기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# IAM 역할 사용
AWS Resilience Hub 는 미리 정의된 기존 IAM 역할을 사용하여 기본 계정 또는 보조/리소스 계정의 리소스에 액세스합니다. 리소스에 액세스하기 위한 권장 권한 옵션입니다.
**주제**
+ [간접 호출자 역할](security-iam-resilience-hub-invoker-role.md)
+ [교차 AWS 계정 액세스를 위한 다른 계정의 역할 - 선택 사항](security-iam-resilience-cross-account-roles.md)
# 간접 호출자 역할
AWS Resilience Hub 호출자 역할은가 AWS 서비스 및 리소스에 액세스하기 위해 수임하는 AWS Identity and Access Management AWS Resilience Hub (IAM) 역할입니다. 예를 들어, CFN 템플릿과 이 템플릿에서 생성하는 리소스에 액세스할 수 있는 권한이 있는 간접 호출자 역할을 생성할 수 있습니다. 이 페이지에서는 애플리케이션 간접 호출자 역할을 생성하고 보고 관리하는 방법에 대한 정보를 제공합니다.
애플리케이션을 생성할 때 간접 호출자 역할을 제공합니다. AWS Resilience Hub 은 리소스를 가져오거나 평가를 시작할 때 리소스에 액세스할 수 있도록 이 역할을 수임합니다. 가 호출자 역할을 올바르게 수임 AWS Resilience Hub 하려면 역할의 신뢰 정책에서 AWS Resilience Hub 서비스 보안 주체(**resiliencehub.amazonaws.com**)를 신뢰할 수 있는 서비스로 지정해야 합니다.
애플리케이션의 간접 호출자 역할을 보려면 탐색 창에서 **애플리케이션**을 선택한 다음 **애플리케이션** 페이지의 **작업** 메뉴에서 **권한 업데이트**를 선택합니다.
언제든지 애플리케이션 간접 호출자 역할에 권한을 추가하거나 제거할 수 있으며, 애플리케이션 리소스에 액세스하는 데 다른 역할을 사용하도록 애플리케이션을 구성할 수 있습니다.
**주제**
+ [IAM 콘솔에서 간접 호출자 역할 생성](#security-iam-resilience-hub-create-invoker-role)
+ [IAM API를 사용한 역할 관리](#security-iam-resilience-hub-manage-roles-with-IAM-API)
+ [JSON 파일을 사용하여 신뢰 정책 정의](#security-iam-resilience-define-policy)
## IAM 콘솔에서 간접 호출자 역할 생성
AWS Resilience Hub 가 AWS 서비스 및 리소스에 액세스할 수 있도록 하려면 IAM 콘솔을 사용하여 기본 계정에서 호출자 역할을 생성해야 합니다. IAM 콘솔을 사용하여 역할을 생성하는 방법에 대한 자세한 내용은 [AWS 서비스에 대한 역할 생성(콘솔)을 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console).
**IAM 콘솔을 사용하여 기본 계정에서 간접 호출자 역할을 만들려면**
1. `https://console.aws.amazon.com/iam/`에서 IAM 콘솔을 엽니다.
1. 탐색 창에서 **역할**을 선택한 후 **역할 생성**을 선택합니다.
1. **사용자 지정 신뢰 정책**을 선택하고 **사용자 지정 신뢰 정책** 창에서 다음 정책을 복사한 후 **다음**을 선택합니다.
**참고**
리소스가 서로 다른 계정에 있는 경우 각 계정에서 역할을 만들고 다른 계정에는 보조 계정 신뢰 정책을 사용해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. **권한 추가** 페이지의 **권한 정책** 섹션에서 **속성 또는 정책 이름을 기준으로 정책을 필터링하고 Enter 누르기** 상자에 `AWSResilienceHubAsssessmentExecutionPolicy`을 입력합니다.
1. 정책을 선택하고 **다음**을 선택합니다.
1. **역할 세부 정보** 섹션에서 **역할 이름** 상자에 고유한 역할 이름 (예: `AWSResilienceHubAssessmentRole`) 을 입력합니다.
