기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS RAM에서 리소스 공유 업데이트
리소스 공유는 AWS RAM에서 언제든지 다음과 같은 방법으로 업데이트할 수 있습니다.
-
생성한 리소스 공유에 보안 주체, 리소스 또는 태그를 추가할 수 있습니다.
-
기본 AWS 관리형 권한 이상을 지원하는 리소스 유형의 경우 각 유형의 리소스에 적용할 관리형 권한을 선택할 수 있습니다.
-
리소스 공유에 연결된 관리형 권한에 새 기본 버전이 있는 경우 새 버전을 사용하도록 관리형 권한을 업데이트할 수 있습니다.
-
리소스 공유에서 보안 주체 또는 리소스를 제거하여 공유 리소스에 대한 액세스 권한을 취소할 수 있습니다. 액세스 권한을 취소하면 보안 주체가 더 이상 공유 리소스에 액세스할 수 없게 됩니다.
참고
공유가 비어 있거나 리소스 공유 나가기를 지원하는 리소스 유형만 포함된 경우 리소스를 공유하는 보안 주체는 리소스 공유에서 나갈 수 있습니다. 리소스 공유에 나가기를 지원하지 않는 리소스 유형이 포함된 경우 공유 소유자에게 문의해야 한다는 메시지가 보안 주체에게 표시됩니다. 이 경우 리소스 공유의 소유자는 리소스 공유에서 보안 주체를 제거해야 합니다. 이 작업을 지원하지 않는 리소스 유형 목록은 리소스 공유에서 나가기 위한 사전 조건 섹션을 참조하세요.
- Console
-
리소스 공유를 업데이트하려면
-
AWS RAM 콘솔에서 내 공유: 리소스 공유
페이지로 이동합니다. -
AWS RAM 리소스 공유는 특정 AWS 리전에 존재하므로 콘솔의 오른쪽 상단에 있는 드롭다운 목록에서 해당 AWS 리전을 선택합니다. 글로벌 리소스가 포함된 리소스 공유를 보려면 AWS 리전을 미국 동부(버지니아 북부),
us-east-1로 설정해야 합니다. 글로벌 리소스 공유에 대한 자세한 내용은 글로벌 리소스와 리전 리소스를 비교하여 공유 섹션을 참조하세요. -
리소스 공유를 선택한 다음 수정을 선택합니다.
-
1단계: 리소스 공유 세부 정보 지정에서 리소스 공유 세부 정보를 검토하고, 필요한 경우 다음 중 하나를 업데이트합니다.
-
(선택 사항) 리소스 공유의 이름을 변경하려면 이름을 편집합니다.
-
(선택 사항) 리소스 공유에 리소스를 추가하려면 리소스에서 리소스 유형을 선택한 다음 리소스 옆의 확인란을 선택하여 리소스 공유에 추가합니다. 글로벌 리소스는 AWS Management Console에서 리전을 미국 동부(버지니아 북부)(
us-east-1)로 설정한 경우에만 나타납니다. -
(선택 사항) 리소스 공유에서 리소스를 제거하려면 선택한 리소스에서 리소스를 찾은 다음 리소스 ID 옆의 X를 선택합니다.
-
(선택 사항) 리소스 공유에 태그를 추가하려면 태그 아래의 빈 텍스트 상자에 태그 키와 값을 입력합니다. 태그 키와 값 쌍을 두 개 이상 추가하려면 새 태그 추가를 선택합니다. 최대 50개의 태그를 추가할 수 있습니다.
-
리소스 공유에서 태그를 제거하려면 태그에서 태그를 찾은 다음 옆에 있는 제거를 선택합니다.
-
-
다음을 선택합니다.
-
(선택 사항) 2단계: 각 리소스 유형과 관리형 권한 연결에서 AWS를 통해 생성된 관리형 권한을 리소스 유형과 연결하거나, 기존 고객 관리형 권한을 선택하거나, 고객 관리형 권한을 직접 생성할 수 있습니다. 자세한 내용은 관리형 권한의 유형 섹션을 참조하세요.
또한 고객 관리형 권한 생성을 선택하여 공유 사용 사례의 요구 사항을 충족하는 고객 관리형 권한을 구성할 수도 있습니다. 자세한 내용은 고객 관리형 정책 생성 섹션을 참조하세요. 프로세스를 완료한 후
를 선택한 다음 관리형 권한 드롭다운 목록에서 새 고객 관리형 권한을 선택할 수 있습니다.관리형 권한에서 허용하는 작업을 표시하려면 이 관리형 권한에 대한 정책 템플릿 보기를 확장합니다.
