AWS Cloud Map에 대한 자격 증명 기반 정책(IAM 정책) 사용 - AWS Cloud Map
AWS Cloud Map 콘솔 사용에 필요한 권한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Cloud Map에 대한 자격 증명 기반 정책(IAM 정책) 사용

이 주제에서는 자격 증명 기반 정책의 예를 통해 계정 관리자가 IAM 자격 증명(사용자, 그룹, 역할)에 권한 정책을 연결함으로써 AWS Cloud Map 리소스에 대한 작업 수행 권한을 부여하는 방법을 보여 줍니다.

중요

AWS Cloud Map 리소스 액세스를 관리하기 위한 기본 개념과 옵션을 설명하는 소개 주제를 먼저 읽어 보는 것이 좋습니다. 자세한 내용은 AWS Cloud Map 리소스에 대한 액세스 권한 관리 개요 섹션을 참조하세요.

다음 예제에서는 사용자에게 서비스 인스턴스를 등록 및 등록 취소할 수 있는 권한을 부여하는 권한 정책을 보여줍니다. Sid(문 ID)는 선택 사항입니다.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid" : "AllowInstancePermissions",
         "Effect": "Allow",
         "Action": [
            "servicediscovery:RegisterInstance",
            "servicediscovery:DeregisterInstance",
            "servicediscovery:DiscoverInstances",
            "servicediscovery:Get*",
            "servicediscovery:List*",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName",
            "route53:ChangeResourceRecordSets",
            "route53:CreateHealthCheck",
            "route53:GetHealthCheck",
            "route53:DeleteHealthCheck",
            "route53:UpdateHealthCheck",
            "ec2:DescribeInstances"
         ],
         "Resource": "*"
      }
   ]
}

이 정책은 서비스 인스턴스를 등록 및 관리하는 데 필요한 작업에 대한 권한을 부여합니다. 인스턴스를 등록 및 등록 취소하면 AWS Cloud Map에서 Route 53 레코드 및 상태 확인을 생성, 업데이트 및 삭제하기 때문에 퍼블릭 또는 프라이빗 DNS 네임스페이스를 사용하는 경우 Route 53 권한이 필요합니다. Resource의 와일드카드 문자(*)는 현재 AWS 계정에서 소유한 모든 AWS Cloud Map 인스턴스, Route 53 레코드 및 상태 확인에 대한 액세스 권한을 부여합니다.

작업과 각 작업을 사용할 권한을 부여하거나 거부하기 위해 지정하는 ARN의 목록은 AWS Cloud Map API 권한: 작업, 리소스 및 조건 참조 단원을 참조하세요.

AWS Cloud Map 콘솔 사용에 필요한 권한

AWS Cloud Map 콘솔에 대한 전체 액세스 권한을 부여하려면 다음 권한 정책에서 권한을 부여합니다.

{
   "Version": "2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "servicediscovery:*",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName",
            "route53:CreateHostedZone",
            "route53:DeleteHostedZone",
            "route53:ChangeResourceRecordSets",
            "route53:CreateHealthCheck",
            "route53:GetHealthCheck",
            "route53:DeleteHealthCheck",
            "route53:UpdateHealthCheck",
            "ec2:DescribeInstances",
            "ec2:DescribeVpcs",
            "ec2:DescribeRegions"
         ],
         "Resource":"*"
      }
   ]
}

다음은 권한이 필요한 이유입니다.

servicediscovery:*

모든 AWS Cloud Map 작업을 수행할 수 있도록 허용합니다.

route53:CreateHostedZone, route53:GetHostedZone, route53:ListHostedZonesByName, route53:DeleteHostedZone

퍼블릭 및 프라이빗 DNS 네임스페이스를 생성 및 삭제하는 경우 AWS Cloud Map이 호스팅 영역을 관리하도록 합니다.

route53:CreateHealthCheck, route53:GetHealthCheck, route53:DeleteHealthCheck, route53:UpdateHealthCheck

서비스 생성 시 Amazon Route 53 상태 확인을 포함하는 경우 AWS Cloud Map에서 상태 확인을 관리하도록 합니다.

ec2:DescribeVpcsec2:DescribeRegions

AWS Cloud Map이 프라이빗 호스팅 영역을 관리하도록 합니다.