기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 신뢰할 수 있는 개체 만들기 - 복합적 옵션
<a name="setup-trusted-entity-complex"></a>

신뢰할 수 있는 개체를 설정하기 위해 [복합적인 옵션](scenarios-for-medialive-role.md)을 사용하기로 결정한 경우 이 섹션을 읽습니다.

복합적 옵션을 사용하는 경우 수행해야 하는 작업은 다음과 같습니다.
+ 정책과 역할을 생성하고 생성된 정책과 역할을 사용하여 MediaLive를 신뢰할 수 있는 개체로 설정합니다. 이 작업은 A, B, C 단계에서 다룹니다.
+ 채널을 생성하거나 편집할 때 채널에 특정 신뢰 정책을 연결할 수 있는 권한이 있는 모든 MediaLive 사용자를 설정합니다. 이 작업은 D단계에서 다룹니다.

**Topics**
+ [액세스 요구 사항 식별](complex-scenario-create-trusted-entity-role-step1.md)
+ [정책 생성](complex-scenario-create-trusted-entity-role-step2.md)
+ [역할 생성](complex-scenario-create-trusted-entity-role-step3.md)
+ [사용자 권한 설정](requirements-medialiverole-complex-permissions.md)
+ [신뢰할 수 있는 개체 관련 액세스 요구 사항](trusted-entity-requirements.md)

# 액세스 요구 사항 식별
<a name="complex-scenario-create-trusted-entity-role-step1"></a>

배포에서 MediaLive가 상호 작용할 서비스를 식별해야 합니다. 그런 다음 각 서비스 내에서 MediaLive가 액세스해야 하는 작업 및 리소스를 식별해야 합니다. 마지막으로, 이러한 요구 사항을 처리하는 IAM 정책을 설계해야 합니다.

이 요구 사항 분석은 해당 조직에 필요한 리소스 액세스 권한을 이해하고 있는 조직 구성원이 수행해야 합니다. 이 사람은 MediaLive 채널이 다른 AWS 서비스의 리소스에 대한 액세스를 제한해야 하는 요구 사항이 있는지 이해해야 합니다. 예를 들어, 이 사용자는 지정된 채널이 일부 버킷에 액세스할 수 있지만 다른 버킷에는 액세스할 수 없도록 Amazon S3의 버킷에 대한 채널 액세스를 제한해야 하는지 여부를 결정해야 합니다.

**MediaLive에 대한 액세스 요구 사항을 확인하려면**

1. MediaLive가 일반적으로 액세스해야 하는 서비스에 대한 자세한 내용은 [신뢰할 수 있는 개체 관련 액세스 요구 사항](trusted-entity-requirements.md)의 표를 참조하세요. 배포에서 사용하는 서비스와 배포에 필요한 작업을 결정합니다.

1. 서비스 내에서 생성해야 하는 정책의 수를 결정합니다. 다양한 워크플로우를 위해 여러 가지 객체 및 작업 조합이 필요하며, 보안상의 이유로 이러한 조합을 각각 분리해야 합니까?

   특히 다양한 워크플로우를 위해 다양한 리소스에 액세스해야 하는지 여부와 특정 리소스에 대한 액세스를 제한하는 것이 중요한지 여부를 결정합니다. 예를 들어 파라미터 AWS Systems Manager 스토어에는 다른 워크플로에 속하는 암호가 있을 수 있으며 특정 사용자만 특정 워크플로의 암호에 액세스하도록 허용할 수 있습니다.

   워크플로우에 따라 객체, 작업 및 리소스에 대한 요구 사항이 다른 경우, 해당 서비스는 워크플로우마다 별도의 정책이 필요합니다.

1. 각 정책을 설계합니다. 정책에서 허용되는(또는 허용되지 않는) 객체, 작업 및 허용되는(또는 허용되지 않는) 리소스를 식별합니다.

1. 식별한 정책에 관리형 정책이 적용되는지 확인합니다.

1. 각 워크플로우에 대해 워크플로우가 사용하는 모든 서비스에 필요한 정책을 식별합니다. 정책을 생성하면 해당 정책에 여러 서비스를 포함할 수 있습니다. 서비스마다 하나씩 정책을 생성할 필요가 없습니다.

1. 필요한 역할 수를 식별합니다. 각각의 고유한 정책 조합에 대해 하나의 역할이 필요합니다.

1. 식별한 모든 정책 및 역할에 이름을 할당합니다. 이러한 이름에 고객 계정 이름 등 민감한 식별 정보를 포함하지 않도록 주의하세요.

# 정책 생성
<a name="complex-scenario-create-trusted-entity-role-step2"></a>

[A 단계](complex-scenario-create-trusted-entity-role-step1.md)를 따라 필요한 정책을 식별한 후에는 IAM 콘솔에서 정책을 생성해야 합니다.

개별 정책마다 이 절차를 따릅니다.

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.

1. 왼쪽의 탐색 창에서 **정책**을 선택합니다. 그런 다음 **정책 생성**을 선택합니다. **정책 생성** 마법사가 나타납니다. 이 마법사는 다음과 같은 주요 단계를 비롯한 단계들을 안내합니다.
   + 서비스를 선택합니다.
   + 해당 서비스 관련 작업을 선택합니다.

