Amazon EC2 Auto Scaling의 서비스 연결 역할 - Amazon EC2 Auto Scaling

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon EC2 Auto Scaling의 서비스 연결 역할

Amazon EC2 Auto Scaling은 AWS 서비스 사용자를 대신하여 다른를 호출하는 데 필요한 권한에 서비스 연결 역할을 사용합니다. 서비스 연결 역할은에 직접 연결된 고유한 유형의 IAM 역할입니다 AWS 서비스.

연결된 서비스만 서비스 연결 역할을 수임할 수 있으므로 서비스 연결 역할은 다른 AWS 서비스 에 권한을 위임하는 안전한 방법을 제공합니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 사용을 참조하세요. 또한 서비스 연결 역할을 사용하면 모든 API 호출을 볼 수 있습니다 AWS CloudTrail. 이렇게 하면 Amazon EC2 Auto Scaling이 사용자를 대신하여 수행하는 모든 작업을 추적할 수 있으므로 요구 사항을 모니터링하고 감사하는 데 도움이 됩니다. 자세한 내용은 를 사용하여 Amazon EC2 Auto Scaling API 호출 로깅 AWS CloudTrail 단원을 참조하십시오.

다음 섹션에서는 Amazon EC2 Auto Scaling 서비스 연결 역할을 생성하고 관리하는 방법을 설명합니다. IAM 자격 증명(예: 사용자 또는 역할)이 서비스 연결 역할을 생성, 편집 또는 삭제할 수 있도록 권한을 구성하는 것으로 시작합니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 사용을 참조하세요.

개요

Amazon EC2 Auto Scaling 서비스 연결 역할에는 두 가지 유형이 있습니다.

  • 계정의 기본 서비스 연결 역할인 AWSServiceRoleForAutoScaling입니다. 다른 서비스 연결 역할을 지정하지 않은 경우 이 역할이 Auto Scaling 그룹에 자동으로 할당됩니다.

  • 역할을 생성할 때 지정하는 사용자 지정 접미사가 있는 서비스 연결 역할. 예: AWSServiceRoleForAutoScaling_mysuffix.

사용자 지정 접미사 서비스 연결 역할의 권한은 기본 서비스 연결 역할의 권한과 동일합니다. 두 경우 모두 역할을 편집할 수 없으며 Auto Scaling 그룹에서 사용 중인 역할은 삭제할 수 없습니다. 유일한 차이점은 역할 이름 접미사입니다.

AWS Key Management Service Amazon EC2 Auto Scaling에서 시작한 인스턴스를 고객 관리형 키로 암호화할 수 있도록 키 정책을 편집할 때 두 역할 중 하나를 지정할 수 있습니다. 그러나, 특정 고객 관리형 키에 세분화된 액세스를 제공하려는 경우 사용자 지정 접미사 서비스 연결 역할을 사용해야 합니다. 사용자 지정 접미사 서비스 연결 역할은 다음 기능을 제공합니다.

  • 고객 관리형 키에 대한 향상된 제어 기능

  • your CloudTrail 로그에서 API 호출을 수행한 Auto Scaling 그룹을 추적하는 기능

일부 사용자만 액세스할 수 있는 고객 관리형 키를 생성하는 경우 다음 단계를 통해 사용자 지정 접미사 서비스 연결 역할을 사용할 수 있습니다.

  1. 사용자 지정 접미사를 사용하여 서비스 연결 역할을 생성합니다. 자세한 내용은 서비스 연결 역할 생성(수동)(을)를 참조하세요.

  2. 서비스 연결 역할에 고객 관리형 키에 대한 액세스 권한을 부여합니다. 서비스 연결 역할에서 키를 사용할 수 있도록 허용하는 키 정책에 대한 자세한 정보는 암호화된 볼륨과 함께 사용하는 데 필요한 AWS KMS 키 정책(을)를 참조하세요.

  3. 사용자에게 사용자가 생성한 서비스 연결 역할에 대한 액세스 권한을 부여합니다. IAM 정책 생성에 대한 자세한 내용은 섹션을 참조하세요전달할 수 있는 서비스 연결 역할 제어( PassRole 사용). 사용자가 해당 역할을 서비스에 전달할 권한 없이 서비스 연결 역할을 지정하려고 하면 오류가 발생합니다.

서비스 연결 역할에 의해 부여된 권한

Amazon EC2 Auto Scaling은 AWSServiceRoleForAutoScaling라는 서비스 연결 역할 또는 사용자 지정 접미사 서비스 연결 역할을 사용합니다.

서비스 연결 역할은 그 역할을 위임하기 위해 다음 서비스를 신뢰합니다.

  • autoscaling.amazonaws.com

역할 권한 정책 AutoScalingServiceRolePolicy를 사용하면 Amazon EC2 Auto Scaling에서 다음 작업을 완료할 수 있습니다.

  • ec2 - EC2 인스턴스를 생성, 설명, 수정, 시작/중지 및 종료합니다.

  • iam - 인스턴스에서 실행되는 애플리케이션이 역할의 임시 자격 증명에 액세스할 수 있도록 IAM 역할을 Word 인스턴스에 전달합니다. EC2

  • iam - Amazon AWSServiceRoleForEC2Spot Auto Scaling이 사용자를 대신하여 스팟 인스턴스를 시작할 수 있도록 EC2 서비스 연결 역할을 생성합니다.

  • elasticloadbalancing- Elastic Load Balancing Balancing으로 인스턴스를 등록 및 등록 취소하고 등록된 대상의 상태를 확인합니다.

  • cloudwatch - 조정 정책을 위한 CloudWatch 경보를 생성, 설명, 수정 및 삭제하고 예측 조정에 사용되는 지표를 검색합니다.

  • sns - 인스턴스가 시작되거나 종료될 때 Amazon SNS에 알림을 게시합니다.

  • events - 사용자를 대신하여 EventBridge 규칙을 생성, 설명, 업데이트 및 삭제합니다.

  • ssm - Systems Manager 파라미터를 시작 템플릿에서 AMI ID의 별칭으로 사용할 때 Parameter Store에서 파라미터를 읽습니다.

  • vpc-lattice - VPC Lattice에 인스턴스를 등록 및 등록 취소하고 등록된 대상의 상태를 확인합니다.

  • resource-groups - 지정된 리소스 그룹의 멤버인 리소스의 모든 리소스 이름(ARNs)을 가져옵니다.

Amazon EC2 Auto Scaling 서비스 연결 역할에 지원되는 리전

Amazon EC2 Auto Scaling은 서비스를 사용할 수 AWS 리전 있는 모든에서 서비스 연결 역할 사용을 지원합니다.

서비스 연결 역할 생성, 편집, 삭제

서비스 연결 역할 생성(자동)

Amazon EC2 Auto Scaling은 사용자 지정 접미사 서비스 연결 역할을 수동으로 생성하고 그룹을 생성할 때 지정하지 않는 한 Auto Scaling 그룹을 처음 생성할 때 AWSServiceRoleForAutoScaling 서비스 연결 역할을 생성합니다.

중요

서비스 연결 역할을 생성하려면 IAM 권한이 있어야 합니다. 그러한 권한이 없으면 자동 생성은 실패합니다. 자세한 내용은 IAM 사용 설명서 및이 설명서의 서비스 연결 역할 권한을 참조서비스 연결 역할 생성하세요.

Amazon EC2 Auto Scaling은 2018년 3월에 서비스 연결 역할을 지원하기 시작했습니다. 그 전에 Auto Scaling 그룹을 생성한 경우 Amazon EC2 Auto Scaling은 계정에 AWSServiceRoleForAutoScaling 역할을 생성했습니다. 자세한 내용은 IAM 사용 설명서에 표시된 새 역할을 AWS 계정 참조하세요.

