<5> 실습2 - 같은 Accound ID에서 IAM 역할 전환해보기 제어 당하는쪽에서 role을 만든다. ec2 full 이나 admin 1단계 ec2 full 역할(role)을 만든다. 상대가 사용하도록 하려면 상대의 Another AWS Account id 를 입력한다. arn 기록한다. 2단계 sts assume role을 만들고 (이때 ec2 full role arn을 적용한다) 개발자 계정에 assume role을 적용하여, ec2 full 권한을 사용할수 있도록 한다. 설명 1 IAM 역할은 임시 자격 증명이다. 임시적으로 일정 시간만 자격을 갖는것이다. 역할은 정책처럼 장기적으로 권한을 가지지 못한다. 2 개인 계정 ID확인 aws sts get-caller-identity --output text 3 AWS 웹 콘솔에서 역할 만들기 IAM > Roles > Create role > EC2 full 권한 주기 > seo-ec2full-role > 역할 ARN 확인 (기록 요망) arn:aws:iam::032684083:role/seo-ec2full-role 만약 다른 계정에서 관리하고 싶다면 IAM > Roles > Create role > 다른 AWS 계정 > AWS Account ID입력 4 생성된 역할 확인 aws iam get-role --role-name seo-ec2full-role | jq -r ".Role.Arn" 5 AWS 웹 콘솔에서 위임을 위한 새로운 assume 정책 생성 IAM > 정책 > Create Policy > STS > 쓰기 AssumeRole > Specify > Add arn Specify ARN for role 란에 위에서 만든 role ARN 입력 arn:aws:iam::22222:role/seo-ec2full-role seo-ec2full-policy 6 dev-aws 사용자에게 위임 assume 정책 적용 account id 변수지정 ACCOUNT_ID=`aws sts get-caller-identity --query 'Account' --output text` echo $ACCOUNT_ID dev-aws 사용자에게 seo-ec2full-policy를 사용할수 있도록 위임 정책 적용 aws iam attach-user-policy --user-name dev-aws --policy-arn arn:aws:iam::$ACCOUNT_ID:policy/seo-ec2full-policy 7 정책 확인 aws iam list-attached-user-policies --user-name dev-aws 8 dev-aws 로 웹콘솔 로그인 계정 ID 사용자 이름 dev-aws 암호 s3 생성, 삭제 - 잘됨. ec2 생성 , 삭제 - 안됨 9 웹 콘솔 오른쪽 위 dev-aws 에서 역할 전환 (switch) 역할전환 계정 : (Aws account id ) 역할 : seo-ec2full-role 역할 전환 EC2 생성 , 삭제 해보자. 된다.