 정책에는 이러한 세션을 지원하는 AWS 관리형 애플리케이션에 대한 자격 증명 강화 콘솔 세션을 지원하는 `qbusiness:Chat``qbusiness:ListConversations`, `qbusiness:ChatSync`, ` qbusiness:ListMessages`, 및 `qbusiness:DeleteConversation` 작업이 포함됩니다. | 2024년 4월 11일 | | [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 이 정책에는 이제 `s3:GetAccessGrantsInstanceForPrefix` 및 `s3:GetDataAccess` 작업이 포함됩니다. | 2023년 11월 26일 | | [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 이 정책은 IAM Identity Center ID 컨텍스트를 사용하여 수임한 역할에서 신뢰할 수 있는 ID 전파를 사용할 때 허용되는 작업 목록을 제공합니다. | 2023년 11월 15일 | | [AWSSSODirectoryReadOnly](#security-iam-awsmanpol-AWSSSODirectoryReadOnly) | 이제 이 정책에는 사용자가 세션을 나열하고 가져올 수 있는 새로운 권한이 있는 새 네임스페이스 `identitystore-auth`가 포함됩니다. | 2023년 2월 21일 | | [AWSSSOServiceRolePolicy](#security-iam-awsmanpol-AWSSSOServiceRolePolicy) | 이제 이 정책을 통해 관리 계정에서 `[UpdateSAMLProvider](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateSAMLProvider.html)` 작업을 할 수 있습니다. | 2022년 10월 20일 | | [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) | 이제 이 정책에는 관리자가 세션을 나열하고 사용자의 세션을 삭제할 수 있는 새로운 권한이 있는 새 네임스페이스 `identitystore-auth`가 포함됩니다. | 2022년 10월 20일 | | [AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator) | 이제 이 정책에는 관리자가 세션을 나열하고 사용자의 세션을 삭제할 수 있는 새로운 권한이 있는 새 네임스페이스 `identitystore-auth`가 포함됩니다. | 2022년 10월 20일 | | [AWSSSODirectoryAdministrator](#security-iam-awsmanpol-AWSSSODirectoryAdministrator) | 이제 이 정책에는 관리자가 세션을 나열하고 사용자의 세션을 삭제할 수 있는 새로운 권한이 있는 새 네임스페이스 `identitystore-auth`가 포함됩니다. | 2022년 10월 20일 | | [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) | 이제이 정책에`[ListDelegatedAdministrators](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListDelegatedAdministrators.html)`는 호출할 수 있는 새 권한이 포함됩니다 AWS Organizations. 또한 이 정책에는 이제 `[RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)` 및 `[DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)`를 호출할 수 있는 권한 `AWSSSOManageDelegatedAdministrator`이 포함된 일부 권한도 포함됩니다. | 2022년 8월 16일 | | [AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator) | 이제이 정책에`[ListDelegatedAdministrators](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListDelegatedAdministrators.html)`는 호출할 수 있는 새 권한이 포함됩니다 AWS Organizations. 또한 이 정책에는 이제 `[RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)` 및 `[DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)`를 호출할 수 있는 권한 `AWSSSOManageDelegatedAdministrator`이 포함된 일부 권한도 포함됩니다. | 2022년 8월 16일 | | [AWSSSOReadOnly](#security-iam-awsmanpol-AWSSSOReadOnly) | 이제이 정책에`[ListDelegatedAdministrators](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListDelegatedAdministrators.html)`는 호출할 수 있는 새 권한이 포함됩니다 AWS Organizations. | 2022년 8월 11일 | | [AWSSSOServiceRolePolicy](#security-iam-awsmanpol-AWSSSOServiceRolePolicy) | 이제 이 정책에는 `[DeleteRolePermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePermissionsBoundary.html)` 및 `[PutRolePermisionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePermissionsBoundary.html)`를 