AWS CDK v2 개발자 안내서입니다. 구형 CDK v1은 2022년 6월 1일에 유지 보수에 들어갔고 2023년 6월 1일에 지원이 종료되었습니다.
기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
권한
AWS 구성 라이브러리는 널리 구현되는 몇 가지 일반적인 관용구를 사용하여 액세스 및 권한을 관리합니다. IAM 모듈은 이러한 관용구를 사용하는 데 필요한 도구를 제공합니다.
AWS CDK 변경 사항을 AWS CloudFormation 배포하는 데 사용합니다. 모든 배포에는 배포를 시작하는 행위자 (개발자 또는 자동화된 시스템) 가 참여합니다. AWS CloudFormation 이 과정에서 행위자는 하나 이상의 IAM ID (사용자 또는 역할) 를 수임하고 선택적으로 역할을 전달합니다. AWS CloudFormation
를 사용하여 사용자로 AWS IAM Identity Center 인증하는 경우 Single Sign-On 공급자는 사전 정의된 IAM 역할로 사용할 수 있는 권한을 부여하는 단기 세션 자격 증명을 제공합니다. IAM Identity Center 인증에서 AWS 자격 증명을 AWS CDK 얻는 방법을 알아보려면 SDK 및 도구 참조 안내서의 IAM Identity Center 인증 이해를 참조하십시오.AWS
보안 주체
IAM 보안 주체는 API를 호출할 수 있는 사용자, 서비스 또는 애플리케이션을 대표하는 인증된 AWS 엔티티입니다. AWS AWS 구성 라이브러리는 여러 가지 유연한 방법으로 주체를 지정하여 리소스에 대한 액세스 권한을 부여할 수 있도록 지원합니다. AWS
보안 컨텍스트에서 “주체”라는 용어는 특히 사용자와 같은 인증된 개체를 가리킵니다. 그룹 및 역할과 같은 개체는 사용자 (및 기타 인증된 개체) 를 나타내는 것이 아니라 권한 부여를 위해 사용자를 간접적으로 식별합니다.
예를 들어, IAM 그룹을 생성하는 경우 그룹 (및 그룹 구성원) 에게 Amazon RDS 테이블에 대한 쓰기 액세스 권한을 부여할 수 있습니다. 하지만 그룹 자체는 단일 엔티티를 나타내지 않기 때문에 보안 주체가 아니며 그룹에 로그인할 수도 없습니다.
CDK의 IAM 라이브러리에서는 주체를 직접 또는 간접적으로 식별하는 클래스가 IPrincipal인터페이스를 구현하므로 액세스 정책에서 이러한 객체를 서로 바꿔서 사용할 수 있습니다. 하지만 모든 보안 측면에서 보안 주체가 되는 것은 아닙니다. 이러한 객체에는 다음이 포함됩니다.
권한 부여
Amazon S3 버킷 또는 Amazon DynamoDB 테이블과 같이 액세스 가능한 리소스를 나타내는 모든 구조에는 다른 엔티티에 대한 액세스 권한을 부여하는 메서드가 있습니다. 이러한 모든 메서드는 grant로 시작하는 이름을 갖습니다.
예를 들어 Amazon S3 버킷에는 엔티티에서 버킷으로의 읽기 grantRead 및 읽기/쓰기 액세스를 각각 활성화하는 메서드와 grantReadWrite (Python:grant_read,grant_read_write) 가 있습니다. 엔티티는 이러한 작업을 수행하는 데 필요한 Amazon S3 IAM 권한을 정확히 알 필요가 없습니다.
권한 부여 메서드의 첫 번째 인수는 항상 iGrantable 유형입니다. 이 인터페이스는 권한을 부여받을 수 있는 엔티티를 나타냅니다. 즉, IAM 객체 RoleUser, 및 Group 와 같은 역할이 있는 리소스를 나타냅니다.
다른 엔티티에도 권한을 부여할 수 있습니다. 예를 들어, 이 주제 후반부에서는 Amazon S3 버킷에 대한 CodeBuild 프로젝트 액세스 권한을 부여하는 방법을 보여줍니다. 일반적으로 관련 역할은 액세스 권한이 부여된 개체의 role 속성을 통해 부여됩니다.
