기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 를 사용하여 조직의 멤버 계정에 액세스 AWS Organizations
<a name="orgs_manage_accounts_access"></a>

조직에서 계정을 생성하면AWS Organizations 에서는 루트 사용자 외에 기본적으로 `OrganizationAccountAccessRole`이라는 IAM 역할을 자동으로 생성합니다. 이름을 생성할 때 다른 이름을 지정할 수 있지만 모든 계정에서 일관되게 이름을 지정하는 것이 좋습니다. AWS Organizations 는 다른 사용자 또는 역할을 생성하지 않습니다.

조직 내 계정에 액세스하려면 다음 방법 중 하나를 사용해야 합니다.

**최소 권한**  
조직의 다른 계정 AWS 계정 에서에 액세스하려면 다음 권한이 있어야 합니다.  
`sts:AssumeRole` – `Resource` 요소는 별표(\$1), 또는 새로운 멤버 계정에 액세스해야 하는 사용자의 계정 ID 번호로 설정해야 합니다.

------
#### [ Using the root user (Not recommended for everyday tasks) ]

조직에서 새 멤버 계정을 생성할 때 계정에는 기본적으로 루트 사용자 자격 증명이 없습니다. 계정 복구가 활성화되지 않으면 멤버 계정은 루트 사용자로 로그인하거나 루트 사용자의 암호 복구를 수행할 수 없습니다.

[멤버 계정에 대한 루트 액세스를 중앙 집중화](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html)한 후 조직의 기존 멤버 계정에서 루트 사용자 자격 증명을 제거할 수 있습니다. 루트 사용자 자격 증명을 삭제하면 루트 사용자 암호, 액세스 키, 서명 인증서가 제거되고 멤버 계정의 다중 인증(MFA)이 비활성화됩니다. 이러한 멤버 계정은 루트 사용자 자격 증명이 없고, 루트 사용자로 로그인할 수 없으며, 루트 사용자 암호를 복구할 수 없습니다. Organizations에서 생성하는 새 계정에는 기본적으로 루트 사용자 자격 증명이 없습니다.

루트 사용자 자격 증명이 없는 멤버 계정에서 루트 사용자 자격 증명이 필요한 작업을 수행해야 하는 경우 관리자에게 문의합니다.

루트 사용자로 멤버 계정에 액세스하려면 암호 복구 프로세스를 거쳐야 합니다. 자세한 정보는 *AWS 로그인 사용 설명서*의 [내 AWS 계정의 루트 사용자 암호를 잊음](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-root-password)을 참조하세요.

루트 사용자로 멤버 계정에 액세스해야 하는 경우 다음 모범 사례를 따르세요.
+ 권한이 더욱 제한된 다른 사용자 역할을 만드는 경우를 제외하고는 루트 사용자로 계정에 액세스하지 않습니다. 그런 다음 해당 사용자나 역할로 로그인하세요.
+ [루트 사용자에서 다중 인증(MFA) 활성화](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa) 암호를 재설정한 후 [루트 사용자에게 MFA 디바이스를 할당](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html)합니다.

루트 사용자로 로그인해야 하는 전체 작업 목록은 *IAM 사용 설명서*의 [루트 사용자 보안 인증이 필요한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)을 참조하세요. 추가 루트 사용자 보안 권장 사항은 *IAM 사용 설명서*의 [AWS 계정의 루트 사용자 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)를 참조하세요.

------
#### [ Using trusted access for IAM Identity Center ]

[AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)에서 IAM Identity Center에 대한 신뢰할 수 있는 액세스를 사용하고 활성화합니다 AWS Organizations. 이를 통해 사용자는 회사 자격 증명으로 AWS 액세스 포털에 로그인하고 할당된 관리 계정 또는 멤버 계정의 리소스에 액세스할 수 있습니다.

자세한 내용은 *AWS IAM Identity Center 사용 설명서*의 [다중 계정 권한](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html)을 참조하세요. IAM Identity Center의 신뢰할 수 있는 액세스 설정에 대한 자세한 내용은 [AWS IAM Identity Center 및 AWS Organizations](services-that-can-integrate-sso.md) 단원을 참조하세요.