이 필드에는 영숫자와 “`+=,.@-_/`”문자만 입력할 수 있습니다.
1. (선택 사항) **설명** 상자에 역할에 대한 설명을 입력합니다.
1. **역할 생성**을 선택합니다.
6단계에서 역할에 대한 사용 사례와 권한을 편집하려면 **1단계: 신뢰할 수 있는 엔터티 선택** 또는 **2단계: 권한 추가** 섹션의 오른쪽에 있는 **편집** 버튼을 선택합니다.
간접 호출자 역할 및 리소스 역할(해당하는 경우)을 만든 후 이러한 역할을 사용하도록 애플리케이션을 구성할 수 있습니다.
**참고**
애플리케이션을 생성하거나 업데이트할 때는 현재 IAM 사용자/역할에 간접 호출자 역할에 대한 `iam:passRole` 권한이 있어야 합니다. 하지만 평가를 실행하는 데는 이 권한이 필요하지 않습니다.
## IAM API를 사용한 역할 관리
역할의 신뢰 정책은 지정된 보안 주체에게 역할을 맡을 수 있는 권한을 부여합니다. AWS Command Line Interface (AWS CLI)를 사용하여 역할을 생성하려면 `create-role` 명령을 사용합니다. 이 명령을 사용할 때는 신뢰 정책 인라인을 지정할 수 있습니다. 다음 예제에서는 AWS Resilience Hub 서비스에 보안 주체에게 역할을 수임할 수 있는 권한을 부여하는 방법을 보여줍니다.
**참고**
JSON 문자열의 이스케이프 따옴표(`' '`) 요구 사항은 쉘 버전에 따라 다릅니다.
** 샘플`create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
"Version": "2012-10-17", "Statement":
[
{
"Effect": "Allow",
"Principal": {"Service": "resiliencehub.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}'
```
## JSON 파일을 사용하여 신뢰 정책 정의
별도의 JSON 파일을 사용하고 `create-role` 명령을 실행하여 역할에 대한 신뢰 정책을 정의할 수도 있습니다. 다음 예제에서 **`trust-policy.json`**은 현재 디렉터리의 신뢰 정책이 포함된 파일입니다. 이 정책은 **`create-role`** 명령을 실행하여 역할에 연결됩니다. `create-role` 명령의 출력은 **샘플 출력(Sample Output)**에 표시됩니다. 역할에 권한을 추가하려면 **역할에 정책 추가(attach-policy-to-role)** 명령을 사용하며 `AWSResilienceHubAsssessmentExecutionPolicy` 관리형 정책을 추가하는 것부터 시작할 수 있습니다. 관리형 정책에 대한 자세한 내용은 [AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy) 단원을 참조하세요.
**샘플 `trust-policy.json`**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
```
------
**샘플 `create-role`**
`aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json`
**샘플 출력**
**샘플 `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`
# 교차 AWS 계정 액세스를 위한 다른 계정의 역할 - 선택 사항
리소스가 보조/리소스 계정에 있는 경우가 애플리케이션을 AWS Resilience Hub 성공적으로 평가할 수 있도록 각 계정에 역할을 생성해야 합니다. 역할 생성 절차는 신뢰 정책 구성을 제외하면 간접 호출자 역할 생성 프로세스와 비슷합니다.
**참고**
리소스가 있는 보조 계정에서 역할을 만들어야 합니다.
**주제**
+ [IAM 콘솔에서 보조/리소스 계정용 역할 생성](#security-iam-resilience-cross-create-roles-infra-account)
+ [IAM API를 사용한 역할 관리](#security-iam-resilience-cross-create-roles-infra-account-api)
+ [JSON 파일을 사용하여 신뢰 정책 정의](#security-iam-resilience-cross-define-trust-policy-infra-account)
## IAM 콘솔에서 보조/리소스 계정용 역할 생성
AWS Resilience Hub 가 다른 AWS 계정의 AWS 서비스 및 리소스에 액세스할 수 있도록 하려면 이러한 각 계정에서 역할을 생성해야 합니다.
