기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # `AWSSupport-GrantPermissionsToIAMUser` **설명** 이 실행서는 지정된 권한을 IAM 그룹(신규 또는 기존)에 부여하고 기존 IAM 사용자를 이 그룹에 추가합니다. 선택할 수 있는 정책은 [결제](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/job-function/Billing$serviceLevelSummary) 또는 [지원](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSSupportAccess$serviceLevelSummary)입니다. IAM에 대한 결제 액세스를 활성화하려면 [Billing and Cost Management 페이지에 대한 IAM 사용자 및 연합된 사용자 액세스](https://docs.aws.amazon.com/console/iam/billing-enable)도 활성화해야 합니다. **중요** 기존 IAM 그룹을 제공할 경우 해당 그룹의 모든 현재 IAM 사용자가 새 권한을 받게 됩니다. [이 자동화 실행(콘솔)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-GrantPermissionsToIAMUser) **문서 유형** 자동화 **소유자** Amazon **플랫폼** Linux, macOS, Windows **파라미터** + AutomationAssumeRole 유형: 문자열 설명: (선택 사항) 사용자를 대신하여 Systems Manager Automation을 통해 작업을 수행할 수 있도록 허용하는 AWS Identity and Access Management (IAM) 역할의 Amazon 리소스 이름(ARN)입니다. 역할을 지정하지 않은 경우, Systems Manager Automation에서는 이 실행서를 시작하는 사용자의 권한을 사용합니다. + IAMGroupName 유형: 문자열 기본값: ExampleSupportAndBillingGroup 설명: (필수) 신규 또는 기존 그룹일 수 있습니다. [IAM 엔터티 이름 제한](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html#reference_iam-limits-names)을 준수해야 합니다. + IAMUserName 유형: 문자열 기본값: ExampleUser 설명: (필수) 기존 사용자여야 합니다. + LambdaAssumeRole 유형: 문자열 설명: (선택 사항) Lambda에서 수임하는 역할의 ARN입니다. + 권한 유형: 문자열 유효한 값: SupportFullAccess \$1 BillingFullAccess \$1 SupportAndBillingFullAccess 기본값: SupportAndBillingFullAccess 설명: (필수) 다음 중 하나 선택: `SupportFullAccess`에서 지원 센터에 대한 모든 액세스 권한 부여. `BillingFullAccess`에서 결제 대시보드에 대한 모든 액세스 권한 부여. `SupportAndBillingFullAccess`에서 지원 센터 및 결제 대시보드 모두에 대해 모든 액세스 권한 부여. 문서 세부 정보의 정책에 대한 추가 정보를 참조하세요. **필수 IAM 권한** 실행서를 성공적으로 사용하려면 `AutomationAssumeRole` 파라미터에 다음 작업이 필요합니다. 필요한 `AWSSupport-GrantPermissionsToIAMUser` 권한은 실행 방식에 따라 달라집니다. **현재 로그인한 사용자 또는 역할로 실행** 연결된 `AmazonSSMAutomationRole` Amazon 관리형 정책과, Lambda 함수를 생성하고 IAM 역할을 Lambda로 전달할 수 있는 다음 추가 권한을 보유하는 것이 좋습니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction" ], "Resource": "arn:aws:lambda:*:111122223333:function:AWSSupport-*", "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "iam:CreateGroup", "iam:AddUserToGroup", "iam:ListAttachedGroupPolicies", "iam:GetGroup", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/*", "arn:aws:iam::*:group/*" ] }, { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy" ], "Resource": "*", "Condition": { "ArnEquals": { "iam:PolicyArn": [ "arn:aws:iam::aws:policy/job-function/Billing", "arn:aws:iam::aws:policy/AWSSupportAccess" ] } } }, { "Effect": "Allow", "Action": [ "iam:ListAccountAliases", "iam:GetAccountSummary" ], "Resource": "*" } ] } ``` ------ **AutomationAssumeRole 및 LambdaAssumeRole 사용** 사용자는 실행서에서 **ssm:StartAutomationExecution** 권한이 있어야 하며, **AutomationAssumeRole** 및 **LambdaAssumeRole**로 전달된 IAM 역할에 대한 **iam:PassRole** 권한이 있어야 합니다. 각 IAM 역할에 필요한 권한은 다음과 같습니다. ``` AutomationAssumeRole { "Version": "2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction" ], "Resource": "arn:aws:lambda:*:ACCOUNTID:function:AWSSupport-*", "Effect": "Allow" } ] } ``` ``` LambdaAssumeRole { "Version": "2012-10-17", "Statement": [ { "Effect" : "Allow", "Action" : [ "iam:CreateGroup", "iam:AddUserToGroup", "iam:ListAttachedGroupPolicies", "iam:GetGroup", "iam:GetUser" ], "Resource" : [ "arn:aws:iam::*:user/*", "arn:aws:iam::*:group/*" ] }, { "Effect" : "Allow", "Action" : [ "iam:AttachGroupPolicy" ], "Resource": "*", "Condition": { "ArnEquals": { "iam:PolicyArn": [ "arn:aws:iam::aws:policy/job-function/Billing", "arn:aws:iam::aws:policy/AWSSupportAccess" ] } } }, { "Effect" : "Allow", "Action" : [ "iam:ListAccountAliases", "iam:GetAccountSummary" ], "Resource" : "*" } ] } ``` **문서 단계** 1. `aws:createStack` - CloudFormation 템플릿을 실행하여 Lambda 함수를 생성합니다. 1. `aws:invokeLambdaFunction` - Lambda를 실행하여 IAM 권한을 설정합니다. 1. `aws:deleteStack` - CloudFormation 템플릿을 삭제합니다. **출력** configureIAM.Payload