CloudFormation을 사용하도록 최소 권한 구성

이 장에서는 서비스에 액세스하고 사용할 AWS CloudFormation 수 있는 권한을 구성하는 옵션을 검토합니다.

사용자 또는 서비스가 CloudFormation을 통해 AWS 리소스를 프로비저닝하는 경우 첫 번째 단계는 AWS Identity and Access Management (IAM) 보안 주체를 통해 CloudFormation 서비스를 호출하는 것입니다. 이 IAM 보안 주체는 CloudFormation 스택을 생성할 권한이 있어야 합니다. 다음으로 IAM 보안 주체는 다음 접근 방식 중 하나를 사용하여 CloudFormation을 통해 리소스를 프로비저닝합니다.

• IAM 보안 주체가 스택 작업을 CloudFormation 서비스 역할에 전달하지 않는 경우 CloudFormation은 IAM 보안 주체의 자격 증명을 사용하여 스택 작업을 수행합니다. 이 값이 기본값입니다. 따라서 IAM 보안 주체는 CloudFormation 스택 작업을 수행할 수 있는 권한 외에도 사용할 CloudFormation 템플릿에 정의된 리소스를 프로비저닝할 수 있는 권한도 필요합니다. 예를 들어 IAM 보안 주체가 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 생성할 권한이 없는 경우 Amazon EC2 인스턴스를 프로비저닝할 CloudFormation 스택을 생성할 수 없습니다.

• IAM 보안 주체가 스택 작업을 CloudFormation 서비스 역할에 전달하면 CloudFormation은 서비스 역할을 사용하여 스택 작업을 수행하고 CloudFormation 템플릿에서 리소스를 프로비저닝합니다. 이 CloudFormation 서비스 역할은 IAM 보안 주체 AWS 서비스 를 대신하여를 프로비저닝할 수 있는 권한으로 정의되어야 합니다. 이 접근 방식은 IAM 보안 주체에게 CloudFormation 템플릿에 정의된 AWS 리소스를 프로비저닝할 수 있는 직접 권한을 부여하는 것을 방지합니다. IAM 보안 주체에는 CloudFormation 스택 생성 권한이 필요하며, CloudFormation은 IAM 보안 주체의 정책 대신 서비스 역할의 정책을 사용하여 호출합니다.

서비스 역할 접근 방식과 최소 권한 원칙을 사용하여 AWS 환경에서 리소스 프로비저닝을 표준화하고 사용자에게 CloudFormation을 통해 리소스를 IaC로 프로비저닝하도록 요구할 수 있습니다. IAM 보안 주체에 연결된 정책에는 AWS 리소스를 직접 프로비저닝할 수 있는 권한이 포함되어 있지 않으므로 사용자는 CloudFormation을 사용하여 리소스를 프로비저닝해야 합니다.

이 장에서는 CloudFormation 서비스 및 CloudFormation 스택에 대한 액세스를 구성하고 관리하기 위한 다음 메커니즘을 검토합니다.

• CloudFormation에 대한 자격 증명 기반 정책 -이 유형의 정책을 사용하여 CloudFormation에 액세스할 수 있는 IAM 보안 주체와 CloudFormation에서 수행할 수 있는 작업을 구성합니다.

• CloudFormation의 서비스 역할 - CloudFormation이 스택을 배포하는 IAM 보안 주체를 대신하여 스택 리소스를 생성, 업데이트 또는 삭제할 수 있는 서비스 역할을 생성합니다. 서비스 역할은 IAM에서 생성되며 하나 이상의 스택과 연결할 수 있습니다.

• CloudFormation 스택 정책 -이 유형의 정책을 사용하여 스택을 업데이트할 수 있는 시기를 결정합니다. 이러한 유형의 정책은 스택 리소스가 의도치 않게 업데이트되거나 삭제되는 것을 방지하는 데 도움이 될 수 있습니다. 스택 정책이 생성되어 CloudFormation의 스택에 연결됩니다.