기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# ID 강화 IAM 역할 세션
[AWS Security Token Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html)(STS)를 사용하면 애플리케이션이 ID 강화 IAM 역할 세션을 획득할 수 있습니다. 자격 증명 강화 역할 세션에는 호출하는에 사용자 식별자를 전달하는 자격 증명 컨텍스트 AWS 서비스 가 추가되었습니다. AWS 서비스 는 IAM Identity Center에서 사용자의 그룹 멤버십 및 속성을 조회하고 이를 사용하여 리소스에 대한 사용자의 액세스 권한을 부여할 수 있습니다.
AWS 애플리케이션은 AWS STS [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html) API 작업을 요청하고 요청의 `ProvidedContexts` 파라미터에서 사용자의 식별자(`userId`)를 사용하여 컨텍스트 어설션을에 전달하여 자격 증명 강화 역할 세션을 얻습니다`AssumeRole`. 컨텍스트 어설션은 `SSO OIDC`에 [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html)을 요청할 때 응답으로 수신된 `idToken` 클레임에서 획득합니다. AWS 애플리케이션이 자격 증명 강화 역할 세션을 사용하여 리소스에 액세스하는 경우 CloudTrail은 `userId`, 시작 세션 및 수행된 작업을 로깅합니다. 자세한 내용은 [ID 강화 IAM 역할 세션 로그](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging) 단원을 참조하십시오.
**Topics**
+ [ID 강화 IAM 역할 세션의 유형](#types-identity-enhanced-iam-role-sessions)
+ [ID 강화 IAM 역할 세션 로그](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)
## ID 강화 IAM 역할 세션의 유형
AWS STS 는 `AssumeRole` 요청에 제공된 컨텍스트 어설션에 따라 두 가지 유형의 자격 증명 강화 IAM 역할 세션을 생성할 수 있습니다. IAM Identity Center에서 ID 토큰을 획득한 애플리케이션은 IAM 역할 세션에 `sts:identiy_context`(권장) 또는 `sts:audit_context`(이전 버전과의 호환성 지원)를 추가할 수 있습니다. ID 강화 IAM 역할 세션에는 이러한 컨텍스트 어설션 중 하나만 있을 수 있으며 둘 다 있을 수는 없습니다.
### `sts:identity_context`로 생성된 ID 강화 IAM 역할 세션
ID 강화 역할 세션에 `sts:identity_context`가 포함되어 있으면 직접적으로 호출된 AWS 서비스 는 리소스 권한 부여가 역할 세션에 나타난 사용자를 기반으로 할지, 아니면 역할을 기반으로 할지를 결정합니다. 사용자 기반 권한 부여를 지원하는 AWS 서비스 는 애플리케이션의 관리자에게 사용자 또는 사용자가 멤버인 그룹에 액세스 권한을 할당할 수 있는 제어권을 제공합니다.
AWS 서비스 사용자 기반 권한 부여를 지원하지 않는는를 무시합니다`sts:identity_context`. CloudTrail 로그는 역할이 수행한 모든 작업과 함께 IAM Identity Center 사용자의 userId를 기록합니다. 자세한 내용은 [ID 강화 IAM 역할 세션 로그](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging) 단원을 참조하십시오.
이러한 유형의 자격 증명 강화 역할 세션을 얻기 위해 AWS STS애플리케이션은 요청 파라미터를 사용하여 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) `ProvidedContexts` 요청에 `sts:identity_context` 필드 값을 제공합니다. `arn:aws:iam::aws:contextProvider/IdentityCenter`를 `ProviderArn`의 값으로 사용합니다.
권한 부여의 작동 방식에 대한 자세한 내용은 수신 설명서를 참조하세요 AWS 서비스.
### `sts:audit_context`로 생성된 ID 강화 IAM 역할 세션
과거에는 `sts:audit_context`가 권한 부여 결정을 내리는 데 사용하지 않고 사용자 자격 증명을 AWS 서비스 로깅할 수 있도록 했습니다. 이제 AWS 서비스 는 단일 컨텍스트 - `sts:identity_context`를 사용하여 이를 달성하고 권한 부여 결정을 내릴 수 있습니다. 신뢰할 수 있는 ID 전파의 모든 새 배포에서 `sts:identity_context`를 사용하는 것이 좋습니다.
## ID 강화 IAM 역할 세션 로그
자격 증명 강화 IAM 역할 세션을 AWS 서비스 사용하여에 요청을 하면 사용자의 IAM Identity Center`userId`가 `OnBehalfOf` 요소의 CloudTrail에 로깅됩니다. 이벤트가 CloudTrail에 기록되는 방식은 AWS 서비스에 따라 다릅니다. 모든 AWS 서비스 항목이 `onBehalfOf` 요소를 기록하지는 않습니다.
다음은 ID 강화 역할 세션을 사용하여 AWS 서비스 에 대한 요청이 CloudTrail에 기록되는 방법의 예입니다.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAEXAMPLE:MyRole",
"arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
"accountId": "111111111111",
"accessKeyId": "ASIAEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAEXAMPLE",
"arn": "arn:aws:iam::111111111111:role/MyRole",
"accountId": "111111111111",
"userName": "MyRole"
},
"attributes": {
"creationDate": "2023-12-12T13:55:22Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "11111111-1111-1111-1111-1111111111",
"identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
}
}
```