환경 계정 연결 - AWS Proton

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

환경 계정 연결

개요

한 계정에서 AWS Proton 환경을 생성 및 관리하고 다른 계정에서 인프라 리소스를 프로비저닝하는 방법을 알아보세요. 이를 통해 규모에 맞게 가시성과 효율성을 개선할 수 있습니다. 환경 계정 연결은 AWS CloudFormation 인프라를 코드로 사용하는 표준 프로비저닝만 지원합니다.

참고

이 항목의 정보는 AWS관리형 프로비저닝으로 구성된 환경과 관련이 있습니다. 자체 관리형 프로비저닝으로 구성된 환경에서는 AWS Proton는 인프라를 직접 프로비저닝하지 않습니다. 대신 리포지토리로 풀 리퀘스트(PR)를 보내 프로비저닝합니다. 자동화 코드가 올바른 ID와 역할을 맡도록 하는 것은 사용자의 책임입니다.

프로비저닝 방법에 대한 자세한 내용은 AWS Proton의 인프라 프로비저닝 방법을 참조하세요.

용어


        한 AWS 리전에 속해 있는 단일 계정(관리 계정) 내의 AWS Proton 리소스를 설명하는 다이어그램입니다. 또한 해당 계정의 AWS Proton 환경이 환경 계정 연결을 사용하여 동일한 지역의 다른 계정(환경 계정) 에 배포하는 방법도 보여줍니다.

AWS Proton환경 계정 연결을 사용하면 한 계정에서 AWS Proton 환경을 만들고 다른 계정에서 해당 인프라를 프로비저닝할 수 있습니다.

관리 계정

관리자가 다른 환경 계정에서 인프라 리소스를 프로비저닝하는 AWS Proton 환경을 만드는 단일 계정입니다.

환경 계정

다른 계정에서 AWS Proton 환경을 만들 때 환경 인프라가 프로비저닝되는 계정입니다.

환경 계정 연결

관리 계정환경 계정 간의 안전한 양방향 연결. 다음 표에 설명된 대로 이 권한을 부여합니다.

특정 지역의 환경 계정에서 환경 계정 연결을 만들면 같은 지역에 있는 관리 계정만 환경 계정 연결을 보고 사용할 수 있습니다. 즉, 관리 계정에서 만든 AWS Proton 환경과 환경 계정에 프로비저닝된 환경 인프라가 동일한 지역에 있어야 합니다.

환경 계정 연결 고려 사항

  • 환경 계정에서 프로비저닝하려는 각 환경에 대한 환경 계정 연결이 필요합니다.

  • 환경 계정 연결 할당량에 대한 자세한 내용은 AWS Proton 할당량을 참조하세요.

태그 지정

환경 계정에서 콘솔 또는 AWS CLI를 사용하여 환경 계정 연결 고객 관리 태그를 보고 관리할 수 있습니다. 환경 계정 연결에는 AWS 관리 태그가 생성되지 않습니다. 자세한 내용은 AWS Proton 리소스 및 태깅을 참조하세요.

한 계정에서 환경을 만들고 다른 계정에서 인프라를 프로비저닝합니다.

단일 관리 계정으로 환경을 만들고 프로비전하려면 만들려는 환경에 대한 환경 계정을 설정하세요.

환경 계정에서 시작하여 연결을 생성하세요.

환경 계정에서 환경 인프라 리소스를 프로비저닝하는 데 필요한 권한만 포함하도록 범위를 좁히는 AWS Proton 서비스 역할을 만드세요. 자세한 내용은 AWS CloudFormation를 사용하여 프로비저닝하기 위한 AWS Proton 서비스 역할을 참조하세요.

그런 다음 환경 계정 연결 요청을 생성하여 관리 계정으로 전송하세요. 요청이 수락되면 AWS Proton이 연결된 환경 계정에서 환경 리소스 프로비저닝을 허용하는 관련 IAM 역할을 사용할 수 있습니다.

관리 계정에서 환경 계정 연결을 수락하거나 거부합니다.

관리 계정에서 환경 계정 연결 요청을 수락하거나 거부합니다. 관리 계정에서 환경 계정 연결을 삭제할 수 없습니다.

요청을 수락하면 AWS Proton이 연결된 환경 계정에서 리소스 프로비저닝을 허용하는 관련 IAM 역할을 사용할 수 있습니다.

