스택 사용자에게 AWS OpsWorks 스택별 권한 부여 - AWS OpsWorks
사용자 권한 설정권한 보기IAM 조건 키를 사용하여 임시 자격 증명 확인

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

스택 사용자에게 AWS OpsWorks 스택별 권한 부여

중요

이 AWS OpsWorks Stacks 서비스는 2024년 5월 26일에 수명이 종료되었으며 신규 고객과 기존 고객 모두 사용할 수 없습니다. 고객은 가능한 한 빨리 워크로드를 다른 솔루션으로 마이그레이션할 것을 강력히 권장합니다. 마이그레이션에 대해 궁금한 점이 있으면 AWS re:Post 또는 Premium AWS Support를 통해 AWS Support 팀에 문의하세요.

AWS OpsWorks Stacks 사용자 권한을 관리하는 가장 간단한 방법은 스택의 권한 페이지를 사용하는 것입니다. 각 스택마다 해당 스택에 대한 권한을 부여하는 페이지가 있습니다.

권한 설정을 수정하려면 관리 사용자 또는 [관리] 사용자로 로그인해야 합니다. 목록에는 AWS OpsWorks Stacks로 가져온 사용자만 표시됩니다. 사용자를 생성하고 가져오는 방법에 대한 자세한 정보는 사용자 관리 단원을 참조하세요.

기본 권한 수준은 사용자에게 IAM 정책의 권한만 부여하는 IAM 정책만입니다.

  • IAM 또는 다른 리전에서 사용자를 가져오면 사용자는 IAM 정책만 권한 수준으로 모든 기존 스택의 목록에 추가됩니다.

  • 기본적으로 다른 리전에서 방금 가져온 사용자는 대상 리전 내 스택에 액세스할 수 없습니다. 다른 리전에서 가져온 사용자가 대상 리전에서 스택을 관리할 수 있게 하려면 사용자를 가져온 후 해당 사용자에게 스택에 대한 권한을 부여해야 합니다.

  • 새 스택을 생성하면 모든 현재 사용자가 IAM 정책만 권한 수준으로 목록에 추가됩니다.

사용자 권한 설정

사용자 권한을 설정하려면

  1. 탐색 창에서 권한을 선택합니다.

  2. 권한 페이지에서 편집을 선택합니다.

  3. 다음과 같이 권한 수준인스턴스 액세스 설정을 변경합니다.

    • [권한 수준] 설정을 사용하여 각 사용자에게 표준 권한 레벨 중 하나를 할당합니다. 이 레벨은 사용자가 이 스택에 액세스할 수 있는지 여부와 사용자가 수행할 수 있는 작업을 결정합니다. 사용자에게 IAM 정책이 있는 경우 AWS OpsWorks Stacks는 두 권한 세트를 모두 평가합니다. 관련 예제는 정책 예제 단원을 참조하세요.

    • [인스턴스 액세스]의 [SSH/RDP] 설정은 사용자가 스택의 인스턴스에 대해 SSH(Linux) 또는 RDP(Windows) 액세스 권한을 가지고 있는지 여부를 지정합니다.

      SSH/RDP 액세스를 승인하면 경우에 따라 스택 인스턴스에서 사용자에게 sudo(Linux) 또는 administrative(Windows) 권한을 부여하는 sudo/admin을 선택할 수 있습니다.

    권한 페이지를 사용하여 사용자 관리.

각 사용자를 다음 권한 수준 중 하나에 할당할 수 있습니다. 각 수준에서 허용되는 작업의 목록은 AWS OpsWorks 스택, 권한 수준 단원을 참조하세요.

거부

사용자는 AWS OpsWorks 스택에 전체 액세스 권한을 부여하는 AWS OpsWorks IAM 정책이 있더라도 스택에서 Stacks 작업을 수행할 수 없습니다. 예를 들어 이 수준을 사용하여 일부 사용자가 릴리스 전 제품의 스택에 액세스하는 것을 거부할 수 있습니다.

IAM 정책만

새로 가져온 사용자에 할당되며 새로 생성된 스택에 대해 모든 사용자에게 할당되는 기본 수준입니다. 사용자의 권한은 IAM 정책에 따라 결정됩니다. 사용자에게 IAM 정책이 없거나 정책에 명시적인 AWS OpsWorks Stacks 권한이 없는 경우 스택에 액세스할 수 없습니다. 관리 사용자에게는 일반적으로 이 수준이 할당됩니다. 관리 사용자에게 IAM 정책이 이미 전체 액세스 권한을 부여하기 때문입니다.

표시

사용자가 스택을 볼 수 있지만 작업을 수행할 수는 없습니다. 예를 들어 계정의 스택을 모니터링해야 하지만 앱을 배포하거나 어떤 식으로든 스택을 수정할 필요는 없는 관리자에게 부여할 수 있습니다.

배포

[표시] 권한을 포함하며 사용자가 앱을 배포할 수 있도록 허용합니다. 예를 들어 스택의 인스턴스에 업데이트를 배포해야 하지만 스택에 계층 또는 인스턴스를 추가할 필요는 없는 앱 개발자에게 부여할 수 있습니다.

관리

[배포] 권한을 포함하며 사용자에게 다음을 포함하여 다양한 스택 관리 작업을 수행하도록 허용합니다.

  • 계층 및 인스턴스 추가 또는 삭제

  • 스택의 [권한] 페이지를 사용하여 사용자에게 권한 수준을 할당

  • 리소스 등록 또는 등록 해제

예를 들어 각 스택에 전담 관리자가 지명될 수 있습니다. 이 관리자의 책임은 스택에서 적절한 수 및 유형의 인스턴스가 실행되는지 확인하고, 패키지 및 운영 체제 업데이트를 처리하는 등입니다.

참고

[관리] 권한 수준은 사용자가 스택을 생성 또는 복제하도록 허용하지 않습니다. 이러한 권한은 IAM 정책을 통해 부여되어야 합니다. 예시는 권한 관리단원을 참조하세요.

사용자가 IAM 정책도 가지고 있는 경우 AWS OpsWorks Stacks는 두 권한 세트를 모두 평가합니다. 그러므로 사용자에게 한 권한 수준을 할당한 다음 해당 수준에서 허용된 작업을 제한 또는 보강하는 정책을 적용할 수 있습니다. 예를 들어 관리 사용자가 스택을 생성 또는 복제하도록 허용하거나 리소스를 등록 또는 등록 해제하는 권한을 거부하는 정책을 적용할 수 있습니다. 이러한 정책의 몇 가지 예는 정책 예제 단원을 참조하세요.

참고

사용자 정책이 추가 작업을 허용할 경우 결과가 [권한] 페이지 설정을 재정의하는 것으로 나타날 수 있습니다. 예를 들어 사용자에게 CreateLayer작업을 허용하는 정책이 있지만 권한 페이지를 사용하여 배포 권한을 지정하는 경우 사용자는 여전히 계층을 생성할 수 있습니다. 이 규칙의 예외는 거부 옵션이며, 이 옵션을 사용하면 정책이 있는 사용자도 스택 액세스를 거부할 수 있습니다. AWSOpsWorks_FullAccess 자세한 내용은 정책을 사용한 AWS 리소스 액세스 제어를 참조하십시오.

권한 보기

자기 관리가 활성화된 경우 오른쪽 상단에서 [내 설정]을 선택하면 사용자 자신의 스택별 권한 수준의 요약을 볼 수 있습니다. 정책에서 DescribeMyUserProfileUpdateMyUserProfile작업에 대한 권한을 부여하는 경우 사용자는 내 설정에도 액세스할 수 있습니다.

IAM 조건 키를 사용하여 임시 자격 증명 확인

AWS OpsWorks 스택에는 추가 권한 부여 사례 (예: 개별 사용자의 스택에 대한 읽기 전용 또는 읽기/쓰기 액세스의 간소화된 관리) 를 지원하는 권한 부여 계층이 내장되어 있습니다. 이 권한 부여 계층은 임시 자격 증명을 사용합니다. 이 때문에 IAM 설명서의 IAM JSON 정책 요소 참조에서 설명된 대로 aws:TokenIssueTime 조건을 사용하여 해당 사용자가 장기 자격 증명을 사용하는지 확인하거나 임시 자격 증명을 사용하는 사용자의 작업을 차단할 수 없습니다.