IAM 활용하기
IAM과 IAM Identity Center 차이점
역할 수임하는 여러 방법들
-
CLI 명령어
$ aws sts assume-role --role-arn "RoleArn" --role-session-name "YourSessionName" -
AWS 브라우저 콘솔 웹 페이지 -> 로그인 후 계정 이름 클릭 -> 역할 전환
-
IAM Identity Center - 역할 자동 수임 설정
-
여러 언어에 제공되는 AWS SDK 라이브러리로 코드에서 접근 가능
다른 사람 계정의 리소스 접근 역할을 부여받는 방법
-
다른 계정의 주인이 IAM 역할을 생성
-
1.의 IAM 역할 ARN을 받는다.
ARN?
Amazon Resource Name, AWS 리소스를 고유 식별하는 이름
arn:[partition]:[service]:[region]:[account-id]:[resource] 형태
- AWS CLI 에 sts assume-role 명령어 입력
역할 수임하는 여러 방법들에 따라 다를 수 있다. 공통적으로 모두 ARN이 필요하다.
$ aws sts assume-role --role-arn "arn:aws:iam::H_ACCOUNT_ID:role/H_ROLE_NAME"
--role-session-name "YourSessionName" [--duration-seconds 3600]임시이므로 기본값으로 3600초, 즉 한 시간동안 유효하다.
--duration-seconds 옵션으로 설정 가능함
- 임시 자격 증명 토큰이 생성됨
예시) 임시로 MyS3AccessSession 역할을 수임
{
"Credentials": {
"AccessKeyId": "ASIA....",
"SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
"SessionToken": "FQoGZXIvYXdzEF4aDDwxxxxxxxxxxxxx",
"Expiration": "2024-11-05T15:04:30Z"
},
"AssumedRoleUser": {
"AssumedRoleId": "AROAXXX:MyS3AccessSession",
"Arn": "arn:aws:sts::H_ACCOUNT_ID:assumed-role/H_ROLE_NAME/MyS3AccessSession"
}
}
웹개발 도전! 데브옵스 도전!