환경 계정 연결 - AWS Proton

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

환경 계정 연결

개요

한 계정에서AWS Proton 환경을 생성 및 관리하고 다른 계정에서 해당 인프라 리소스를 프로비저닝하는 방법을 알아봅니다. 이를 통해 가시성과 효율성을 대규모로 개선할 수 있습니다. 환경 계정 연결은AWS CloudFormation 인프라를 코드로 사용하는 표준 프로비저닝만 지원합니다.

참고

이 항목의 정보는 AWS관리형 프로비저닝으로 구성된 환경과 관련이 있습니다. 자체 관리형 프로비저닝으로 구성된 환경에서는 인프라를 직접 프로비저닝하지AWS Proton 않습니다. 대신 프로비저닝을 위해 풀 리퀘스트 (PR) 를 리포지토리로 보냅니다. 자동화 코드에 올바른 ID와 역할이 적용되도록 하는 것은 사용자의 책임입니다.

프로비저닝 방법에 대한 자세한 내용은 단원을 참조하십시오인프라를AWS Proton 프로비저닝하는 방법.

용어


        단일 계정에 속한 단일 계정 (관리 계정) 내의AWS Proton 리소스를 설명하는AWS 리전 다이어그램입니다. 또한 해당 계정의AWS Proton 환경이 환경 계정 연결을 사용하여 동일한 지역의 다른 계정 (환경 계정) 에 배포하는 방법도 보여 줍니다.

AWS Proton환경 계정 연결을 사용하면 한 계정에서AWS Proton 환경을 만들고 다른 계정에서 해당 인프라를 프로비저닝할 수 있습니다.

관리 계정

관리자가 다른 환경 계정에 인프라 리소스를 프로비저닝하는AWS Proton 환경을 만드는 단일 계정입니다.

환경 계정

다른 계정에서 환경을 만들 때 환경 인프라가 프로비전되는AWS Proton 계정입니다.

환경 계정 연결

관리 계정과 환경 계정 간의 안전한 양방향 연결. 다음 섹션에 설명된 대로 권한 부여 및 권한을 유지합니다.

특정 지역의 환경 계정에서 환경 계정 연결을 생성하면 동일한 지역의 관리 계정만 환경 계정 연결을 보고 사용할 수 있습니다. 즉, 관리 계정에서 생성된AWS Proton 환경과 환경 계정에서 프로비저닝된 환경 인프라가 동일한 지역에 있어야 합니다.

환경 계정 연결 고려 사항

  • 환경 계정에서 프로비전하려는 각 환경에 대한 환경 계정 연결이 필요합니다.

  • 환경 계정 연결 할당량에 대한 자세한 내용은 을 참조하십시오AWS Proton 할당량.

태그 지정

환경 계정에서 콘솔 또는 를 사용하여 환경 계정 연결 고객 관리 태그를 보고 관리할 수 있습니다.AWS CLI AWS관리 태그는 환경 계정 연결에 대해 생성되지 않습니다. 자세한 내용은 AWS Proton리소스 및 태깅을 참조하세요.

한 계정에서 환경을 만들고 다른 계정에서 해당 인프라를 프로비저닝합니다.

단일 관리 계정에서 환경을 만들고 프로비전하려면 만들려는 환경에 대한 환경 계정을 설정해야 합니다.

환경 계정에서 시작하여 연결을 생성합니다.

환경 계정에서 환경 인프라 리소스를 프로비저닝하는 데 필요한 권한만 사용할 수 있는AWS Proton 서비스 역할을 생성합니다. 자세한 내용은 AWS Proton프로비저닝을 위한 서비스 역할AWS CloudFormation을 참조하세요.

그런 다음 환경 계정 연결 요청을 생성하여 관리 계정으로 보냅니다. 요청이 수락되면 연결된 환경 계정에서 환경 리소스 프로비저닝을 허용하는 관련 IAM 역할을 사용할AWS Proton 수 있습니다.

관리 계정에서 환경 계정 연결을 수락하거나 거부합니다.

관리 계정에서 환경 계정 연결 요청을 수락하거나 거부합니다. 관리 계정에서 환경 계정 연결을 삭제할 수 없습니다.

요청을 수락하면 는 연결된 환경 계정에서 리소스 프로비저닝을 허용하는 관련 IAM 역할을 사용할AWS Proton 수 있습니다.