**IAM 콘솔을 사용하여 IAM 콘솔에서 보조/리소스 계정에 대한 역할을 만들려면**
1. `https://console.aws.amazon.com/iam/`에서 IAM 콘솔을 엽니다.
1. 탐색 창에서 **역할**을 선택한 후 **역할 생성**을 선택합니다.
1. **사용자 지정 신뢰 정책**을 선택하고 **사용자 지정 신뢰 정책** 창에서 다음 정책을 복사한 후 **다음**을 선택합니다.
**참고**
리소스가 서로 다른 계정에 있는 경우 각 계정에서 역할을 만들고 다른 계정에는 보조 계정 신뢰 정책을 사용해야 합니다.
1. **권한 추가** 페이지의 **권한 정책** 섹션에서 **속성 또는 정책 이름을 기준으로 정책을 필터링하고 Enter 누르기** 상자에 `AWSResilienceHubAsssessmentExecutionPolicy`을 입력합니다.
1. 정책을 선택하고 **다음**을 선택합니다.
1. **역할 세부 정보** 섹션에서 **역할 이름** 상자에 고유한 역할 이름 (예: `AWSResilienceHubAssessmentRole`) 을 입력합니다.
1. (선택 사항) **설명** 상자에 역할에 대한 설명을 입력합니다.
1. **역할 생성**을 선택합니다.
6단계에서 역할에 대한 사용 사례와 권한을 편집하려면 **1단계: 신뢰할 수 있는 엔터티 선택** 또는 **2단계: 권한 추가** 섹션의 오른쪽에 있는 **편집** 버튼을 선택합니다.
또한 간접 호출자 역할에 `sts:assumeRole` 권한을 추가하여 간접 호출자가 보조 계정의 역할을 맡을 수 있도록 해야 합니다.
생성한 각 보조 역할의 간접 호출자 역할에 다음 정책을 추가합니다.
```
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::secondary_account_id_1:role/RoleInSecondaryAccount_1",
"arn:aws:iam::secondary_account_id_2:role/RoleInSecondaryAccount_2",
...
],
"Action": [
"sts:AssumeRole"
]
}
```
### IAM API를 사용한 역할 관리
역할의 신뢰 정책은 지정된 보안 주체에게 역할을 맡을 수 있는 권한을 부여합니다. AWS Command Line Interface (AWS CLI)를 사용하여 역할을 생성하려면 `create-role` 명령을 사용합니다. 이 명령을 사용할 때는 신뢰 정책 인라인을 지정할 수 있습니다. 다음 예제에서는 AWS Resilience Hub 서비스 보안 주체에게 역할을 수임할 수 있는 권한을 부여하는 방법을 보여줍니다.
**참고**
JSON 문자열의 이스케이프 따옴표(`' '`) 요구 사항은 쉘 버전에 따라 다릅니다.
**샘플`create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{"Version": "2012-10-17", "Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::primary_account_id:role/InvokerRoleName"]},"Action": "sts:AssumeRole"}]}'
```
별도의 JSON 파일을 사용하여 역할에 대한 신뢰 정책을 정의할 수도 있습니다. 다음 예제에서 `trust-policy.json`은 최신 디렉터리의 파일입니다.
### JSON 파일을 사용하여 신뢰 정책 정의
별도의 JSON 파일을 사용하고 `create-role` 명령을 실행하여 역할에 대한 신뢰 정책을 정의할 수도 있습니다. 다음 예제에서 **`trust-policy.json`**은 현재 디렉터리의 신뢰 정책이 포함된 파일입니다. 이 정책은 **`create-role`** 명령을 실행하여 역할에 연결됩니다. `create-role` 명령의 출력은 **샘플 출력(Sample Output)**에 표시됩니다. 역할에 권한을 추가하려면 **역할에 정책 추가(attach-policy-to-role)** 명령을 사용하며 `AWSResilienceHubAsssessmentExecutionPolicy` 관리형 정책을 추가하는 것부터 시작할 수 있습니다. 관리형 정책에 대한 자세한 내용은 [AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy) 단원을 참조하세요.
**샘플 `trust-policy.json`**
**샘플 `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json
```
**샘플 출력**
**샘플 `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`.