기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Elastic Beanstalk 사용자 정책 관리
AWS Elastic Beanstalk는 Elastic Beanstalk가 관리하는 모든 리소스에 대한 모든 액세스 또는 읽기 전용 액세스를 할당할 수 있는 두 가지 관리형 정책을 제공합니다. AWS Identity and Access Management(IAM) 사용자 또는 그룹에 또는 사용자가 수임하는 역할에 정책을 연결할 수 있습니다.
중요
Elastic Beanstalk 관리형 정책은 세부 권한을 부여하지 않으며, Elastic Beanstalk 애플리케이션 작업에 잠재적으로 필요할 수 있는 모든 권한을 부여합니다. 관리형 정책은 사용자가 솔루션에 추가하여 Elastic Beanstalk가 관리하지 않는 사용자 지정 리소스에 대한 권한도 다루지 않습니다. 사용 권한, 최소 필수 권한 또는 사용자 지정 리소스 권한을 세부적으로 설정하려면 사용자 지정 정책을 사용합니다.
관리형 사용자 정책
-
AdministratorAccess-AWSElasticBeanstalk — Elastic Beanstalk 애플리케이션, 애플리케이션 버전, 구성 설정, 환경, 환경의 기본 리소스를 생성, 수정 및 삭제할 수 있는 모든 관리 권한을 사용자에게 부여합니다. 관리형 정책 콘텐츠를 확인하려면 관리형 정책 참조 안내서의 AdministratorAccess-AWSElasticBeanstalk 페이지를 참조하십시오.AWS
-
AWSElasticBeanstalkReadOnly – 사용자가 애플리케이션과 환경을 확인할 수는 있지만 수정하는 작업은 금지 합니다. 모든 Elastic Beanstalk 리소스와 Elastic Beanstalk 콘솔에서 검색하는 다른 AWS 리소스에 대한 읽기 전용 액세스를 제공합니다. 읽기 전용 액세스는 Elastic Beanstalk 로그를 읽을 수 있도록 하며, 로그 다운로드 등의 작업은 허용하지 않습니다. 이는 Elastic Beanstalk가 쓰기 권한을 필요로 하는 Amazon S3 버킷에서 로그가 준비되기 때문입니다. Elastic Beanstalk 로그 액세스를 허용하는 방법에 대한 자세한 내용은 본 설명 마지막 부분의 예제를 참조하세요. 관리형 정책 콘텐츠를 확인하려면 관리형 정책 참조 안내서의 AWSElasticBeanstalkReadOnly 페이지를 참조하세요.AWS
참고
이전에는 Elastic Beanstalk가 두 가지 다른 관리형 사용자 정책인 AWSElasticBeanstalkFullAccess 와 AWSElasticBeanstalkReadOnlyAccess를 지원했습니다. 이러한 이전 정책은 사용 중지될 것입니다. 하지만 IAM 콘솔에서 해당 정책을 계속하여 확인하고 사용할 수 있습니다. 새 관리형 사용자 정책으로 전환하여 사용하고 사용자 지정 리소스에 권한을 부여하는 사용자 지정 정책을 추가하는 것이 좋습니다(있는 경우).
다른 서비스와의 통합 정책
또한 원하는 경우 다른 서비스와 환경을 통합할 수 있도록 보다 세분화된 정책을 제공합니다.