호출하는 새로운 권한이 포함됩니다. | 2022년 7월 14일 | | [AWSSSOServiceRolePolicy](#security-iam-awsmanpol-AWSSSOServiceRolePolicy) | 이제 이 정책에는 AWS Organizations에서 [ListAWSServiceAccessForOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAWSServiceAccessForOrganization.html) and [ListDelegatedAdministrators](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListDelegatedAdministrators.html)를 호출할 수 있는 새로운 권한이 포함됩니다. | 2022년 5월 11일 | | [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) [AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator) [AWSSSOReadOnly](#security-iam-awsmanpol-AWSSSOReadOnly) | 보안 주체가 검증을 위해 정책 확인을 사용하도록 허용하는 IAM Access Analyzer 권한을 추가합니다. | 2022년 4월 28일 | | [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) | 이 정책은 이제 모든 IAM ID 센터 ID 스토어 서비스 작업을 허용합니다. IAM Identity Center Identity 스토어 서비스에서 가능한 작업에 대한 자세한 내용을 알아보려면 [IAM Identity Center 아이덴티티 스토어 API 참조](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)를 참조하세요. | 2022년 3월 29일 | | [AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator) | 이 정책은 이제 모든 IAM ID 센터 ID 스토어 서비스 작업을 허용합니다. | 2022년 3월 29일 | | [AWSSSODirectoryAdministrator](#security-iam-awsmanpol-AWSSSODirectoryAdministrator) | 이 정책은 이제 모든 IAM ID 센터 ID 스토어 서비스 작업을 허용합니다. | 2022년 3월 29일 | | [AWSSSODirectoryReadOnly](#security-iam-awsmanpol-AWSSSODirectoryReadOnly) | 이 정책은 이제 IAM Identity Center ID 스토어 서비스 읽기 작업에 대한 액세스 권한을 부여합니다. 이 액세스는 IAM Identity Center ID 스토어 서비스에서 사용자 및 그룹 정보를 검색하는 데 필요합니다. | 2022년 3월 29일 | | [AWSIdentitySyncFullAccess](#security-iam-awsmanpol-AWSIdentitySyncFullAccess) | 이 정책은 Identity Sync 권한에 대한 모든 액세스를 허용합니다. | 2022년 3월 3일 | | [AWSIdentitySyncReadOnlyAccess](#security-iam-awsmanpol-AWSIdentitySyncReadOnlyAccess) | 이 정책은 보안 주체가 ID 동기화 설정을 볼 수 있도록 허용하는 읽기 전용 권한을 부여합니다. | 2022년 3월 3일 | | [AWSSSOReadOnly](#security-iam-awsmanpol-AWSSSOReadOnly) | 이 정책은 보안 주체가 IAM Identity Center 구성 설정을 볼 수 있도록 허용하는 읽기 전용 권한을 부여합니다. | 2021년 8월 4일 | | IAM Identity Center 변경 내용 추적 시작 | IAM Identity Center가 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. | 2021년 8월 4일 | # IAM Identity Center 서비스 연결 역할 사용 서비스 연결 역할 사용 AWS IAM Identity Center 는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 IAM Identity Center에 직접 연결된 고유한 유형의 IAM 역할입니다. IAM Identity Center에서 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다. 자세한 내용은 [IAM Identity Center 서비스 연결 역할 파악](slrconcept.md) 단원을 참조하십시오. 필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할은 IAM Identity Center을 더 쉽게 설정할 수 있습니다. IAM Identity Center가 서비스 연결 역할의 권한을 정의하므로 다르게 정의되지 않은 한, IAM Identity Center만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다. 