게시된 날짜: Apr 21, 2020
AWS Identity and Access Management(IAM)는 AWS CloudTrail 로그를 볼 때 IAM 역할이 수행한 AWS 작업에 대한 담당자를 식별하는 작업이 간편해졌습니다. 새로운 서비스별 조건 sts:RoleSessionName을 IAM 정책에 추가하여 IAM 보안 주체(사용자 또는 역할) 또는 애플리케이션이 IAM 역할을 맡을 때 설정해야 하는 역할 세션 이름을 정의할 수 있습니다. AWS는 IAM 역할이 작업을 수행할 때 역할 세션 이름을 AWS CloudTrail 로그에 추가하여 해당 작업의 작업자를 쉽게 확인할 수 있습니다.
예를 들어 제품-요금별 데이터를 AWS 계정의 Amazon DynamoDB 데이터베이스에 저장합니다. 그리고 회사 내의 다른 AWS 계정의 마케팅 파트너에게 제품-요금별 데이터에 대한 액세스 권한을 허용하려고 합니다. 이를 수행하려면 마케팅 파트너가 요금 데이터에 액세스한다고 가정하는 IAM 역할을 해당 AWS 계정에 할애합니다. 그리고 sts:RoleSessionName 조건을 IAM 역할의 역할 신뢰 정책에 사용하여 마케팅 파트너가 IAM 역할을 맡을 때 역할 세션 이름과 같은 AWS 사용자 이름을 설정할 수 있습니다. AWS CloudTrail 로그는 IAM 역할을 사용하여 마케팅 파트너의 활동을 캡처하고 역할 세션 이름과 같은 마케팅 파트너의 AWS 사용자 이름을 기록합니다. AWS 사용자 이름은 AWS CloudTrail 로그를 볼 때 IAM 역할의 ARN에 나타납니다. 이를 통해 마케팅 파트너가 AWS 계정에서 수행한 특정 작업을 쉽게 식별할 수 있습니다.
새로운 조건 키 sts:RoleSessionName에 대한 자세한 내용은 IAM 설명서를 참조하십시오.