기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 위장 역할 관리
<a name="managing-impersonation-roles"></a>

위장 역할을 사용하면 관리자가 사용자의 보안 인증을 입력하지 않고도 사용자 사서함에 프로그래밍 방식으로 액세스할 수 있도록 구성할 수 있습니다. 서비스 및 도구는 사용자 사서함에서 작업을 수행하는 위장 역할을 맡을 수 있습니다. 위장은 EWS 프로토콜에서만 지원됩니다.

## 위장 역할 개요
<a name="how-impersonations-work"></a>

위장을 허용하려면 관리자가 다음 속성을 사용하여 위장 역할을 만들어야 합니다.
+ **역할 유형** - **모든 액세스** 또는 **읽기 전용**을 선택합니다. 역할 유형은 역할이 수행할 수 있는 작업의 종류를 제한합니다.
+ **규칙** - 위장 역할이 위장할 수 있는 사용자를 정의하는 규칙 목록입니다.

Amazon WorkMail은 다음 조건에서 규칙을 평가합니다.
+ **거부** 규칙이 하나라도 일치하는 경우 정책은 위장을 거부합니다. **거부** 규칙은 모든 **허용** 규칙보다 우선합니다.
+ 하나 이상의 **허용** 규칙이 일치하고 **거부** 규칙이 하나도 일치하지 않는 경우, 정책에서 위장을 허용합니다.
+ 규칙이 적용되지 않는 경우 위장이 거부됩니다.

**참고**  
Amazon WorkMail 조직의 모든 사용자가 위장할 수 있도록 허용하려면 **허용** 효과가 적용되고 조건 없이 규칙을 생성하세요.

**주의**  
위장 역할이 사용자를 위장할 수 있도록 허용하는 규칙을 생성해야 합니다. 규칙을 지정하지 않으면 위장 역할이 사용자의 액세스 권한을 위임할 수 없습니다.

위장 역할을 만든 후에는 이 역할을 사용하여 사용자의 사서함에 액세스할 수 있습니다. 자세한 내용은 [위장 역할 사용](using-impersonation-roles.md) 섹션을 참조하세요.

## 보안 고려 사항
<a name="security-considerations"></a>

위장 역할을 사용하면 Amazon WorkMail 조직 및 AWS 계정 내에서 보안 문제가 발생할 가능성이 있습니다. 위장 역할을 생성할 때 고려해야 할 잠재적인 몇 가지 문제는 다음과 같습니다.
+ **전이적 권한** - 사용자 A가 사용자 B의 사서함에 대한 액세스 권한을 갖고 있고 사용자 A를 위장하는 역할을 허용하는 경우 이 위장 역할은 사용자 A의 액세스 권한을 위장하고 사용자 B의 사서함에 액세스할 수 있습니다.
+ **액세스 제어** - 액세스 제어 규칙을 사용하여 위장 역할 액세스를 제한할 수 있습니다. 자세한 내용은 [액세스 제어 규칙 작업](access-rules.md) 섹션을 참조하세요.
+ **IAM 정책** - `workmail:ImpersonationRoleId` 조건을 사용하여 특정 Amazon WorkMail 조직 및 위장 역할에 `AssumeImpersonationRole` 작업을 할당할 수 있습니다. IAM 정책에 대한 예제를 보려면 [Amazon WorkMail에서 IAM을 사용하는 방법](security_iam_service-with-iam.md) 섹션을 참조하세요.

## 위장 역할 생성
<a name="creating-impersonation-roles"></a>

Amazon WorkMail 콘솔에서 위장 역할을 생성할 수 있습니다.

**위장 역할을 만들려면**

1. [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)에서 Amazon WorkMail 콘솔을 엽니다.

   필요한 경우, 지역을 변경합니다. 탐색 모음에서 요구에 맞는 리전을 선택합니다. 자세한 내용은 *Amazon Web Services 일반 참조*의 [리전 및 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)를 참조하세요.

1. 탐색 창에서 **조직**을 선택한 다음 조직의 이름을 선택합니다.

1. **위장 역할**을 선택한 다음 **역할 생성**을 선택합니다.

1. **위장 역할 생성** 대화 상자가 나타납니다. **역할**에서 다음 정보를 입력합니다.
   + **이름** - 역할의 고유한 이름을 입력합니다.
   + (선택 사항) **설명** - 위장 역할에 대한 설명을 입력합니다.
   + **역할 유형** - **읽기 전용** 또는 **모든 액세스**를 선택합니다.

1. **규칙**에서 **규칙 추가**를 선택합니다.

1. **규칙 추가** 대화 상자가 나타납니다. 다음 정보를 입력합니다.
   + **이름** – 역할의 고유한 이름을 입력합니다.
   + (선택 사항) **설명** – 규칙에 대한 설명을 입력합니다.
   + **효과**에서 **허용** 또는 **거부**를 선택합니다. 이렇게 하면 다음 단계에서 선택하는 조건에 따라 액세스가 허용되거나 거부됩니다.
   + (선택 사항) **이 규칙:**에서 특정 사용자를 포함하도록 **선택한 사용자를 위장하는 요청과 일치**을 선택합니다. **선택한 사용자가 아닌 다른 사용자를 위장하는 요청과 일치**를 선택하면 선택한 사용자 이외의 사용자를 추가할 수 있습니다.

