루트 사용자 또는 관리자 사용자의 액세스 거부 문제를 해결하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2022년 4월 4일

관리자 권한이 추가된 루트 사용자 또는 AWS Identity and Access Management (IAM) 엔터티에서 액세스 거부 오류가 발생했습니다. 액세스 거부 오류를 해결하려면 어떻게 해야 합니까?

간략한 설명

관리자 권한이 추가된 루트 사용자 또는 IAM 엔터티에서 액세스 거부 오류가 발생하는 이유는 여러 가지가 있습니다. 여기에는 다음이 포함됩니다.

  • SCP(서비스 제어 정책)가 서비스에 대한 액세스를 제한하고 있습니다
  • 리소스 기반 정책이 리소스에 대한 액세스를 제한하고 있습니다
  • 권한 경계는 엔터티가 수행할 수 있는 작업을 제한하는 것입니다.
  • 세션 정책이 적용되어 권한 부여 문제를 일으키고 있습니다.
  • VPC 엔드포인트 정책이 IAM 엔터티에 대한 액세스를 제한하고 있습니다

사용 사례와 발생한 오류에 따라 아래의 문제 해결 단계를 사용하십시오.

해결 방법

루트 사용자에 대한 권한 부여 문제 해결

IAM 정책을 사용하여 루트 사용자의 권한을 제한할 수는 없지만 SCP (서비스 제어 정책) 를 사용하여 AWS Organizations 멤버 계정의 루트 사용자를 제한할 수 있습니다. 조직의 관리 계정을 사용하여 SCP에 따른 제한을 확인하십시오.

이 예시는 루트 사용자에 대한 Amazon Simple Storage Service (Amazon S3) 액세스를 거부하는 서비스 제어 정책을 보여 줍니다. aws:PrincipleArn 조건 키와 arn:aws:iam::<<accountIAD>:root 형식의 루트 ARN과 일치하는 값을 이용합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

관리자 권한이 할당된 IAM 엔터티에 대한 권한 부여 문제 해결

IAM 엔터티에는 관리자 수준의 액세스 권한을 부여하는 정책이 마련되어 있을 수 있지만 다른 유형의 정책에 의해 제한될 수도 있습니다. 자세한 내용은 액세스 거부 오류 메시지 문제 해결 정책 유형을 참조하십시오. 다음 지침을 사용하여 IAM 엔터티의 액세스를 제한할 수 있는 정책을 이해합니다.

  • 조직 SCP는 멤버 계정 IAM 엔터티에 대한 액세스를 제한할 수 있습니다. 조직의 관리 계정을 사용하여 SCP에서 오는 제한을 확인합니다.
  • 리소스 기반 정책은 리소스에 대한 IAM 엔터티의 액세스를 제한할 수 있습니다. 리소스 기반 정책의 예로는 Amazon S3 버킷 정책이 있습니다. 서비스의 지원 리소스 기반 정책을 추적하려면IAM과 함께 작동하는 AWS Services를 참조하세요.
  • 권한 경계는 자격 증명 기반 정책이 엔터티에 부여할 수 있는 최대 권한을 정의합니다. 권한 경계를 사용하는 경우 엔터티는 자격 증명 기반 정책과 권한 경계 모두에서 허용되는 작업만 수행할 수 있습니다. IAM 콘솔을 사용하여 사용자 또는 역할에 할당된 권한 경계가 있는지 확인합니다.
  • 연동 사용자의 IAM 역할에 대한 임시 세션을 생성할 때 프로그래밍 방식으로 세션 정책을 전달할 수 있습니다. 세션에 대한 권한은 세션이 생성된 목적인 IAM 엔터티에 할당된 자격 증명 기반 정책과 세션 정책의 교차점에 있습니다. AssumeRole/AssumeRoleWithSAML/AssumeRoleWithWebIdentity API 호출에 대한 AWS CloudTrail 로그를 이용해 세션 정책이 IAM 역할 세션에 전달되었는지 확인합니다. 연동된 사용자 세션에 전달된 세션 정책을 확인하려면 CloudTrail 로그에서 GetFederationToken API 호출을 확인합니다. 이러한 각 API 호출에 대한 자세한 내용은 [Action]을 참조하십시오.
  • VPC 엔드포인트 정책은 VPC 엔드포인트에 연결할 수 있는 리소스 기반 정책입니다. IAM 엔터티에 대한 액세스를 제한할 수 있습니다. VPC 엔드포인트를 통해 요청을 라우팅하는 경우 연결된 VPC 엔드포인트 정책에서 오는 제한이 있는지 확인합니다. 자세한 내용은 VPC 엔드포인트 정책 예제를 참조하세요.

Amazon S3 리소스에 대한 액세스 거부 오류 메시지 해결

Amazon S3 리소스에 대한 액세스 거부 오류 메시지 문제 해결에 대한 자세한 내용은 Amazon S3에서 발생한 403 액세스 거부 오류를 해결하려면 어떻게 해야 합니까?를 확인합니다.

AWS 결제 및 비용 관리 콘솔에 액세스할 때 권한 부여 문제 해결

관리자 권한이 있는 IAM 엔터티가 결제 및 비용 관리 콘솔에 액세스하려고 할 때 권한 부여 문제가 발생하는 경우가 있습니다. IAM 튜토리얼: 결제 콘솔에 대한 액세스 권한 위임의 1단계에 상술되어 있는대로 결제 및 관리 콘솔에 대한 IAM 사용자/역할의 액세스를 활성화합니다. IAM 엔터티는 이 단계를 완료하지 않고 필요한 IAM 권한을 추가하지 않으면 이 데이터에 액세스할 수 없습니다.

관련 권한 부여 문제를 해결하려면 IAM 엔터티가 루트 사용자로 활성화되었는지 확인합니다.