Transfer Family 웹 앱에 대한 IAM 역할 구성 - AWS Transfer Family

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Transfer Family 웹 앱에 대한 IAM 역할 구성

두 가지 역할이 필요합니다. 하나는 웹 앱의 자격 증명 보유자 역할로 사용하고 다른 하나는 액세스 권한 부여를 구성하는 데 사용합니다. 자격 증명 보유자 역할은 인증된 사용자의 자격 증명을 세션에 포함하는 역할입니다. 사용자를 대신하여 데이터 액세스를 위해 S3 Access Grants에 요청하는 데 사용됩니다.

참고

자격 증명 보유자 역할을 생성하는 절차를 건너뛸 수 있습니다. Transfer Family 서비스가 자격 증명 보유자 역할을 생성하도록 하는 방법에 대한 자세한 내용은 섹션을 참조하세요Transfer Family 웹 앱 생성.

액세스 권한 부여 역할 생성 절차를 건너뛸 수 있습니다. 액세스 권한 부여 생성 절차에서 S3 위치를 등록하는 단계에서 새 역할 생성을 선택합니다.

자격 증명 보유자 역할 생성

  1. 에 로그인 AWS Management Console 하고 https://console.aws.amazon.com/iam/ IAM 콘솔을 엽니다.

  2. 역할을 선택한 다음 역할 생성을 선택합니다.

  3. 사용자 지정 신뢰 정책을 선택한 다음 다음 코드를 붙여 넣습니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service":"transfer.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}

  4. 다음을 선택한 후 권한 추가를 건너뛰고 다음을 다시 선택합니다.

  5. 와 같은 이름을 입력합니다web-app-identity-bearer.

  6. 역할 생성을 선택하여 자격 증명 보유자 역할을 생성합니다.

  7. 목록에서 방금 생성한 역할을 선택한 다음 권한 정책 패널에서 권한 추가 > 인라인 정책 생성을 선택합니다.

  8. 정책 편집기에서 JSON을 선택한 다음 다음 코드 블록에 붙여 넣습니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:ListCallerAccessGrants",
                "s3:ListAccessGrantsInstances"
            ],
            "Resource": "*"
        }
    ]
}

  9. 정책 이름에 AllowS3AccessGrants를 입력한 다음 정책 생성을 선택합니다.

다음으로 S3 Access Grants가 피부여자에게 임시 자격 증명을 제공하기 위해 수임하는 역할을 생성합니다.

참고

서비스가 자격 증명 보유자 역할을 생성하도록 허용하는 경우 해당 역할은 혼동된 대리자 보호를 설정합니다. 따라서 코드는 여기에 표시된 것과 다릅니다.

액세스 권한 부여 역할 생성

  1. 에 로그인 AWS Management Console 하고 https://console.aws.amazon.com/iam/ IAM 콘솔을 엽니다.

  2. 역할을 선택한 다음 역할 생성을 선택합니다. 이 역할에는의 S3 데이터에 액세스할 수 있는 권한이 있어야 합니다 AWS 리전.

  3. 사용자 지정 신뢰 정책을 선택한 다음 다음 코드를 붙여 넣습니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "access-grants.s3.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}

  4. 다음 위치 등록에 설명된 대로 최소 정책 추가를 선택합니다. 권장되지는 않지만 AmazonS3FullAccess 관리형 정책을 추가할 수 있으며, 이는 요구 사항에 너무 허용적일 수 있습니다.

  5. 다음을 선택하고 이름(예: access-grants-location)을 입력합니다.

  6. 역할 생성을 선택하여 역할을 생성합니다.

참고

서비스가 액세스 권한 부여 역할을 생성하도록 허용하면 해당 역할은 혼동된 대리자 보호를 설정합니다. 따라서 코드는 여기에 표시된 것과 다릅니다.