이 정책을 통해 Amazon CloudWatch Logs 로그 그룹을 관리할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCWL", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DeleteLogGroup", "logs:PutRetentionPolicy" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/elasticbeanstalk/*" } ] }
이 정책을 통해 환경에서 Amazon RDS 인스턴스를 통합할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRDS", "Effect": "Allow", "Action": [ "rds:CreateDBSecurityGroup", "rds:DeleteDBSecurityGroup", "rds:AuthorizeDBSecurityGroupIngress", "rds:CreateDBInstance", "rds:ModifyDBInstance", "rds:DeleteDBInstance" ], "Resource": [ "arn:aws:rds:*:*:secgrp:awseb-e-*", "arn:aws:rds:*:*:db:*" ] } ] }
이 정책을 통해 작업자 환경 계층은 Amazon DynamoDB 테이블과 Amazon SQS 대기열을 생성할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSQS", "Effect": "Allow", "Action": [ "sqs:TagQueue", "sqs:DeleteQueue", "sqs:GetQueueAttributes", "sqs:CreateQueue" ], "Resource": "arn:aws:sqs:*:*:awseb-e-*" }, { "Sid": "AllowDDB", "Effect": "Allow", "Action": [ "dynamodb:CreateTable", "dynamodb:TagResource", "dynamodb:DescribeTable", "dynamodb:DeleteTable" ], "Resource": "arn:aws:dynamodb:*:*:table/awseb-e-*" } ] }
이 정책을 통해 다중 컨테이너 도커 환경에서 Amazon ECS 클러스터를 관리할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowECS", "Effect": "Allow", "Action": [ "ecs:CreateCluster", "ecs:DeleteCluster", "ecs:DeRegisterTaskDefinition", "ecs:RegisterTaskDefinition" ], "Resource": [ "*" ] }, { "Sid": "AllowECSTagResource", "Effect": "Allow", "Action": [ "ecs:TagResource" ], "Resource": "*", "Condition": { "StringEquals": { "ecs:CreateAction": [ "CreateCluster", "RegisterTaskDefinition" ] } } } ] }
이 정책을 통해 웹 서비스 환경의 핵심 작업을 수행합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TerminateInstances", "Effect": "Allow", "Action": [ "ec2:TerminateInstances" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringLike": { "ec2:ResourceTag/aws:cloudformation:stack-id": "arn:aws:cloudformation:*:*:stack/awseb-e-*" } } }, { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:ReleaseAddress", "ec2:AllocateAddress", "ec2:DisassociateAddress", "ec2:AssociateAddress", "ec2:CreateTags", "ec2:DeleteTags", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:AuthorizeSecurityGroup*", "ec2:RevokeSecurityGroup*", "ec2:CreateLaunchTemplate*", "ec2:DeleteLaunchTemplate*" ], "Resource": "*" }, { "Sid": "LTRunInstances", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "*", "Condition": { "ArnLike": { "ec2:LaunchTemplate": "arn:aws:ec2:*:*:launch-template/*" } } }, { "Sid": "ASG", "Effect": "Allow", "Action": [ "autoscaling:AttachInstances", "autoscaling:*LoadBalancer*", "autoscaling:*AutoScalingGroup", "autoscaling:*LaunchConfiguration", "autoscaling:DeleteScheduledAction", "autoscaling:DetachInstances", "autoscaling:PutNotificationConfiguration", "autoscaling:PutScalingPolicy", "autoscaling:PutScheduledUpdateGroupAction", "autoscaling:ResumeProcesses", "autoscaling:SuspendProcesses", "autoscaling:*Tags" ], "Resource": [ "arn:aws:autoscaling:*:*:launchConfiguration:*:launchConfigurationName/awseb-e-*", "arn:aws:autoscaling:*:*:autoScalingGroup:*:autoScalingGroupName/awseb-e-*" ] }, { "Sid": "ASGPolicy", "Effect": "Allow", "Action": [ "autoscaling:DeletePolicy" ], "Resource": [ "*" ] }, { "Sid": "EBSLR", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/elasticbeanstalk.amazonaws.com/AWSServiceRoleForElasticBeanstalk*" ], "Condition": { "StringLike": { "iam:AWSServiceName": "elasticbeanstalk.amazonaws.com" } } }, { "Sid": "S3Obj", "Effect": "Allow", "Action": [ "s3:Delete*", "s3:Get*", "s3:Put*" ], "Resource": [ "arn:aws:s3:::elasticbeanstalk-*/*", "arn:aws:s3:::elasticbeanstalk-env-resources-*/*" ] }, { "Sid": "S3Bucket", "Effect": "Allow", "Action": [ "s3:GetBucket*", "s3:ListBucket", "s3:PutBucketPolicy" ], "Resource": "arn:aws:s3:::elasticbeanstalk-*" }, { "Sid": "CFN", "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:GetTemplate", "cloudformation:ListStackResources", "cloudformation:UpdateStack", "cloudformation:ContinueUpdateRollback", "cloudformation:CancelUpdateStack" ], "Resource": "arn:aws:cloudformation:*:*:stack/awseb-e-*" }, { "Sid": "CloudWatch", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "arn:aws:cloudwatch:*:*:alarm:awseb-*" }, { "Sid": "ELB", "Effect": "Allow", "Action": [ "elasticloadbalancing:Create*", "elasticloadbalancing:Delete*", "elasticloadbalancing:Modify*", "elasticloadbalancing:RegisterTargets", "elasticloadbalancing:DeRegisterTargets", "elasticloadbalancing:DeregisterInstancesFromLoadBalancer", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:*Tags", "elasticloadbalancing:ConfigureHealthCheck", "elasticloadbalancing:SetRulePriorities", "elasticloadbalancing:SetLoadBalancerPoliciesOfListener" ], "Resource": [ "arn:aws:elasticloadbalancing:*:*:targetgroup/awseb-*", "arn:aws:elasticloadbalancing:*:*:loadbalancer/awseb-*", "arn:aws:elasticloadbalancing:*:*:loadbalancer/app/awseb-*/*", "arn:aws:elasticloadbalancing:*:*:loadbalancer/net/awseb-*/*", "arn:aws:elasticloadbalancing:*:*:listener/awseb-*", "arn:aws:elasticloadbalancing:*:*:listener/app/awseb-*", "arn:aws:elasticloadbalancing:*:*:listener/net/awseb-*", "arn:aws:elasticloadbalancing:*:*:listener-rule/app/awseb-*/*/*/*" ] }, { "Sid": "ListAPIs", "Effect": "Allow", "Action": [ "autoscaling:Describe*", "cloudformation:Describe*", "logs:Describe*", "ec2:Describe*", "ecs:Describe*", "ecs:List*", "elasticloadbalancing:Describe*", "rds:Describe*", "sns:List*", "iam:List*", "acm:Describe*", "acm:List*" ], "Resource": "*" }, { "Sid": "AllowPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/aws-elasticbeanstalk-*", "Condition": { "StringEquals": { "iam:PassedToService": [ "elasticbeanstalk.amazonaws.com", "ec2.amazonaws.com", "autoscaling.amazonaws.com", "elasticloadbalancing.amazonaws.com", "ecs.amazonaws.com", "cloudformation.amazonaws.com" ] } } } ] }
이 정책을 통해 환경에서 Amazon SNS 주제 통합을 활성화합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowBeanstalkManageSNS", "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:SetTopicAttributes", "sns:DeleteTopic" ], "Resource": [ "arn:aws:sns:*:*:ElasticBeanstalkNotifications-*" ] }, { "Sid": "AllowSNSPublish", "Effect": "Allow", "Action": [ "sns:GetTopicAttributes", "sns:Subscribe", "sns:Unsubscribe", "sns:Publish" ], "Resource": "*" } ] }
관리형 정책을 통한 액세스 제어
관리형 정책을 통해 Elastic Beanstalk에 모든 액세스 또는 읽기 전용 액세스를 부여할 수 있습니다. 새 기능으로 액세스하는 데 추가 권한이 필요한 경우 Elastic Beanstalk는 이러한 정책을 자동으로 업데이트합니다.
IAM 사용자나 그룹에 관리형 정책을 적용하려면
-
IAM 콘솔에서 정책 페이지
를 엽니다. -
검색 상자에
AWSElasticBeanstalk을 입력하여 정책을 필터링합니다. -
정책 목록에서 AWSElasticBeanstalkReadOnly 또는 AdministratorAccess-AWSElasticBeanstalk 옆의 확인란을 선택합니다.
-
정책 조치를 선택한 후 연결을 선택합니다.
-
정책을 연결할 사용자나 그룹을 하나 이상 선택합니다. 필터 메뉴와 검색 상자를 사용하면 보안 주체 개체 목록을 필터링할 수 있습니다.
-
정책 연결(Attach policies)을 선택합니다.
맞춤형 사용자 지정 정책 생성
고유한 IAM 정책을 생성하여 특정 Elastic Beanstalk 리소스에 대한 특정 Elastic Beanstalk API 작업을 허용 또는 거부하고, Elastic Beanstalk이 관리하지 않는 사용자 지정 리소스에 대한 액세스를 제어할 수 있습니다. 사용자 또는 그룹에 정책을 연결하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 정책 작업을 참조하세요. 사용자 지정 정책 생성에 대한 자세한 내용은 IAM 사용 설명서의 IAM 정책 생성을 참조하세요.