실행 역할을 사용하는 리소스 (예:) 도 IGrantable 구현되므로 역할에 대한 액세스 권한을 부여하는 대신 직접 액세스 권한을 부여할 수 있습니다. lambda.Function 예를 들어 Amazon S3 bucket 버킷이고 Lambda 함수인 경우 다음 코드는 함수에 버킷에 대한 읽기 액세스 권한을 부여합니다. function
- TypeScript
-
bucket.grantRead(function);
- JavaScript
-
bucket.grantRead(function);
- Python
-
bucket.grant_read(function)
- Java
-
bucket.grantRead(function);
- C#
-
bucket.GrantRead(function);
스택을 배포하는 동안 권한을 적용해야 하는 경우가 있습니다. 이러한 경우 중 하나는 AWS CloudFormation
사용자 지정 리소스에 다른 리소스에 대한 액세스 권한을 부여하는 경우입니다. 사용자 지정 리소스는 배포 중에 호출되므로 배포 시 지정된 권한이 있어야 합니다.
또 다른 경우는 전달한 역할에 올바른 정책이 적용되었는지 서비스가 확인하는 경우입니다. (정책을 설정하는 것을 잊지 않도록 하기 위해 이 작업을 수행하는 AWS 서비스가 많습니다.) 이러한 경우 권한이 너무 늦게 적용되면 배포가 실패할 수 있습니다.
다른 리소스가 생성되기 전에 권한 부여의 권한을 강제로 적용하려면 다음과 같이 권한 부여 자체에 종속성을 추가할 수 있습니다. 권한 부여 메서드의 반환 값은 일반적으로 삭제되지만 실제로 모든 권한 부여 메서드는 객체를 반환합니다. iam.Grant
- TypeScript
-
const grant = bucket.grantRead(lambda);
const custom = new CustomResource(...);
custom.node.addDependency(grant);
- JavaScript
-
const grant = bucket.grantRead(lambda);
const custom = new CustomResource(...);
custom.node.addDependency(grant);
- Python
-
grant = bucket.grant_read(function)
custom = CustomResource(...)
custom.node.add_dependency(grant)
- Java
-
Grant grant = bucket.grantRead(function);
CustomResource custom = new CustomResource(...);
custom.node.addDependency(grant);
- C#
-
var grant = bucket.GrantRead(function);
var custom = new CustomResource(...);
custom.node.AddDependency(grant);
역할
IAM 패키지에는 IAM 역할을 나타내는 Role 구조가 포함되어 있습니다. 다음 코드는 Amazon EC2 서비스를 신뢰하는 새 역할을 생성합니다.
- TypeScript
-
import * as iam from 'aws-cdk-lib/aws-iam';
const role = new iam.Role(this, 'Role', {
assumedBy: new iam.ServicePrincipal('ec2.amazonaws.com'), // required
});
- JavaScript
-
const iam = require('aws-cdk-lib/aws-iam');
const role = new iam.Role(this, 'Role', {
assumedBy: new iam.ServicePrincipal('ec2.amazonaws.com') // required
});
- Python
-
import aws_cdk.aws_iam as iam
role = iam.Role(self, "Role",
assumed_by=iam.ServicePrincipal("ec2.amazonaws.com")) # required
- Java
-
import software.amazon.awscdk.services.iam.Role;
import software.amazon.awscdk.services.iam.ServicePrincipal;
Role role = Role.Builder.create(this, "Role")
.assumedBy(new ServicePrincipal("ec2.amazonaws.com")).build();
- C#
-
using Amazon.CDK.AWS.IAM;
var role = new Role(this, "Role", new RoleProps
{
AssumedBy = new ServicePrincipal("ec2.amazonaws.com"), // required
});
역할의 addToPolicy 메서드 (Python:add_to_policy) 를 호출하고 추가할 규칙을 PolicyStatement 정의하는 a를 전달하여 역할에 권한을 추가할 수 있습니다. 명령문은 역할의 기본 정책에 추가되며, 없는 경우 새 정책이 생성됩니다.
다음 예제는 승인된 서비스를 조건으로 작업 ec2:SomeAction 및 리소스 bucket 및 s3:AnotherAction otherRole (Python:other_role) 의 역할에 Deny 정책 설명을 추가합니다 AWS CodeBuild.
