기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
할당된 IAM 역할에 대한 권한 AWS Config
IAM 역할을 사용하면 권한 세트를 정의할 수 있습니다. AWS Config S3 버킷에 쓰고, SNS 주제에 게시하고, 리소스에 대한 구성 세부 정보를 가져오기 위해 List
API를 요청하기 위해 할당한 역할을 맡습니다. Describe
AWS IAM 역할에 대한 자세한 내용은 IAM 사용 설명서의 IAM 역할 섹션을 참조하세요.
AWS Config 콘솔을 사용하여 IAM 역할을 생성하거나 업데이트하면 필요한 권한이 AWS Config 자동으로 할당됩니다. 자세한 정보는 콘솔을 AWS Config 사용한 설정을 참조하세요.
목차
IAM 역할 정책 생성
AWS Config 콘솔을 사용하여 IAM 역할을 생성하면 필요한 권한이 역할에 AWS Config 자동으로 할당됩니다.
를 사용하여 AWS Config 설정하거나 기존 IAM 역할을 업데이트하는 경우 S3 버킷에 액세스하고, SNS 주제에 게시하고, 리소스에 대한 구성 세부 정보를 AWS Config 가져오도록 정책을 수동으로 업데이트해야 합니다. AWS CLI
역할에 IAM 신뢰 정책 추가
역할을 맡아 리소스를 추적하는 AWS Config 데 사용할 수 있는 IAM 신뢰 정책을 생성할 수 있습니다. 신뢰 정책에 대한 자세한 내용은 IAM 사용 설명서의 역할 용어 및 개념을 참조하세요.
다음은 AWS Config 역할에 대한 신뢰 정책의 예시입니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "AWS:SourceAccount": "
sourceAccountID
" } } } ] }
위의 IAM 역할 신뢰 관계의 AWS:SourceAccount
조건을 사용하여 특정 계정을 대신하여 작업을 수행할 때 Config 서비스 보안 주체가 AWS
IAM 역할과만 상호 작용하도록 제한할 수 있습니다.
AWS Config 또한 소유 계정을 대신하여 작업을 수행할 때 Config 서비스 보안 주체가 IAM 역할만 맡도록 제한하는 AWS:SourceArn
조건을 지원합니다. AWS Config 서비스 보안 주체를 사용하는 경우 AWS:SourceArn
속성은 항상 구성 레코더의 arn:aws:config:sourceRegion:sourceAccountID:*
위치, sourceRegion
는 구성 레코더가 포함된 계정의 ID로 설정됩니다. sourceAccountID
AWS Config 컨피그레이션 레코더에 대한 자세한 내용은 컨피그레이션 레코더 관리를 참조하십시오. 예를 들어, 다음 조건을 추가하여 Config 서비스 보안 주체가 123456789012
계정의 us-east-1
리전 구성 레코더를 대신해서만 IAM 역할을 수임하도록 제한할 수 있습니다. "ArnLike":
{"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}
.
S3 버킷에 대한 IAM 역할 정책
다음 예제 정책은 S3 버킷에 액세스할 수 있는 AWS Config 권한을 부여합니다.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::
myBucketName
/prefix
/AWSLogs/myAccountID
/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::myBucketName
" } ] }
KMS 키에 대한 IAM 역할 정책
다음 예제 정책은 S3 버킷 전송을 위해 새 객체에 KMS 기반 암호화를 사용할 AWS Config 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "
myKMSKeyARN
" } ] }
Amazon SNS 주제에 대한 IAM 역할 정책
다음 예제 정책은 SNS 주제에 액세스할 수 있는 AWS Config 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"
mySNStopicARN
" } ] }
SNS 주제가 암호화된 경우 추가 설정 지침은 Amazon Simple Notification Service 개발자 안내서의 AWS KMS 권한 구성을 참조하세요.
구성 세부 정보를 가져오기 위한 IAM 역할 정책
AWS 리소스 구성을 기록하려면 리소스에 대한 구성 세부 정보를 가져올 수 있는 IAM 권한이 AWS Config 필요합니다.
AWS 관리형 정책 ConfigRoleAWS_를 사용하고 이를 할당된 IAM 역할에 연결하십시오. AWS Config AWS 이 정책을 업데이트할 때마다 AWS 리소스 유형에 대한 지원이 AWS Config 추가되므로 역할에 이 관리형 정책이 연결되어 있는 한 구성 세부 정보를 AWS Config 가져오는 데 필요한 권한을 계속 보유하게 됩니다.
콘솔에서 역할을 생성하거나 업데이트하면 ConfigRoleAWS_가 자동으로 AWS Config 연결됩니다.
를 사용하는 경우 attach-role-policy
명령을 사용하여 AWS_의 Amazon 리소스 이름 (ARN) 을 지정하십시오. AWS CLI ConfigRole
$
aws iam attach-role-policy --role-name
myConfigRole
--policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
S3 버킷 기록에 대한 권한 관리
AWS Config S3 버킷이 생성, 업데이트 또는 삭제될 때 알림을 기록하고 전달합니다.
AWSServiceRoleForConfig
(AWS Config에 서비스 연결 역할 사용 참조) 또는 AWS_ConfigRole
관리형 정책을 활용하는 사용자 지정 IAM 역할을 사용하는 것이 좋습니다. 구성 기록 모범 사례에 대한 자세한 내용은 AWS Config 모범 사례
버킷 기록에 대한 객체 수준 권한을 관리해야 하는 경우, S3 버킷 정책에서 AWS_ConfigRole
관리형 정책에서 모든 S3 관련 권한에 대한 액세스 권한 config.amazonaws.com
( AWS Config 서비스 사용자 이름) 을 제공해야 합니다. 자세한 내용을 알아보려면 Amazon S3 버킷에 대한 권한을 참조하세요.