에 대한 액세스 제어 리소스 - Lumberyard 사용자 가이드

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

에 대한 액세스 제어 리소스

액세스 권한을 올바르게 설정하는 것이 클라우드 캔버스 리소스 관리자 는 프로젝트의 클라우드 연결 기능을 안전하게 관리합니다.

액세스 시나리오 및 프로젝트리소스핸들러

클라우드 캔버스 리소스 관리자는 다음 액세스 시나리오를 지원하도록 요구합니다. 더 많은 미묘한 권한을 가진 추가 역할을 만들 수 있지만 아래 표에서는 핵심 액세스 요구 사항.


        클라우드 캔버스 핵심 액세스 요구 사항

프로젝트 팀원은 임의의 역할 및 정책을 만들거나 수정할 수 없습니다. 이는 상당한 복잡성. 다음과 같은 일부 리소스 Lambda 게임 개발자가 또한 리소스 가 가정하는 역할을 제공합니다. 게임 개발자는 정책을 관리합니다. 단, IAM 이러한 권한은 팀 구성원에게 직접 전달하면 효과적으로 관리자를 만들 수 있습니다.

프로젝트 팀원이 할 수 있는 것을 제한하면서 필요한 기능을 활성화하기 위해 직접, 클라우드 캔버스 리소스 관리자는 AWS CloudFormation 사용자 지정 리소스. 사용자 지정 리소스 처리기 클라우드 캔버스 리소스 관리자는 ProjectResourceHandler Lambda 프로젝트 스택의 함수. 더 Lambda 기능 실행 역할(ProjectResourceHandlerExecution) 권한 부여 그 이유는 클라우드 캔버스 리소스 관리자는 이(가) 필요합니다. 이 권한은 프로젝트 팀에 부여되지 않습니다. 구성원.

예를 들어, Custom::AccessControl 리소스, 나중에 자세히 설명 이 문서에서는 다양한 역할에 대한 인라인 정책을 관리합니다. 이 시스템은 프로젝트 팀원을 대신하여 이 작업을 수행합니다. 그러나, Custom::AccessControl 취급자는 또한 이러한 정책에 무엇을 넣을지 알아야 합니다. 프로젝트 팀원이 이 정보를 직접 제공하는 것을 믿을 수 없습니다. 대신, 신뢰할 수 있는 소스의 정보를 구성합니다. 이렇게 하려면 AccessControl 사용 리소스 정의의 메타데이터 AWS CloudFormation. 또한 스택의 리소스를 위해 ARN을 구성합니다. 식별 방법 AWS CloudFormation. 이렇게 하면 스택을 업데이트할 권한이 있는 사용자만 해당 스택의 리소스에 대해 구성된 정책에 영향을 줍니다.


        클라우드 캔버스 권한 흐름

사용 방법 사용자 지정::액세스 제어 리소스

위에 기술된 바와 같이, 클라우드 캔버스 리소스 관리자 보안은 IAM 역할 및 자격 증명은 이러한 역할을 수행할 때 사용됩니다. 더 액세스 시나리오 및 프로젝트리소스핸들러 이 주제의 앞부분에 왜 클라우드 캔버스 리소스 관리자는 이 역할에 연결된 인라인 정책을 관리하는 데 사용됩니다.

이 섹션에서는 Custom::AccessControl 자원 처리기를 사용하여 프로젝트의 역할을 구성합니다. 가 Custom::AccessControl 리소스는 다음 템플릿에 정의되어 있어야 합니다.

템플릿 설명
project-template.json 에 정의된 역할에 대한 정책 발생 project-template.json 업데이트할 파일. 이러한 역할은 모든 리소스 그룹에 정의된 모든 리소스에 대한 액세스 제공 배포.
deployment-access-template.json 에 정의된 역할에 대한 정책 발생 deployment-access-template.json 업데이트할 파일. 이 역할들은 는 지정된 배포의 모든 리소스에 대한 액세스를 제공할 수 있습니다.
resource-group-template.json 에 정의된 역할에 대한 정책 발생 project-template.jsondeployment-access-template.json 업데이트할 파일. 만 에 정의된 리소스에 대한 권한 resource-group-template.json 파일이 업데이트되었습니다. 역할의 경우 에 정의됨 deployment-access-template.json 파일, 리소스 그룹 스택이 포함된 배포에 대한 해당 역할의 인스턴스는 다음과 같습니다. 을(를) 업데이트했습니다.

이 프로세스는 다음 다이어그램에 나와 있습니다. 다이어그램은 리소스 그룹 스택, 배포 액세스 스택 또는 프로젝트 스택이 업데이트되었습니다.


        프로젝트 역할의 구성

사용자 지정::AccessControl 리소스 정의

Custom::AccessControl 리소스는 다음을 지원합니다. 속성:

프로퍼티 설명
ConfigurationBucket 프로젝트 구성 버킷의 이름. 이 속성은 제공됨.
ConfigurationKey 구성 버킷에서 스택에 대한 데이터가 있는 위치를 식별합니다. 작업이 저장됩니다. 그러나 사용자 지정 리소스 처리기는 이 값에 따라 달라집니다. 을(를) 업데이트할 때마다 이(가) 변경됩니다. 이와 같은 자산 변경 AWS CloudFormation 호출하려면 각 스택 작업에 대한 사용자 지정 리소스 처리기.
ServiceToken 다음을 식별합니다. Lambda 사용자 지정 리소스 에 대해 호출되는 함수입니다. 이 글로벌 프로젝트여야 합니다. ProjectResourceHandler Lambda 기능 에 정의되어 있습니다. project-template.json 파일.

DependsOn 의 속성 Custom::AccessControl 자원 정의는 다음 리소스를 나열해야 합니다.

  • 의 모든 리소스 project-template.json, deployment-access-template.json, 또는 resource-group-template.json 권한을 제공하는 파일 메타데이터.

     

  • 모든 AWS::IAM::Role 리소스를 RoleMapping 메타데이터.

     

  • 다음과 같은 암시적 역할을 생성하는 모든 사용자 지정 리소스 Custom::LambdaConfigurationCustom::ServiceApi 리소스.

     

사용 시 AWS CLI 이러한 리소스는 사용자. 그러나 이러한 파일을 직접 편집하는 경우 이러한 파일을 종속성. 이러한 종속성이 없으면 Custom::AccessControl 자원 다른 리소스가 업데이트되기 전에 가 업데이트될 수 있습니다. 이 경우, Custom::AccessControl 더 이상 에서 최신 메타데이터에 액세스할 수 없습니다. 의도했던 변경 사항이 적용되지 않을 수 있습니다.

설정 관련 정보 Custom::AccessControl 권한, 참조 리소스 정의에 대한 권한 메타데이터.