1. **규칙 추가**를 선택합니다.
**참고**  
규칙은 해당 역할을 저장할 때만 저장됩니다.

1. **역할 생성**을 선택합니다.

## 위장 역할 편집
<a name="editing-impersonation-roles"></a>

Amazon WorkMail 콘솔에서 위장 역할을 편집할 수 있습니다.

**위장 역할을 편집하려면**

1. [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)에서 Amazon WorkMail 콘솔을 엽니다.

   필요한 경우, 지역을 변경합니다. 탐색 모음에서 요구에 맞는 리전을 선택합니다. 자세한 내용은 *Amazon Web Services 일반 참조*의 [리전 및 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)를 참조하세요.

1. 탐색 창에서 **조직**을 선택한 다음 조직의 이름을 선택합니다.

1. **위장 역할**을 선택합니다.

1. 편집하려는 위장 역할 이름을 선택한 다음 **편집**을 선택합니다.

1. **위장 역할 편집** 대화 상자가 나타납니다. **역할**에서 다음 정보를 입력합니다.
   + **이름** - 역할의 고유한 이름을 입력합니다.
   + (선택 사항) **설명** - 위장 역할에 대한 설명을 입력합니다.
   + **역할 유형** - 위장 역할에 사용자 사서함에 대한 읽기 전용 액세스 권한을 부여하려면 **읽기 전용**을 선택합니다. 사용자 사서함의 항목을 읽고 수정할 수 있는 권한을 위장 역할에 부여하려면 **모든 액세스**를 선택합니다.

1. **규칙**에서 편집하려는 규칙을 선택하고 **편집**을 선택합니다.

1. **규칙 편집** 대화 상자가 나타납니다. 다음 정보를 입력합니다.
   + **이름** - 규칙의 이름을 편집합니다.
   + (선택 사항) **설명** – 규칙에 대한 설명을 업데이트하거나 입력합니다.
   + 규칙에 설정된 조건이 충족될 때 액세스를 허용하려면 **효과**에서 **허용**을 선택합니다. 액세스를 거부하려면 **거부**를 선택합니다.
   + (선택 사항) **이 규칙:**에서 특정 사용자를 포함하도록 **선택한 사용자를 위장하는 요청과 일치**을 선택합니다. **선택한 사용자가 아닌 다른 사용자를 위장하는 요청과 일치**를 선택하면 선택한 사용자 이외의 사용자를 추가할 수 있습니다.

1. **저장**을 선택합니다.

1. **변경 사항 저장**을 선택합니다.

**중요**  
위장 규칙을 변경하면 영향을 받는 사서함을 업데이트하는 데 최대 5분이 걸릴 수 있습니다. 규칙 업데이트 프로세스 중에 사서함에서 일관되지 않은 동작이 관찰될 수 있습니다. 하지만 역할을 테스트하는 경우 Amazon WorkMail은 업데이트된 규칙에 따라 예상대로 응답합니다. 자세한 내용은 [위장 역할 테스트](#testing-impersonation-roles) 섹션을 참조하세요.

## 위장 역할 테스트
<a name="testing-impersonation-roles"></a>

Amazon WorkMail 콘솔에서 위장 역할을 테스트할 수 있습니다.

**위장 역할을 테스트하려면**

1. [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)에서 Amazon WorkMail 콘솔을 엽니다.

   필요한 경우, 지역을 변경합니다. 탐색 모음에서 요구에 맞는 리전을 선택합니다. 자세한 내용은 *Amazon Web Services 일반 참조*의 [리전 및 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)를 참조하세요.

1. 탐색 창에서 **조직**을 선택한 다음 조직의 이름을 선택합니다.

1. **위장 역할**을 선택합니다.

1. 테스트하려는 위장 역할을 선택합니다.

1. **역할 테스트**를 선택합니다.

   

1. **위장 역할 테스트** 대화 상자가 나타납니다. **대상 사용자**에서 위장 액세스를 테스트하려는 사용자를 선택합니다.

1. **테스트**를 선택합니다.

## 위장 역할 삭제
<a name="deleting-impersonation-roles"></a>

Amazon WorkMail 콘솔에서 위장 역할을 삭제할 수 있습니다.

**위장 역할을 삭제하려면**

1. [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)에서 Amazon WorkMail 콘솔을 엽니다.

   필요한 경우, 지역을 변경합니다. 탐색 모음에서 요구에 맞는 리전을 선택합니다. 자세한 내용은 *Amazon Web Services 일반 참조*의 [리전 및 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)를 참조하세요.

1. 탐색 창에서 **조직**을 선택한 다음 조직의 이름을 선택합니다.

1. **위장 역할**을 선택합니다.

1. 삭제하려는 위장 역할 이름을 선택합니다.

1. **삭제**를 선택합니다.

1. **역할 삭제** 대화 상자가 나타납니다. 삭제를 확인하려면 대화 상자에 역할 이름을 입력하고 **삭제**를 선택합니다.