1단계. 필요한 역할 생성 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

1단계. 필요한 역할 생성

계정 사용자 지정을 시작하기 전에 AWS Control Tower와 허브 계정 간 신뢰 관계가 포함된 역할을 설정해야 합니다. 수임할 경우 역할은 허브 계정의 리소스를 관리할 수 있는 액세스 권한을 AWS Control Tower에 부여합니다. 이 역할의 이름은 AWSControlTowerBlueprintAccess여야 합니다.

AWS Control Tower는이 역할을 수임하여 사용자를 대신하여 포트폴리오 리소스를 생성한 다음 AWS Service Catalog, 블루프린트를이 포트폴리오에 서비스 카탈로그 제품으로 추가한 다음, 계정 프로비저닝 중에이 포트폴리오와 블루프린트를 멤버 계정과 공유합니다.

다음 섹션에 설명된 대로 AWSControlTowerBlueprintAccess 역할을 생성합니다. 등록된 계정 또는 등록되지 않은 계정에서 역할을 설정할 수 있습니다.

IAM 콘솔로 이동하여 필요한 역할을 설정합니다.

등록된 AWS Control Tower 계정에서 AWSControlTowerBlueprintAccess 역할을 설정하려면

  1. AWS Control Tower 관리 계정의 보안 주체로 페더레이션하거나 로그인합니다.

  2. 관리 계정의 페더레이션 보안 주체에서, 블루프린트 허브 계정으로 사용하기 위해 선택한 등록된 AWS Control Tower 계정의 AWSControlTowerExecution 역할을 수임하거나 이 역할로 전환합니다.

  3. 등록된 AWS Control Tower 계정의 AWSControlTowerExecution 역할을 통해 적절한 권한과 신뢰 관계를 가진 AWSControlTowerBlueprintAccess 역할을 생성합니다.

중요

AWS 모범 사례 지침을 준수하려면 AWSControlTowerExecution 역할을 생성한 후 즉시 AWSControlTowerBlueprintAccess 역할에서 로그아웃하는 것이 중요합니다.

리소스에 대한 의도하지 않은 변경을 방지하기 위해 AWSControlTowerExecution 역할은 AWS Control Tower에서만 사용할 수 있습니다.

블루프린트 허브 계정이 AWS Control Tower에 등록되지 않은 경우 AWSControlTowerExecution 역할은 계정에 존재하지 않으므로 AWSControlTowerBlueprintAccess 역할 설정을 계속하기 전에 이를 수임할 필요가 없습니다.

등록되지 않은 멤버 계정에서 AWSControlTowerBlueprintAccess 역할을 설정하려면

  1. 원하는 방법을 사용하여 허브 계정으로 지정하려는 계정에 보안 주체로 페더레이션하거나 로그인합니다.

  2. 계정에 보안 주체로 로그인한 경우 적절한 권한과 신뢰 관계를 포함하는 AWSControlTowerBlueprintAccess 역할을 생성합니다.

AWSControlTowerBlueprintAccess 역할은 다음 두 보안 주체에 신뢰를 부여하도록 설정해야 합니다.

  • AWS Control Tower 관리 계정에서 AWS Control Tower를 실행하는 보안 주체(사용자)입니다.

  • 이름이 AWSControlTowerAdmin인 AWS Control Tower 관리 계정의 역할입니다.

다음은 역할에 포함해야 하는 것과 유사한 신뢰 정책의 예제입니다. 이 정책은 최소 권한 액세스를 부여하는 모범 사례를 보여줍니다. 자체 정책을 만들 때 YourManagementAccountId라는 용어를 AWS Control Tower 관리 계정의 실제 계정 ID로 바꾸고, YourControlTowerUserRole이라는 용어를 관리 계정의 IAM 역할 식별자로 바꿉니다.

JSON
{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/service-role/AWSControlTowerAdmin",
                    "arn:aws:iam::111122223333:role/YourControlTowerUserRole"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

필요한 권한 정책

AWS Control Tower에서는 AWSServiceCatalogAdminFullAccess이라는 관리형 정책을 AWSControlTowerBlueprintAccess 역할에 연결해야 합니다. 이 정책은 AWS Control Tower가 포트폴리오 및 AWS Service Catalog 제품 리소스를 관리할 수 있도록 허용하는 시기를 AWS Service Catalog 찾는 권한을 제공합니다. IAM 콘솔에서 역할을 생성할 때 이 정책을 연결할 수 있습니다.

추가 권한이 필요할 수 있음

  • Amazon S3에 블루프린트를 저장하는 경우 AWS Control Tower에는 AWSControlTowerBlueprintAccess 역할에 대한 AmazonS3ReadOnlyAccess 권한 정책도 필요합니다.

  • 기본 관리자 정책을 활용하지 않는 경우 AWS Service Catalog Terraform 유형의 제품을 사용하려면 AFC 사용자 지정 IAM 정책에 몇 가지 권한을 추가해야 합니다. Terraform 템플릿에서 정의하는 리소스를 생성하는 데 필요한 권한 외에도 이러한 권한이 필요합니다.