<1> 현황
1) 같은 계정으로 서비스망과 개발망의 모든 자원을 같이 작업하면 장애를 유발할 수 있다.
2) 서비스망과 개발망의 계정을 분리하여 서비스망 서버와 개발망 서버를 명확히 구분되도록 작업하고자 한다.
3) 기본적으로 계정이 다르면 각각 로그인을 해야 하는 번거로움이 있다. (사람은 1명 , AWS 계정은 2개인 경우 각 계정으로 개별 로그인)
<2> 문제점
계정 재로그인이 불편한다.
<3> 개선방향
AWS console 1개 계정에서 다른 계정으로 쉽게 넘어 다닐 수 있도록 설정하자.
다른 사용자에게 AWS console 권한 위임하기
IAM Policies와 Roles을 이용한다.
2차 계정 쪽에는 개별 계정을 만들지 않아도 된다.
크롬 브라우저와 Firefox를 각각 사용하도록 한다. (크롬과 Firefox브라우저가 빠르다)
1번 Chrome에서는 임시 자격 증명을 가지는 것이다.
2번 Firefox에서는 Role을 만들어 admin권한을 주는 것이다.
<4> 크롬 이용해 1차 계정 Root로 로그인
1. Console 화면 오른쪽 위 계정 > My account에서 Account id (계정 ID) 확인
Account Id: xxxxxxxxxxxxxx
Account id는 Console 로그인 계정당 1개가 존재한다.
개별 user Account id 도 모두 동일하다.
2. Policies 만들기
IAM > Policies
Create policy
Choose a service 클릭 STS
Access lever > Write > AssumeRole
Resources > role Any부분만 체크
Name : sts-get-role
Create policy
3. User를 만들어 STS Policy 적용하기
Users > Add user
User name : 100
Attach existing policies directly 해서 정책을 sts-get-role 을 검색해서 적용한다.
Create user 클릭
Download.csv 클릭
Close
로그인 URL이 생긴다.
MFA 적용한다.
Users > Security credentials > Assigned MFA device Manage
4. 로그인 URL을 이용해 User계정으로 login
EC2 클릭해서 보면 권한이 없다고 나온다.
xxxxxxx는 Account id
or
계정 아래 My Account > Account id가 확인된다.
1차 계정으로 할 건 다 했다.
<5> Firefox로 2차 계정 로그인 하기.
1. IAM > Roles을 만들기.
다른 계정에서 접속할 수 있도록 만든다.
1) IAM > Roles > Create role > Another AWS account
Account ID는 기존 1차 계정에서 확인한 Account ID를 입력한다. 4xxxxxxxxx
Require MFA 체크 해지 > Next Permissions
2) 2차 계정으로는 모든 걸 제어할 수 있도록 AdministratorAccess 권한을 준다.(임시)
Role name : admin-access1 > Create role
이제 1차 계정이 admin을 가진 role이 만들어졌다.
3) Rol name : admin-access1 을 클릭한다.
Give this link to users who can switch roles in the console
https://signin.aws.amaznon.com/switchrole?roleName=xxxxxxxxxxxxxxx=xxxxxxxxxxxxxx
URL을 복사한다.
<6> URL을 크롬에 붙여 넣어 접속하기
Give this link to users who can switch roles in the console의 URL을 Copy 해서 접속한다.
https://signin.aws.amazon.com/switchrole?roleName=admin-access1&account=79xxxxxxx
2. 크롬에서 URL Link로 접속하기 : 1차 계정 로그인한 브라우저에 URL을 입력한다
자동으로 계정과 역할이 입력된다.
계정 : xxxxxx (상대 AWS ACCOUND ID 44444411111
역할 : xxxxxx (만들 역할 이름 admin-access1)
표시 이름 : topasvga2 (아무거나)
[역할 전환] 클릭한다.
참고 1. 1차 계정으로 돌아가고 싶을 때는?
계정 클릭 - > 'back to 1차 계정' 메뉴 클릭하면 1차 계정으로 돌아간다.
참고 2. 기존 계정에 적용하려면?
그룹에 정책을 추가한다.
1) 1차 계정 로그인한다.
2) IAM > Groups > Permissions > Attach Policy > sts-dev-role을 추가한다.
감사합니다.