교차 계정 IAM 역할을 위임하는 중에 ‘액세스 거부’ 또는 ‘잘못된 정보’ 오류가 표시되는 이유는 무엇인가요?

간략한 설명

다른 AWS 계정에서 IAM 역할을 위임하려면 먼저 한 계정(IAM 역할을 위임한 계정)에서 권한을 편집해야 합니다. 그런 다음, 다른 계정(IAM 역할 위임을 허용하는 계정)에서 신뢰 정책을 편집합니다.

예를 들어 Account_Bob과 Account _Alice라는 두 개의 계정이 있다고 가정해보겠습니다. 또한 Account_Bob에 Bob이라는 IAM 사용자 또는 역할이 있고, Account_Alice에 Alice라는 IAM 역할이 있습니다. 이 시나리오에서 Bob은 Alice라는 이름의 IAM 역할을 위임합니다.

여러 계정 또는 교차 계정으로 AssumeRole API 호출을 사용하려면 역할을 위임하기 위한 권한을 부여하는 다음과 유사한 신뢰 정책이 있어야 합니다.

Bob에게 필요한 권한의 예제는 다음과 같습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PermissionToAssumeAlice",
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::Account_Alice:role/Alice"
    }
  ]
}

Alice의 신뢰 정책의 예제는 다음과 같습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::ACCOUNT_Bob:user/Bob"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

해결 방법

교차 계정 IAM 역할을 위임할 때 오류를 방지하려면 다음 사항을 염두에 두세요.

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생할 경우 AWS CLI의 최신 버전을 사용하고 있는지 확인하세요.

• 위임 역할인 Bob에는 AssumeRole에 대한 권한이 있어야 합니다.
• AWS 계정에는 Bob으로 로그인해야 합니다. 자세한 내용은 AWS 계정 ID와 별칭을 참조하세요.
• 위임한 역할인 Alice가 존재해야 합니다. 삭제되지 않았는지, 그리고 ARN이 올바르게 구성되어 있는지 확인하세요.
• 역할 묶기를 사용할 때는 이전 세션의 IAM 보안 인증을 사용하면 안 됩니다. 자세한 내용은 역할 용어 및 개념의 역할 묶기 섹션을 참조하세요.
• Account_Bob이 AWS Organizations에 속한 경우, Account_Bob 또는 Account_Alice를 사용한 AssumeRole 액세스를 제한하는 서비스 제어 정책(SCP)이 있을 수 있습니다. 자세한 내용은 서비스 제어 정책(SCP)을 참조하세요.

관련 정보

IAM 권한 액세스 거부 또는 권한 없음 오류 문제를 해결하는 데 도움이 되는 데이터를 가져오려면 어떻게 해야 합니까?

역할로 전환하기(콘솔)

IAM 역할로 전환하기(AWS CLI)