필수 역할 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

필수 역할

일반적으로 역할과 정책은 IAM (ID 및 액세스 관리) 의 AWS일부입니다. 자세한 내용은 AWS IAM 사용 설명서를 참조하십시오.

AFT는 AFT 파이프라인 운영을 지원하기 위해 AFT 관리 및 AWS Control Tower 관리 계정에 여러 IAM 역할 및 정책을 생성합니다. 이러한 역할은 최소 권한 액세스 모델을 기반으로 생성되며, 이 모델은 각 역할 및 정책에 필요한 최소 작업 및 리소스 세트로 권한을 제한합니다. 식별을 위해 이러한 역할과 정책에는 AWS 태그 key:value 쌍이 할당됩니다. managed_by:AFT

이러한 IAM 역할 외에도 AFT는 다음과 같은 세 가지 필수 역할을 생성합니다.

  • 역할 AWSAFTAdmin

  • AWSAFTExecution역할

  • AWSAFTService역할

이러한 역할은 다음 섹션에 설명되어 있습니다.

AWSAFTAdmin 역할, 설명

AFT를 배포하면 AFT 관리 계정에 AWSAFTAdmin 역할이 생성됩니다. 이 역할을 통해 AFT 파이프라인은 AWS Control Tower 및 AFT 프로비저닝 계정에서 AWSAFTExecution 역할을 맡아 계정 프로비저닝 및 사용자 지정과 관련된 작업을 수행할 수 있습니다.

역할에 연결된 인라인 정책 (JSON 아티팩트) 은 다음과 같습니다. AWSAFTAdmin 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::*:role/AWSAFTExecution",
                "arn:aws:iam::*:role/AWSAFTService"
            ]
        }
    ]
}

다음 JSON 아티팩트는 역할에 대한 신뢰 관계를 보여줍니다. AWSAFTAdmin 플레이스홀더 012345678901 번호는 AFT 관리 계정 ID 번호로 대체됩니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

AWSAFTExecution 역할, 설명

AFT를 배포하면 AFT 관리 및 AWS Control Tower 관리 계정에 AWSAFTExecution 역할이 생성됩니다. 나중에 AFT 파이프라인은 AFT 계정 프로비저닝 단계에서 각 AFT 프로비저닝 계정에 AWSAFTExecution 역할을 생성합니다.

AFT는 처음에 AWSControlTowerExecution 역할을 활용하여 지정된 계정에서 AWSAFTExecution 역할을 생성합니다. 이 AWSAFTExecution 역할을 통해 AFT 파이프라인은 AFT 프레임워크의 프로비저닝 및 프로비저닝 사용자 지정 단계 (AFT 프로비저닝 계정 및 공유 계정) 에서 수행되는 단계를 실행할 수 있습니다.

고유한 역할을 통해 범위를 제한할 수 있습니다.

가장 좋은 방법은 사용자 지정 권한을 리소스를 처음 배포할 때 허용된 권한과 분리하여 유지하는 것입니다. AWSAFTService역할은 계정 프로비저닝을 위한 것이고 AWSAFTExecution 역할은 계정 사용자 지정을 위한 것임을 기억하십시오. 이러한 분리로 인해 파이프라인의 각 단계에서 허용되는 권한 범위가 제한됩니다. 공유 계정에는 청구 세부 정보 또는 사용자 정보와 같은 민감한 정보가 포함될 수 있으므로 AWS Control Tower 공유 계정을 사용자 지정하는 경우 이러한 구분이 특히 중요합니다.

AWSAFTExecution역할 권한: AdministratorAccess— AWS 관리형 정책

다음 JSON 아티팩트는 역할에 연결된 IAM 정책 (신뢰 관계) 을 보여줍니다. AWSAFTExecution 플레이스홀더 012345678901 번호는 AFT 관리 계정 ID 번호로 대체됩니다.

에 대한 신뢰 정책 AWSAFTExecution

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

AWSAFTService 역할, 설명

AWSAFTService 역할은 공유 계정 및 관리 계정을 포함하여 등록 및 관리되는 모든 계정에 AFT 리소스를 배포합니다. 이전에는 리소스가 역할로만 배포되었습니다. AWSAFTExecution

AWSAFTService역할은 서비스 인프라에서 프로비저닝 단계에서 리소스를 배포하는 데 사용하기 위한 것이고, AWSAFTExecution 역할은 사용자 지정을 배포하는 데만 사용하기 위한 것입니다. 이러한 방식으로 역할을 수임하면 각 단계에서 보다 세분화된 액세스 제어를 유지할 수 있습니다.

AWSAFTService역할 권한: AdministratorAccess— AWS 관리형 정책

다음 JSON 아티팩트는 역할에 연결된 IAM 정책 (신뢰 관계) 을 보여줍니다. AWSAFTService 플레이스홀더 012345678901 번호는 AFT 관리 계정 ID 번호로 대체됩니다.

에 대한 신뢰 정책 AWSAFTService

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}