brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Jun 23. 2020

409.Assume role,Pass role 이해

일반 계정 사용자가  AWS서비스를 이용하려고 할때  권한이 없다고 오류가 뜬다.


1. Assume role  - 역할전환 - 잠시 역할 위임 받자

2. Pass role

3. Service-Linked Roles



1. Assume role


역할 전환

내가 상대의 권한을 잠시 사용하는것이다.

A가 B의 권한을 쓰려면, B의 권한을 잠시 쓸수있는 권한 STS Assume role 이 있어야 한다.

B는 자신의 STS정보를 가지고 있어야 한다. 권한이 있어야 한다. 

그래야 A가 정보를 임시로 빌려 쓴다.


https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_roles_create_for-user.htm


예)

잠시 역할을 전환해 보자

실습1 - 같은 Accound ID에서 IAM 역할 전환해보기

https://brunch.co.kr/@topasvga/1877


AWS 여러 계정 쉽게 옮겨 다니기 https://brunch.co.kr/@topasvga/876


예)

Kinesis Data Firehose로 구독  https://brunch.co.kr/@topasvga/1200

cli 사용자에게  Firehose  role을 사용하도록 제공, s3 role을 사용하도록 제공


예) 

IAM 역할을 사용하여 각 규칙이 액세스할 수 있는 AWS 리소스를 제어합니다.

AWS IoT는 규칙을 실행할 때 이 역할을 수임합니다

https://docs.aws.amazon.com/ko_kr/iot/latest/developerguide/iot-create-role.html




2. Pass role


사용자에게 AWS 서비스에 역할을 전달할 권한 부여

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_roles_use_passrole.html


예)

Amazon Relational Database Service(Amazon RDS)는 확장 모니터링 기능 사용시
서비스 역할을 생성하여 로그에 대한 측정치를 모니터링하고 작성할 수 있는 권한을 Amazon RDS에 부여



3. Service-Linked Roles


IAM 개체(사용자, 그룹, 역할 등)가 서비스 연결 역할을 작성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다.

서비스 연결 역할은 해당 서비스에서 사전 정의하며 

서비스에서 다른 AWS 서비스를 자동으로 호출하기 위해 필요한 모든 권한을 포함합니다.


서비스는 역할을 자동으로 만들거나 삭제할 수 있습니다

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/using-service-linked-roles.html


예) Service-Linked Role for Amazon ECS

https://docs.aws.amazon.com/ko_kr/AmazonECS/latest/developerguide/using-service-linked-roles.html



role 필요 서비스 https://brunch.co.kr/@topasvga/1257


passrole  https://brunch.co.kr/@topasvga/836



감사합니다.

매거진의 이전글 408. Kinesis Data Firehose로 구독
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari