기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Application Auto Scaling 자격 증명 기반 정책 예제
기본적으로 새로 가입한 사용자는 아무 것도 할 수 있는 AWS 계정 권한이 없습니다. IAM 관리자는 Application Auto Scaling API 작업을 수행할 수 있는 IAM 자격 증명(예: 사용자 또는 역할) 권한을 부여하는 IAM 정책을 생성하고 할당해야 합니다.
다음 예제 JSON 정책 문서를 사용하여 IAM 정책을 생성하는 방법을 알아보려면 IAM 사용 설명서의 JSON 탭에서 정책 생성을 참조하세요.
내용
Application Auto Scaling API 작업에 필요한 권한
다음 정책은 Application Auto Scaling API를 호출할 때 일반적인 사용 사례에 대한 권한을 부여합니다. 자격 증명 기반 정책을 작성할 때 이 섹션을 참조하세요. 각 정책은 Application Auto Scaling API 작업의 모두 또는 일부에 대한 권한을 부여합니다. 또한 최종 사용자에게 대상 서비스 및 CloudWatch (자세한 내용은 다음 섹션 참조) 에 대한 권한이 있는지 확인해야 합니다.
다음 자격 증명 기반 정책에서는 모든 Application Auto Scaling API 작업에 대한 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*" ], "Resource": "*" } ] }
다음 자격 증명 기반 정책에서는 예약된 작업이 아니라 확장 정책을 구성하는 데 필요한 모든 Application Auto Scaling API 작업에 대한 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScalingPolicy", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScalingPolicy" ], "Resource": "*" } ] }
다음 자격 증명 기반 정책에서는 확장 정책이 아니라 예약된 작업을 구성하는 데 필요한 모든 Application Auto Scaling API 작업에 대한 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScheduledAction", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScheduledAction" ], "Resource": "*" } ] }
대상 서비스에 대한 API 작업에 필요한 권한 및 CloudWatch
대상 서비스에서 Application Auto Scaling을 성공적으로 구성하고 사용하려면 최종 사용자에게 Amazon CloudWatch 및 조정을 구성할 각 대상 서비스에 대한 권한을 부여해야 합니다. 다음 정책을 사용하여 대상 서비스 및 작업에 필요한 최소 권한을 CloudWatch 부여하십시오.
내용
AppStream 2.0 플릿
다음 ID 기반 정책은 필요한 모든 AppStream 2.0 및 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appstream:DescribeFleets", "appstream:UpdateFleet", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Aurora 복제본
다음 ID 기반 정책은 필요한 모든 Aurora 및 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DeleteDBInstance", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon Comprehend 문서 분류 및 엔터티 인식기 엔드포인트
다음 자격 증명 기반 정책은 필요한 모든 Amazon Comprehend CloudWatch 및 API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "comprehend:UpdateEndpoint", "comprehend:DescribeEndpoint", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
DynamoDB 테이블 및 글로벌 보조 인덱스
다음 ID 기반 정책은 필요한 모든 DynamoDB 및 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:UpdateTable", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
ECS 서비스
다음 자격 증명 기반 정책은 필요한 모든 ECS 및 API 작업에 권한을 부여합니다. CloudWatch
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeServices", "ecs:UpdateService", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
ElastiCache 복제 그룹
다음 ID 기반 정책은 필요한 모든 ElastiCache 작업과 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticache:ModifyReplicationGroupShardConfiguration", "elasticache:IncreaseReplicaCount", "elasticache:DecreaseReplicaCount", "elasticache:DescribeReplicationGroups", "elasticache:DescribeCacheClusters", "elasticache:DescribeCacheParameters", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon EMR 클러스터
다음 ID 기반 정책은 필요한 모든 Amazon EMR 및 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticmapreduce:ModifyInstanceGroups", "elasticmapreduce:ListInstanceGroups", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon Keyspaces 테이블