-
리소스 공유에 현재 할당된 관리형 권한 버전이 현재 기본 버전이 아닌 경우 기본 버전으로 업데이트를 선택하여 기본 버전으로 업데이트할 수 있습니다.
참고
마지막 단계 후 리소스 공유에 대한 변경 사항을 저장하기 전까지는 이전 버전으로 되돌리기를 선택하여 버전 업데이트를 취소할 수 있습니다. 하지만 AWS 관리형 권한의 경우 리소스 공유를 저장하면 변경 사항이 최종적으로 적용되므로 더 이상 이전 버전으로 되돌릴 수 없습니다.
-
다음을 선택합니다.
-
3단계: 액세스할 수 있는 보안 주체 선택에서 선택한 보안 주체를 검토하고, 필요한 경우 다음 중 하나를 업데이트합니다.
-
(선택 사항) 조직 내부 또는 외부의 보안 주체와의 공유 사용 여부를 변경하려면 다음 옵션 중 하나를 선택합니다.
-
조직 외부에 있는 AWS 계정 또는 개별 IAM 역할 또는 사용자와 리소스를 공유하려면 외부 보안 주체와의 공유 허용을 선택합니다.
-
AWS Organizations의 조직 내 보안 주체만 리소스를 공유하도록 제한하려면 조직 내의 보안 주체와만 공유 허용을 선택합니다.
-
-
보안 주체에서 다음을 수행합니다.
-
(선택 사항) 조직, 조직 단위(OU) 또는 멤버 AWS 계정을 조직 내에 추가하려면 조직 구조 표시를 켜서 조직의 트리 보기를 표시합니다. 그런 다음 추가하려는 각 보안 주체 옆의 확인란을 선택합니다.
중요
조직 또는 OU와 공유할 때 해당 범위에 리소스 공유를 소유한 계정이 포함되어 있으면 공유 계정의 모든 주체가 자동으로 공유의 리소스에 대한 액세스 권한을 얻게 됩니다. 부여된 액세스 권한은 공유와 연결된 관리형 권한에 의해 정의됩니다. 이는 AWS RAM에서 공유의 각 리소스에 연결한 리소스 기반 정책이
"Principal": "*"을 사용하기 때문입니다. 자세한 내용은 리소스 기반 정책에서 "Principal": "*" 사용 시 유의 사항 섹션을 참조하세요.다른 소비 계정의 보안 주체는 공유 리소스에 즉시 액세스할 수 없습니다. 다른 계정의 관리자가 먼저 자격 증명 기반 권한 정책을 해당 보안 주체에 연결해야 합니다. 이러한 정책은 리소스 공유에 있는 개별 리소스의 ARN에
Allow액세스 권한을 부여해야 합니다. 이러한 정책의 권한은 리소스 공유와 연결된 관리형 권한에 지정된 권한을 초과할 수 없습니다.참고
조직 구조 표시 토글은 AWS Organizations와의 공유가 활성화되어 있고 조직의 관리 계정에 보안 주체로 로그인한 경우에만 나타납니다.
이 방법으로는 조직 외부의 AWS 계정이나 IAM 역할 또는 사용자를 지정할 수 없습니다. 대신 조직 구조 표시 스위치 아래의 텍스트 상자에 표시된 식별자를 입력하여 해당 보안 주체를 추가해야 합니다. 다음 항목을 참조하세요.
-
(선택 사항) 식별자를 기준으로 보안 주체를 추가하려면 드롭다운 목록에서 보안 주체 유형을 선택한 다음 보안 주체의 ID 또는 ARN을 입력합니다. 마지막으로 추가를 선택합니다.
개별 AWS 계정을 선택하면 해당 계정만 리소스 공유에 액세스할 수 있습니다. 다음 옵션 중 하나를 선택할 수 있습니다.
-
다른 AWS 계정(리소스 소유자 제외) - 다른 계정에서 리소스를 사용할 수 있습니다. 해당 계정의 관리자는 자격 증명 기반 권한 정책을 사용하여 공유 리소스에 대한 액세스 권한을 개별 역할 및 사용자에게 부여하여 프로세스를 완료해야 합니다. 이러한 권한은 리소스 공유에 연결된 관리형 권한에 정의된 권한을 초과할 수 없습니다.