참고
사용자가 Elastic Beanstalk API와 상호 작용하는 방법을 제한할 수는 있지만, 현재로서는 필요한 기본 리소스를 생성할 권한이 있는 사용자가 Amazon EC2 및 기타 서비스의 다른 리소스를 생성하지 못하도록 하는 효과적인 방법이 없습니다.
따라서 정책을 모든 기본 리소스를 보호하기 위한 방법이 아닌 Elastic Beanstalk 책임을 분담하기 위한 효과적인 방법으로 사용해보시기 바랍니다.
2019년 11월 Elastic Beanstalk는 Amazon EC2 시작 템플릿에 대한 지원을 릴리스했습니다. 이는 사용자 환경의 오토 스케일링 그룹이 Amazon EC2 인스턴스를 시작하는 데 사용할 수 있는 새 리소스 유형이며 새 권한을 필요로 합니다. 사용자 정책에 필요한 권한이 없는 경우에도 환경에서 레거시 리소스를 사용하고 구성을 시작할 수 있으므로 대부분의 고객은 이로 인한 영향을 받지 않을 것입니다. 그러나 Amazon EC2 시작 템플릿으로 필요한 새 기능을 구현하고자 하지만 사용자 맞춤형 지정 정책이 있는 경우 환경 생성 또는 업데이트에 실패할 수 있습니다. 이 경우 사용자 지정 정책에 다음 권한이 있는지 확인합니다.
Amazon EC2 시작 템플릿에 필요한 권한
EC2:CreateLaunchTemplateEC2:CreateLaunchTemplateVersionsEC2:DeleteLaunchTemplateEC2:DeleteLaunchTemplateVersionsEC2:DescribeLaunchTemplateEC2:DescribeLaunchTemplateVersions
IAM 정책에는 부여 권한을 설명하는 정책이 포함되어 있습니다. Elastic Beanstalk의 정책 설명을 생성하고자 하는 경우 정책 설명의 다음 네 가지 부분의 사용법을 이해해야 합니다:
-
효과는 설명에서 작업 허용 여부를 지정합니다.
-
작업은 제어할 API 작업을 지정합니다. 예를 들어
elasticbeanstalk:CreateEnvironment를 사용하여CreateEnvironment작업을 지정합니다. 환경 생성 등의 특정 작업에는 그러한 작업을 수행할 추가 권한이 필요합니다. 자세한 내용은 Elastic Beanstalk 작업에 사용되는 리소스 및 조건 섹션을 참조하세요.참고
UpdateTagsForResourceAPI 작업을 사용하려면 API 작업 이름 대신 다음의 두 가지 가상 작업 중 하나(또는 둘 다)를 지정해야 합니다:elasticbeanstalk:AddTagsUpdateTagsForResource를 호출하며 추가할 태그 목록을TagsToAdd파라미터에서 전달할 권한을 제어합니다.elasticbeanstalk:RemoveTagsUpdateTagsForResource를 호출하며 제거할 태그 키 목록을TagsToRemove파라미터에서 전달할 권한을 제어합니다.
-
리소스는 액세스를 제어할 리소스를 지정합니다. Elastic Beanstalk 리소스를 지정하려면 각 리소스의 Amazon 리소스 이름(ARN)을 나열합니다.
-
(선택 사항) 조건은 설명에서 부여한 권한의 제한을 지정합니다. 자세한 내용은 Elastic Beanstalk 작업에 사용되는 리소스 및 조건 섹션을 참조하세요.
다음 섹션에서는 사용자 지정 사용자 정책을 사용하기 위해 고려해야 할 몇 가지 경우를 설명합니다.
