기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Transfer Family 웹 앱에 대한 IAM 역할 구성
<a name="webapp-roles"></a>

두 가지 역할이 필요합니다. 하나는 웹 앱의 자격 증명 보유자 역할로 사용하고 다른 하나는 액세스 권한 부여를 구성하는 데 사용합니다. 자격 증명 보유자 역할은 인증된 사용자의 자격 증명을 세션에 포함하는 역할입니다. 사용자를 대신하여 데이터 액세스를 위해 S3 Access Grants에 요청하는 데 사용됩니다.

**참고**  
자격 증명 보유자 역할을 생성하는 절차를 건너뛸 수 있습니다. Transfer Family 서비스가 자격 증명 보유자 역할을 생성하도록 하는 방법에 대한 자세한 내용은 섹션을 참조하세요[Transfer Family 웹 앱 생성](webapp-configure.md#web-app-create).  
액세스 권한 부여 역할 생성 절차를 건너뛸 수 있습니다. 액세스 권한 부여 생성 절차에서 S3 위치를 등록하는 단계에서 **새 역할 생성을** 선택합니다.

**자격 증명 보유자 역할 생성**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.

1. **역할을** 선택한 다음 **역할 생성을** 선택합니다.

1. **사용자 지정 신뢰 정책을** 선택한 다음 다음 코드를 붙여 넣습니다.

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service":"transfer.amazonaws.com"
               },
               "Action": [
                   "sts:AssumeRole",
                   "sts:SetContext"
               ]
           }
       ]
   }
   ```

1. **다음을** 선택한 다음 **권한 추가**를 건너뛰고 **다음을** 다시 선택합니다.

1. 와 같은 이름을 입력합니다`web-app-identity-bearer`.

1. **역할 생성을** 선택하여 자격 증명 보유자 역할을 생성합니다.

1. 목록에서 방금 생성한 역할을 선택한 다음 **권한 정책** 패널에서 **권한 추가** > **인라인 정책 생성을** 선택합니다.

1. **정책 편집기**에서 **JSON**을 선택한 다음 다음 코드 블록에 붙여 넣습니다.

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "s3:GetDataAccess",
                   "s3:ListCallerAccessGrants",
                   "s3:ListAccessGrantsInstances"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

1. 정책 이름에 `AllowS3AccessGrants`를 입력한 다음 **정책 생성을** 선택합니다.

다음으로 S3 Access Grants가 피부여자에게 임시 자격 증명을 제공하기 위해 수임하는 역할을 생성합니다.

**참고**  
서비스가 자격 증명 보유자 역할을 생성하도록 허용하는 경우 해당 역할은 혼동된 대리자 보호를 설정합니다. 따라서 코드는 여기에 표시된 것과 다릅니다.

**액세스 권한 부여 역할 생성**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.

1. **역할을** 선택한 다음 **역할 생성을** 선택합니다. 이 역할에는의 S3 데이터에 액세스할 수 있는 권한이 있어야 합니다 AWS 리전.

1. **사용자 지정 신뢰 정책을** 선택한 다음 다음 코드를 붙여 넣습니다.

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": "access-grants.s3.amazonaws.com"
               },
               "Action": [
                   "sts:AssumeRole",
                   "sts:SetContext"
               ]
           }
       ]
   }
   ```

1. **다음** [위치 등록에 설명된 대로 최소 정책 추가를](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-location-register.html) 선택합니다. 권장되지는 않지만 **AmazonS3FullAccess** 관리형 정책을 추가할 수 있으며, 이는 요구 사항에 너무 허용적일 수 있습니다.

1. **다음을** 선택하고 이름(예: `access-grants-location`)을 입력합니다.

1. **역할 생성을** 선택하여 역할을 생성합니다.

**참고**  
서비스가 액세스 권한 부여 역할을 생성하도록 허용하는 경우 해당 역할은 혼동된 대리자 보호를 설정합니다. 따라서 코드는 여기에 표시된 것과 다릅니다.