# IAM 임시 위임
## 개요
임시 위임은 온보딩을 가속화하고 AWS 계정과 통합되는 Amazon 및 AWS 파트너의 제품 관리를 간소화합니다. 여러 AWS 서비스를 수동으로 구성할 필요 없이, 자동화된 배포 워크플로를 통해 제품 제공업체가 몇 분 만에 사용자를 대신하여 설정 작업을 완료할 수 있도록 허용하는 제한된 임시 권한을 위임할 수 있습니다. 사용자가 승인 요구 사항 및 권한 경계를 통해 관리 통제권을 유지하며, 제품 제공업체 권한은 수동 정리 없이 승인된 기간 후에 자동으로 만료됩니다. 제품에 지속적인 작업에 대한 지속적인 액세스가 필요한 경우 공급자는 임시 위임을 사용하여 역할의 최대 권한을 정의하는 권한 경계가 있는 IAM 역할을 생성할 수 있습니다. 모든 제품 제공업체 활동은 규정 준수 및 보안 모니터링을 위해 AWS CloudTrail을 통해 추적됩니다.
**참고**
임시 위임 요청은 기능 온보딩 프로세스를 완료한 Amazon 제품 및 적격 AWS 파트너만 생성할 수 있습니다. 고객은 이러한 요청을 검토하고 승인하지만 직접 생성할 수는 없습니다. IAM 임시 위임을 제품에 통합하려는 AWS 파트너의 경우 온보딩 및 통합 지침은 [파트너 통합 가이드](access_policies-temporary-delegation-partner-guide.md)를 참조하세요.
## 임시 위임 작동 방식
임시 위임을 통해 Amazon과 AWS 파트너는 계정에 대한 일시적이고 제한된 액세스를 요청할 수 있습니다. 승인되면 위임된 권한을 사용하여 사용자 대신 작업을 수행할 수 있습니다. 위임 요청은 제품 제공업체가 AWS 계정에서 리소스를 배포하거나 구성하는 데 필요한 AWS 서비스 및 작업에 대한 특정 권한을 정의합니다. 이러한 권한은 제한된 시간 동안만 사용할 수 있으며 요청에 지정된 기간이 지나면 자동으로 만료됩니다.
**참고**
위임된 액세스의 최대 기간은 12시간입니다. 하지만 루트 사용자는 4시간 이하의 기간으로만 위임 요청을 승인할 수 있습니다. 요청이 4시간 이상을 지정하는 경우 루트가 아닌 ID를 사용하여 요청을 승인해야 합니다. 자세한 내용은 [권한 시뮬레이션 베타 기능](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation)을 참조하세요.
Amazon S3 버킷에서 읽기 등의 진행 중인 작업의 경우, 위임 요청에는 임시 액세스가 만료된 후 리소스 및 작업에 대한 지속적인 액세스를 허용하는 IAM 역할 생성이 포함될 수 있습니다. 제품 제공업체는 임시 위임을 통해 생성된 모든 IAM 역할에 권한 경계를 연결해야 합니다. 권한 경계는 역할의 최대 권한을 제한하되, 자체적으로 권한을 부여하지는 않습니다. 권한 경계를 승인하기 전에 요청의 일부로 검토할 수 있습니다. 자세한 내용은 [권한 경계](access_policies_boundaries.md)를 참조하세요.
이 프로세스는 다음과 같이 작동합니다.
1. Amazon 또는 AWS 파트너 제품에 로그인하여 AWS 환경과 통합합니다.
1. 제품 제공업체는 사용자를 대신하여 위임 요청을 시작하고 사용자를 AWS Management Console로 리디렉션합니다.
1. 요청된 권한을 검토하고 요청을 승인할지, 거부할지, 아니면 관리자에게 전달할지 결정합니다.
1. 사용자 또는 관리자가 요청을 승인하면 제품 제공업체는 필요한 작업을 수행하기 위해 승인자의 임시 자격 증명을 얻을 수 있습니다.
1. 지정된 기간이 지나면 제품 제공업체 액세스가 자동으로 만료됩니다. 하지만 임시 위임 요청을 통해 생성된 모든 IAM 역할은 이 기간 이후에도 유지되므로, 제품 제공업체는 지속적인 관리 작업을 위해 리소스 및 작업에 계속 액세스할 수 있습니다.