환경 인프라 리소스는 관련 환경 계정에서 프로비저닝됩니다. 관리 계정에서 환경 및 인프라 리소스에 액세스하고 관리하는 데만AWS Proton API를 사용할 수 있습니다. 자세한 내용은 한 계정에서 환경을 만들고 다른 계정에서 프로비저닝하십시오.환경 업데이트 단원을 참조하세요.

요청을 거부한 후에는 거부된 환경 계정 연결을 수락하거나 사용할 수 없습니다.

참고

환경에 연결된 환경 계정 연결을 거부할 수 없습니다. 환경 계정 연결을 거부하려면 먼저 연결된 환경을 삭제해야 합니다.

환경 계정에서 프로비저닝된 인프라 리소스에 액세스합니다.

환경 계정에서 프로비저닝된 인프라 리소스를 보고 액세스할 수 있습니다. 예를 들어 필요한 경우 CloudFormation API 작업을 사용하여 스택을 모니터링하고 정리할 수 있습니다. AWS ProtonAPI 작업을 사용하여 인프라 리소스를 프로비저닝하는 데 사용된AWS Proton 환경에 액세스하거나 관리할 수 없습니다.

환경 계정에서 만든 환경 계정 연결을 환경 계정에서 삭제할 수 있습니다. 수락하거나 거부할 수 없습니다. 환경에서 사용 중인 환경 계정 연결을 삭제하면 해당AWS Proton 환경 계정과 명명된 환경에 대한 새 환경 연결이 수락될 때까지 환경 인프라 리소스를 관리할 수AWS Proton 없습니다. 환경 연결 없이 남아 있는 프로비저닝된 리소스를 정리해야 합니다.

콘솔 또는 CLI를 사용하여 환경 계정 연결을 관리합니다.

콘솔이나 CLI를 사용하여 환경 계정 연결을 생성 및 관리할 수 있습니다.

AWS Management Console
콘솔을 사용하여 환경 계정 연결을 생성하고 다음 단계에 표시된 대로 관리 계정에 요청을 보냅니다.
  1. 관리 계정에서 만들려는 환경의 이름을 결정하거나 환경 계정 연결이 필요한 기존 환경의 이름을 선택합니다.

  2. 환경 계정의 AWS Proton콘솔에서 탐색 창의 환경 계정 연결을 선택합니다.

  3. 환경 계정 연결 페이지에서 연결 요청을 선택합니다.

    참고

    환경 계정 연결 페이지 제목에 나와 있는 계정 ID를 확인합니다. 지정된 환경을 프로비전하려는 환경 계정의 계정 ID와 일치하는지 확인하십시오.

  4. 연결 요청 페이지에서:

    1. 관리 계정에 Connect 섹션에서 1단계에서 입력한 관리 계정 ID환경 이름을 입력합니다.

    2. 환경 역할 섹션에서 새 서비스 역할을 선택하면AWS Proton 자동으로 새 역할을 생성합니다. 또는 기존 서비스 역할과 이전에 만든 서비스 역할의 이름을 선택합니다.

      참고

      AWS Proton자동으로 생성되는 역할에는 광범위한 권한이 있습니다. 역할 범위를 환경 인프라 리소스를 프로비저닝하는 데 필요한 권한으로 줄이는 것이 좋습니다. 자세한 내용은 AWS Proton프로비저닝을 위한 서비스 역할AWS CloudFormation을 참조하세요.

    3. (선택 사항) [Tags] 섹션에서 Add new tag (새 태그 추가) 를 선택하여 환경 계정 연결에 대한 고객 관리형 태그를 생성합니다.

    4. 연결 요청을 선택합니다.

  5. 관리 계정 테이블로 전송된 환경 연결에서 요청이 보류 중으로 표시되고 모달을 통해 관리 계정에서 요청을 수락하는 방법을 알 수 있습니다.

환경 계정 연결 요청을 수락하거나 거부합니다.
  1. 관리 계정의 AWS Proton콘솔에서 탐색 창의 환경 계정 연결을 선택합니다.

  2. 환경 계정 연결 페이지의 환경 계정 연결 요청 테이블에서 수락하거나 거부할 환경 연결 요청을 선택합니다.

    참고

    환경 계정 연결 페이지 제목에 나와 있는 계정 ID를 확인합니다. 거부할 환경 계정 연결과 연결된 관리 계정의 계정 ID와 일치하는지 확인하세요. 이 환경 계정 연결을 거부한 후에는 거부된 환경 계정 연결을 수락하거나 사용할 수 없습니다.

  3. 거부 또는 수락을 선택합니다.