제한된 Elastic Beanstalk 환경 생성 활성화
다음 예제의 정책을 통해 사용자는 지정된 애플리케이션 및 애플리케이션 버전을 사용하여 CreateEnvironment 작업을 호출함으로써 이름이 Test로 시작하는 환경을 생성할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid":"CreateEnvironmentPerm", "Action": [ "elasticbeanstalk:CreateEnvironment" ], "Effect": "Allow", "Resource": [ "arn:aws:elasticbeanstalk:us-east-2:123456789012:environment/My First Elastic Beanstalk Application/Test*" ], "Condition": { "StringEquals": { "elasticbeanstalk:InApplication": ["arn:aws:elasticbeanstalk:us-east-2:123456789012:application/My First Elastic Beanstalk Application"], "elasticbeanstalk:FromApplicationVersion": ["arn:aws:elasticbeanstalk:us-east-2:123456789012:applicationversion/My First Elastic Beanstalk Application/First Release"] } } }, { "Sid":"AllNonResourceCalls", "Action":[ "elasticbeanstalk:CheckDNSAvailability", "elasticbeanstalk:CreateStorageLocation" ], "Effect":"Allow", "Resource":[ "*" ] } ] }
위 정책은 Elastic Beanstalk 작업에 제한된 액세스를 부여하는 방법을 보여줍니다. 환경을 실제로 시작하기 위해서는 사용자는 환경을 작동하는 AWS 리소스를 생성할 권한을 보유해야 합니다. 예를 들어 다음 정책은 웹 서버 환경의 기본 리소스 세트로의 액세스를 부여합니다:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:*", "ecs:*", "elasticloadbalancing:*", "autoscaling:*", "cloudwatch:*", "s3:*", "sns:*", "cloudformation:*", "sqs:*" ], "Resource": "*" } ] }
Amazon S3에 저장된 Elastic Beanstalk 로그로의 액세스 활성화
다음 예제의 정책을 통해 사용자는 Elastic Beanstalk 로그를 가져오고, Amazon S3에서 스테이징하며, 검색할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:DeleteObject", "s3:GetObjectAcl", "s3:PutObjectAcl" ], "Effect": "Allow", "Resource": "arn:aws:s3:::elasticbeanstalk-*" } ] }
참고
이러한 권한을 로그 경로로만 제한하려면 다음의 리소스 형식을 사용하십시오.
"arn:aws:s3:::elasticbeanstalk-us-east-2-123456789012/resources/environments/logs/*"
특정 Elastic Beanstalk 애플리케이션 관리 활성화
다음 예제의 정책을 통해 사용자는 하나의 특정 Elastic Beanstalk 애플리케이션에서 환경 및 기타 리소스를 관리할 수 있습니다. 이 정책은 다른 애플리케이션 리소스에 대한 Elastic Beanstalk 작업을 허용하지 않으며, Elastic Beanstalk 애플리케이션의 생성 및 삭제 또한 허용하지 않습니다.
참고
이 정책은 다른 서비스를 통해 리소스로 액세스하는 것을 허용합니다. 이는 기본 리소스 보호법이 아닌 Elastic Beanstalk 애플리케이션 관리를 위해 여러 사용자에게 책임을 분담하는 효율적인 방법을 제시합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "elasticbeanstalk:CreateApplication", "elasticbeanstalk:DeleteApplication" ], "Resource": [ "*" ] }, { "Effect": "Deny", "Action": [ "elasticbeanstalk:CreateApplicationVersion", "elasticbeanstalk:CreateConfigurationTemplate", "elasticbeanstalk:CreateEnvironment", "elasticbeanstalk:DeleteApplicationVersion", "elasticbeanstalk:DeleteConfigurationTemplate", "elasticbeanstalk:DeleteEnvironmentConfiguration", "elasticbeanstalk:DescribeApplicationVersions", "elasticbeanstalk:DescribeConfigurationOptions", "elasticbeanstalk:DescribeConfigurationSettings", "elasticbeanstalk:DescribeEnvironmentResources", "elasticbeanstalk:DescribeEnvironments", "elasticbeanstalk:DescribeEvents", "elasticbeanstalk:DeleteEnvironmentConfiguration", "elasticbeanstalk:RebuildEnvironment", "elasticbeanstalk:RequestEnvironmentInfo", "elasticbeanstalk:RestartAppServer", "elasticbeanstalk:RetrieveEnvironmentInfo", "elasticbeanstalk:SwapEnvironmentCNAMEs", "elasticbeanstalk:TerminateEnvironment", "elasticbeanstalk:UpdateApplicationVersion", "elasticbeanstalk:UpdateConfigurationTemplate", "elasticbeanstalk:UpdateEnvironment", "elasticbeanstalk:RetrieveEnvironmentInfo", "elasticbeanstalk:ValidateConfigurationSettings" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "elasticbeanstalk:InApplication": [ "arn:aws:elasticbeanstalk:us-east-2:123456789012:application/myapplication" ] } } } ] }