------
#### [ Using the IAM role OrganizationAccountAccessRole ]

의 일부로 제공된 도구를 사용하여 계정을 생성하는 경우 이러한 방식으로 생성하는 모든 새 계정에 `OrganizationAccountAccessRole` 있는 라는 미리 구성된 역할을 사용하여 계정에 액세스할 AWS Organizations수 있습니다. 자세한 내용은 [를 사용하여 OrganizationAccountAccessRole이 있는 멤버 계정에 액세스 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md) 단원을 참조하십시오.

기존 계정을 조직에 가입하도록 초대하고 해당 계정에서 초대를 수락한 경우, 초대받은 멤버 계정에 관리 계정이 액세스할 수 있게 허용하는 IAM 역할을 생성할 수 있습니다. 이 역할은 AWS Organizations를 사용하여 만든 계정에 자동으로 추가된 역할과 동일합니다.

이 역할을 생성하려면 [를 사용하여 초대된 계정에 대한 OrganizationAccountAccessRole 생성 AWS Organizations](orgs_manage_accounts_create-cross-account-role.md) 단원을 참조하세요.

역할을 생성한 후에는 [를 사용하여 OrganizationAccountAccessRole이 있는 멤버 계정에 액세스 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)에 있는 단계를 이용해 역할에 액세스할 수 있습니다.

------

**Topics**
+ [IAM 액세스 역할 생성](orgs_manage_accounts_create-cross-account-role.md)
+ [IAM 액세스 역할 사용](orgs_manage_accounts_access-cross-account-role.md)

# 를 사용하여 초대된 계정에 대한 OrganizationAccountAccessRole 생성 AWS Organizations
<a name="orgs_manage_accounts_create-cross-account-role"></a>

조직의 일부인 멤버 계정을 생성했다면 AWS 는 기본적으로 역할을 맡을 수 있는 관리 계정의 IAM 사용자에게 관리자 권한을 부여하는 계정에 역할을 자동으로 생성합니다. 기본적으로 역할 이름은 `OrganizationAccountAccessRole`입니다. 자세한 정보는 [를 사용하여 OrganizationAccountAccessRole이 있는 멤버 계정에 액세스 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)을 참조하세요.

그러나 조직에 *초대*한 멤버 계정은 생성한 관리자 역할을 자동으로 받지 ***않습니다***. 다음 절차에 따라 직접 획득해야 합니다. 이 작업은 생성된 계정을 위해 자동으로 설정된 역할을 복제합니다. 일관성을 유지하고 기억하기 쉽도록 되도록 직접 만든 역할과 같은 이름인 `OrganizationAccountAccessRole`을 사용하세요.

------
#### [ AWS Management Console ]

**멤버 계정에서 AWS Organizations 관리자 역할을 생성하려면**

1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔에 로그인합니다. 멤버 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 수임하거나, 루트 사용자로 로그인([권장되지 않음](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))해야 합니다. 사용자 또는 역할에게 IAM 역할 및 정책을 생성할 권한이 있어야 합니다.

1. IAM 콘솔에서 **역할**로 이동한 후 **역할 생성**을 선택합니다.

1. **AWS 계정**를 선택한 다음 **다른 AWS 계정**를 선택합니다.

1. 관리자 액세스를 부여하려는 관리 계정의 12자리 계정 ID 번호를 입력합니다. **옵션**에서 다음 사항에 유의하세요.
   + 계정은 회사 내부의 계정이기 때문에 이 역할에 대해 **외부 ID 필요(Require external ID)**를 선택해서는 **안 됩니다**. 외부 ID 옵션에 대한 자세한 내용은 *IAM 사용 설명서*의 [언제 외부 ID를 사용해야 하나요?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use)를 참조하세요.
   + MFA를 활성화하고 구성했다면 멀티 팩터 인증 장치를 이용한 인증을 요구하게 할 수도 있습니다. MFA에 관한 자세한 내용은 *IAM 사용 설명서*의 [AWS에서 다중 인증(MFA) 사용](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)을 참조하세요.

1. **다음**을 선택합니다.

1. **권한 추가** 페이지에서 `AdministratorAccess`라는 AWS 관리형 정책을 선택한 후 **다음**을 선택합니다.

1. **이름 지정, 검토 및 생성** 페이지에서 역할 이름과 설명(선택 사항)을 입력합니다. 되도록 새 계정의 역할에 할당된 기본 이름과 동일한 `OrganizationAccountAccessRole`을 사용하세요. [**Create role**]을 선택하여 변경 사항을 커밋합니다.