    • 거부를 선택한 경우 상태가 보류에서 거부됨으로 바뀝니다.

    • 수락을 선택한 경우 상태가 보류에서 연결됨으로 변경됩니다.

환경 계정 연결을 삭제합니다.
  1. 환경 계정의 AWS Proton콘솔에서 탐색 창의 환경 계정 연결을 선택합니다.

    참고

    환경 계정 연결 페이지 제목에 나와 있는 계정 ID를 확인합니다. 거부할 환경 계정 연결과 연결된 관리 계정의 계정 ID와 일치하는지 확인하세요. 이 환경 계정 연결을 삭제한 후에는 환경 계정에서 환경 인프라 리소스를 관리할AWS Proton 수 없습니다. 관리 계정에서 환경 계정 및 명명된 환경에 대한 새 환경 계정 연결을 수락한 후에만 관리할 수 있습니다.

  2. 환경 계정 연결 페이지의 관리 계정에 연결하기 위해 보낸 요청 섹션에서 삭제를 선택합니다.

  3. 삭제 여부를 확인하는 메시지가 표시됩니다. 삭제를 선택합니다.

AWS CLI

관리 계정에서 만들려는 환경의 이름을 결정하거나 환경 계정 연결이 필요한 기존 환경의 이름을 선택합니다.

환경 계정에서 환경 계정 연결을 생성합니다.

다음 명령을 실행합니다.

$ aws proton create-environment-account-connection \ --environment-name "simple-env-connected" \ --role-arn "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role" \ --management-account-id "111111111111"

응답:

{ "environmentAccountConnection": { "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "environmentAccountId": "222222222222", "environmentName": "simple-env-connected", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00", "managementAccountId": "111111111111", "requestedAt": "2021-04-28T23:13:50.847000+00:00", "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role", "status": "PENDING" } }

다음 명령 및 응답에 표시된 대로 관리 계정에서 환경 계정 연결을 수락하거나 거부합니다.

참고

이 환경 계정 연결을 거부하면 거부된 환경 계정 연결을 수락하거나 사용할 수 없습니다.

거부를 지정하면 상태가 보류에서 거부됨으로 바뀝니다.

수락을 지정하면 상태가 보류에서 연결됨으로 변경됩니다.

다음 명령을 실행하여 환경 계정 연결을 수락합니다.

$ aws proton accept-environment-account-connection \ --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

응답:

{ "environmentAccountConnection": { "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "environmentAccountId": "222222222222", "environmentName": "simple-env-connected", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "lastModifiedAt": "2021-04-28T23:15:33.486000+00:00", "managementAccountId": "111111111111", "requestedAt": "2021-04-28T23:13:50.847000+00:00", "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role", "status": "CONNECTED" } }

다음 명령을 실행하여 환경 계정 연결을 거부합니다.

$ aws proton reject-environment-account-connection \ --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

응답:

{ "environmentAccountConnection": { "arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "status": "REJECTED", "environmentAccountId": "222222222222", "environmentName": "simple-env-reject", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00", "managementAccountId": "111111111111", "requestedAt": "2021-04-28T23:13:50.847000+00:00", "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role" } }

환경 계정의 연결을 볼 수 있습니다. 환경 계정 연결을 가져오거나 나열할 있습니다.

다음 get 명령을 실행합니다.

$ aws proton get-environment-account-connection \ --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

응답:

{ "environmentAccountConnection": { "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "environmentAccountId": "222222222222", "environmentName": "simple-env-connected", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "lastModifiedAt": "2021-04-28T23:15:33.486000+00:00", "managementAccountId": "111111111111", "requestedAt": "2021-04-28T23:13:50.847000+00:00", "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role", "status": "CONNECTED" } }

환경 계정에서 환경 계정 연결을 삭제합니다.

참고

이 환경 계정 연결을 삭제하면 환경 계정 및 명명된 환경에 대한 새 환경 연결이 수락될 때까지 환경 계정의 환경 인프라 리소스를 관리할 수AWS Proton 없습니다. 환경 연결 없이 남아 있는 프로비저닝된 리소스를 정리해야 합니다.

다음 명령을 실행합니다.

$ aws proton delete-environment-account-connection \ --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

응답:

{ "environmentAccountConnection": { "arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "environmentAccountId": "222222222222", "environmentName": "simple-env-connected", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00", "managementAccountId": "111111111111", "requestedAt": "2021-04-28T23:13:50.847000+00:00", "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role", "status": "CONNECTED" } }