기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 관리형 정책 대상 AWS Batch
AWS 관리형 정책을 사용하여 팀 및 AWS 프로비저닝된 리소스에 대한 ID 액세스 관리를 간소화할 수 있습니다. AWS 관리형 정책은 다양한 일반 사용 사례를 다루며, AWS 계정에서 기본적으로 사용할 수 있으며, 사용자를 대신하여 유지 관리 및 업데이트됩니다. AWS 관리형 정책에서는 권한을 변경할 수 없습니다. 유연성이 더 필요한 경우 IAM 고객 관리형 정책을 생성할 수도 있습니다. 이렇게 하면 팀에 필요한 정확한 권한만 제공하여 프로비저닝된 리소스를 팀에 제공할 수 있습니다.
AWS 관리형 정책에 대한 자세한 내용은 IAM 사용 설명서의AWS 관리형 정책을 참조하십시오.
AWS 서비스는 사용자를 대신하여 AWS 관리형 정책을 유지 관리하고 업데이트합니다. AWS 서비스는 정기적으로 AWS 관리형 정책에 권한을 추가합니다. AWS 관리형 정책은 새 기능이 출시되거나 운영될 수 있게 되면 업데이트될 가능성이 높습니다. 이 유형의 업데이트는 정책이 연결된 모든 자격 증명(사용자, 그룹 및 역할)에 적용됩니다. 하지만 권한을 제거하거나 기존 권한을 손상시키지는 않습니다.
또한 여러 서비스에 걸친 작업 기능에 대한 관리형 정책을 AWS 지원합니다. 예를 들어, ReadOnlyAccess AWS 관리형 정책은 모든 AWS 서비스와 리소스에 대한 읽기 전용 액세스를 제공합니다. 서비스가 새 기능을 시작하면 새 작업 및 리소스에 대한 읽기 전용 권한이 AWS 추가됩니다. 직무 정책의 목록과 설명은 IAM 사용 설명서의 직무에 관한AWS 관리형 정책을 참조하십시오.
AWS 관리형 정책: BatchServiceRolePolicy
BatchServiceRolePolicy관리형 IAM 정책은 AWSServiceRoleForBatch서비스 연결 역할에 사용됩니다. 이를 통해 사용자를 AWS Batch 대신하여 작업을 수행할 수 있습니다. IAM 엔터티에 이 정책을 연결할 수 없습니다. 자세한 정보는 서비스 연결 역할 사용 AWS Batch을 참조하세요.
이 정책을 통해 AWS Batch 특정 리소스에 대해 다음 작업을 완료할 수 있습니다.
-
autoscaling— Amazon EC2 Auto Scaling 리소스를 생성하고 관리할 수 있습니다. AWS Batch AWS Batch 대부분의 컴퓨팅 환경을 위한 Amazon EC2 Auto Scaling 그룹을 생성하고 관리합니다. -
ec2— Amazon EC2 인스턴스의 수명 주기를 제어하고 시작 템플릿 및 태그를 생성 및 관리할 수 있습니다. AWS Batch AWS Batch 일부 EC2 스팟 컴퓨팅 환경에 대한 EC2 스팟 플릿 요청을 생성하고 관리합니다. -
ecs- Amazon ECS 클러스터, 작업 정의 및 작업 실행을 위한 작업을 생성하고 관리할 수 있습니다. AWS Batch -
eks- 검증을 AWS Batch 위해 Amazon EKS 클러스터 리소스를 설명할 수 있습니다. -
iam- 소유자가 AWS Batch 제공한 역할을 검증하고 Amazon EC2, Amazon EC2 Auto Scaling 및 Amazon ECS에 전달할 수 있습니다. -
logs— 작업에 AWS Batch 대한 로그 그룹 및 로그 스트림을 생성하고 관리할 수 있습니다. AWS Batch
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSBatchPolicyStatement1", "Effect": "Allow", "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceAttribute", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs", "ec2:DescribeImages", "ec2:DescribeImageAttribute", "ec2:DescribeSpotInstanceRequests", "ec2:DescribeSpotFleetInstances", "ec2:DescribeSpotFleetRequests", "ec2:DescribeSpotPriceHistory", "ec2:DescribeSpotFleetRequestHistory", "ec2:DescribeVpcClassicLink", "ec2:DescribeLaunchTemplateVersions", "ec2:RequestSpotFleet", "autoscaling:DescribeAccountLimits", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLaunchConfigurations", "autoscaling:DescribeAutoScalingInstances", "autoscaling:DescribeScalingActivities", "eks:DescribeCluster", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:DescribeTaskDefinition", "ecs:DescribeTasks", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTaskDefinitionFamilies", "ecs:ListTaskDefinitions", "ecs:ListTasks", "ecs:DeregisterTaskDefinition", "ecs:TagResource", "ecs:ListAccountSettings", "logs:DescribeLogGroups", "iam:GetInstanceProfile", "iam:GetRole" ], "Resource": "*" }, { "Sid": "AWSBatchPolicyStatement2", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/batch/job*" }, { "Sid": "AWSBatchPolicyStatement3", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/batch/job*:log-stream:*" }, { "Sid": "AWSBatchPolicyStatement4", "Effect": "Allow", "Action": [ "autoscaling:CreateOrUpdateTags" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement5", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.cn", "ecs-tasks.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement6", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "spot.amazonaws.com", "spotfleet.amazonaws.com", "autoscaling.amazonaws.com", "ecs.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement7", "Effect": "Allow", "Action": [ "ec2:CreateLaunchTemplate" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement8", "Effect": "Allow", "Action": [ "ec2:TerminateInstances", "ec2:CancelSpotFleetRequests", "ec2:ModifySpotFleetRequest", "ec2:DeleteLaunchTemplate" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement9", "Effect": "Allow", "Action": [ "autoscaling:CreateLaunchConfiguration", "autoscaling:DeleteLaunchConfiguration" ], "Resource": "arn:aws:autoscaling:*:*:launchConfiguration:*:launchConfigurationName/AWSBatch*" }, { "Sid": "AWSBatchPolicyStatement10", "Effect": "Allow", "Action": [ "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup", "autoscaling:SetDesiredCapacity", "autoscaling:DeleteAutoScalingGroup", "autoscaling:SuspendProcesses", "autoscaling:PutNotificationConfiguration", "autoscaling:TerminateInstanceInAutoScalingGroup" ], "Resource": "arn:aws:autoscaling:*:*:autoScalingGroup:*:autoScalingGroupName/AWSBatch*" }, { "Sid": "AWSBatchPolicyStatement11", "Effect": "Allow", "Action": [ "ecs:DeleteCluster", "ecs:DeregisterContainerInstance", "ecs:RunTask", "ecs:StartTask", "ecs:StopTask" ], "Resource": "arn:aws:ecs:*:*:cluster/AWSBatch*" }, { "Sid": "AWSBatchPolicyStatement12", "Effect": "Allow", "Action": [ "ecs:RunTask", "ecs:StartTask", "ecs:StopTask" ], "Resource": "arn:aws:ecs:*:*:task-definition/*" }, { "Sid": "AWSBatchPolicyStatement13", "Effect": "Allow", "Action": [ "ecs:StopTask" ], "Resource": "arn:aws:ecs:*:*:task/*/*" }, { "Sid": "AWSBatchPolicyStatement14", "Effect": "Allow", "Action": [ "ecs:CreateCluster", "ecs:RegisterTaskDefinition" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement15", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:volume/*", "arn:aws:ec2:*:*:key-pair/*", "arn:aws:ec2:*:*:launch-template/*", "arn:aws:ec2:*:*:placement-group/*", "arn:aws:ec2:*:*:capacity-reservation/*", "arn:aws:ec2:*:*:elastic-gpu/*", "arn:aws:elastic-inference:*:*:elastic-inference-accelerator/*", "arn:aws:resource-groups:*:*:group/*" ] }, { "Sid": "AWSBatchPolicyStatement16", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement17", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "ec2:CreateAction": [ "RunInstances", "CreateLaunchTemplate", "RequestSpotFleet" ] } } } ] }
AWS 관리형 정책: AWSBatchServiceRole정책
이름이 지정된 역할 권한 정책을 AWSBatchServiceRole사용하면 특정 리소스에서 다음 작업을 AWS Batch 완료할 수 있습니다.
AWSBatchServiceRole관리형 IAM 정책은 이름이 지정된 역할이 주로 AWSBatchServiceRole사용하며 여기에는 다음 권한이 포함됩니다. 최소 권한 부여라는 표준 보안 권고에 따라 AWSBatchServiceRole관리형 정책을 지침으로 사용할 수 있습니다. 자신의 사용 사례에서 관리형 정책에서 부여된 권한이 필요하지 않은 경우 사용자 지정 정책을 생성하고 필요한 권한만 추가합니다. 이 AWS Batch 관리형 정책 및 역할은 대부분의 컴퓨팅 환경 유형에서 사용할 수 있지만, 범위가 더 넓고 관리 환경을 개선하려면 less-error-prone 서비스 연결 역할을 사용하는 것이 좋습니다.
-
autoscaling— Amazon EC2 Auto Scaling 리소스를 생성하고 관리할 수 있습니다. AWS Batch AWS Batch 대부분의 컴퓨팅 환경을 위한 Amazon EC2 Auto Scaling 그룹을 생성하고 관리합니다. -
ec2— Amazon EC2 인스턴스의 수명 주기를 관리하고 시작 템플릿 및 태그를 생성 및 관리할 수 있습니다. AWS Batch AWS Batch 일부 EC2 스팟 컴퓨팅 환경에 대한 EC2 스팟 플릿 요청을 생성하고 관리합니다. -
ecs- Amazon ECS 클러스터, 작업 정의 및 작업 실행을 위한 작업을 생성하고 관리할 수 있습니다. AWS Batch -
iam- 소유자가 AWS Batch 제공한 역할을 검증하고 Amazon EC2, Amazon EC2 Auto Scaling 및 Amazon ECS에 전달할 수 있습니다. -
logs— 작업에 AWS Batch 대한 로그 그룹 및 로그 스트림을 생성하고 관리할 수 있습니다. AWS Batch
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSBatchPolicyStatement1", "Effect": "Allow", "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceAttribute", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs", "ec2:DescribeImages", "ec2:DescribeImageAttribute", "ec2:DescribeSpotInstanceRequests", "ec2:DescribeSpotFleetInstances", "ec2:DescribeSpotFleetRequests", "ec2:DescribeSpotPriceHistory", "ec2:DescribeSpotFleetRequestHistory", "ec2:DescribeVpcClassicLink", "ec2:DescribeLaunchTemplateVersions", "ec2:CreateLaunchTemplate", "ec2:DeleteLaunchTemplate", "ec2:RequestSpotFleet", "ec2:CancelSpotFleetRequests", "ec2:ModifySpotFleetRequest", "ec2:TerminateInstances", "ec2:RunInstances", "autoscaling:DescribeAccountLimits", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLaunchConfigurations", "autoscaling:DescribeAutoScalingInstances", "autoscaling:DescribeScalingActivities", "autoscaling:CreateLaunchConfiguration", "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup", "autoscaling:SetDesiredCapacity", "autoscaling:DeleteLaunchConfiguration", "autoscaling:DeleteAutoScalingGroup", "autoscaling:CreateOrUpdateTags", "autoscaling:SuspendProcesses", "autoscaling:PutNotificationConfiguration", "autoscaling:TerminateInstanceInAutoScalingGroup", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:DescribeTaskDefinition", "ecs:DescribeTasks", "ecs:ListAccountSettings", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTaskDefinitionFamilies", "ecs:ListTaskDefinitions", "ecs:ListTasks", "ecs:CreateCluster", "ecs:DeleteCluster", "ecs:RegisterTaskDefinition", "ecs:DeregisterTaskDefinition", "ecs:RunTask", "ecs:StartTask", "ecs:StopTask", "ecs:UpdateContainerAgent", "ecs:DeregisterContainerInstance", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "iam:GetInstanceProfile", "iam:GetRole" ], "Resource": "*" }, { "Sid": "AWSBatchPolicyStatement2", "Effect": "Allow", "Action": "ecs:TagResource", "Resource": [ "arn:aws:ecs:*:*:task/*_Batch_*" ] }, { "Sid": "AWSBatchPolicyStatement3", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.cn", "ecs-tasks.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement4", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "spot.amazonaws.com", "spotfleet.amazonaws.com", "autoscaling.amazonaws.com", "ecs.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement5", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "ec2:CreateAction": "RunInstances" } } } ] }
AWS 관리형 정책: AWSBatchFullAccess
AWSBatchFullAccess정책은 AWS Batch 작업에 AWS Batch 리소스에 대한 전체 액세스 권한을 부여합니다. 또한 Amazon EC2, Amazon ECS, Amazon EKS 및 IAM 서비스에 대한 설명 및 목록 작업 액세스 권한도 부여합니다. CloudWatch 이는 사용자든 역할이든 IAM ID가 자신을 대신하여 생성된 AWS Batch 관리형 리소스를 볼 수 있도록 하기 위한 것입니다. 마지막으로, 이 정책은 선택된 IAM 역할을 해당 서비스에 전달할 수도 있도록 허용합니다.