서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조하고 **Service-Linked Role(서비스 연결 역할)** 열에 **Yes(예)**가 있는 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예(Yes)** 링크를 선택합니다. ## IAM Identity Center에 대한 서비스 연결 역할 권한 IAM Identity Center는 **AWSServiceRoleForSSO**라는 서비스 연결 역할을 사용하여 사용자를 대신하여 IAM 역할, 정책 및 SAML IdP를 포함한 AWS 리소스를 관리할 수 있는 IAM Identity Center 권한을 부여합니다. AWSServiceRoleForSSO 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다. + IAM Identity Center(서비스 접두사: `sso`) AWSSSOServiceRolePolicy 서비스 연결 역할 권한 정책에 따라 IAM Identity Center는 “/aws-reserved/sso.amazonaws.com/” 경로에서 이름 접두사가 “AWSReserveDsso\$1”인 역할에 대해 다음과 같은 작업을 수행할 수 있습니다. + `iam:AttachRolePolicy` + `iam:CreateRole` + `iam:DeleteRole` + `iam:DeleteRolePermissionsBoundary` + `iam:DeleteRolePolicy` + `iam:DetachRolePolicy` + `iam:GetRole` + `iam:ListRolePolicies` + `iam:PutRolePolicy` + `iam:PutRolePermissionsBoundary` + `iam:ListAttachedRolePolicies` AWSSSOServiceRolePolicy 서비스 연결 역할 권한 정책은 IAM Identity Center가 이름 접두사가 “AWSSSSO\$1”인 SAML 제공업체에서 다음을 완료하도록 허용합니다. + `iam:CreateSAMLProvider` + `iam:GetSAMLProvider` + `iam:UpdateSAMLProvider` + `iam:DeleteSAMLProvider` AWSSSOServiceRolePolicy 서비스 연결 역할 권한 정책은 모든 조직에서 IAM Identity Center의 다음을 완료하도록 허용합니다. + `organizations:DescribeAccount` + `organizations:DescribeOrganization` + `organizations:ListAccounts` + `organizations:ListAWSServiceAccessForOrganization` + `organizations:ListDelegatedAdministrators` AWSSSOServiceRolePolicy 서비스 연결 역할 권한 정책은 모든 IAM 역할에서 IAM Identity Center의 다음을 완료하도록 허용합니다(\$1). + `iam:listRoles` AWSSSOServiceRolePolicy 서비스 연결 역할 권한 정책은 IAM Identity Center가 “arn:aws:iam: :role/AWS-ServiceRole/AWS-ServiceRoleForSSO/AWSServiceRoleForSSO”에서 다음을 완료하도록 허용합니다. + `iam:GetServiceLinkedRoleDeletionStatus` + `iam:DeleteServiceLinkedRole` AWSSSOServiceRolePolicy 서비스 연결 역할 권한 정책은 IAM Identity Center가 “arn:aws:identity-sync:\$1:\$1:profile/\$1”에서 다음을 완료하도록 허용합니다. + `identity-sync:DeleteSyncProfile` AWSSSOServiceRolePolicy 서비스 연결 역할 권한 정책 업데이트에 대한 자세한 내용은 [AWS 관리형 정책에 대한 IAM Identity Center 업데이트](security-iam-awsmanpol.md#security-iam-awsmanpol-updates) 섹션을 참조하세요. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement":[ { "Sid":"IAMRoleProvisioningActions", "Effect":"Allow", "Action":[ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRolePermissionsBoundary", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription", "iam:UpdateAssumeRolePolicy" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ], "Condition":{ "StringNotEquals":{ "aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}" } } }, { "Sid":"IAMRoleReadActions", "Effect":"Allow", "Action":[ "iam:GetRole", "iam:ListRoles" ], "Resource":[ "*" ] }, { "Sid":"IAMRoleCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ] }, { "Sid":"IAMSLRCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus", "iam:DeleteRole", "iam:GetRole" ], "Resource":[ "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO" ] }, { "Sid": "IAMSAMLProviderCreationAction", "Effect": "Allow", "Action": [ "iam:CreateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ], "Condition": { "StringNotEquals": { "aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMSAMLProviderUpdateAction", "Effect": "Allow", "Action": [ "iam:UpdateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Sid":"IAMSAMLProviderCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteSAMLProvider", "iam:GetSAMLProvider" ], "Resource":[ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource":[ "*" ] }, { "Sid":"AllowUnauthAppForDirectory", "Effect":"Allow", "Action":[ "ds:UnauthorizeApplication" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeForDirectory", "Effect":"Allow", "Action":[ "ds:DescribeDirectories", "ds:DescribeTrusts" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeAndListOperationsOnIdentitySource", "Effect":"Allow", "Action":[ "identitystore:DescribeUser", "identitystore:DescribeGroup", "identitystore:ListGroups", "identitystore:ListUsers" ], "Resource":[ "*" ] }, { "Sid":"AllowDeleteSyncProfile", "Effect":"Allow", "Action":[ "identity-sync:DeleteSyncProfile" ], "Resource":[ "arn:aws:identity-sync:*:*:profile/*" ] } ] } ``` ------ IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)을 참조하세요. ## IAM Identity Center에 대한 서비스 연결 역할 생성 서비스 연결 역할은 수동으로 생성할 필요가 없습니다. 활성화되면 IAM Identity Center는 AWS Organizations의 조직 내 모든 계정에 서비스 연결 역할을 생성합니다. 또한 IAM Identity Center는 이후에 조직에 추가되는 모든 계정에 동일한 서비스 연결 역할을 생성합니다. 이 역할을 통해 IAM Identity Center는 사용자를 대신하여 각 계정의 리소스에 액세스할 수 있습니다. **참고** AWS Organizations 관리 계정에 로그인한 경우 서비스 연결 역할이 아닌 현재 로그인한 역할을 사용합니다. 이렇게 하면 권한이 에스컬레이션되는 것을 방지할 수 있습니다. IAM Identity Center가 AWS Organizations 관리 계정에서 IAM 작업을 수행하면 모든 작업은 IAM 보안 주체의 자격 증명을 사용하여 수행됩니다. 이렇게 하면 CloudTrail의 로그에서 누가 관리 계정의 모든 권한을 변경했는지 파악할 수 있습니다. **중요** IAM Identity Center 서비스가 서비스 연결 역할을 지원하기 시작한 2017년 12월 7일 이전에 이 서비스를 사용 중이었다면 IAM Identity Center에서 사용자 계정에 AWSServiceRoleForSSO 역할을 이미 생성했습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요. 이 서비스 연결 역할을 삭제한 다음 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. ## IAM Identity Center에 대한 서비스 연결 역할 편집 IAM Identity Center에서는 AWSServiceRoleForSSO 서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요. ## IAM Identity Center에 대한 서비스 연결 역할 삭제 AWSServiceRoleForSSO 역할을 수동으로 삭제하지 않아도 됩니다. AWS 조직에서이 제거되면 IAM Identity Center AWS 계정 는 리소스를 자동으로 정리하고 해당 리소스에서 서비스 연결 역할을 삭제합니다 AWS 계정. 또한 IAM 콘솔, IAM CLI 또는 IAM API를 사용하여 서비스 연결 역할을 수동으로 삭제할 수 있습니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다. **참고** 리소스를 삭제하려 할 때 IAM Identity Center 서비스가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요. **AWSServiceRoleForSSO에서 사용하는 IAM Identity Center 리소스를 삭제하려면** 1. AWS 계정에 액세스할 수 있는 모든 사용자 및 그룹용 [에 대한 사용자 및 그룹 액세스 제거 AWS 계정](howtoremoveaccess.md). 1. AWS 계정와 연결한 [IAM Identity Center에서 권한 세트 제거](howtoremovepermissionset.md). **IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.** IAM 콘솔, IAM CLI 또는 IAM API를 사용하여 AWSServiceRoleForSSO 서비스 연결 역할을 삭제합니다. 자세한 내용은 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)의 *서비스 연결 역할 삭제*를 참조하세요.