![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/images/delegation-flow.png)
**참고**
임시 위임 요청에 포함된 서비스 및 작업에 대한 권한이 있는 경우에만 제품 제공업체에 권한을 위임할 수 있습니다. 요청된 서비스 및 작업에 액세스할 수 없는 경우 요청을 승인할 때 제품 제공업체는 이러한 권한을 받지 않습니다.
권한 검사에 성공할 가능성이 있는 것으로 표시되면 임시 위임 요청을 승인하고 워크플로를 계속 진행할 수 있습니다.
권한 검사에 충분한 권한이 없는 것으로 표시되면 승인을 위해 관리자에게 요청을 전달합니다. 이메일이나 티켓과 같은 선호하는 방법을 사용하여 이 요청에 대해 관리자에게 알리는 것이 좋습니다.
관리자가 요청을 승인하면 다음 단계는 제품 제공업체의 구성에 따라 달라집니다.
+ 제품 제공업체가 즉시 액세스를 요청하면 자동으로 임시 권한을 받고 액세스 기간이 시작됩니다.
+ 제품 제공업체가 소유자(최초 수신자)의 릴리스를 요청한 경우 액세스 기간이 시작되기 전에 요청으로 돌아가 임시 계정 액세스를 명시적으로 공유해야 합니다. 제품 제공업체는 일반적으로 필요한 작업을 완료하기 위해 리소스 선택 또는 구성 세부 정보와 같은 추가 입력이 필요한 경우 이 옵션을 사용합니다.
# 임시 위임 요청 시작
지원되는 Amazon 또는 AWS 파트너 제품에서만 임시 위임 요청을 시작할 수 있습니다. 임시 위임을 지원하는 워크플로 중에 제품 제공업체에 계정에서 필요한 AWS 리소스를 구성할 수 있는 일시적이고 제한된 권한을 부여하라는 메시지가 표시됩니다. 이 자동화된 접근 방식을 사용하면 이러한 리소스를 수동으로 구성할 필요가 없으므로 보다 간소화된 환경이 제공됩니다.
액세스 권한을 부여하기 전에 제품 제공업체에 필요한 특정 IAM 역할, 정책 및 AWS 서비스와 같은 위임 요청 세부 정보를 검토할 수 있습니다. 충분한 권한이 있는 경우 직접 요청을 승인하거나 계정 관리자에게 요청을 전달하여 승인을 받을 수 있습니다. 모든 제품 제공업체 액세스는 시간 제한이 있으며 필요에 따라 모니터링하고 취소할 수 있습니다.
**임시 위임 요청을 시작하려면**
1. AWS 계정과의 통합이 필요한 Amazon 또는 AWS 파트너가 지원하는 제품의 콘솔로 이동합니다.
1. *IAM 임시 위임으로 배포*를 선택합니다. 옵션 이름은 지원되는 제품마다 다를 수 있습니다. 자세한 내용은 제품 제공업체의 설명서를 참조하세요.
**참고**
AWS Management Console에 아직 로그인하지 않은 경우 AWS 로그인 페이지에 새 창이 열립니다. 제품 콘솔에서 임시 위임 요청을 시작하기 전에 AWS 계정에 로그인하는 것이 좋습니다. 사용자 유형 및 액세스하려는 AWS 리소스에 따라 로그인하는 방법에 대한 자세한 내용은 [AWS 로그인 사용 설명서](docs---aws.amazon.com.rproxy.govskope.ussignin/latest/userguide/what-is-sign-in.html)를 참조하세요.
1. 요청 세부 정보를 검토하여 제품 제공업체의 제품 이름 및 AWS 계정을 확인합니다. 제품 제공업체가 사용자를 대신하여 작업을 수행하는 데 사용할 AWS ID를 검토할 수도 있습니다.
1. 이 요청을 승인하여 임시로 위임할 권한에 대한 *액세스 세부 정보*를 검토합니다.
+ *권한 요약* 섹션은 AI에서 생성한 개략적인 개요를 제공하므로, 액세스할 수 있는 AWS 서비스 범주와 각 서비스에서 수행할 수 있는 작업 유형을 이해하는 데 도움이 됩니다.
