AWS IAM - assume role 사용

---

AWS IAM - assume role 사용

 

 

 

 

■ 개요

- 로그인을 1개의 계정으로 하고, 해당 계정에서 다른 계정으로 role 전환으로 접속 

- 인프라 관리자, 개발자, 보안 관리자 등의 그룹으로 나눠서 관리하는 것이 편함

- 편의상 assume role을 설정한 (로그인하는) 계정을 shared account 라고 많이 표현함 (SHD)

 

 

■ 프로세스

SHD 계정에서 진행하는 내용

- policy 설정

- 유저 그룹 생성

    - 그룹에 policy 등록 (역할별로 설정하여 그룹별로 다시 policy 등록)

    - 예) infra-group / sts-infra-policy

    - SHD 계정의 리소스들도 role 에 따라 어떻게 사용하는지 policy를 만들어서 등록 (혹은 관리형으로 등록)

Product 계정에서 진행하는 내용

- role 생성 

- SHD 계정의 sts role 관련 policy에 PRD 계정의 arn 정보 import

- PRD 계정의 role에도 policy 등록

- 신뢰 관계에 SHD 계정 정보 입력

 

 

■ 신뢰관계

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:root"
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}

신뢰 관계는 SHD 계정의 정보를 입력해 주면 됩니다.

 

 

 

---

by mkdir-chandler

---