환경 인프라 리소스는 관련 환경 계정에 프로비저닝됩니다. 관리 계정에서 환경 및 인프라 리소스에 액세스하고 관리하는 데는 AWS Proton API만 사용할 수 있습니다. 자세한 정보는 한 계정에서 환경을 만들고 다른 계정에서 프로비저닝합니다.환경 업데이트을 참조하세요.

요청을 거부한 후에는 거부된 환경 계정 연결을 수락하거나 사용할 수 없습니다.

참고

환경에 연결된 환경 계정 연결은 거부할 수 없습니다. 환경 계정 연결을 거부하려면 먼저 관련 환경을 삭제해야 합니다.

환경 계정에서 프로비저닝된 인프라 리소스에 액세스하세요.

환경 계정에서 프로비저닝된 인프라 리소스를 보고 액세스할 수 있습니다. 예를 들어 필요한 경우 CloudFormation API 작업을 사용하여 스택을 모니터링하고 정리할 수 있습니다. AWS Proton API 작업을 사용하여 인프라 리소스를 프로비저닝하는 데 사용된 AWS Proton 환경에 액세스하거나 관리할 수 없습니다.

환경 계정에서 환경 계정에서 만든 환경 계정 연결을 삭제할 수 있습니다. 수락하거나 거부할 수 없습니다. 환경에서 사용 중인 환경 계정 연결을 삭제하면 AWS Proton 환경 계정 및 명명된 환경에 대한 새 환경 연결이 승인될 때까지 AWS Proton는 환경 인프라 리소스를 관리할 수 없습니다. 환경 연결 없이 남아 있는 프로비저닝된 리소스를 정리하는 것은 사용자의 책임입니다.

콘솔 또는 CLI를 사용하여 환경 계정 연결을 관리합니다.

콘솔 또는 CLI를 사용하여 환경 계정 연결을 만들고 관리할 수 있습니다.

AWS Management Console
콘솔을 사용하여 다음 단계에 따라 환경 계정 연결을 만들고 관리 계정으로 요청을 보냅니다.
  1. 관리 계정에서 만들려는 환경의 이름을 정하거나 환경 계정 연결이 필요한 기존 환경의 이름을 선택합니다.

  2. 환경 계정의 AWS Proton콘솔의 탐색 창에서 환경 계정 연결을 선택합니다.

  3. 환경 계정 연결 페이지에서 연결 요청을 선택합니다.

    참고

    환경 계정 연결 페이지 제목에 나열된 계정 ID를 확인합니다. 지정된 환경에 프로비저닝하려는 환경 계정의 계정 ID와 일치하는지 확인하세요.

  4. 연결 요청 페이지에서:

    1. 관리 계정에 연결 단원에서 1단계에서 입력한 관리 계정 ID환경 이름을 입력합니다.

    2. 환경 역할 단원에서 새 서비스 역할을 선택하면 AWS Proton이 새 역할을 자동으로 생성합니다. 또는 기존 서비스 역할과 이전에 만든 서비스 역할의 이름을 선택합니다.

      참고

      AWS Proton이 자동으로 생성되는 역할에는 광범위한 권한이 있습니다. 환경 인프라 리소스를 프로비저닝하는 데 필요한 권한으로 역할의 범위를 좁히는 것이 좋습니다. 자세한 내용은 AWS CloudFormation를 사용하여 프로비저닝하기 위한 AWS Proton 서비스 역할을 참조하세요.

    3. (선택 사항) 태그 단원에서 새 태그 추가를 선택하여 환경 계정 연결을 위한 고객 관리 태그를 생성합니다.

    4. 연결 요청을 선택합니다.

  5. 관리 계정으로 전송된 환경 연결 테이블에 요청이 보류 중으로 표시되고 관리 계정의 요청을 수락하는 방법을 알려주는 모달이 표시됩니다.

환경 계정 연결 요청을 수락하거나 거부합니다.
  1. AWS Proton콘솔 관리 계정의 탐색 창에서 환경 계정 연결을 선택합니다.

  2. 환경 계정 연결 페이지의 환경 계정 연결 요청 테이블에서 수락 또는 거부할 환경 연결 요청을 선택합니다.

    참고

    환경 계정 연결 페이지 제목에 나열된 계정 ID를 확인합니다. 거부할 환경 계정 연결과 연결된 관리 계정의 계정 ID와 일치하는지 확인합니다. 이 환경 계정 연결을 거부한 후에는 거부된 환경 계정 연결을 수락하거나 사용할 수 없습니다.

  3. 거부 또는 수락을 선택합니다.