서비스 연결 역할 생성(수동)

서비스 연결 역할을 만들려면(콘솔 사용)
  1. IAM에서 https://console.aws.amazon.com/iam/ 콘솔을 엽니다.

  2. 탐색 창에서 역할(Roles), 역할 생성(Create role)을 선택합니다.

  3. 신뢰할 수 있는 엔터티 선택(Select trusted entity)에서 AWS 서비스( service)를 선택합니다.

  4. 이 역할을 사용할 서비스 선택에서 EC2 Auto ScalingEC2 Auto Scaling 사용 사례를 선택합니다.

  5. 다음: 권한, 다음: 태그, 다음 검토를 차례로 선택합니다. 참고: 생성하는 동안에는 서비스 연결 역할에 태그를 연결할 수 없습니다.

  6. 검토 페이지에서 역할 이름을 비워 두어 이름이 AWSServiceRoleForAutoScaling인 서비스 연결 역할을 생성하거나 접미사를 입력하여 이름이 AWSServiceRoleForAutoScaling_인 서비스 연결 역할을 생성합니다.suffix.

  7. (선택 사항) Role description(역할 설명)에서 서비스 연결 역할에 대한 설명을 편집합니다.

  8. 역할 생성을 선택합니다.

서비스 연결 역할을 만들려면(AWS CLI)

다음 create-service-linked-role CLI 명령을 사용하여 AWSServiceRoleForAutoScaling Word_인 Amazon EC2 Auto Scaling에 대한 서비스 연결 역할을 생성합니다.suffix.

aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com --custom-suffix suffix

이 명령의 출력에는 서비스 연결 역할의 ARN가 포함되며, 이를 사용하여 서비스 연결 역할에 고객 관리형 키에 대한 액세스 권한을 부여할 수 있습니다.

{ "Role": { "RoleId": "ABCDEF0123456789ABCDEF", "CreateDate": "2018-08-30T21:59:18Z", "RoleName": "AWSServiceRoleForAutoScaling_suffix", "Arn": "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling_suffix", "Path": "/aws-service-role/autoscaling.amazonaws.com/", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Principal": { "Service": [ "autoscaling.amazonaws.com" ] }, "Effect": "Allow" } ] } } }

자세한 내용은 IAM 사용 설명서서비스 연결 역할 생성을 참조하세요.

서비스 연결 역할 편집

Amazon EC2 Auto Scaling에 대해 생성된 서비스 연결 역할은 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 역할의 이름 또는 해당 권한을 변경할 수 없습니다. 그러나, 역할의 설명은 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 편집을 참조하세요.

서비스 연결 역할 삭제

Auto Scaling 그룹을 사용하지 않는 경우 해당 서비스 연결 역할을 삭제하는 것이 좋습니다. 역할을 삭제하면 사용되지 않거나 적극적으로 모니터링 및 유지 관리되지 않는 엔터티를 가질 수 없습니다.

먼저 관련 종속 리소스를 삭제한 후에만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 Amazon EC2 Auto Scaling 권한을 실수로 취소하지 않도록 보호할 수 있습니다. 한 서비스 연결 역할을 여러 Auto Scaling 그룹에 사용하는 경우 서비스 연결 역할을 삭제하기 전에 해당 역할을 사용하는 모든 Auto Scaling 그룹을 삭제해야 합니다. 자세한 내용은 Auto Scaling 인프라 삭제 단원을 참조하십시오.

IAM를 사용하여 서비스 연결 역할을 삭제할 수 있습니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 삭제를 참조하세요.

AWSServiceRoleForAutoScaling 서비스 연결 역할을 삭제하면 Amazon EC2 Auto Scaling은 Auto Scaling 그룹을 생성하고 다른 서비스 연결 역할을 지정하지 않을 때 역할을 다시 생성합니다.