

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 관리 AWS 형 Microsoft AD 사용자 및 그룹에 IAM 역할이 있는 AWS 리소스에 대한 액세스 권한 부여
<a name="ms_ad_manage_roles"></a>

AWS Directory Service 는 AWS 관리형 Microsoft AD 사용자 및 그룹에 Amazon EC2 콘솔 액세스 AWS 와 같은 서비스 및 리소스에 대한 액세스 권한을 부여하는 기능을 제공합니다. 에 설명된 대로 IAM 사용자에게 디렉터리를 관리할 수 있는 액세스 권한을 부여하는 것과 마찬가지로 디렉터리의 사용자가 Amazon EC2와 같은 다른 AWS 리소스에 액세스할 수 [자격 증명 기반 정책(IAM 정책)](IAM_Auth_Access_Overview.md#IAM_Auth_Access_ManagingAccess_IdentityBased)있으려면 해당 사용자 및 그룹에 IAM 역할 및 정책을 할당해야 합니다. 자세한 내용은 *IAM 사용 설명서*에서 [IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)을 참조하세요.

사용자에게에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 섹션을 AWS Management Console참조하세요[AWS 관리형 Microsoft AD 자격 증명을 사용하여 AWS Management Console 액세스 활성화](ms_ad_management_console_access.md).

**Topics**
+ [새 IAM 역할 생성](create_role.md)
+ [기존 IAM 역할에서 신뢰 관계를 편집](edit_trust.md)
+ [기존 IAM 역할에 사용자 또는 그룹 할당](assign_role.md)
+ [역할에 할당된 사용자 및 그룹 보기](view_role_details.md)
+ [IAM 역할에서 사용자 또는 그룹 제거](remove_role_users.md)
+ [에서 AWS 관리형 정책 사용 Directory Service](ms_ad_managed_policies.md)

# 새 IAM 역할 생성
<a name="create_role"></a>

와 함께 사용할 새 IAM 역할을 생성해야 하는 경우 IAM 콘솔을 사용하여 생성 Directory Service해야 합니다. 역할이 생성되면 Directory Service 콘솔에서 해당 역할을 보려면 먼저 해당 역할과 신뢰 관계를 설정해야 합니다. 자세한 내용은 [기존 IAM 역할에서 신뢰 관계를 편집](edit_trust.md) 단원을 참조하십시오.

**참고**  
이 작업을 수행하고 있는 사용자는 아래 IAM 작업을 수행할 수 있는 권한을 가지고 있어야 합니다. 자세한 내용은 [자격 증명 기반 정책(IAM 정책)](IAM_Auth_Access_Overview.md#IAM_Auth_Access_ManagingAccess_IdentityBased) 단원을 참조하십시오.  
iam:PassRole
iam:GetRole
iam:CreateRole
iam:PutRolePolicy

**IAM 콘솔에서 새 역할을 생성하려면**

1. IAM 콘솔의 탐색 창에서 **역할**을 선택합니다. 자세한 내용은 *IAM 사용 설명서*의 [역할(AWS Management Console) 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)을 참조하세요.

1. **역할 생성**을 선택합니다.

1. **Choose the service that will use this role(이 역할을 사용할 서비스 선택)**에서 **Directory Service(디렉터리 서비스)**를 선택하고 **Next(다음)**를 선택합니다.

1. 디렉터리 사용자에게 적용할 정책(예: **AmazonEC2FullAccess**)의 옆에 있는 확인란을 선택하고 **Next(다음)**를 선택합니다.

1. 필요한 경우 태그를 역할에 추가하고 **Next(다음)**를 선택합니다.

1. **Role name(역할 이름)**과 선택 사항인 **Description(설명)**을 입력한 다음 **Create role(역할 생성)**을 선택합니다.

**예제: 역할을 생성하여 AWS Management Console 액세스 활성화**

다음 체크리스트는 특정 AWS 관리형 Microsoft AD 사용자에게 Amazon EC2 콘솔에 대한 액세스 권한을 부여하는 새 IAM 역할을 생성하기 위해 완료해야 하는 작업의 예를 제공합니다.