+ *JSON 보기*를 선택하여 액세스 범위, 리소스 제한 등, 제품 제공업체가 AWS 계정에 배포해야 하는 특정 권한을 검토합니다.
+ 제품 제공업체가 임시 위임 요청의 일부로 IAM 역할을 생성하는 경우 권한 경계를 역할에 연결해야 합니다. 이러한 IAM 역할에는 요청된 액세스 기간이 만료된 후에도 리소스 및 작업에 대한 액세스를 계속 허용하는 권한이 있습니다. *세부 정보 보기*를 선택하여 역할이 가질 수 있는 최대 권한을 정의하는 권한 경계를 검토합니다. 제품 제공업체는 생성 중에 실제 권한을 정의하는 추가 정책을 역할에 적용합니다. 이러한 정책은 제품 제공업체가 정책을 정의하는 방식에 따라 경계보다 더 좁거나 광범위해 보일 수 있습니다. 하지만 권한 경계는 역할에 연결된 정책에 관계없이 역할의 유효 권한이 요청 승인 중에 표시되는 권한을 초과하지 않도록 보장합니다. 권한 경계에 대한 자세한 내용은 [권한 경계](access_policies_boundaries.md)를 참조하세요.
1. 권한 시뮬레이션 결과를 검토합니다. 권한 시뮬레이션 기능은 요청에 포함된 권한을 기준으로 ID의 권한을 자동으로 평가합니다. 이 분석 결과를 바탕으로 현재 ID로 요청을 승인할지 아니면 관리자에게 요청을 전달할지 여부를 나타내는 권장 사항이 표시됩니다. 자세한 내용은 [권한 시뮬레이션 베타 기능](#temporary-delegation-permission-simulation)을 참조하세요.
1. 대화 상자에서 진행 방법을 선택합니다.
+ ID에 제품 제공업체가 사용자를 대신하여 온보딩 절차를 수행할 수 있는 충분한 권한이 있는 경우 *액세스 허용*을 선택합니다. 이 옵션을 선택할 경우, 액세스를 제공하면 제품 제공업체의 액세스 기간이 시작됩니다.
+ ID에 제품 제공업체가 사용자를 대신하여 온보딩 절차를 수행할 수 있는 충분한 권한이 없는 경우 *요청 승인*을 선택합니다. 그런 다음 *승인 요청 생성*을 선택합니다. 이 옵션을 선택하면 계정 관리자와 공유할 수 있는 임시 위임 요청 링크가 생성됩니다. 관리자는 AWS Management Console에 액세스하거나 액세스 링크를 통해 임시 위임 요청을 검토하여 요청을 승인하고 요청자와 임시 액세스를 공유할 수 있습니다.
**참고**
제품 제공업체에 액세스 권한을 부여하려면 위임 요청 수락(`AcceptDelegationRequest`)과 교환 토큰 릴리스(`SendDelegatedToken`)라는 두 가지 작업이 필요합니다. AWS Management Console은 요청을 승인할 때 이 두 단계를 자동으로 수행합니다. AWS CLI 또는 API를 사용하는 경우 두 단계를 별도로 실행해야 합니다.
## 권한 시뮬레이션 기능 - 베타
임시 위임 요청을 받으면 직접 승인하거나 승인을 위해 계정 관리자에게 전달할 수 있습니다. 임시 위임 요청에 포함된 서비스 및 작업에 대한 권한이 있는 경우에만 제품 제공업체에 권한을 위임할 수 있습니다. 요청된 서비스 및 작업에 액세스할 수 없는 경우 제품 제공업체는 요청에 포함되어 있더라도 이러한 권한을 받지 못합니다.
예를 들어 임시 위임 요청에는 Amazon S3 버킷을 생성하고, Amazon EC2에서 인스턴스를 시작 및 중지하고, IAM 역할을 수임할 수 있는 기능이 필요합니다. 요청을 승인하는 ID는 Amazon EC2에서 인스턴스를 시작 및 중지하고 IAM 역할을 수임할 수 있지만 Amazon S3 버킷을 생성할 권한이 없습니다. 이 ID가 요청을 승인하면 제품 제공업체는 이러한 권한이 임시 위임 요청에 포함되었더라도 Amazon S3 버킷을 생성할 수 없습니다.
