기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 교차 AWS 계정 액세스를 위한 다른 계정의 역할 - 선택 사항
리소스가 보조/리소스 계정에 있는 경우가 애플리케이션을 AWS Resilience Hub 성공적으로 평가할 수 있도록 각 계정에 역할을 생성해야 합니다. 역할 생성 절차는 신뢰 정책 구성을 제외하면 간접 호출자 역할 생성 프로세스와 비슷합니다.
**참고**
리소스가 있는 보조 계정에서 역할을 만들어야 합니다.
**주제**
+ [IAM 콘솔에서 보조/리소스 계정용 역할 생성](#security-iam-resilience-cross-create-roles-infra-account)
+ [IAM API를 사용한 역할 관리](#security-iam-resilience-cross-create-roles-infra-account-api)
+ [JSON 파일을 사용하여 신뢰 정책 정의](#security-iam-resilience-cross-define-trust-policy-infra-account)
## IAM 콘솔에서 보조/리소스 계정용 역할 생성
AWS Resilience Hub 가 다른 AWS 계정의 AWS 서비스 및 리소스에 액세스할 수 있도록 하려면 이러한 각 계정에서 역할을 생성해야 합니다.
**IAM 콘솔을 사용하여 IAM 콘솔에서 보조/리소스 계정에 대한 역할을 만들려면**
1. `https://console.aws.amazon.com/iam/`에서 IAM 콘솔을 엽니다.
1. 탐색 창에서 **역할**을 선택한 후 **역할 생성**을 선택합니다.
1. **사용자 지정 신뢰 정책**을 선택하고 **사용자 지정 신뢰 정책** 창에서 다음 정책을 복사한 후 **다음**을 선택합니다.
**참고**
리소스가 서로 다른 계정에 있는 경우 각 계정에서 역할을 만들고 다른 계정에는 보조 계정 신뢰 정책을 사용해야 합니다.
1. **권한 추가** 페이지의 **권한 정책** 섹션에서 **속성 또는 정책 이름을 기준으로 정책을 필터링하고 Enter 누르기** 상자에 `AWSResilienceHubAsssessmentExecutionPolicy`을 입력합니다.
1. 정책을 선택하고 **다음**을 선택합니다.
1. **역할 세부 정보** 섹션에서 **역할 이름** 상자에 고유한 역할 이름 (예: `AWSResilienceHubAssessmentRole`) 을 입력합니다.
1. (선택 사항) **설명** 상자에 역할에 대한 설명을 입력합니다.
1. **역할 생성**을 선택합니다.
6단계에서 역할에 대한 사용 사례와 권한을 편집하려면 **1단계: 신뢰할 수 있는 엔터티 선택** 또는 **2단계: 권한 추가** 섹션의 오른쪽에 있는 **편집** 버튼을 선택합니다.
또한 간접 호출자 역할에 `sts:assumeRole` 권한을 추가하여 간접 호출자가 보조 계정의 역할을 맡을 수 있도록 해야 합니다.
생성한 각 보조 역할의 간접 호출자 역할에 다음 정책을 추가합니다.
```
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::secondary_account_id_1:role/RoleInSecondaryAccount_1",
"arn:aws:iam::secondary_account_id_2:role/RoleInSecondaryAccount_2",
...
],
"Action": [
"sts:AssumeRole"
]
}
```
### IAM API를 사용한 역할 관리
역할의 신뢰 정책은 지정된 보안 주체에게 역할을 맡을 수 있는 권한을 부여합니다. AWS Command Line Interface (AWS CLI)를 사용하여 역할을 생성하려면 `create-role` 명령을 사용합니다. 이 명령을 사용할 때는 신뢰 정책 인라인을 지정할 수 있습니다. 다음 예제에서는 AWS Resilience Hub 서비스 보안 주체에게 역할을 수임할 수 있는 권한을 부여하는 방법을 보여줍니다.
**참고**
JSON 문자열의 이스케이프 따옴표(`' '`) 요구 사항은 쉘 버전에 따라 다릅니다.
**샘플`create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{"Version": "2012-10-17", "Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::primary_account_id:role/InvokerRoleName"]},"Action": "sts:AssumeRole"}]}'
```
별도의 JSON 파일을 사용하여 역할에 대한 신뢰 정책을 정의할 수도 있습니다. 다음 예제에서 `trust-policy.json`은 최신 디렉터리의 파일입니다.
### JSON 파일을 사용하여 신뢰 정책 정의
별도의 JSON 파일을 사용하고 `create-role` 명령을 실행하여 역할에 대한 신뢰 정책을 정의할 수도 있습니다. 다음 예제에서 **`trust-policy.json`**은 현재 디렉터리의 신뢰 정책이 포함된 파일입니다. 이 정책은 **`create-role`** 명령을 실행하여 역할에 연결됩니다. `create-role` 명령의 출력은 **샘플 출력(Sample Output)**에 표시됩니다. 역할에 권한을 추가하려면 **역할에 정책 추가(attach-policy-to-role)** 명령을 사용하며 `AWSResilienceHubAsssessmentExecutionPolicy` 관리형 정책을 추가하는 것부터 시작할 수 있습니다. 관리형 정책에 대한 자세한 내용은 [AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy) 단원을 참조하세요.
**샘플 `trust-policy.json`**
**샘플 `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json
```
**샘플 출력**
**샘플 `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`.