1. 새로운 역할이 이용 가능한 역할 목록에 표시됩니다. 새 역할의 이름을 선택하여 세부 정보를 봅니다. 제공된 링크 URL에 특히 유의해야 합니다. 이 URL을 역할에 액세스해야 하는 멤버 계정 사용자에게 제공합니다. 또한 15단계에서 필요하므로 **역할 ARN**을 기록해 두세요.

1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔에 로그인합니다. 이번에는 정책을 만들어서 사용자나 그룹에 할당할 권한이 있는 관리 계정의 사용자로 로그인합니다.

1. **정책**으로 이동한 후 **정책 생성**을 선택합니다.

1. [**Service**]에서 [**STS**]를 선택합니다.

1. **작업(Actions)**에서 **필터** 상자에 **AssumeRole**을 입력하기 시작하고 해당 항목이 나타나면 그 옆에 있는 확인란을 선택합니다.

1. **리소스**에서 **특정**을 선택했는지 확인한 후 **ARN 추가**를 선택합니다.

1.  AWS 멤버 계정 ID 번호를 입력한 다음 1\$18단계에서 이전에 생성한 역할의 이름을 입력합니다. **ARN 추가**를 선택합니다.

1. 여러 멤버 계정의 역할을 맡는 권한을 부여하는 경우 각 계정에 대해 14단계 및 15단계를 반복합니다.

1. **다음**을 선택합니다.

1. **검토 및 생성** 페이지에서 새 정책의 이름을 입력하고 **정책 생성**을 선택하여 변경 사항을 저장합니다.

1. 탐색 창에서 **사용자 그룹**을 선택한 다음 멤버 계정의 관리를 위임하는 데 사용하려는 그룹의 이름(확인란이 아니라)을 선택합니다.

1. **권한** 탭을 선택합니다.

1. **권한 추가**를 선택하고**정책 연결**을 선택한 다음 11\$118단계에서 생성한 정책을 선택합니다.

------

선택한 그룹의 멤버인 사용자는 이제 9단계에서 캡처한 URL을 이용해 멤버 계정의 역할에 액세스할 수 있습니다. 이들은 조직에서 사용자가 생성한 계정에 액세스할 때와 같은 방식으로 멤버 계정에 액세스할 수 있습니다. 역할을 이용해 멤버 계정을 관리하는 방법에 대한 자세한 내용은 [를 사용하여 OrganizationAccountAccessRole이 있는 멤버 계정에 액세스 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)을(를) 참조하세요.

# 를 사용하여 OrganizationAccountAccessRole이 있는 멤버 계정에 액세스 AWS Organizations
<a name="orgs_manage_accounts_access-cross-account-role"></a>

 AWS Organizations 콘솔을 사용하여 멤버 계정을 생성하면가 `OrganizationAccountAccessRole` 계정에 라는 IAM 역할을 AWS Organizations *자동으로* 생성합니다. 이 역할은 멤버 계정에 대한 완전한 관리 권한을 갖습니다. 이 역할에 대한 액세스 범위에는 관리 계정의 모든 보안 주체가 포함되며, 조직의 관리 계정에 해당 액세스 권한을 부여하도록 역할이 구성됩니다.

[를 사용하여 초대된 계정에 대한 OrganizationAccountAccessRole 생성 AWS Organizations](orgs_manage_accounts_create-cross-account-role.md)에 있는 단계를 이용하면 초대한 멤버 계정과 같은 역할을 만들 수 있습니다.

이 역할을 이용해 멤버 계정에 액세스하려면, 역할을 맡을 수 있는 권한이 있는 관리 계정에서 사용자로 로그인해야 합니다. 이러한 권한을 구성하려면 다음 절차를 수행해야 합니다. 관리 용이성을 위해 되도록 사용자 대신 그룹에 권한을 부여하세요.

------
#### [ AWS Management Console ]

**역할 액세스를 위해 관리 계정에 있는 IAM 그룹의 멤버에게 권한을 부여하려면**

1. 관리 계정에서 관리자 권한이 있는 사용자로 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)의 IAM 콘솔에 로그인합니다. 해당 사용자가 멤버 계정의 역할에 액세스하도록 IAM 그룹에 권한을 위임하기 위해 필요한 작업입니다.