이미 보유한 권한만 위임할 수 있으므로 승인하기 전에 요청된 권한이 있는지 평가하는 것이 중요합니다. 권한 시뮬레이션 베타 기능은 권한을 요청에 포함된 권한과 비교하여 이 평가를 지원합니다. 평가는 현재 ID로 요청을 승인할 수 있는지 아니면 관리자에게 전달해야 하는지를 나타냅니다. 분석에서 충분한 권한이 있는지 확인할 수 없는 경우 검토를 위해 관리자에게 요청을 전달합니다. 이 평가는 시뮬레이션된 권한 분석을 기반으로 하며 라이브 AWS 환경과 다를 수 있으므로 진행하기 전에 요청된 권한을 주의 깊게 검토해야 합니다.
## 다음 단계
임시 위임 요청을 시작한 후 수명 주기 동안 요청을 관리하고 모니터링할 수 있습니다. 다음 절차는 임시 액세스를 추적, 승인 및 제어하는 데 도움이 됩니다.
+ [임시 위임 요청 검토](temporary-delegation-review-requests.md) - 액세스 요청의 상태를 모니터링하고 임시 위임 요청을 승인하거나 거부하는 요청에 대한 자세한 정보를 봅니다.
+ [임시 위임 액세스 취소](temporary-delegation-revoke-access.md) - 활성 임시 위임 세션이 자연스럽게 만료되기 전에 즉시 종료합니다.
# 임시 위임 요청 검토
임시 위임 요청을 시작한 후 IAM 콘솔에서 요청을 모니터링, 승인 및 거부할 수 있습니다. 임시 위임 요청 페이지에서는 승인 보류 중이거나 완료되었거나 거부된 요청을 포함하여 모든 요청을 한곳에서 볼 수 있습니다. 관리자는 이러한 요청을 검토하여 제품 제공업체에 AWS 리소스에 대한 액세스 권한을 부여하거나 조직의 보안 정책, 비즈니스 요구 사항 또는 규정 준수 표준에 따라 리소스를 거부할 수 있습니다. 이러한 가시성은 제품 제공업체 액세스의 수명 주기를 추적하고 임시 권한에 대한 감독을 유지하는 데 도움이 됩니다.
**참고**
임시 위임 요청을 승인하려면 iam:AcceptDelegationRequest 권한이 있어야 합니다.
**임시 위임 요청을 승인하려면**
1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 *임시 위임 요청*을 선택합니다.
1. 기본 페이지에 다음 정보와 함께 임시 위임 요청 목록이 표시됩니다.
+ *requestId:* 요청의 고유 식별자
+ *상태* - 현재 상태(보류 중, 승인됨, 거부됨, 공유됨, 만료됨)
+ *요청자* - 요청과 연결된 제품 제공업체
+ *작성자* - 제품 제공업체를 위한 요청을 시작한 계정의 IAM 위탁자
+ *요청 생성됨* - 요청이 제출되었을 때
+ *요청 만료됨* - 요청이 만료되거나 만료될 때
1. (선택 사항) 필터 옵션을 사용하여 상태별로 요청을 봅니다.
+ *모든 요청* - 상태에 관계없이 모든 요청 보기
+ *대기 중* - 관리자 승인 대기 중인 요청 보기
+ *승인됨* - 승인된 요청 보기
+ *공유됨* - 액세스가 공유된 요청 보기
+ *거부됨* - 거부 이유와 함께 거부된 요청 보기
1. 특정 요청에 대한 세부 정보를 보거나 승인 대기 중인 요청을 검토하려면 요청 ID를 선택합니다.
1. 자세한 요청 정보를 검토합니다.
+ 제품 제공업체 정보
+ 요청 이유 및 타당성
+ 요청된 기간
+ 요청된 AWS 권한
1. 대기 중인 요청을 검토하는 관리자인 경우 다음 옵션 중 하나를 선택합니다.
