AWS OpsWorks Stacks 사용자에게 스택별 권한 부여 - AWS OpsWorks

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS OpsWorks Stacks 사용자에게 스택별 권한 부여

AWS OpsWorks 스택 사용자 권한을 관리하는 가장 간단한 방법은 스택의 권한 페이지를 사용하는 것입니다. 각 스택마다 해당 스택에 대한 권한을 부여하는 페이지가 있습니다.

권한 설정을 수정하려면 관리 사용자 또는 [Manage] 사용자로 로그인해야 합니다. 목록에는 AWS OpsWorks Stacks로 가져온 사용자만 표시됩니다. 사용자를 생성하고 가져오는 방법에 대한 자세한 정보는 사용자 관리 단원을 참조하십시오.

기본 권한 수준은 IAM Policies Only로, 연결된 IAM 정책에 있는 권한만 사용자에게 부여합니다.

  • IAM 또는 다른 리전에서 사용자를 가져오면 해당 사용자는 IAM Policies Only 권한 수준을 가진 모든 기존 스택의 목록에 추가됩니다.

  • 기본적으로 다른 리전에서 방금 가져온 사용자는 대상 리전 내 스택에 액세스할 수 없습니다. 다른 리전에서 가져온 사용자가 대상 리전에서 스택을 관리할 수 있게 하려면 사용자를 가져온 후 해당 사용자에게 스택에 대한 권한을 부여해야 합니다.

  • 새 스택을 생성하면 모든 현재 사용자가 IAM Policies Only 권한 수준으로 목록에 추가됩니다.

사용자 권한 설정

사용자 권한을 설정하려면
  1. 탐색 창에서 권한을 선택합니다.

  2. 권한 페이지에서 편집을 선택합니다.

  3. 다음과 같이 권한 수준인스턴스 액세스 설정을 변경합니다.

    • [Permissions level] 설정을 사용하여 각 사용자에게 표준 권한 레벨 중 하나를 할당합니다. 이 레벨은 사용자가 이 스택에 액세스할 수 있는지 여부와 사용자가 수행할 수 있는 작업을 결정합니다. 사용자에게 연결된 IAM 정책이 있는 경우AWS OpsWorks Stacks는 두 권한 세트를 모두 평가합니다. 관련 예제는 정책 예제 단원을 참조하십시오.

    • [Instance access]의 [SSH/RDP] 설정은 사용자가 스택의 인스턴스에 대해 SSH(Linux) 또는 RDP(Windows) 액세스 권한을 가지고 있는지 여부를 지정합니다.

      SSH/RDP 액세스를 승인하면 경우에 따라 스택 인스턴스에서 사용자에게 sudo(Linux) 또는 administrative(Windows) 권한을 부여하는 sudo/admin을 선택할 수 있습니다.

    
                            권한 페이지를 사용하여 IAM 사용자 관리

각 사용자를 다음 권한 수준 중 하나에 할당할 수 있습니다. 각 수준에서 허용되는 작업의 목록은 AWS OpsWorks Stacks 권한 수준 단원을 참조하십시오.

거부

사용자는 스택에 전체 액세스 권한을 부여하는 연결된 IAM 정책이 있더라도 스택에서AWS OpsWorksAWS OpsWorks Stacks 작업을 수행할 수 없습니다. 예를 들어 이 수준을 사용하여 일부 사용자가 릴리스 전 제품의 스택에 액세스하는 것을 거부할 수 있습니다.

IAM Policies Only(IAM 정책만)

새로 가져온 사용자에 할당되며 새로 생성된 스택에 대해 모든 사용자에게 할당되는 기본 수준입니다. 사용자의 권한은 연결된 IAM 정책에 따라 결정됩니다. 사용자에게 연결된 IAM 정책이 없는 경우 또는 정책에 명시적인 AWS OpsWorks Stacks 권한이 없는 경우 사용자는 스택에 액세스할 수 없습니다. 연결된 IAM 정책이 이미 전체 액세스 권한을 부여하므로 관리 사용자에게는 일반적으로 이 수준이 할당됩니다.