1. <a name="step-create-policy"></a>[Step 14](#step-choose-group)에서 나중에 필요한 관리형 정책 생성부터 시작합니다.

   탐색 창에서 **정책**을 선택한 후 **정책 생성**을 선택합니다.

1. Visual 편집기 탭에서 **서비스 선택**을 선택하고 검색 상자에 **STS**를 입력하여 목록을 필터링한 다음 **STS** 옵션을 선택합니다.

1. **작업** 섹션에서 검색 상자를 **assume**을 입력하여 목록을 필터링한 다음 **AssumeRole** 옵션을 선택합니다.

1. **리소스** 섹션에서 **특정**을 선택하고**ARN 추가**를 선택합니다.

1. **ARN 지정** 섹션에서 리소스에 대한 **기타 계정**을 선택합니다.

1. 방금 생성한 멤버 계정의 ID를 입력합니다.

1. **경로가 포함된 리소스 역할 이름**에 이전 섹션에서 생성한 역할의 이름을 입력합니다(`OrganizationAccountAccessRole`로 이름 지정 권장).

1. 대화 상자에 올바른 ARN이 표시되면 **ARN 추가**를 선택합니다.

1. (선택 사항) 멀티 팩터 인증(MFA)을 요구하거나 지정된 IP 주소 범위에서 역할에 대한 액세스를 제한하려면 요청 조건 섹션을 확장하고 적용할 옵션을 선택합니다.

1. **다음**을 선택합니다.

1. **검토 및 생성** 페이지에 새 정책 이름을 입력합니다. 예: **GrantAccessToOrganizationAccountAccessRole**. 또한 설명(선택 사항)을 추가할 수도 있습니다.

1. <a name="step-end-policy"></a>**정책 생성**을 선택하여 새로운 관리형 정책을 저장합니다.

1. <a name="step-choose-group"></a>정책을 사용할 수 있으므로 그룹에 연결할 수 있습니다.

   탐색 창에서 **사용자 그룹**을 선택하고, 멤버 계정에서 역할을 수임하도록 하고 싶은 멤버의 그룹 이름(확인란이 아니라)을 선택합니다. 필요한 경우 그룹을 새로 만들어도 됩니다.

1. **권한** 탭을 선택하고 **권한 추가**, **정책 연결**을 차례로 선택합니다.

1. (선택 사항) **검색** 상자에 [Step 2](#step-create-policy)에서 [Step 13](#step-end-policy)까지 방금 생성한 정책의 이름이 표시될 때까지 정책 이름을 입력하여 목록을 필터링할 수 있습니다. **모든 정책**을 선택한 다음 **고객 관리형**을 선택하여 모든 AWS 관리형 정책을 필터링할 수도 있습니다.

1. 정책 옆의 확인란을 선택한 다음 **정책 연결**을 선택합니다.

------

그룹의 멤버인 IAM 사용자는 이제 다음 절차에 따라 AWS Organizations 콘솔에서 새 역할로 전환할 수 있는 권한이 있습니다.

------
#### [ AWS Management Console ]

**멤버 계정의 역할로 전환하려면**

역할을 이용할 때, 사용자는 새 멤버 계정의 관리자 권한을 얻습니다. 새 역할로의 전환을 위해 그룹 멤버인 IAM 사용자에게 다음을 수행하도록 지시합니다.

1.  AWS Organizations 콘솔의 오른쪽 상단에서 현재 로그인 이름이 포함된 링크를 선택한 다음 **역할 전환을** 선택합니다.

1. 관리자가 제공한 계정 ID 번호와 역할 이름을 입력합니다.

1. **표시 이름**에 역할을 사용하는 동안 탐색 모음 오른쪽 위에 사용자 이름 대신 표시할 텍스트를 입력합니다. 색상을 선택할 수도 있습니다.

1. **역할 전환**을 선택합니다. 이제 수행하는 모든 작업은 전환한 역할에 부여된 권한으로 수행하게 됩니다. 다시 전환할 때까지는 원래 IAM 사용자와 관련된 권한을 더 이상 이용할 수 없습니다.

1. 역할의 권한이 필요한 작업을 수행 완료했으면, 다시 일반 IAM 사용자로 전환해도 됩니다. 상단 오른쪽 모서리 부분에 표시된 역할 이름(**표시 이름**에 지정한 이름)을 선택한 후 ***UserName*으로 돌아가기**를 선택합니다.

------