+ 요청을 승인하려면 *승인*을 선택합니다. 승인 대화 상자에서 권한 시뮬레이션의 결과를 볼 수 있습니다. 자세한 내용은 [권한 시뮬레이션 베타 기능](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation)을 참조하세요. 액세스 기간과 AWS ID를 확인한 후 *승인*을 선택하여 액세스 권한을 부여합니다. 제품 제공업체가 즉시 액세스를 요청하면 자동으로 임시 권한을 받고 액세스 기간이 시작됩니다. 그렇지 않으면 제품 제공업체에 대한 액세스 권한을 해제하도록 요청을 시작한 사람에게 알립니다.
+ 요청을 거부하려면 *거부*를 선택합니다.
+ 거부 대화 상자에서 요청자가 요청이 거부된 이유를 이해하는 데 도움이 되도록 거부에 대한 명확한 이유를 제시합니다.
+ *거부*를 선택하여 액세스를 거부합니다.
1. 요청 목록이 자동으로 새로 고쳐져 최신 상태 정보가 표시됩니다. 페이지를 수동으로 새로 고쳐 상태 업데이트를 확인할 수도 있습니다.
# 임시 위임 액세스 취소
제품 제공업체 액세스 세션은 승인된 기간 이후에 자동으로 만료되도록 설계되었지만 특정 상황에서는 액세스를 즉시 종료해야 할 수 있습니다. 활성 제품 제공업체 액세스를 취소하면 보안 문제가 발생하거나, 제품 제공업체의 작업이 조기에 완료되거나, 비즈니스 요구 사항이 변경될 때 비상 제어 메커니즘이 제공됩니다. 요청 이니시에이터와 관리자 모두 보안 및 운영 제어를 유지하기 위해 액세스를 취소할 수 있습니다.
**임시 위임 액세스를 취소하려면**
1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 *임시 위임 요청*을 선택합니다.
1. 취소하려는 액세스 세션의 요청 ID를 찾습니다.
1. *작업*을 선택한 다음 *액세스 권한 취소*를 선택합니다.
1. 대화 상자에서 *액세스 권한 취소*를 선택하여 액세스 세션을 즉시 종료하겠다는 의사를 확인합니다.
액세스를 취소한 후에는 제품 제공업체가 더 이상 AWS 리소스에 액세스할 수 없습니다. 취소는 감사 목적으로 AWS CloudTrail에 기록됩니다.
**중요**
액세스를 취소하면 제품 제공업체 액세스 세션이 즉시 종료됩니다. 액세스를 사용하는 모든 진행 중인 작업 또는 프로세스가 중단됩니다. 취소로 인해 중요한 작업이 중단되지 않도록 하세요.
**참고**
루트 사용자를 사용하여 승인된 요청에 대한 액세스는 취소할 수 없습니다. AWS는 루트 사용자를 사용하여 위임 요청을 승인하지 않도록 권장합니다. 적절한 권한이 있는 IAM 역할을 대신 사용하세요.
## 위임 요청의 권한 관리
관리자는 IAM 위탁자에게 제품 제공업체의 위임 요청을 관리할 수 있는 권한을 부여할 수 있습니다. 이는 조직의 특정 사용자 또는 팀에 승인 권한을 위임하려는 경우 또는 위임 요청에 대해 특정 작업을 수행할 수 있는 사용자를 제어해야 하는 경우에 유용합니다.
위임 요청을 관리하는 데 사용 가능한 IAM 권한은 다음과 같습니다.
| 권한 | 설명 |
| --- | --- |
| iam:AssociateDelegationRequest | 할당되지 않은 위임 요청을 AWS 계정과 연결 |
| iam:GetDelegationRequest | 위임 요청의 세부 정보 보기 |
| iam:UpdateDelegationRequest | 승인을 위해 관리자에게 위임 요청 전달 |
| iam:AcceptDelegationRequest | 위임 요청 승인 |
| iam:SendDelegationToken | 승인 후 교환 토큰을 제품 제공업체에 릴리스 |
| iam:RejectDelegationRequest | 위임 요청 거부 |
| iam:ListDelegationRequests | 계정에 대한 위임 요청 나열 |
**참고**
기본적으로 위임 요청을 시작하는 IAM 위탁자에게는 해당 특정 요청을 관리할 수 있는 권한이 자동으로 부여됩니다. 계정과 연결하고, 요청 세부 정보를 보고, 요청을 거부하고, 승인을 위해 관리자에게 전달하고, 관리자 승인 후 제품 제공업체에 교환 토큰을 릴리스하고, 자신이 소유한 위임 요청을 나열할 수 있습니다.