- TypeScript
-
role.addToPolicy(new iam.PolicyStatement({
effect: iam.Effect.DENY,
resources: [bucket.bucketArn, otherRole.roleArn],
actions: ['ec2:SomeAction', 's3:AnotherAction'],
conditions: {StringEquals: {
'ec2:AuthorizedService': 'codebuild.amazonaws.com',
}}}));
- JavaScript
-
role.addToPolicy(new iam.PolicyStatement({
effect: iam.Effect.DENY,
resources: [bucket.bucketArn, otherRole.roleArn],
actions: ['ec2:SomeAction', 's3:AnotherAction'],
conditions: {StringEquals: {
'ec2:AuthorizedService': 'codebuild.amazonaws.com'
}}}));
- Python
-
role.add_to_policy(iam.PolicyStatement(
effect=iam.Effect.DENY,
resources=[bucket.bucket_arn, other_role.role_arn],
actions=["ec2:SomeAction", "s3:AnotherAction"],
conditions={"StringEquals": {
"ec2:AuthorizedService": "codebuild.amazonaws.com"}}
))
- Java
-
role.addToPolicy(PolicyStatement.Builder.create()
.effect(Effect.DENY)
.resources(Arrays.asList(bucket.getBucketArn(), otherRole.getRoleArn()))
.actions(Arrays.asList("ec2:SomeAction", "s3:AnotherAction"))
.conditions(java.util.Map.of( // Map.of requires Java 9 or later
"StringEquals", java.util.Map.of(
"ec2:AuthorizedService", "codebuild.amazonaws.com")))
.build());
- C#
-
role.AddToPolicy(new PolicyStatement(new PolicyStatementProps
{
Effect = Effect.DENY,
Resources = new string[] { bucket.BucketArn, otherRole.RoleArn },
Actions = new string[] { "ec2:SomeAction", "s3:AnotherAction" },
Conditions = new Dictionary<string, object>
{
["StringEquals"] = new Dictionary<string, string>
{
["ec2:AuthorizedService"] = "codebuild.amazonaws.com"
}
}
}));
위 예제에서는 (addToPolicyPython:add_to_policy) PolicyStatement 호출을 사용하여 새 인라인을 만들었습니다. 기존 정책 설명문이나 수정한 설명을 전달할 수도 있습니다. PolicyStatement객체에는 주도자, 리소스, 조건 및 작업을 추가할 수 있는 다양한 메서드가 있습니다.
제대로 작동하는 데 역할이 필요한 구문을 사용하는 경우 다음 중 하나를 수행할 수 있습니다.
- TypeScript
-
import * as codebuild from 'aws-cdk-lib/aws-codebuild';
// imagine roleOrUndefined is a function that might return a Role object
// under some conditions, and undefined under other conditions
const someRole: iam.IRole | undefined = roleOrUndefined();
const project = new codebuild.Project(this, 'Project', {
// if someRole is undefined, the Project creates a new default role,
// trusting the codebuild.amazonaws.com service principal
role: someRole,
});
- JavaScript
-
const codebuild = require('aws-cdk-lib/aws-codebuild');
// imagine roleOrUndefined is a function that might return a Role object
// under some conditions, and undefined under other conditions
const someRole = roleOrUndefined();
const project = new codebuild.Project(this, 'Project', {
// if someRole is undefined, the Project creates a new default role,
// trusting the codebuild.amazonaws.com service principal
role: someRole
});
- Python
-
import aws_cdk.aws_codebuild as codebuild
# imagine role_or_none is a function that might return a Role object
# under some conditions, and None under other conditions
some_role = role_or_none();
project = codebuild.Project(self, "Project",
# if role is None, the Project creates a new default role,
# trusting the codebuild.amazonaws.com service principal
role=some_role)
- Java
-
import software.amazon.awscdk.services.iam.Role;
import software.amazon.awscdk.services.codebuild.Project;
// imagine roleOrNull is a function that might return a Role object
// under some conditions, and null under other conditions
Role someRole = roleOrNull();
// if someRole is null, the Project creates a new default role,
// trusting the codebuild.amazonaws.com service principal
Project project = Project.Builder.create(this, "Project")
.role(someRole).build();
- C#
-
using Amazon.CDK.AWS.CodeBuild;
// imagine roleOrNull is a function that might return a Role object
// under some conditions, and null under other conditions
var someRole = roleOrNull();
// if someRole is null, the Project creates a new default role,
// trusting the codebuild.amazonaws.com service principal
var project = new Project(this, "Project", new ProjectProps
{
Role = someRole
});
객체가 만들어지면 역할 (전달된 역할이든 구문을 통해 생성되는 기본 역할이든) 을 속성으로 사용할 수 role 있습니다. 하지만 외부 리소스에서는 이 속성을 사용할 수 없습니다. 따라서 이러한 구문에는 addToRolePolicy (Python:add_to_role_policy) 메서드가 있습니다.
이 메서드는 구문이 외부 리소스인 경우 아무 작업도 수행하지 않고 그렇지 않으면 role 속성의 addToPolicy (Python:add_to_policy) 메서드를 호출합니다. 이렇게 하면 정의되지 않은 케이스를 명시적으로 처리하는 수고를 덜 수 있습니다.