IAM AWSBatchFullAccess엔티티에 연결할 수 있습니다. AWS Batch 또한 사용자를 AWS Batch 대신하여 작업을 수행할 수 있는 서비스 역할에 이 정책을 연결합니다.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "batch:*", "cloudwatch:GetMetricStatistics", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs", "ec2:DescribeVpcs", "ec2:DescribeImages", "ec2:DescribeLaunchTemplates", "ec2:DescribeLaunchTemplateVersions", "ecs:DescribeClusters", "ecs:Describe*", "ecs:List*", "eks:DescribeCluster", "eks:ListClusters", "logs:Describe*", "logs:Get*", "logs:TestMetricFilter", "logs:FilterLogEvents", "iam:ListInstanceProfiles", "iam:ListRoles" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "iam:PassRole" ], "Resource":[ "arn:aws:iam::*:role/AWSBatchServiceRole", "arn:aws:iam::*:role/service-role/AWSBatchServiceRole", "arn:aws:iam::*:role/ecsInstanceRole", "arn:aws:iam::*:instance-profile/ecsInstanceRole", "arn:aws:iam::*:role/iaws-ec2-spot-fleet-role", "arn:aws:iam::*:role/aws-ec2-spot-fleet-role", "arn:aws:iam::*:role/AWSBatchJobRole*" ] }, { "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"arn:aws:iam::*:role/*Batch*", "Condition": { "StringEquals": { "iam:AWSServiceName": "batch.amazonaws.com" } } } ] }
AWS BatchAWS 관리형 정책 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 AWS Batch 이후의 AWS 관리형 정책 업데이트에 대한 세부 정보를 확인하세요. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 AWS Batch 문서 기록 페이지에서 RSS 피드를 구독하십시오.
| 변경 사항 | 설명 | 날짜 |
|---|---|---|
|
BatchServiceRolePolicy정책 업데이트 |
스팟 플릿 요청 기록 및 Amazon EC2 Auto Scaling 활동을 설명하기 위한 지원을 추가하도록 업데이트되었습니다. |
2023년 12월 5일 |
|
AWSBatchServiceRole정책이 추가됨 |
명령문 ID를 추가하고 AWS Batch 권한을 부여하도록 |
2023년 12월 5일 |
|
BatchServiceRolePolicy정책 업데이트 |
Amazon EKS 클러스터 설명에 대한 지원을 추가하도록 업데이트되었습니다. |
2022년 10월 20일 |
|
AWSBatchFullAccess정책 업데이트 |
Amazon EKS 클러스터 나열 및 설명에 대한 지원을 추가하도록 업데이트되었습니다. |
2022년 10월 20일 |
|
BatchServiceRolePolicy정책 업데이트 |
AWS Resource Groups에서 관리하는 Amazon EC2 용량 예약 그룹에 대한 지원을 추가하도록 업데이트되었습니다. 자세한 내용은 Amazon EC2 사용 설명서의 용량 예약 그룹 사용을 참조하십시오. |
2022년 5월 18일 |
|
비정상 인스턴스가 대체되도록 Amazon EC2의 AWS Batch 관리형 인스턴스 상태를 설명하는 지원을 추가하도록 업데이트되었습니다. |
2021년 12월 6일 |
|
|
BatchServiceRolePolicy정책 업데이트 |
Amazon EC2의 배치 그룹, 용량 예약, 탄력적 GPU 및 Elastic Inference 리소스에 대한 지원을 추가하도록 업데이트되었습니다. |
2021년 3월 26일 |
|
BatchServiceRolePolicy정책 추가됨 |
AWSServiceRoleForBatch서비스 연결 역할에 대한 BatchServiceRolePolicy관리형 정책을 사용하면 에서 관리하는 서비스 연결 역할을 사용할 수 있습니다. AWS Batch이 정책을 사용하면 컴퓨팅 환경에서 사용하기 위한 자체 역할을 유지 관리할 필요가 없습니다. |
2021년 3월 10일 |
|
AWSBatchFullAccess- 서비스 연결 역할을 추가할 수 있는 권한 추가 |
AWSServiceRoleForBatch서비스에 연결된 역할을 계정에 추가할 수 있도록 IAM 권한을 추가합니다. |
2021년 3월 10일 |
|
AWS Batch 변경 내용 추적 시작 |
AWS Batch AWS 관리형 정책의 변경 사항 추적을 시작했습니다. |
2021년 3월 10일 |