# 알림
IAM 임시 위임은 AWS 사용자 알림과 통합되어 위임 요청 상태 변경에 대한 최신 정보를 얻는 데 도움이 됩니다. 알림은 위임 요청을 검토하고 승인해야 하는 관리자에게 특히 유용합니다.
AWS 사용자 알림을 사용하면 이메일, Amazon Simple Notification Service(SNS), Slack 또는 Microsoft Teams용 AWS Chatbot, AWS 콘솔 모바일 애플리케이션을 비롯한 여러 채널을 통해 전달되도록 알림을 구성할 수 있습니다. 이렇게 하면 적절한 사람에게 적시에 알림을 보내 대기 중인 승인 또는 액세스 변경을 인지했을 때 더 빠르게 대응할 수 있습니다. 조직의 요구 사항 및 보안 요구 사항에 따라 알림을 트리거하는 이벤트를 사용자 지정할 수도 있습니다.
## 사용 가능한 알림 이벤트
다음 IAM 임시 위임 이벤트에 대한 알림을 수신하도록 구독할 수 있습니다.
+ IAM 임시 위임 요청 생성됨
+ IAM 임시 위임 요청 할당됨
+ IAM 임시 위임 요청 승인 대기 중
+ IAM 임시 위임 요청 거부됨
+ IAM 임시 위임 요청 수락됨
+ IAM 임시 위임 요청 완료됨
+ IAM 임시 위임 요청 만료됨
## 알림 구성
IAM 임시 위임 이벤트에 대한 알림을 구성하려면:
1. AWS 사용자 알림 콘솔 열기
1. 알림 구성을 생성 또는 업데이트하려면
1. 서비스로 AWS IAM 선택
1. 알림을 받을 위임 요청 이벤트 선택
1. 전송 채널 구성(이메일, AWS Chatbot 등)
전송 채널 설정 및 알림 규칙 관리를 포함하여 AWS 사용자 알림을 구성하는 방법에 대한 자세한 지침은 AWS 사용자 알림 설명서를 참조하세요.
# CloudTrail
제품 제공업체가 임시 위임된 액세스를 사용하여 수행하는 모든 작업은 AWS CloudTrail에 자동으로 로깅됩니다. 이를 통해 AWS 계정에서 제품 제공업체 활동을 완벽하게 파악하고 감사할 수 있습니다. 제품 제공업체가 어떤 작업을 수행했는지, 언제 수행했는지, 어떤 제품 제공업체 계정에서 수행했는지 식별할 수 있습니다.
자체 IAM 위탁자가 수행한 작업과 액세스 권한이 위임된 제품 제공업체가 수행한 작업을 구분하는 데 도움이 되도록 CloudTrail 이벤트에는 `userIdentity` 요소 아래에 `invokedByDelegate`라는 새 필드가 포함됩니다. 이 필드에는 제품 제공업체의 AWS 계정 ID가 포함되어 있으므로 위임된 모든 작업을 쉽게 필터링하고 감사할 수 있습니다.
## CloudTrail 이벤트 구조
다음 예시는 제품 제공업체가 임시 위임된 액세스를 사용하여 수행한 작업에 대한 CloudTrail 이벤트를 보여줍니다.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
"arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
"accountId": "111122223333",
"accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-09-09T17:50:16Z",
"mfaAuthenticated": "false"
}
},
"invokedByDelegate": {
"accountId": "444455556666"
}
},
"eventTime": "2024-09-09T17:51:44Z",
"eventSource": "iam.amazonaws.com",
"eventName": "GetUserPolicy",
"awsRegion": "us-east-1",
"requestParameters": {
"userName": "ExampleIAMUserName",
"policyName": "ExamplePolicyName"
},
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
`invokedByDelegate` 필드에는 위임된 액세스를 사용하여 작업을 수행한 제품 제공업체의 AWS 계정 ID가 포함됩니다. 이 예시의 경우 계정 444455556666(제품 제공업체)이 계정 111122223333(고객 계정)에서 작업을 수행했습니다.