IAM 역할 체이닝 세션 시간 제한을 늘릴 수 있습니까?

최종 업데이트 날짜: 2021년 4월 16일

AssumeRole API를 통해 임시 자격 증명을 사용하여 AWS Identity and Access Management(IAM) 역할을 위임하였는데 다음과 유사한 오류가 발생했습니다.

‘요청된 DurationSeconds가 역할 체이닝으로 가정된 역할에 대한 1시간 세션 제한을 초과합니다’.

간략한 설명

AWS 명령줄 인터페이스(AWS CLI)에서 역할 묶기를 사용하여 임시 보안 자격 증명으로 역할을 위임할 수 있습니다. 자세한 내용은 역할 용어 및 개념역할 묶기 섹션을 참조하십시오.

참고: 역할 묶기는 AWS CLI 또는 AWS API 역할 세션을 최대 1시간으로 제한하며 늘릴 수 없습니다. 자세한 내용은 역할 용어 및 개념을 참조하십시오.

해결 방법

역할 체이닝의 모범 사례는 다음과 같습니다.

참고: AWS CLI 명령을 실행할 때 오류가 발생하는 경우, 최신 버전의 AWS CLI를 사용하고 있는지 확인하세요.

  • 임시 자격 증명에 대한 DurationSeconds 파라미터 값이 1시간보다 클 경우 작업이 실패합니다.
  • 역할 묶기를 1시간으로 제한하는 것은 AWS CLI 또는 API에만 적용됩니다.
  • AWS 관리 콘솔은 역할 묶기를 지원하지 않습니다. 콘솔에서 역할 전환 기능을 사용하여 역할의 임시 자격 증명을 가져올 수 있습니다. 콘솔은 IAM의 자격 증명 또는 연합된 사용자를 사용하여 다른 역할로 전환합니다. 자세한 내용은 역할(콘솔) 전환을 참조하십시오.
  • AWS CLI에서 Multi-Factor Authentication(MFA) 사용자는 임시 자격 증명을 사용하여 다른 역할을 위임합니다. 임시 자격 증명은 AWS STS GetSessionToken API를 사용하며 1시간으로 제한됩니다.
  • 역할 묶기는 동일한 AWS 계정의 역할 B를 역할 A로 위임하는 데 사용할 경우, 역할 A에 권한을 부여해서 1시간 제한을 회피합니다. 다른 AWS 계정에서 역할 체이닝을 사용하는 경우, 세션 시간 제한은 1시간입니다.

이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요합니까?