409.Assume role,Pass role 이해
일반 계정 사용자가 AWS서비스를 이용하려고 할때 권한이 없다고 오류가 뜬다.
1. Assume role - 역할전환 - 잠시 역할 위임 받자
2. Pass role
3. Service-Linked Roles
1. Assume role
역할 전환
내가 상대의 권한을 잠시 사용하는것이다.
A가 B의 권한을 쓰려면, B의 권한을 잠시 쓸수있는 권한 STS Assume role 이 있어야 한다.
B는 자신의 STS정보를 가지고 있어야 한다. 권한이 있어야 한다.
그래야 A가 정보를 임시로 빌려 쓴다.
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_roles_create_for-user.htm
예)
잠시 역할을 전환해 보자
실습1 - 같은 Accound ID에서 IAM 역할 전환해보기
https://brunch.co.kr/@topasvga/1877
AWS 여러 계정 쉽게 옮겨 다니기 https://brunch.co.kr/@topasvga/876
예)
Kinesis Data Firehose로 구독 https://brunch.co.kr/@topasvga/1200
cli 사용자에게 Firehose role을 사용하도록 제공, s3 role을 사용하도록 제공
예)
IAM 역할을 사용하여 각 규칙이 액세스할 수 있는 AWS 리소스를 제어합니다.
AWS IoT는 규칙을 실행할 때 이 역할을 수임합니다
https://docs.aws.amazon.com/ko_kr/iot/latest/developerguide/iot-create-role.html
2. Pass role
사용자에게 AWS 서비스에 역할을 전달할 권한 부여
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_roles_use_passrole.html
예)
Amazon Relational Database Service(Amazon RDS)는 확장 모니터링 기능 사용시
서비스 역할을 생성하여 로그에 대한 측정치를 모니터링하고 작성할 수 있는 권한을 Amazon RDS에 부여
3. Service-Linked Roles
IAM 개체(사용자, 그룹, 역할 등)가 서비스 연결 역할을 작성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다.
서비스 연결 역할은 해당 서비스에서 사전 정의하며
서비스에서 다른 AWS 서비스를 자동으로 호출하기 위해 필요한 모든 권한을 포함합니다.
서비스는 역할을 자동으로 만들거나 삭제할 수 있습니다
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/using-service-linked-roles.html
예) Service-Linked Role for Amazon ECS
https://docs.aws.amazon.com/ko_kr/AmazonECS/latest/developerguide/using-service-linked-roles.html
role 필요 서비스 https://brunch.co.kr/@topasvga/1257
passrole https://brunch.co.kr/@topasvga/836
감사합니다.