     일반적으로(또한 기본적으로)는 허용하려는 작업을 지정합니다.

     이렇게 하는 대신, 선택한 작업을 거부하려면 **권한 거부로 전환**을 선택합니다. 다른 문이나 정책에서 허용하는 권한을 별도로 재정의하려는 경우에만 권한을 거부하는 문을 생성하는 것이 보안을 위해 가장 좋은 방법입니다. 권한 거부의 수가 늘어나면 권한 문제를 해결하기가 더 어려워질 수 있기 때문에 그 수를 최소한으로 제한하는 것이 좋습니다.
   + 개별 작업에 대해 지원되는 경우라면 각 작업에 대한 [리소스를 지정](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources)합니다. 예를 들어, MediaLive `DescribeChannel` ARN을 선택한 경우 특정 채널의 ARN을 지정할 수 있습니다.
   + 조건을 지정합니다(선택 사항). 예제:
     + 특정 시간 범위 내에 사용자의 요청이 발생하는 경우에만 사용자가 작업을 수행할 수 있도록 지정할 수 있습니다.
     + 사용자가 다중 인증(MFA) 디바이스를 사용하여 인증하도록 지정할 수 있습니다.
     + 다양한 IP 주소에서 요청이 시작되도록 지정할 수 있습니다.

     정책 조건에서 사용할 수 있는 모든 컨텍스트 키 목록은 *서비스 권한* 부여 참조의 [AWS 서비스에 사용되는 작업, 리소스 및 조건 키를](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) 참조하세요.

1. **정책 생성**을 선택합니다.

# 역할 생성
<a name="complex-scenario-create-trusted-entity-role-step3"></a>

관리자인 사람은 누구나 이 절차를 수행하여 역할을 생성하고 역할에 정책을 연결할 수 있습니다.

[액세스 요구 사항 식별](complex-scenario-create-trusted-entity-role-step1.md)에서 조직 내의 누군가가 생성해야 하는 역할을 식별했습니다. IAM을 사용하여 이러한 역할을 생성합니다.

이 단계에서는 신뢰 정책('MediaLive가 `AssumeRole` 작업을 호출하도록')과 하나 이상의 정책([방금 생성한 정책](complex-scenario-create-trusted-entity-role-step2.md))으로 구성된 역할을 생성합니다. 이렇게 하면 MediaLive가 역할을 맡을 권한이 있습니다. 역할을 맡으면 정책에 지정된 권한을 획득합니다.

개별 역할마다 이 절차를 따릅니다.

1. IAM 콘솔의 탐색 창에서 **역할**을 선택하고 **역할 생성**을 선택합니다. **역할 생성** 마법사가 나타납니다. 이 마법사는 신뢰할 수 있는 개체를 설정하고 (정책 추가를 통해) 권한을 추가하는 단계를 안내합니다.

1. **신뢰할 수 있는 개체 선택** 페이지에서 **사용자 지정 신뢰 정책** 카드를 선택합니다. 샘플 정책과 함께 **사용자 지정 신뢰 정책** 섹션이 나타납니다.

1. 샘플을 지우고 다음 텍스트를 복사한 다음 **사용자 지정 신뢰 정책** 섹션에 복사한 텍스트를 붙여 넣습니다. 이렇게 하면 다음과 같은 **사용자 지정 신뢰 정책**이 표시됩니다.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
   	{
               "Effect": "Allow",
               "Principal": {
                   "Service": "medialive.amazonaws.com"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   ```

------

1. **다음**을 선택합니다.

1. **권한 추가** 페이지에서 생성한 정책 또는 정책(예: `MedialiveForCurlingEvents`)을 찾아 각각에 대한 확인란을 선택합니다. 그리고 **다음**을 선택합니다.

1. 검토 페이지에서 역할 이름을 입력합니다. 이름 `MediaLiveAccessRole`은 [단순 옵션](scenarios-for-medialive-role.md#about-simple-scenario)용으로 예약되어 있으므로 사용하지 않는 것이 좋습니다.

   대신에 `Medialive`를 포함하고 이 역할의 용도를 설명하는 이름을 사용합니다. 예를 들어 `MedialiveAccessRoleForSports`입니다.

1. **역할 생성**을 선택합니다.

1. 역할 **요약** 페이지에서 **역할 ARN**의 값을 메모해 둡니다. 다음과 같은 형태입니다.

   `arn:aws:iam::111122223333:role/medialiveWorkflow15`

   이 예제에서 `111122223333`는 AWS 계정 번호입니다.

1. 모든 역할을 생성한 후에는 역할 ARN 목록을 만듭니다. 각각의 항목에 다음 정보를 포함시킵니다.
   + 역할 ARN입니다.
   + ARN이 적용되는 워크플로에 대한 설명.
   + 사용자는 이 워크플로로 작업할 수 있기 때문에 이 신뢰 정책을 생성 및 편집하는 채널에 연결할 수 있어야 합니다.