1. 위의 절차를 사용하여 IAM 콘솔에서 역할을 생성합니다. 정책을 묻는 메시지가 나타나면 **AmazonEC2FullAccess**를 선택합니다.

1. [기존 IAM 역할에서 신뢰 관계를 편집](edit_trust.md)의 단계를 사용하여 방금 생성한 역할을 편집한 다음, 필요한 신뢰 관계 정보를 정책 문서에 추가합니다. 이 단계는 AWS Management Console 다음 단계에서에 대한 액세스를 활성화한 직후 역할을 표시하는 데 필요합니다.

1. [AWS 관리형 Microsoft AD 자격 증명을 사용하여 AWS Management Console 액세스 활성화](ms_ad_management_console_access.md)의 단계에 따라 AWS Management Console에 대한 일반 액세스를 구성합니다.

1. [기존 IAM 역할에 사용자 또는 그룹 할당](assign_role.md)의 단계에 따라 EC2 리소스에 액세스해야 하는 사용자를 새 역할에 추가합니다.

# 기존 IAM 역할에서 신뢰 관계를 편집
<a name="edit_trust"></a>

기존 IAM 역할을 Directory Service 사용자 및 그룹에 할당할 수 있습니다. 그러나 이렇게 하려면 역할에 신뢰 관계가 있어야 합니다 Directory Service. Directory Service 를 사용하여의 절차를 사용하여 역할을 생성하면 [새 IAM 역할 생성](create_role.md)이 신뢰 관계가 자동으로 설정됩니다.

**참고**  
 Directory Service가 생성하지 않은 IAM 역할에서 이러한 신뢰 관계를 설정하기만 하면 됩니다.

**기존 IAM 역할에 대한 신뢰 관계를 설정하려면 Directory Service**

1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.

1. IAM 콘솔의 탐색 창의 **액세스 관리**에서 **역할**을 선택합니다.

   콘솔에 계정에 대한 역할이 표시됩니다.

1. 수정하려는 역할의 이름을 선택하고 역할의 페이지에서 **Trust relationships(신뢰 관계)** 탭을 선택합니다.

1. **신뢰 정책 편집**을 선택합니다.

1. **Edit trust policy(신뢰 정책 편집)**에서 다음을 붙여 넣은 다음 **Update policy(정책 업데이트)**를 선택합니다.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "",
         "Effect": "Allow",
         "Principal": {
           "Service": "ds.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

 AWS CLI를 사용하여 이 정책 문서를 업데이트할 수도 있습니다. 자세한 내용은 *AWS CLI Command Reference(명령 참조)*의 [update-trust](https://docs.aws.amazon.com/cli/latest/reference/ds/update-trust.html)를 참조하세요.

# 기존 IAM 역할에 사용자 또는 그룹 할당
<a name="assign_role"></a>

 AWS 관리형 Microsoft AD 사용자 또는 그룹에 기존 IAM 역할을 할당할 수 있습니다. 이를 위해, 다음 단계를 완료했는지 확인합니다.

**사전 조건**
+ [AWS 관리형 Microsoft AD를 생성합니다](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_getting_started.html#ms_ad_getting_started_create_directory).
+ [IAM 사용자를 생성](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_create.html)하거나 [IAM 그룹을 생성](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_groups_create.html)합니다.
+ 신뢰 관계가 있는 [역할을 생성합니다](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/create_role.html) Directory Service. 기존 IAM 역할의 경우 [기존 역할에 대한 신뢰 관계를 편집](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/edit_trust.html)해야 합니다.

**중요**  
디렉터리 내 중첩 그룹의 AWS 관리형 Microsoft AD 사용자에 대한 액세스는 지원되지 않습니다. 상위 그룹 멤버는 콘솔 액세스 권한이 있지만, 하위 그룹 멤버는 없습니다.

**기존 IAM 역할에 AWS 관리형 Microsoft AD 사용자 또는 그룹을 할당하려면**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창의 **Active Directory**에서 **디렉터리**를 선택합니다.

1. [**Directories**] 페이지에서 디렉터리 ID를 선택합니다.

