IAM Permissions
AWS 계정에서 Kiro 프로필을 생성하고 사용자 구독을 관리하기 위해 관리 역할에 부여해야 하는 IAM 권한을 정리한 문서입니다.
개요
Kiro를 조직 단위로 도입하려면 AWS 계정 안에서 Kiro 프로필을 만들고, 사용자에게 구독을 할당하며, 필요에 따라 외부 IdP(Identity Provider)와 연동해야 합니다. 이러한 작업은 모두 codewhisperer 및 q 네임스페이스의 API를 호출하므로, 이 작업을 수행하는 역할(role) 또는 사용자(user)에는 아래 권한이 사전에 부여되어 있어야 합니다.
권장사항 — 운영 안정성을 위해 IAM 정책은 최소 권한 원칙(least privilege)에 따라 작성하고, 가능한 경우 별도의 관리 전용 역할에 분리해 부여하세요.
공통 권한
아이덴티티 스토어 종류와 무관하게, Kiro 프로필과 구독을 관리하려면 다음 권한이 항상 필요합니다.
codewhisperer:ListProfilescodewhisperer:CreateProfilecodewhisperer:DeleteProfilecodewhisperer:UpdateProfilecodewhisperer:TagResourcecodewhisperer:UntagResourcecodewhisperer:ListTagsForResourcecodewhisperer:AllowVendedLogDeliveryForResourceq:ListDashboardMetrics
이 권한들은 프로필 CRUD, 태그 부여/조회, 로그 전달 설정, 사용 지표 대시보드 조회까지 Kiro 운영의 기본 동작을 모두 포괄합니다.
외부 IdP 연동 시 추가 권한
AWS IAM Identity Center 외에 외부 Identity Provider를 연결해 SSO나 SCIM 프로비저닝을 사용한다면, 위 공통 권한에 더해 다음 권한이 필요합니다.
q:ListLoginDomainsq:AssociateLoginDomainq:DisassociateLoginDomainq:ListScimAccessTokensq:CreateScimAccessTokenq:DeleteScimAccessTokenq:ListGroupsq:ListUsersq:BatchDescribeUsersq:BatchDescribeGroups
이 권한들은 로그인 도메인 매핑, SCIM 액세스 토큰 발급/회수, 그리고 IdP에서 동기화된 사용자·그룹 정보 조회를 위한 동작을 담당합니다. 지원되는 아이덴티티 스토어 종류는 Identity provider 문서를 참고하세요.
권한 적용 절차
- Kiro를 관리할 IAM 역할 또는 사용자를 정합니다. 일반적으로 운영팀 또는 보안팀이 사용하는 관리 역할이 적합합니다.
- 위의 공통 권한 목록을 포함한 IAM policy를 작성합니다. 외부 IdP를 사용할 예정이라면
q:*권한도 함께 포함합니다. - 작성한 정책을 대상 역할 또는 사용자에 attach 합니다.
- 해당 역할로 AWS 콘솔에 로그인한 뒤 Kiro 관리 화면에서 프로필을 생성하고 구독을 할당합니다.
- SCIM이나 SSO를 사용한다면 IdP 측에서 토큰과 도메인을 등록하고, Kiro에서 해당 값을 연결합니다.
주의 —
codewhisperer:DeleteProfile이나 q:DeleteScimAccessToken처럼 파괴적 동작이 가능한 권한은 운영 환경에서 의도치 않은 삭제를 일으킬 수 있습니다. 별도의 운영 검토 절차를 거친 사용자에게만 부여하거나, IAM Condition 키로 사용 범위를 좁혀두는 것을 권장합니다.