ID 기반 정책 (IAM 정책) 사용: AWS Cloud Map - AWS Cloud Map
AWS Cloud Map 콘솔 사용에 필요한 권한AWS Cloud Map 서비스를 생성하는 데 필요한 권한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

ID 기반 정책 (IAM 정책) 사용: AWS Cloud Map

이 주제에서는 계정 관리자가 IAM 자격 증명 (사용자, 그룹, 역할) 에 권한 정책을 연결하여 리소스에서 작업을 수행할 수 있는 권한을 부여하는 방법을 보여주는 ID 기반 정책의 예를 제공합니다. AWS Cloud Map

중요

먼저 리소스에 대한 액세스를 관리하기 위한 기본 개념과 옵션을 설명하는 소개 주제를 검토하는 것이 좋습니다. AWS Cloud Map 자세한 정보는 AWS Cloud Map 리소스에 대한 액세스 권한 관리을 참조하세요.

다음 예제에서는 사용자에게 서비스 인스턴스를 등록 및 등록 취소할 수 있는 권한을 부여하는 권한 정책을 보여줍니다. Sid(문 ID)는 선택 사항입니다.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid" : "AllowInstancePermissions",
         "Effect": "Allow",
         "Action": [
            "servicediscovery:RegisterInstance",
            "servicediscovery:DeregisterInstance",
            "servicediscovery:DiscoverInstances",
            "servicediscovery:Get*",
            "servicediscovery:List*",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName",
            "route53:ChangeResourceRecordSets",
            "route53:CreateHealthCheck",
            "route53:GetHealthCheck",
            "route53:DeleteHealthCheck",
            "route53:UpdateHealthCheck",
            "ec2:DescribeInstances"
         ],
         "Resource": "*"
      }
   ]
}

이 정책은 서비스 인스턴스를 등록 및 관리하는 데 필요한 작업에 대한 권한을 부여합니다. 인스턴스를 등록하고 등록 취소할 때 Route 53 레코드와 상태 점검을 AWS Cloud Map 생성, 업데이트 및 삭제하므로 퍼블릭 또는 프라이빗 DNS 네임스페이스를 사용하는 경우 Route 53 권한이 필요합니다. 와일드카드 문자 (*) 는 현재 계정이 소유한 모든 AWS Cloud Map 인스턴스와 Route 53 레코드 및 상태 확인에 대한 액세스 권한을 Resource 부여합니다. AWS

작업과 각 작업을 사용할 권한을 부여하거나 거부하기 위해 지정하는 ARN의 목록은 AWS Cloud Map API 권한 참조 단원을 참조하세요.

AWS Cloud Map 콘솔 사용에 필요한 권한

AWS Cloud Map 콘솔에 대한 전체 액세스 권한을 부여하려면 다음 권한 정책에서 권한을 부여해야 합니다.

{
   "Version": "2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "servicediscovery:*",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName",
            "route53:CreateHostedZone",
            "route53:DeleteHostedZone",
            "route53:ChangeResourceRecordSets",
            "route53:CreateHealthCheck",
            "route53:GetHealthCheck",
            "route53:DeleteHealthCheck",
            "route53:UpdateHealthCheck",
            "ec2:DescribeInstances",
            "ec2:DescribeVpcs",
            "ec2:DescribeRegions"
         ],
         "Resource":"*"
      }
   ]
}

다음은 권한이 필요한 이유입니다.

servicediscovery:*

모든 AWS Cloud Map 작업을 수행할 수 있습니다.

route53:CreateHostedZone, route53:GetHostedZone, route53:ListHostedZonesByName, route53:DeleteHostedZone

퍼블릭 및 프라이빗 DNS 네임스페이스를 생성하고 삭제할 때 호스팅 영역을 AWS Cloud Map 관리할 수 있습니다.

route53:CreateHealthCheck, route53:GetHealthCheck, route53:DeleteHealthCheck, route53:UpdateHealthCheck

서비스를 생성할 때 Amazon Route 53 상태 확인을 포함하면 상태 확인을 AWS Cloud Map 관리할 수 있습니다.

ec2:DescribeVpcsec2:DescribeRegions

프라이빗 호스팅 영역을 AWS Cloud Map 관리해 보세요.

AWS Cloud Map 서비스를 생성하는 데 필요한 권한

IAM ID로 서비스를 생성할 수 있도록 권한 정책을 추가할 때는 리소스 필드에 네임스페이스와 AWS Cloud Map 서비스 모두의 Amazon 리소스 이름 (ARN) AWS Cloud Map 을 지정해야 합니다. ARN에는 지역, 계정 ID, 네임스페이스 ID가 포함됩니다. 서비스의 서비스 ID가 무엇인지 아직 알 수 없으므로 와일드카드를 사용하는 것이 좋습니다. 다음은 정책 스니펫의 예시입니다.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "servicediscovery:CreateService"
         ],
         "Resource":[
            "arn:aws:servicediscovery:region:111122223333:namespace/ns-p32123EXAMPLE",
            "arn:aws:servicediscovery:region:111122223333:service/*"
         ]
      }
   ]
}