표시

사용자가 스택을 볼 수 있지만 작업을 수행할 수는 없습니다. 예를 들어 계정의 스택을 모니터링해야 하지만 앱을 배포하거나 어떤 식으로든 스택을 수정할 필요는 없는 관리자에게 부여할 수 있습니다.

배포

[Show] 권한을 포함하며 사용자가 앱을 배포할 수 있도록 허용합니다. 예를 들어 스택의 인스턴스에 업데이트를 배포해야 하지만 스택에 계층 또는 인스턴스를 추가할 필요는 없는 앱 개발자에게 부여할 수 있습니다.

관리

[Deploy] 권한을 포함하며 사용자에게 다음을 포함하여 다양한 스택 관리 작업을 수행하도록 허용합니다.

  • 계층 및 인스턴스 추가 또는 삭제

  • 스택의 [Permissions] 페이지를 사용하여 사용자에게 권한 수준을 할당

  • 리소스 등록 또는 등록 해제

예를 들어 각 스택에 전담 관리자가 지명될 수 있습니다. 이 관리자의 책임은 스택에서 적절한 수 및 유형의 인스턴스가 실행되는지 확인하고, 패키지 및 운영 체제 업데이트를 처리하는 등입니다.

참고

[Manage] 권한 수준은 사용자가 스택을 생성 또는 복제하도록 허용하지 않습니다. 이러한 권한은 첨부된 IAM 정책을 통해 부여되어야 합니다. 예시는 권한 관리에서 확인하세요.

사용자에게 연결된 정책이 있는 경우 AWS OpsWorks Stacks가 두 권한 세트를 모두 평가합니다. 그러므로 사용자에게 한 권한 수준을 할당한 다음 해당 수준에서 허용된 작업을 제한 또는 보강하는 정책을 사용자에게 연결할 수 있습니다. 예를 들어 [Manage] 사용자가 스택을 생성 또는 복제하도록 허용하거나 리소스를 등록 또는 등록 해제하는 권한을 거부하는 정책을 연결할 수 있습니다. 이러한 정책의 몇 가지 예는 정책 예제 단원을 참조하십시오.

참고

사용자 정책이 추가 작업을 허용할 경우 결과가 [Permissions] 페이지 설정을 재정의하는 것으로 나타날 수 있습니다. 예를 들어 사용자에게 CreateLayer작업을 허용하는 연결된 정책이 있지만 권한 페이지를 사용하여 배포 권한을 지정하는 경우에도 사용자는 여전히 레이어를 생성할 수 있습니다. 이 규칙의 예외는 AWSOpsWorks_FullAccess 정책을 가진 사용자에게도 스택 액세스를 거부하는 Deny 옵션입니다. 자세한 내용은 AWS IAM 정책 개요를 참조하십시오.

권한 보기

자기 관리가 활성화된 경우 오른쪽 상단에서 [My Settings]를 선택하면 사용자 자신의 스택별 권한 수준의 요약을 볼 수 있습니다. 연결된 정책에서 DescribeMyUserProfileUpdateMyUserProfile작업에 대한 권한을 부여하는 경우 사용자는 내 설정에 액세스할 수도 있습니다.

IAM 조건 키를 사용하여 임시 자격 증명 확인

AWS OpsWorks Stacks에는 추가 권한 부여 사례(예: 개별 사용자를 위한 스택 읽기 전용 또는 쓰기 전용 액세스 권한의 관리 간소화)를 지원하는 내장 권한 부여 계층이 있습니다. 이 권한 부여 계층은 임시 자격 증명을 사용합니다. 따라서 IAM 설명서의aws:TokenIssueTime 조건 키 존재 확인을 위한 Condition Operator에서 설명한 것처럼 조건을 사용하여 사용자가 장기 자격 증명을 사용하고 있는지 확인하거나 임시 자격 증명을 사용하는 사용자의 작업을 차단할 수 없습니다.