brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Apr 25. 2019

115.AWS 다른 Console계정으로 쉽게 이동하기

AWS console 1개 계정에서 다른 계정으로 쉽게 넘어 다니기

<1> 현황

1)  같은 계정으로 서비스망과 개발망의 모든 자원을  같이 작업하면 장애를 유발할 수 있다.

2)  서비스망과 개발망의 계정을 분리하여 서비스망 서버와 개발망 서버를 명확히 구분되도록 작업하고자 한다.
3)  기본적으로 계정이 다르면 각각 로그인을 해야 하는 번거로움이 다. (사람은 1명 , AWS 계정은 2개인 경우 각 계정으로 개별 로그인)


<2> 문제점

계정 재로그인이 불편한다.


<3> 개선방향

AWS console 1개 계정에서 다른 계정으로 쉽게 넘어 다닐 수 있도록 설정하자.

다른 사용자에게 AWS console 권한 위임하기

IAM  Policies와  Roles을 이용한다.

2차 계정 쪽에는 개별 계정을 만들지 않아도 된다.

크롬 브라우저와  Firefox를   각각 사용하도록 한다.  (크롬과 Firefox브라우저가 빠르다)



1번 Chrome에서는 임시 자격 증명을 가지는 것이다.

2번 Firefox에서는 Role을 만들어 admin권한을 주는 것이다.




<4>  크롬 이용해 1차 계정  Root로 로그인

https://console.aws.amazon.com/console/home


1. Console 화면 오른쪽 위 계정 > My account에서 Account id (계정 ID) 확인

Account Id:    xxxxxxxxxxxxxx


Account id는 Console 로그인 계정당 1개가 존재한다.

개별 user Account id 도 모두 동일하다.



2.  Policies 만들기

IAM > Policies

Create policy

Choose a service  클릭   STS

Access lever  > Write  >  AssumeRole

Resources >  role  Any부분만 체크


Name : sts-get-role

Create policy



3.  User를 만들어 STS Policy 적용하기

Users >  Add user

User name :  100


Attach  existing policies directly  해서 정책을 sts-get-role 을 검색해서 적용한다.

Create user 클릭

Download.csv 클릭

Close

로그인 URL이 생긴다.


MFA 적용한다.

Users > Security credentials > Assigned MFA device Manage



4. 로그인  URL을 이용해  User계정으로  login

EC2 클릭해서 보면  권한이 없다고 나온다.

https://xxxxxxxxx.signin.aws.amazon.com/console

xxxxxxx는  Account id


or

계정 아래  My Account  >  Account id가 확인된다.


1차 계정으로 할 건 다 했다.




<5>  Firefox로 2차 계정 로그인 하기.

https://console.aws.amazon.com/console/home



1.  IAM >  Roles을 만들기.

다른 계정에서 접속할 수 있도록  만든다.


1)  IAM >  Roles > Create role   >  Another AWS account

Account ID는 기존 1차 계정에서 확인한 Account ID를 입력한다.   4xxxxxxxxx

Require MFA 체크 해지 >   Next Permissions 


2) 2차 계정으로는 모든 걸 제어할 수 있도록  AdministratorAccess  권한을 준다.(임시)

Role name :   admin-access1  > Create role  

이제  1차 계정이 admin을 가진 role이 만들어졌다.


3) Rol name  : admin-access1 을 클릭한다.

Give this link to users who can switch roles in the console

https://signin.aws.amaznon.com/switchrole?roleName=xxxxxxxxxxxxxxx=xxxxxxxxxxxxxx

URL을 복사한다.



<6> URL을  크롬에  붙여 넣어 접속하기


Give this link to users who can switch roles in the console의 URL을  Copy 해서  접속한다.

https://signin.aws.amazon.com/switchrole?roleName=admin-access1&account=79xxxxxxx



2.  크롬에서 URL Link로 접속하기 :  1차 계정 로그인한 브라우저에 URL을 입력한다


자동으로 계정과 역할이 입력된다.

계정 : xxxxxx  (상대 AWS ACCOUND ID 44444411111

역할 : xxxxxx   (만들 역할 이름 admin-access1)

표시 이름 : topasvga2  (아무거나)


[역할 전환]  클릭한다.





  

참고 1. 1차 계정으로 돌아가고 싶을 때는?

계정 클릭 - > 'back to  1차 계정' 메뉴 클릭하면  1차 계정으로 돌아간다.


참고 2.  기존 계정에 적용하려면?  

그룹에 정책을 추가한다.

1) 1차 계정  로그인한다.

2) IAM > Groups  > Permissions > Attach Policy >  sts-dev-role을 추가한다.



감사합니다.

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari