AWS OpsWorks 구성 관리에 대한 AWS 관리형 정책 - AWS OpsWorks
AWSOpsWorksCMServiceRoleAWSOpsWorksCMInstanceProfileRole정책 업데이트

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS OpsWorks 구성 관리에 대한 AWS 관리형 정책

사용자, 그룹 또는 역할에 권한을 추가할 때 정책을 직접 작성하는 것보다 AWS 관리형 정책을 사용하는 것이 더욱 편리합니다. 팀에 필요한 권한만 제공하는 IAM 고객 관리형 정책을 생성하기 위해서는 시간과 전문 지식이 필요합니다. 빨리 시작하려면 AWS 관리형 정책을 사용할 수 있습니다. 이러한 정책은 일반적인 사용 사례에 적용되며 AWS 계정에서 사용할 수 있습니다. AWS 관리형 정책에 대한 자세한 정보는 IAM 사용 설명서에서 AWS 관리형 정책을 참조하세요.

AWS 서비스 유지 관리 및 AWS 관리형 정책 업데이트입니다. AWS 관리형 정책에서 권한을 변경할 수 없습니다. 서비스는 때때로 추가 권한을 AWS 관리형 정책에 추가하여 새로운 기능을 지원합니다. 이 유형의 업데이트는 정책이 연결된 모든 자격 증명(사용자, 그룹 및 역할)에 적용됩니다. 서비스는 새로운 기능이 시작되거나 새 태스크를 사용할 수 있을 때 AWS 관리형 정책에 업데이트됩니다. 서비스는 AWS 관리형 정책에서 권한을 제거하지 않기 때문에 정책 업데이트로 인해 기존 권한이 손상되지 않습니다.

또한 AWS는 여러 서비스의 직무에 대한 관리형 정책을 지원합니다. 예를 들어 ReadOnlyAccess라는 이름의 AWS 관리형 정책은 모든 AWS 서비스 및 리소스에 대한 읽기 전용 액세스 권한을 제공합니다. 서비스에서 새 기능을 시작하면 AWS 가 새 작업 및 리소스에 대한 읽기 전용 권한을 추가합니다. 직무 정책의 목록과 설명은 IAM 사용 설명서직무에 관한 AWS 관리형 정책을 참조하세요.

AWS; 관리형 정책: AWSOpsWorksCMServiceRole

AWSOpsWorksCMServiceRole를 IAM 엔터티에 연결할 수 있습니다. 또한 OpsWorks CM은 OpsWorks CM이 사용자를 대신하여 작업을 수행할 수 있도록 하는 서비스 역할에 이 정책을 연결합니다.

이 정책은 OpsWorks CM 관리자가 OpsWorks CM 서버 및 백업을 생성, 관리 및 삭제할 수 있는 관리 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • opsworks-cm — 주체가 기존 서버를 삭제하고 유지 관리 실행을 시작할 수 있습니다.

  • acm — 사용자가 OpsWorks CM 서버에 연결할 수 있는 AWS Certificate Manager에서 인증서를 주체가 삭제하거나 가져올 수 있습니다.

  • cloudformation — 주체가 OpsWorks CM 서버를 생성, 업데이트 또는 삭제할 때 OpsWorks CM에서 AWS CloudFormation 스택을 생성하고 관리할 수 있습니다.

  • ec2 — 주체가 OpsWorks CM 서버를 생성, 업데이트 또는 삭제할 때 OpsWorks CM이 Amazon Elastic Compute Cloud 인스턴스를 시작, 프로비저닝, 업데이트 및 종료할 수 있도록 허용합니다.

  • iam — OpsWorks CM 서버를 만들고 관리하는 데 필요한 서비스 역할을 OpsWorks CM에서 생성할 수 있습니다.

  • tag — 주체가 서버 및 백업을 포함한 OpsWorks CM 리소스에서 태그를 적용하고 제거할 수 있습니다.

  • s3 — OpsWorks CM이 서버 백업을 저장하기 위한 Amazon S3 버킷을 생성하고, 주요 요청 시 S3 버킷의 객체를 관리(예: 백업 삭제)하고, 버킷을 삭제할 수 있습니다.

  • secretsmanager — OpsWorks CM이 Secrets Manager 암호를 생성 및 관리하고 암호에서 태그를 적용하거나 제거할 수 있습니다.

  • ssm — OpsWorks CM이 OpsWorks CM 서버인 인스턴스에서 Systems Manager 실행 명령을 사용할 수 있도록 허용합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-opsworks-cm-*"
            ],
            "Action": [
                "s3:CreateBucket",
                "s3:DeleteObject",
                "s3:DeleteBucket",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutBucketPolicy",
                "s3:PutObject",
                "s3:GetBucketTagging",
                "s3:PutBucketTagging"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "tag:UntagResources",
                "tag:TagResources"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "ssm:DescribeInstanceInformation",
                "ssm:GetCommandInvocation",
                "ssm:ListCommandInvocations",
                "ssm:ListCommands"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
                }
            },
            "Action": [
                "ssm:SendCommand"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:*::document/*",
                "arn:aws:s3:::aws-opsworks-cm-*"
            ],
            "Action": [
                "ssm:SendCommand"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "ec2:AllocateAddress",
                "ec2:AssociateAddress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateImage",
                "ec2:CreateSecurityGroup",
                "ec2:CreateSnapshot",
                "ec2:CreateTags",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteSnapshot",
                "ec2:DeregisterImage",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAddresses",
                "ec2:DescribeImages",
                "ec2:DescribeInstanceStatus",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DisassociateAddress",
                "ec2:ReleaseAddress",
                "ec2:RunInstances",
                "ec2:StopInstances"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
                }
            },
            "Action": [
                "ec2:TerminateInstances",
                "ec2:RebootInstances"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:opsworks-cm:*:*:server/*"
            ],
            "Action": [
                "opsworks-cm:DeleteServer",
                "opsworks-cm:StartMaintenance"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:cloudformation:*:*:stack/aws-opsworks-cm-*"
            ],
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStackResources",
                "cloudformation:DescribeStacks",
                "cloudformation:UpdateStack"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::*:role/aws-opsworks-cm-*",
                "arn:aws:iam::*:role/service-role/aws-opsworks-cm-*"
            ],
            "Action": [
                "iam:PassRole"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": [
                "acm:DeleteCertificate",
                "acm:ImportCertificate"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:UpdateSecret",
                "secretsmanager:DeleteSecret",
                "secretsmanager:TagResource",
                "secretsmanager:UntagResource"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteTags",
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:elastic-ip/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        }
    ]
}

AWS 관리형 정책: AWSOpsWorksCMInstanceProfileRole

AWSOpsWorksCMInstanceProfileRole를 IAM 엔터티에 연결할 수 있습니다. 또한 OpsWorks CM은 OpsWorks CM이 사용자를 대신하여 작업을 수행할 수 있도록 허용하는 서비스 역할에 이 정책을 연결합니다.

이 정책은 OpsWorks CM 서버로 사용되는 Amazon EC2 인스턴스가 AWS CloudFormation와 AWS Secrets Manager에서 정보를 얻고 Amazon S3 버킷에서 서버 백업을 저장하도록 허용하는 관리 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • acm — OpsWorks CM 서버 EC2 인스턴스가 사용자가 OpsWorks CM 서버에 연결할 수 있도록 하는 AWS Certificate Manager에서 인증서를 받을 수 있도록 허용합니다.

  • cloudformation — OpsWorks CM 서버 EC2 인스턴스가 인스턴스 생성 또는 업데이트 프로세스 중에 AWS CloudFormation 스택에 대한 정보를 얻고 스택의 상태에 대한 신호를 AWS CloudFormation에 보낼 수 있습니다.

  • s3 — OpsWorks CM 서버 EC2 인스턴스가 S3 버킷의 서버 백업을 업로드 및 저장하고, 필요한 경우 업로드를 중지 또는 롤백하고, S3 버킷에서 백업을 삭제할 수 있습니다.

  • secretsmanager — OpsWorks CM 서버 EC2 인스턴스가 OpsWorks CM 관련 Secrets Manager 암호 값을 가져올 수 있도록 허용합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "cloudformation:DescribeStackResource",
                "cloudformation:SignalResource"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListMultipartUploadParts",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::aws-opsworks-cm-*",
            "Effect": "Allow"
        },
        {
            "Action": "acm:GetCertificate",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
            "Effect": "Allow"
        }
    ]
}

AWS 관리형 정책에 대한 OpsWorks CM 업데이트

이 서비스가 이러한 변경 내용을 추적하기 시작한 이후부터 OpsWorks CM의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 OpsWorks CM 문서 기록 페이지에서 RSS 피드를 구독하세요.

변경 사항 설명 날짜

AWSOpsWorksCMInstanceProfileRole — 업데이트된 관리형 정책

OpsWorks CM은 OpsWorks CM 서버로 사용되는 EC2 인스턴스가 CloudFormation 및 Secrets Manager와 정보를 공유하고 백업을 관리할 수 있도록 허용하는 관리형 정책을 업데이트했습니다. 이 opsworks-cm! 변경으로 인해 Secrets Manager 암호의 리소스 이름에 이 추가되어 OpsWorks CM이 암호를 소유할 수 있게 되었습니다.

 2021년 4월 23일

AWSOpsWorksCMServiceRole - 업데이트된 관리형 정책

OpsWorks CM은 OpsWorks CM 관리자가 OpsWorks CM 서버 및 백업을 생성, 관리 및 삭제할 수 있도록 허용하는 관리형 정책을 업데이트했습니다. 이 변경으로 인해 Secrets Manager 암호의 리소스 이름에 opsworks-cm!이 추가되어 OpsWorks CM이 암호를 소유할 수 있게 되었습니다.

 2021년 4월 23일

OpsWorks CM에서 변경 내용 추적 시작

OpsWorks CM이 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다.

 2021년 4월 23일