다음 예제는 다음을 보여줍니다.
- TypeScript
-
// project is imported into the CDK application
const project = codebuild.Project.fromProjectName(this, 'Project', 'ProjectName');
// project is imported, so project.role is undefined, and this call has no effect
project.addToRolePolicy(new iam.PolicyStatement({
effect: iam.Effect.ALLOW, // ... and so on defining the policy
}));
- JavaScript
-
// project is imported into the CDK application
const project = codebuild.Project.fromProjectName(this, 'Project', 'ProjectName');
// project is imported, so project.role is undefined, and this call has no effect
project.addToRolePolicy(new iam.PolicyStatement({
effect: iam.Effect.ALLOW // ... and so on defining the policy
}));
- Python
-
# project is imported into the CDK application
project = codebuild.Project.from_project_name(self, 'Project', 'ProjectName')
# project is imported, so project.role is undefined, and this call has no effect
project.add_to_role_policy(iam.PolicyStatement(
effect=iam.Effect.ALLOW, # ... and so on defining the policy
)
- Java
-
// project is imported into the CDK application
Project project = Project.fromProjectName(this, "Project", "ProjectName");
// project is imported, so project.getRole() is null, and this call has no effect
project.addToRolePolicy(PolicyStatement.Builder.create()
.effect(Effect.ALLOW) // .. and so on defining the policy
.build();
- C#
-
// project is imported into the CDK application
var project = Project.FromProjectName(this, "Project", "ProjectName");
// project is imported, so project.role is null, and this call has no effect
project.AddToRolePolicy(new PolicyStatement(new PolicyStatementProps
{
Effect = Effect.ALLOW, // ... and so on defining the policy
}));
리소스 정책
Amazon S3 버킷 및 IAM 역할과 같은 일부 리소스에도 리소스 정책이 있습니다. AWS이러한 구문에는 a PolicyStatement 를 인수로 취하는 addToResourcePolicy 메서드 (Python:add_to_resource_policy) 가 있습니다. 리소스 정책에 추가되는 모든 정책 설명은 하나 이상의 보안 주체를 지정해야 합니다.
다음 예제에서 Amazon S3 버킷은 역할에 자신에게 s3:SomeAction 권한을 bucket 부여합니다.
- TypeScript
-
bucket.addToResourcePolicy(new iam.PolicyStatement({
effect: iam.Effect.ALLOW,
actions: ['s3:SomeAction'],
resources: [bucket.bucketArn],
principals: [role]
}));
- JavaScript
-
bucket.addToResourcePolicy(new iam.PolicyStatement({
effect: iam.Effect.ALLOW,
actions: ['s3:SomeAction'],
resources: [bucket.bucketArn],
principals: [role]
}));
- Python
-
bucket.add_to_resource_policy(iam.PolicyStatement(
effect=iam.Effect.ALLOW,
actions=["s3:SomeAction"],
resources=[bucket.bucket_arn],
principals=role))
- Java
-
bucket.addToResourcePolicy(PolicyStatement.Builder.create()
.effect(Effect.ALLOW)
.actions(Arrays.asList("s3:SomeAction"))
.resources(Arrays.asList(bucket.getBucketArn()))
.principals(Arrays.asList(role))
.build());
- C#
-
bucket.AddToResourcePolicy(new PolicyStatement(new PolicyStatementProps
{
Effect = Effect.ALLOW,
Actions = new string[] { "s3:SomeAction" },
Resources = new string[] { bucket.BucketArn },
Principals = new IPrincipal[] { role }
}));
외부 IAM 객체 사용
앱 외부에서 IAM 사용자, 보안 주체, 그룹 또는 역할을 정의한 경우 해당 IAM 객체를 AWS CDK 앱에서 사용할 수 있습니다. AWS CDK 이렇게 하려면 ARN 또는 이름을 사용하여 참조를 생성하십시오. (사용자, 그룹 및 역할에는 이름을 사용하십시오.) 그런 다음 반환된 참조를 사용하여 권한을 부여하거나 앞에서 설명한 대로 정책 설명을 구성할 수 있습니다.
정책 (관리형 정책 포함) 은 다음 방법을 사용하여 비슷한 방식으로 사용할 수 있습니다. IAM 정책이 필요한 모든 곳에서 이러한 객체에 대한 참조를 사용할 수 있습니다.
외부 AWS 리소스에 대한 모든 참조와 마찬가지로 CDK 앱에서는 외부 IAM 객체를 수정할 수 없습니다.