    • 거부를 선택한 경우 상태가 보류에서 거부로 바뀝니다.

    • 수락을 선택한 경우 상태가 보류에서 연결됨으로 바뀝니다.

환경 계정 연결을 삭제합니다.
  1. 환경 계정의 AWS Proton 콘솔의 탐색 창에서 환경 계정 연결을 선택합니다.

    참고

    환경 계정 연결 페이지 제목에 나열된 계정 ID를 확인합니다. 거부할 환경 계정 연결과 연결된 관리 계정의 계정 ID와 일치하는지 확인합니다. 이 환경 계정 연결을 삭제한 후에는 AWS Proton은 환경 계정의 환경 인프라 리소스를 관리할 수 없습니다. 환경 계정에 대한 새 환경 계정 연결과 명명된 환경이 관리 계정에서 수락된 후에만 관리할 수 있습니다.

  2. 환경 계정 연결 페이지의 관리 계정에 연결 요청 전송 단원에서 삭제를 선택합니다.

  3. 삭제할 것인지 확인하는 모달이 표시됩니다. 삭제를 선택합니다.

AWS CLI

관리 계정에서 만들려는 환경의 이름을 정하거나 환경 계정 연결이 필요한 기존 환경의 이름을 선택합니다.

환경 계정에서 환경 계정 연결을 생성하세요.

다음 명령을 실행합니다.

$ aws proton create-environment-account-connection \ --environment-name "simple-env-connected" \ --role-arn "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role" \ --management-account-id "111111111111"

응답:

{ "environmentAccountConnection": { "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "environmentAccountId": "222222222222", "environmentName": "simple-env-connected", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00", "managementAccountId": "111111111111", "requestedAt": "2021-04-28T23:13:50.847000+00:00", "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role", "status": "PENDING" } }

다음 명령 및 응답에 표시된 대로 관리 계정의 환경 계정 연결을 수락하거나 거부합니다.

참고

이 환경 계정 연결을 거부하면 거부된 환경 계정 연결을 수락하거나 사용할 수 없습니다.

거부를 지정하면 상태가 보류 중에서 거부됨으로 바뀝니다.

수락을 지정하면 상태가 보류 중에서 연결됨으로 바뀝니다.

다음 명령을 실행하여 환경 계정 연결을 수락합니다.

$ aws proton accept-environment-account-connection \ --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

응답:

{ "environmentAccountConnection": { "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "environmentAccountId": "222222222222", "environmentName": "simple-env-connected", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "lastModifiedAt": "2021-04-28T23:15:33.486000+00:00", "managementAccountId": "111111111111", "requestedAt": "2021-04-28T23:13:50.847000+00:00", "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role", "status": "CONNECTED" } }

다음 명령을 실행하여 환경 계정 연결을 거부합니다.

$ aws proton reject-environment-account-connection \ --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

응답:

{ "environmentAccountConnection": { "arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "status": "REJECTED", "environmentAccountId": "222222222222", "environmentName": "simple-env-reject", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00", "managementAccountId": "111111111111", "requestedAt": "2021-04-28T23:13:50.847000+00:00", "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role" } }

환경 계정의 연결을 봅니다. 환경 계정 연결가져오기 하거나 나열하기 할 수 있습니다.

다음 명령 가져오기를 실행합니다.

$ aws proton get-environment-account-connection \ --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

응답:

{ "environmentAccountConnection": { "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "environmentAccountId": "222222222222", "environmentName": "simple-env-connected", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "lastModifiedAt": "2021-04-28T23:15:33.486000+00:00", "managementAccountId": "111111111111", "requestedAt": "2021-04-28T23:13:50.847000+00:00", "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role", "status": "CONNECTED" } }

환경 계정에서 환경 계정 연결을 삭제합니다.

참고

이 환경 계정 연결을 삭제하면 환경 계정 및 명명된 환경에 대한 새 환경 연결이 승인될 때까지 AWS Proton은 환경 계정의 환경 인프라 리소스를 관리할 수 없습니다. 환경 연결 없이 남아 있는 프로비저닝된 리소스를 정리하는 것은 사용자의 책임입니다.

다음 명령을 실행합니다.

$ aws proton delete-environment-account-connection \ --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

응답:

{ "environmentAccountConnection": { "arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "environmentAccountId": "222222222222", "environmentName": "simple-env-connected", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00", "managementAccountId": "111111111111", "requestedAt": "2021-04-28T23:13:50.847000+00:00", "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role", "status": "CONNECTED" } }