AWS OpsWorks Stacks 사용자 권한 관리 - AWS OpsWorks

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

AWS OpsWorks Stacks 사용자 권한 관리

AWS OpsWorks Stacks 권한을 처리하는 한 가지 방법은 IAM AWSOpsWorksFullAccess 정책을 모든 IAM 사용자에게 연결하는 것입니다. 하지만 이 정책은 사용자가 모든 스택에서 모든 AWS OpsWorks Stacks 작업을 수행하도록 허용합니다. 이보다는 AWS OpsWorks Stacks 사용자를 지정된 작업 세트 또는 스택 리소스 집합으로 제한하는 것이 바람직할 경우가 자주 있습니다. AWS OpsWorks Stacks 사용자 권한은 AWS OpsWorks Stacks 권한 페이지를 사용하는 방법과 적절한 IAM 정책을 연결하는 방법 두 가지로 제어할 수 있습니다.

OpsWorks 권한 페이지(또는 동등한 CLI 또는 API 작업)를 사용하면 각 사용자에게 여러 권한 수준 중 하나를 할당하여 스택별로 다중 사용자 환경으로 사용자 권한을 제어할 수 있습니다. 각 수준은 특정 스택 리소스에 대해 표준적인 작업 세트를 수행할 수 있는 권한을 부여합니다. [Permissions] 페이지를 사용하여 다음을 제어할 수 있습니다.

  • 각 스택에 액세스할 수 있는 사용자

  • 각 사용자가 각 스택에서 수행하도록 허용된 작업

    예를 들어 일부 사용자는 스택을 볼 수만 있는 반면, 다른 사용자는 애플리케이션 배포, 인스턴스 추가 등의 작업을 수행할 수 있습니다.

  • 각 스택을 관리할 수 있는 사용자

    하나 이상의 지정된 사용자에게 각 스택의 관리를 위임할 수 있습니다.

  • 각 스택의 Amazon EC2 인스턴스에 대한 사용자 레벨 SSH 액세스 및 sudo 권한(Linux) 또는 RDP 액세스 및 관리자 권한(Windows)을 보유하는 사용자

    언제라도 각 사용자별로 이러한 권한을 부여하거나 제거할 수 있습니다.

중요

SSH/RDP 액세스를 거부할 경우 반드시 해당 사용자가 인스턴스에 로그인할 수 없는 것은 아닙니다. 특정 인스턴스에 대해 Amazon EC2 키 페어를 지정하면 해당되는 프라이빗 키를 보유한 모든 사용자는 로그인하거나 Windows 관리자 암호를 검색할 수 있습니다. 자세한 내용은 SSH 액세스 관리 단원을 참조하십시오.

IAM 콘솔, CLI 또는 API를 사용하여 다양한 AWS OpsWorks Stacks 리소스 및 작업에 대한 명시적 권한을 부여하는 정책을 사용자에게 연결할 수 있습니다.

  • IAM 정책으로 권한을 지정하는 것이 권한 수준을 사용하는 것보다 유연합니다.

  • IAM 그룹을 설정하여 사용자 그룹에 권한을 부여하거나, 연합된 사용자와 연결될 수 있는 역할을 정의할 수 있습니다.

  • 일부 주요 AWS OpsWorks Stacks 작업의 경우 IAM 정책이 권한을 부여하는 유일한 방법입니다.

    예를 들어 각각 스택을 생성 및 복제하는 데 사용되는 opsworks:CreateStackopsworks:CloneStack에 대한 권한을 부여하려면 IAM을 사용해야 합니다.

콘솔에서 명시적으로 연동된 사용자를 가져올 수는 없지만, 연합된 사용자는 AWS OpsWorks Stacks 콘솔의 오른쪽 상단에서 My Settings(내 설정)를 선택한 후 역시 오른쪽 상단에 있는 사용자를 선택하여 묵시적으로 사용자 프로파일을 생성할 수 있습니다. [Users] 페이지에서 연합된 사용자(API 또는 CLI를 사용하여 생성된 계정 또는 콘솔을 통해 묵시적으로 생성된 계정의 사용자)는 비 연합된 IAM 사용자와 비슷하게 계정을 관리할 수 있습니다.

두 방법은 상호 배타적이 아니며, 두 방법을 결합하는 것이 유용할 경우도 있습니다. 그러면 AWS OpsWorks Stacks가 두 권한 세트를 모두 평가합니다. 예를 통해 인스턴스 추가 또는 삭제는 허용하지만 계층 추가 또는 삭제는 허용하지 않으려는 경우를 가정해 봅시다. 어떤 AWS OpsWorks Stacks 권한 수준도 이러한 권한 세트를 부여하지 않습니다. 하지만 권한 페이지를 사용하여 사용자에게 대부분의 스택 작업을 허용하는 관리 권한 수준을 부여한 후 계층을 추가 또는 제거할 수 있는 권한을 거부하는 IAM 정책을 연결할 수 있습니다. 자세한 내용은 AWS IAM 정책 개요를 참조하십시오.

다음은 일반적인 사용자 권한 관리 모델입니다. 각 사례에서 사용자를 관리 사용자라고 가정합니다.

  1. IAM 콘솔을 사용하여 AWSOpsWorksFullAccess 정책을 하나 이상의 관리 사용자에게 연결합니다.

  2. 어떤 AWS OpsWorks Stacks 권한도 부여하지 않는 정책을 사용하여 각 비관리 사용자에 대한 IAM 사용자를 생성합니다.

    사용자가 AWS OpsWorks Stacks에 대한 액세스만 필요할 경우 정책을 연결할 필요가 전혀 없습니다. 그 대신 AWS OpsWorks Stacks 권한 페이지에서 이들의 권한을 관리할 수 있습니다.

  3. AWS OpsWorks Stacks 사용자 페이지를 사용하여 비관리 사용자를 AWS OpsWorks Stacks로 가져옵니다.

  4. 각 스택에 대해 스택의 [Permissions] 페이지를 사용하여 각 사용자에게 권한 수준을 할당합니다.

  5. 필요에 따라 적절히 구성된 IAM 정책을 연결하여 사용자의 권한 수준을 사용자 지정합니다.

사용자 관리에 대한 추가 권장 사항은 모범 사례: 권한 관리 단원을 참조하십시오.

중요

모범 사례는 AWS에서 일상적인 작업을 수행하는 데 루트(계정 소유자) 자격 증명을 사용하지 않는 것입니다. 그 대신 적절한 권한을 가진 IAM 관리자 그룹을 생성합니다. 그런 다음 조직에서 (본인을 포함하여) 관리 작업을 수행해야 하는 사용자에 대한 IAM 사용자를 생성하고 이들을 관리 그룹에 추가합니다. 자세한 내용은 IAM 사용 설명서의 IAM 모범 사례를 참조하십시오.