AWS OpsWorks 스택 사용자 권한 관리 - AWS OpsWorks

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS OpsWorks 스택 사용자 권한 관리

중요

이 AWS OpsWorks Stacks 서비스는 2024년 5월 26일에 수명이 종료되었으며 신규 고객과 기존 고객 모두 사용할 수 없게 되었습니다. 고객은 가능한 한 빨리 워크로드를 다른 솔루션으로 마이그레이션할 것을 강력히 권장합니다. 마이그레이션에 대해 궁금한 점이 있으면 AWS re:Post 또는 Premium AWS Support를 통해 AWS Support 팀에 문의하세요.

가장 좋은 방법은 AWS OpsWorks Stacks 사용자를 지정된 작업 세트 또는 스택 리소스 세트로 제한하는 것입니다. AWS OpsWorks 스택 권한 페이지를 사용하는 방법과 적절한 IAM 정책을 적용하는 두 가지 방법으로 AWS OpsWorks Stacks 사용자 권한을 제어할 수 있습니다.

OpsWorks 권한 페이지 또는 이에 상응하는 CLI 또는 API 작업을 통해 각 사용자에게 여러 권한 수준 중 하나를 할당하여 다중 사용자 환경에서 스택별로 사용자 권한을 제어할 수 있습니다. 각 수준은 특정 스택 리소스에 대해 표준적인 작업 세트를 수행할 수 있는 권한을 부여합니다. [권한] 페이지를 사용하여 다음을 제어할 수 있습니다.

  • 각 스택에 액세스할 수 있는 사용자

  • 각 사용자가 각 스택에서 수행하도록 허용된 작업

    예를 들어 일부 사용자는 스택을 볼 수만 있는 반면, 다른 사용자는 애플리케이션 배포, 인스턴스 추가 등의 작업을 수행할 수 있습니다.

  • 각 스택을 관리할 수 있는 사용자

    하나 이상의 지정된 사용자에게 각 스택의 관리를 위임할 수 있습니다.

  • 각 스택의 Amazon EC2 인스턴스에 대한 사용자 레벨 SSH 액세스 및 sudo 권한(Linux) 또는 RDP 액세스 및 관리자 권한(Windows)을 보유하는 사용자.

    언제라도 각 사용자별로 이러한 권한을 부여하거나 제거할 수 있습니다.

중요

SSH/RDP 액세스를 거부할 경우 반드시 해당 사용자가 인스턴스에 로그인할 수 없는 것은 아닙니다. 특정 인스턴스에 대해 Amazon EC2 키 페어를 지정하면 해당되는 프라이빗 키를 보유한 모든 사용자는 로그인하거나 Windows 관리자 암호를 검색할 수 있습니다. 자세한 정보는 SSH 액세스 관리을 참조하세요.

IAM 콘솔, CLI 또는 API를 사용하여 다양한 AWS OpsWorks Stacks 리소스 및 작업에 대한 명시적 권한을 부여하는 정책을 사용자에게 추가할 수 있습니다.

  • IAM 정책으로 권한을 지정하는 것이 권한 수준을 사용하는 것보다 유연합니다.

  • IAM ID(사용자, 사용자 그룹, 역할)를 설정하여 사용자 및 사용자 그룹과 같은 IAM ID에 권한을 부여하거나 페더레이션 사용자와 연결할 수 있는 역할을 정의할 수 있습니다.

  • IAM 정책은 특정 키 스택 작업에 대한 권한을 부여하는 유일한 방법입니다. AWS OpsWorks

    예를 들어 각각 스택을 생성 및 복제하는 데 사용되는 opsworks:CreateStackopsworks:CloneStack에 대한 권한을 부여하려면 IAM을 사용해야 합니다.

콘솔에서 연동 사용자를 명시적으로 가져올 수는 없지만, 연동 사용자는 AWS OpsWorks 스택 콘솔의 오른쪽 상단에서 My Settings를 선택한 다음 오른쪽 상단에서 Users를 선택하여 암시적으로 사용자 프로필을 생성할 수 있습니다. 사용자 페이지에서 페더레이션 사용자(API 또는 CLI를 사용하여 생성된 계정 또는 콘솔을 통해 묵시적으로 생성된 계정의 사용자)는 비 페더레이션 사용자와 비슷하게 계정을 관리할 수 있습니다.

두 방법은 상호 배타적이 아니며, 두 방법을 결합하는 것이 유용할 경우도 있습니다. 그러면 AWS OpsWorks Stacks가 두 권한 세트를 모두 평가합니다. 예를 통해 인스턴스 추가 또는 삭제는 허용하지만 계층 추가 또는 삭제는 허용하지 않으려는 경우를 가정해 봅시다. AWS OpsWorks 스택 권한 수준 중 어느 것도 이러한 특정 권한 세트를 부여하지 않습니다. 하지만 권한 페이지를 사용하여 사용자에게 대부분의 스택 작업을 허용하는 관리 권한 수준을 부여한 후 계층을 추가 또는 제거할 수 있는 권한을 거부하는 IAM 정책을 적용할 수 있습니다. 자세한 내용은 정책을 사용한 AWS 리소스 액세스 제어를 참조하세요.

다음은 일반적인 사용자 권한 관리 모델입니다. 각 사례에서 사용자를 관리 사용자라고 가정합니다.

  1. IAM 콘솔을 사용하여 한 명 이상의 관리자에게 AWSOpsWorks_FullAccess 정책을 적용할 수 있습니다.

  2. 어떤 AWS OpsWorks Stacks 권한도 부여하지 않는 정책을 사용하여 각 비관리 사용자에 대한 사용자를 생성합니다.

    사용자가 AWS OpsWorks 스택에만 액세스하도록 요구하는 경우 정책을 전혀 적용할 필요가 없을 수도 있습니다. 대신 AWS OpsWorks 스택 권한 페이지를 사용하여 권한을 관리할 수 있습니다.

  3. AWS OpsWorks Stacks Users 페이지를 사용하여 관리자가 아닌 사용자를 Stacks로 가져올 수 있습니다. AWS OpsWorks

  4. 각 스택에 대해 스택의 [권한] 페이지를 사용하여 각 사용자에게 권한 수준을 할당합니다.

  5. 필요에 따라 적절히 구성된 IAM 정책을 적용하여 사용자의 권한 수준을 사용자 지정합니다.

사용자 관리에 대한 추가 권장 사항은 모범 사례: 권한 관리 섹션을 참조하세요.

IAM의 모범 사례에 대한 자세한 내용은 IAM 사용 설명서IAM의 보안 모범 사례를 참조하세요.

주제