Amazon ECS CodeDeploy IAM 역할
Amazon ECS와 함께 CodeDeploy 블루/그린 배포 유형을 사용하기 전에 CodeDeploy 서비스는 사용자를 대신하여 Amazon ECS 서비스를 업데이트할 수 있는 권한이 필요합니다. 이러한 권한은 CodeDeploy IAM 역할(ecsCodeDeployRole)에 의해 제공됩니다.
사용자는 CodeDeploy를 사용할 권한도 필요합니다. 이러한 권한은 필수 IAM 권한에 설명되어 있습니다.
관리형 정책은 2가지가 있습니다. 자세한 내용은 AWS 관리형 정책 참조 안내서의 다음 중 하나를 참조하세요.
CodeDeploy 역할 생성
다음 절차에 따라 Amazon ECS에 대한 CodeDeploy 역할을 생성할 수 있습니다.
- AWS Management Console
-
CodeDeploy에 대한 서비스 역할을 생성하는 방법(IAM 콘솔)
AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/ 에서 IAM 콘솔을 엽니다.
-
IAM 콘솔의 탐색 창에서 역할을 선택하고 역할 생성을 선택합니다.
-
신뢰할 수 있는 엔터티 유형에 AWS 서비스를 선택합니다.
-
서비스 또는 사용 사례에서 CodeDeploy를 선택하고 CodeDeploy - ECS 사용 사례를 선택합니다.
-
Next(다음)를 선택합니다.
-
권한 정책 연결 섹션에서 AWSCodeDeployRoleForECS 정책이 선택되어 있는지 확인합니다.
-
Next(다음)를 선택합니다.
-
역할 이름에 ecsCodeDeployRole을 입력합니다.
-
역할을 검토한 다음 역할 생성을 선택합니다.
- AWS CLI
-
모든 사용자 입력을 사용자 정보로 바꿉니다.
-
CodeDeploy IAM 역할에 사용할 신뢰 정책이 포함된 codedeploy-trust-policy.json이라는 이름의 파일을 생성합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": ["codedeploy.amazonaws.com"]
},
"Action": "sts:AssumeRole"
}
]
}
-
이전 단계에서 만든 신뢰 정책을 사용하여 ecsCodedeployRole이라는 IAM 역할을 생성합니다.
aws iam create-role \
--role-name ecsCodedeployRole \
--assume-role-policy-document file://codedeploy-trust-policy.json
-
AWSCodeDeployRoleForECS 또는 AWSCodeDeployRoleForECSLimited 관리형 정책을 ecsTaskRole 역할에 연결합니다.
aws iam attach-role-policy \
--role-name ecsCodedeployRole \
--policy-arn arn:aws::iam::aws:policy/AWSCodeDeployRoleForECS
aws iam attach-role-policy \
--role-name ecsCodedeployRole \
--policy-arn arn:aws::iam::aws:policy/AWSCodeDeployRoleForECSLimited
서비스의 작업에 작업 실행 역할이 필요한 경우 각 작업 실행 역할 또는 작업 역할 재정의에 대해 iam:PassRole 권한을 CodeDeploy 역할에 정책으로 추가해야 합니다.
작업 실행 역할 권한
서비스의 작업에 작업 실행 역할이 필요한 경우 각 작업 실행 역할 또는 작업 역할 재정의에 대해 iam:PassRole 권한을 CodeDeploy 역할에 정책으로 추가해야 합니다. 자세한 내용은 Amazon ECS 태스크 실행 IAM 역할 및 Amazon ECS 작업 IAM 역할 단원을 참조하세요. 그런 다음, 해당 정책을 CodeDeploy 역할에 연결합니다.
정책을 생성합니다.
- AWS Management Console
-
JSON 정책 편집기를 사용하여 정책을 생성하려면
AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/ 에서 IAM 콘솔을 엽니다.
-
왼쪽의 탐색 창에서 정책을 선택합니다.
정책을 처음으로 선택하는 경우 관리형 정책 소개 페이지가 나타납니다. 시작을 선택합니다.
-
페이지 상단에서 정책 생성을 선택합니다.
-
정책 편집기 섹션에서 JSON 옵션을 선택합니다.
-
다음 JSON 정책 문서를 입력합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": ["arn:aws:iam::<aws_account_id>:role/<ecsCodeDeployRole>"]
}
]
}
-
Next(다음)를 선택합니다.
언제든지 시각적 편집기 옵션과 JSON 편집기 옵션 간에 전환할 수 있습니다. 그러나 변경을 적용하거나 시각적 편집기에서 다음을 선택한 경우 IAM은 시각적 편집기에 최적화되도록 정책을 재구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 정책 재구성을 참조하십시오.
-
검토 및 생성 페이지에서 생성하는 정책에 대한 정책 이름과 설명(선택 사항)을 입력합니다. 이 정책에 정의된 권한을 검토하여 정책이 부여한 권한을 확인합니다.
-
정책 생성을 선택하고 새로운 정책을 저장합니다.
정책을 생성한 후 CodeDeploy 역할에 정책을 연결합니다. 정책을 역할에 연결하는 방법에 대한 자세한 내용은 AWS Identity and Access Management 사용 설명서의 역할 권한 정책 수정(콘솔)을 참조하세요.
- AWS CLI
-
모든 사용자 입력을 사용자 정보로 바꿉니다.
-
다음 콘텐츠를 통해 blue-green-iam-passrole.json이라는 파일을 생성합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": ["arn:aws:iam::<aws_account_id>:role/<ecsCodeDeployRole>"]
}
]
}
-
다음 명령을 사용하여 JSON 정책 문서 파일을 사용해 IAM 정책을 생성합니다.
aws iam create-policy \
--policy-name cdTaskExecutionPolicy \
--policy-document file://blue-green-iam-passrole.json
-
다음 명령을 사용하여 생성한 IAM 정책의 ARN을 검색합니다.
aws iam list-policies --scope Local --query 'Policies[?PolicyName==`cdTaskExecutionPolicy`].Arn'
-
다음 명령을 사용하여 CodeDeploy IAM 역할에 정책을 연결합니다.
aws iam attach-role-policy \
--role-name ecsCodedeployRole \
--policy-arn arn:aws:iam:111122223333:aws:policy/cdTaskExecutionPolicy