1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.

   1. **다중 리전 복제**에 표시된 리전이 없는 경우 **애플리케이션 관리** 탭을 선택합니다.

   1. **다중 리전 복제**에 여러 리전이 표시되는 경우 할당할 리전을 선택한 다음 **애플리케이션 관리** 탭을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.

1. **AWS Management Console**섹션으로 스크롤을 내려 **작업**과 **활성화**를 선택합니다.

1. **콘솔 액세스 위임** 섹션에서 사용자를 할당할 기존 IAM 역할에 대한 IAM 역할 이름을 선택합니다.

1. **Selected role(선택한 역할)** 페이지의 **Manage users and groups for this role(이 역할에 대한 사용자 및 그룹 관리)**에서 **추가**를 선택합니다.

1. **Add users and groups to the role(역할에 사용자 및 그룹 추가)** 페이지의 **Select Active Directory Forest(Active Directory 포리스트 선택)**에서 AWS Managed Microsoft AD 포리스트(이 포리스트) 또는 온프레미스 포리스트(신뢰할 수 있는 포리스트) 중 AWS Management Console에 대한 액세스 권한이 필요한 계정이 포함된 것을 선택합니다. 신뢰할 수 있는 포리스트 설정 방법에 대한 자세한 내용은 [자습서: AWS 관리형 Microsoft AD와 자체 관리형 Active Directory 도메인 간에 신뢰 관계 생성](ms_ad_tutorial_setup_trust.md) 단원을 참조하세요.

1. **Specify which users or groups to add(추가할 사용자 또는 그룹 지정)**에서 **Find by user(사용자별 찾기)** 또는 **Find by group(그룹별 찾기)**을 선택한 후 사용자 또는 그룹의 이름을 입력합니다. 가능한 매치 목록에서 추가하고자 하는 사용자나 그룹을 선택합니다.

1. [**Add**]를 선택해 역할에 사용자 및 그룹을 할당하는 작업을 완료합니다.

# 역할에 할당된 사용자 및 그룹 보기
<a name="view_role_details"></a>

IAM 역할에 할당된 AWS 관리형 Microsoft AD 사용자 및 그룹을 보려면 다음 단계를 수행합니다.

**사전 조건**
+ [AWS 관리형 Microsoft AD를 생성합니다](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_getting_started.html#ms_ad_getting_started_create_directory).
+ [IAM 사용자를 생성](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_create.html)하거나 [IAM 그룹을 생성](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_groups_create.html)합니다.
+ 신뢰 관계가 있는 [역할을 생성합니다](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/create_role.html) Directory Service. 기존 IAM 역할의 경우 [기존 역할에 대한 신뢰 관계를 편집](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/edit_trust.html)해야 합니다.
+ [기존 IAM 역할에 사용자나 그룹을 할당](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/assign_role.html)

**IAM 역할에 할당된 AWS 관리형 Microsoft AD 사용자 및 그룹을 보려면**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창의 **Active Directory**에서 **디렉터리**를 선택합니다.

1. [**Directories**] 페이지에서 디렉터리 ID를 선택합니다.

1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.

   1. **다중 리전 복제**에 여러 리전이 표시되는 경우 할당을 보려는 리전을 선택한 다음 **애플리케이션** 관리 탭을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.

   1. **다중 리전 복제**에 표시된 리전이 없는 경우 **애플리케이션 관리** 탭을 선택합니다.

1. 아래로 스크롤하여 **AWS Management Console** 섹션을 찾습니다. **상태는** **활성화**여야 합니다. 그렇지 않은 경우 **작업** 및 **활성화를** 선택합니다. 자세한 내용은 [AWS 관리형 Microsoft AD 자격 증명을 사용하여 AWS Management Console 액세스 활성화](ms_ad_management_console_access.md) 단원을 참조하십시오.
**참고**  
가 AWS Management Console 비활성화된 경우 그룹 또는 사용자가 표시되지 않습니다.