   사용자에 대해 [신뢰할 수 있는 개체 액세스](requirements-medialiverole-complex-permissions.md)를 설정할 때 이 목록이 필요합니다.

# 사용자 권한 설정
<a name="requirements-medialiverole-complex-permissions"></a>

복합적 옵션을 사용하려면 MediaLive 사용자에게 신뢰할 수 있는 개체 마법사를 사용할 수 있는 권한이 있어야 합니다. 이 마법사는 **채널 및 입력 세부 정보** 창의 **IAM 역할** 섹션에 있습니다.

![\[IAM role configuration options for AWS Elemental MediaLive channel access permissions.\]](http://docs.aws.amazon.com/ko_kr/medialive/latest/ug/images/medialiveaccessrole_withUpdateButton.png)


주제

## 마법사 권한 설정
<a name="requirements-medialiverole-complex-wizard"></a>

마법사를 사용하여 마법사에 신뢰할 수 있는 개체 역할을 입력할 수 있는 권한을 가진 모든 MediaLive 사용자를 설정해야 합니다. 사용자는 자신들이 부여받을 역할 목록을 참조합니다.

모든 사용자에게 다음 표에서 설명하는 액세스 권한을 부여해야 합니다. 작업은 IAM 서비스에 있습니다. 사용자를 위해 생성한 정책(또는 정책들 중 하나)에 이 작업을 포함합니다.


| 마법사의 필드 | 설명 | 작업 | 
| --- | --- | --- | 
| 기존 역할 사용 | 사용자는 기존 역할 사용 필드와 함께 제공되는 선택 필드에서 목록을 볼 수 없어야 합니다.이 목록에는 AWS 계정에 생성된 모든 역할이 표시됩니다. 사용자는 이 목록에서 아무것도 선택할 수 없어야 합니다.사용자는 기존 역할을 선택하는 대신 **사용자 지정 역할 ARN 지정** 필드에 역할을 입력합니다. | 없음 | 
|  **템플릿에서 역할 생성 옵션**  | 사용자는 템플릿에서 역할 생성 필드에서 아무것도 선택할 수 없어야 합니다.사용자는 역할을 생성하지 않습니다. 역할을 생성하는 것은 관리자뿐입니다. | 없음 | 
| 사용자 지정 역할 ARN 지정 | 사용자는 사용자 지정 역할 ARN 지정 필드와 함께 제공되는 입력 필드에 역할을 입력할 수 있어야 합니다. 그런 다음 해당 역할을 MediaLive에 전달할 수 있어야 합니다. | iam:PassRole | 
| 업데이트 | 업데이트 버튼은 MediaLiveAccessRole을(를) 사용하는 구현에만 표시되므로 사용자에게는 이 버튼을 선택할 권한이 필요 없습니다. 복합 옵션은 이 역할을 사용하지 않으므로 이 버튼이 표시되지 않습니다. | 없음 | 

## 사용자에게 필요한 정보
<a name="requirements-medialiverole-complex-data"></a>

사용자는 채널을 생성하면 MediaLive에 역할을 전달하여 신뢰할 수 있는 올바른 정책으로 MediaLive를 설정합니다. [신뢰할 수 있는 개체를 설정](setup-trusted-entity-complex.md)할 때 관련 정책을 생성했습니다. 특히, [신뢰할 수 있는 개체 역할을 생성](complex-scenario-create-trusted-entity-role-step3.md)했을 때 생성한 모든 역할의 ARN을 메모해 두었습니다.

각각의 사용자에게 각자가 작업하는 개별 워크플로(채널)에 사용해야 하는 역할 목록(ARN으로 식별)을 제공해야 합니다.
+ 사용자 각각에게 각자가 담당하는 워크플로에 대한 올바른 역할을 부여해야 합니다. 각각의 역할은 MediaLive에 특정 워크플로에 적용되는 리소스에 대한 액세스 권한을 부여합니다.
+ 각각의 사용자에게 해당되는 역할 목록이 서로 다를 수도 있습니다.

사용자가 **사용자 지정 역할 ARN 지정**을 선택하면, 해당 사용자는 목록을 참조하여 채널이 적용되는 워크플로를 찾고 이에 따라 적용되는 역할 ARN을 찾습니다.

# 신뢰할 수 있는 개체 관련 액세스 요구 사항
<a name="trusted-entity-requirements"></a>

다음 표에는 MediaLive 신뢰할 수 있는 개체가 필요로 할 수 있는 모든 권한 유형이 나와 있습니다. [MediaLive 신뢰할 수 있는 개체 관련 액세스 요구 사항 식별](complex-scenario-create-trusted-entity-role-step1.md) 시에는 이 표를 참조하세요.

열의 각 행은 MediaLive 신뢰할 수 있는 개체가 사용자를 위해 수행해야 할 작업 또는 관련 작업 세트를 설명합니다. 세 번째 열에서는 신뢰할 수 있는 개체가 해당 작업을 수행하는 데 필요한 액세스 유형을 설명합니다. 마지막 열에서는 해당 액세스를 제어하는 IAM 작업 또는 정책이 나열됩니다.


****  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/medialive/latest/ug/trusted-entity-requirements.html)