다음 ID 기반 정책은 필요한 모든 Amazon Keyspace와 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cassandra:Select", "cassandra:Alter", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Lambda 함수
다음 ID 기반 정책은 필요한 모든 Lambda 및 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lambda:PutProvisionedConcurrencyConfig", "lambda:GetProvisionedConcurrencyConfig", "lambda:DeleteProvisionedConcurrencyConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon Managed Streaming for Apache Kafka(MSK) 브로커 스토리지
다음 ID 기반 정책은 필요한 모든 Amazon MSK 및 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:DescribeCluster", "kafka:DescribeClusterOperation", "kafka:UpdateBrokerStorage", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Neptune 클러스터
다음 ID 기반 정책은 필요한 모든 Neptune 및 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DescribeDBInstances", "rds:DescribeDBClusters", "rds:DescribeDBClusterParameters", "rds:DeleteDBInstance", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
SageMaker 엔드포인트
다음 ID 기반 정책은 필요한 모든 SageMaker 작업과 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeInferenceComponent", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:UpdateInferenceComponentRuntimeConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
스팟 플릿(Amazon EC2)
다음 ID 기반 정책은 필요한 모든 스팟 플릿 및 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
사용자 정의 리소스
다음 자격 증명 기반 정책에서는 API Gateway API 실행 작업에 대한 권한을 부여합니다. 또한 이 정책은 필요한 모든 CloudWatch 작업에 대한 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "execute-api:Invoke", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
에서 작업할 수 있는 권한 AWS Management Console
독립형 Application Auto Scaling 콘솔은 없습니다. Application Auto Scaling과 통합되는 대부분의 서비스에는 콘솔에서 조정을 구성하는 데 도움이 되는 전용 기능이 있습니다.
대부분의 경우 각 서비스는 Application Auto Scaling API 작업에 대한 권한을 포함하여 콘솔에 대한 액세스를 정의하는 AWS 관리형 (사전 정의된) IAM 정책을 제공합니다. 자세한 내용은 콘솔을 사용할 서비스에 대한 설명서를 참조하세요.
또한 사용자 지정 IAM 정책을 생성하여 AWS Management Console에서 특정 Application Auto Scaling API 작업을 보고 작업할 수 있는 세분화된 권한을 사용자에게 제공할 수 있습니다. 이전 섹션의 예제 정책을 사용할 수 있지만, 이 예제는 AWS CLI 또는 SDK를 사용하여 이루어진 요청에 맞게 설계되었습니다. 콘솔에서는 추가적인 API 작업을 통해 해당 기능을 구현하므로 이러한 정책이 예상과 다르게 작동할 수 있습니다. 예를 들어 단계별 조정을 구성하려면 사용자에게 CloudWatch 경보를 만들고 관리할 수 있는 추가 권한이 필요할 수 있습니다.
작은 정보
콘솔에서 작업을 수행하는 데 필요한 API 작업을 파악하려는 경우 AWS CloudTrail등의 서비스를 사용할 수 있습니다. 자세한 내용은 AWS CloudTrail 사용 설명서를 참조하십시오.
다음 자격 증명 기반 정책에서는 스팟 플릿에 대한 확장 정책을 구성하는 권한을 부여합니다. 스팟 플릿에 대한 IAM 권한 외에, Amazon EC2 콘솔에서 플릿 확장 설정에 액세스하는 콘솔 사용자에게 동적 확장을 지원하는 서비스에 대한 적절한 권한이 있어야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*", "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:DisableAlarmActions", "cloudwatch:EnableAlarmActions", "sns:CreateTopic", "sns:Subscribe", "sns:Get*", "sns:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/ec2.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_EC2SpotFleetRequest", "Condition": { "StringLike": { "iam:AWSServiceName":"ec2.application-autoscaling.amazonaws.com" } } } ] }
이 정책을 통해 콘솔 사용자는 Amazon EC2 콘솔에서 조정 정책을 확인 및 수정하고 콘솔에서 CloudWatch 경보를 생성 및 관리할 수 있습니다. CloudWatch
API 작업을 조정하여 사용자 액세스를 제한할 수 있습니다. 예를 들어, application-autoscaling:*을 application-autoscaling:Describe*로 바꾸면 사용자는 읽기 전용 액세스 권한을 갖게 됩니다.
또한 필요에 따라 CloudWatch 권한을 조정하여 기능에 대한 사용자 액세스를 제한할 수 있습니다. CloudWatch 자세한 내용은 Amazon 사용 설명서의 CloudWatch 콘솔 사용에 필요한 CloudWatch 권한을 참조하십시오.