1. **위임 콘솔 액세스** 섹션에서 보려는 IAM 역할의 하이퍼링크를 선택합니다. 또는 **IAM에서 정책 보기**를 선택하여 IAM 콘솔에서 IAM 정책을 볼 수 있습니다.

1. **선택한 역할** 페이지의 **이 역할에 대한 사용자 및 그룹 관리** 섹션에서 IAM 역할에 할당된 사용자 및 그룹을 볼 수 있습니다.

# IAM 역할에서 사용자 또는 그룹 제거
<a name="remove_role_users"></a>

IAM 역할에서 AWS 관리형 Microsoft AD 사용자 또는 그룹을 제거하려면 다음 단계를 수행합니다.

**IAM 역할에서 사용자 또는 그룹을 제거하려면**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. [**Directories**] 페이지에서 디렉터리 ID를 선택합니다.

1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.

   1. **다중 리전 복제**에 여러 리전이 표시되는 경우 할당을 제거하려는 리전을 선택한 다음 **애플리케이션** 관리 탭을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.

   1. **다중 리전 복제**에 표시된 리전이 없는 경우 **애플리케이션 관리** 탭을 선택합니다.

1. **AWS Management Console** 섹션에서 사용자 및 그룹을 제거할 IAM 역할을 선택합니다.

1. **Selected role(선택한 역할)** 페이지의 **Manage users and groups for this role(이 역할에 대한 사용자 및 그룹 관리)**에서 역할을 제거할 사용자 또는 그룹을 선택한 후 **제거**를 선택합니다. 지정된 사용자 및 그룹에서 역할이 제거되지만, 계정에서는 해당 역할이 제거되지 않습니다.
**참고**  
역할을 삭제하려면 [역할 또는 인스턴스 프로필 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)를 참조하세요.

# 에서 AWS 관리형 정책 사용 Directory Service
<a name="ms_ad_managed_policies"></a>

Directory Service 는 사용자 및 그룹에 Amazon EC2 콘솔 액세스와 같은 AWS 서비스 및 리소스에 대한 액세스 권한을 부여하는 다음과 같은 AWS 관리형 정책을 제공합니다. 이러한 정책을 보려면 AWS Management Console 에 로그인해야 합니다.
+ [읽기 전용 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ReadOnlyAccess)
+ [파워 유저 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/PowerUserAccess)
+ [Directory Service 전체 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceFullAccess)
+ [Directory Service 읽기 전용 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceReadOnlyAccess)
+ [AWS 디렉터리 서비스 데이터 전체 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceDataFullAccess)
+ [AWS 디렉터리 서비스 데이터 읽기 전용 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceDataReadOnlyAccess)
+ [Amazon Cloud Directory 전체 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonCloudDirectoryFullAccess)
+ [Amazon Cloud Directory 읽기 전용 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonCloudDirectoryReadOnlyAccess)
+ [Amazon EC2 전체 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess)
+ [Amazon EC2 읽기 전용 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)
+ [Amazon VPC 전체 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonVPCFullAccess)
+ [Amazon VPC 읽기 전용 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonVPCReadOnlyAccess)
+ [Amazon RDS 전체 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRDSFullAccess)
+ [Amazon RDS 읽기 전용 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRDSReadOnlyAccess)
+ [Amazon DynamoDB 전체 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess)
+ [Amazon DynamoDB 읽기 전용 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBReadOnlyAccess)
+ [Amazon S3 전체 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3FullAccess)
+ [Amazon S3 읽기 전용 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess)
+ [AWS CloudTrail 전체 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCloudTrailFullAccess)
+ [AWS CloudTrail 읽기 전용 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCloudTrailReadOnlyAccess)
+ [Amazon CloudWatch 전체 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchFullAccess)
+ [Amazon CloudWatch 읽기 전용 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchReadOnlyAccess)
+ [Amazon CloudWatch Logs 전체 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchLogsFullAccess)
+ [Amazon CloudWatch Logs 읽기 전용 액세스](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchLogsReadOnlyAccess)

자체 정책을 생성하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS 리소스 관리를 위한 정책 예제](https://docs.aws.amazon.com/console/iam/example-policies)를 참조하세요.