기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Control Tower를 위한 ID 기반 정책(IAM 정책) 사용
이 주제에서는 ID 기반 정책의 예를 통해 계정 관리자가 IAM 자격 증명(사용자, 그룹, 역할)에 권한 정책을 연결해 AWS Control Tower 리소스에 대한 작업 수행 권한을 부여하는 방법을 보여줍니다.
중요
AWS Control Tower 리소스에 대한 액세스 관리를 위해 제공되는 기본 개념과 옵션 설명이 나온 소개 주제 부분을 먼저 읽는 것이 좋습니다. 자세한 내용은 AWS Control Tower 리소스에 대한 액세스 권한 관리 개요 단원을 참조하십시오.
AWS ControlTowerAdmin 역할
이 역할은 랜딩 존 유지 관리에 중요한 인프라에 대한 액세스 권한을 AWS Control Tower에 제공합니다. AWS ControlTowerAdmin
역할에는 연결된 관리형 정책과 IAM 역할에 대한 역할 신뢰 정책이 필요합니다. 역할 신뢰 정책은 역할을 수임할 수 있는 보안 주체를 지정하는 리소스 기반 정책입니다.
다음은 역할 신뢰 정책에 대한 예제 코드 조각입니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "controltower.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
AWS CLI에서이 역할을 생성하고 라는 파일에 넣기 위한 CLI 명령의 예는 다음과 trust.json
같습니다.
aws iam create-role --role-name AWSControlTowerAdmin --path /service-role/ --assume-role-policy-document file://trust.json
이 역할에는 두 가지 IAM 정책이 필요합니다.
-
인라인 정책, 예:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:DescribeAvailabilityZones", "Resource": "*" } ] }
-
다음 관리형 정책으로,
AWS ControlTowerServiceRolePolicy
입니다.
AWS ControlTowerServiceRolePolicy
AWS ControlTowerServiceRolePolicy는 CloudFormation 스택 세트 및 스택 인스턴스, AWS CloudTrail 로그 파일, AWS Control Tower용 구성 집계자, AWS Control Tower에서 관리하는 AWS Organizations 계정 및 조직 단위(OUs)와 같은 AWS AWS Control Tower 리소스를 생성하고 관리할 수 있는 권한을 정의하는 AWS관리형 정책입니다.
이 관리형 정책에 대한 업데이트는 AWS Control Tower에 대한 관리형 정책의 테이블에 요약되어 있습니다.
자세한 내용은 AWS 관리형 정책 참조 가이드의 AWSControlTowerServiceRolePolicy
를 참조하세요.
역할 신뢰 정책:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
인라인 정책은 AWSControlTowerAdminPolicy
입니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": "ec2:DescribeAvailabilityZones", "Resource": "*", "Effect": "Allow" } ] }
AWS ControlTowerStackSetRole
AWS CloudFormation 는 AWS Control Tower에서 생성한 계정에 스택 세트를 배포하기 위해이 역할을 수임합니다. 인라인 정책:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ], "Effect": "Allow" } ] }
신뢰 정책
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
AWS ControlTowerCloudTrailRole
AWS Control Tower는 CloudTrail을 모범 사례로 활성화하고 이 역할을 CloudTrail에 제공합니다. CloudTrail은 이 역할을 수임하여 CloudTrail 로그를 생성하고 게시합니다. 인라인 정책:
{ "Version": "2012-10-17", "Statement": [ { "Action": "logs:CreateLogStream", "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*", "Effect": "Allow" }, { "Action": "logs:PutLogEvents", "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*", "Effect": "Allow" } ] }
신뢰 정책
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
AWSControlTowerBlueprintAccess 역할 요구 사항
AWS Control Tower를 사용하려면 동일한 조직 내에서 지정된 블루프린트 허브 계정에 AWSControlTowerBlueprintAccess
역할을 생성해야 합니다.
역할 이름
역할 이름은 AWSControlTowerBlueprintAccess
이어야 합니다.
역할 신뢰 정책
다음 보안 주체를 신뢰하도록 역할을 설정해야 합니다.
-
관리 계정에서 AWS Control Tower를 사용하는 보안 주체입니다.
-
관리 계정의
AWSControlTowerAdmin
역할입니다.
다음 예제는 최소 권한 신뢰 정책을 보여줍니다. 자체 정책을 만들 때 YourManagementAccountId
라는 용어를 AWS Control Tower 관리 계정의 실제 계정 ID로 바꾸고, YourControlTowerUserRole
이라는 용어를 관리 계정의 IAM 역할 식별자로 바꿉니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::
YourManagementAccountId
:role/service-role/AWSControlTowerAdmin", "arn:aws:iam::YourManagementAccountId
:role/YourControlTowerUserRole
" ] }, "Action": "sts:AssumeRole", "Condition": {} } ] }
역할 권한
관리형 정책 AWSServiceCatalogAdminFullAccess를 역할에 연결해야 합니다.
AWSServiceRoleForAWSControlTower
이 역할은 로그 아카이브 계정, 감사 계정 및 멤버 계정에 대한 액세스 권한을 AWS Control Tower에 제공하여 드리프트된 리소스 알림과 같이 랜딩 존 유지에 중요한 작업을 수행합니다.
AWSServiceRoleForAWSControlTower
역할에는 연결된 관리형 정책과 IAM 역할에 대한 역할 신뢰 정책이 필요합니다.
이 역할에 대한 관리형 정책: AWSControlTowerAccountServiceRolePolicy
역할 신뢰 정책:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "controltower.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
AWSControlTowerAccountServiceRolePolicy
이 AWS관리형 정책을 통해 AWS Control Tower는 자동화된 계정 구성과 중앙 집중식 거버넌스를 제공하는 AWS 서비스를 자동으로 호출할 수 있습니다.
이 정책에는 AWS Control Tower가 Security Hub 서비스 관리형 표준: AWS Control Tower의 일부인 Security Hub 제어에서 관리하는 리소스에 대해 AWS Security Hub 조사 결과 전달을 구현하기 위한 최소 권한이 포함되어 있으며, 고객 계정 관리 기능을 제한하는 변경을 방지합니다. 이는 고객이 직접 시작하지 않는 백그라운드 AWS Security Hub 드리프트 탐지 프로세스의 일부입니다.
정책은 각 멤버 계정에서 특히 Security Hub 제어를 위한 Amazon EventBridge 규칙을 생성할 수 있는 권한을 부여하며, 이러한 규칙은 정확한 EventPattern을 지정해야 합니다. 또한 규칙은 서비스 보안 주체가 관리하는 규칙에서만 작동할 수 있습니다.
서비스 보안 주체: controltower.amazonaws.com
자세한 내용은 AWS 관리형 정책 참조 안내서AWSControlTowerAccountServiceRolePolicy
의 섹션을 참조하세요.
이 관리형 정책에 대한 업데이트는 AWS Control Tower에 대한 관리형 정책의 테이블에 요약되어 있습니다.