-
이 AWS 계정(리소스 소유자) - 리소스 소유 계정의 모든 역할과 사용자는 리소스 공유에 연결된 관리형 권한으로 정의된 액세스 권한을 자동으로 받게 됩니다.
-
-
추가된 내용은 선택한 보안 주체 목록에 즉시 표시됩니다.
그런 다음 이 단계를 반복하여 계정, OU 또는 조직을 추가할 수 있습니다.
-
(선택 사항) 보안 주체를 제거하려면 선택한 보안 주체 아래에서 보안 주체를 찾아 해당 확인란을 선택한 다음 선택 취소를 선택합니다.
-
-
-
다음을 선택합니다.
-
4단계: 검토 및 업데이트에서 리소스 공유에 대한 구성 세부 정보를 검토합니다.
-
단계 구성을 변경하려면 돌아가려는 단계에 해당하는 링크를 선택한 다음 필요한 사항을 변경합니다.
관리형 권한이 여전히 기본 버전이 아닌 다른 버전을 사용하고 있는 경우에는 기본 버전으로 업데이트를 선택하여 이 문제를 해결할 수 있습니다.
-
변경을 마치면 리소스 공유 업데이트를 선택합니다.
-
- AWS CLI
-
리소스 공유를 업데이트하려면
다음 AWS CLI 명령을 사용하여 리소스 공유를 수정할 수 있습니다.
-
리소스 공유의 이름을 바꾸거나 외부 보안 주체의 허용 여부를 변경하려면 update-resource-share 명령을 사용합니다. 다음 예에서는 지정된 리소스 공유의 이름을 바꾸고 해당 조직의 보안 주체만 허용하도록 설정합니다. 리소스 공유가 포함된 AWS 리전에 대한 서비스 엔드포인트를 사용해야 합니다.
$aws ram update-resource-share \ --region us-east-1 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE \ --name "my-renamed-resource-share" \ --no-allow-external-principals{ "resourceShare": { "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE", "name": "my-renamed-resource-share", "owningAccountId": "123456789012", "allowExternalPrincipals": false, "status": "ACTIVE", "creationTime": 1565295733.282, "lastUpdatedTime": 1565303080.023 } } -
리소스 공유에 리소스를 추가하려면 associate-resource-share 명령을 사용합니다. 다음 예에서는 지정된 리소스 공유에 서브넷을 추가합니다.
$aws ram associate-resource-share \ --region us-east-1 \ --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE{ "resourceShareAssociations": [ "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE", "associatedEntity": "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235", "associationType": "RESOURCE", "status": "ASSOCIATING", "external": false ] } -
리소스 공유에 리소스 유형에 대한 관리형 권한을 추가하거나 바꾸려면 list-permissions및 associate-resource-share-permission 명령을 사용합니다. 리소스 공유의 리소스 유형당 하나의 관리형 권한만 할당할 수 있습니다. 이미 관리형 권한이 있는 리소스 유형에 관리형 권한을 추가하려는 경우
--replace옵션을 포함해야 합니다. 그렇지 않으면 명령이 오류와 함께 실패합니다.다음 예제 명령은 Amazon Elastic Compute Cloud(Amazon EC2) 서브넷에 사용할 수 있는 관리형 권한에 대한 ARN을 나열한 다음 해당 ARN 중 하나를 사용하여 지정된 리소스 공유의 해당 리소스 유형에 대해 현재 할당된 AWS 관리형 권한을 대체합니다.
$aws ram list-permissions \ --resource-type ec2:Subnet{ "permissions": [ { "arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet", "version": "1", "defaultVersion": true, "name": "AWSRAMDefaultPermissionSubnet", "resourceType": "ec2:Subnet", "creationTime": "2020-02-27T11:38:26.727000-08:00", "lastUpdatedTime": "2020-02-27T11:38:26.727000-08:00" } ] }$aws ram associate-resource-share-permission \ --region us-east-1 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \ --permission-arn arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet{ "returnValue": true } -
리소스 공유에서 리소스를 제거하려면 disassociate-resource-share 명령을 사용합니다. 다음 예에서는 지정된 ARN을 사용하는 Amazon EC2 서브넷을 지정된 리소스 공유에서 제거합니다.
$aws ram disassociate-resource-share \ --region us-east-1 \ --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE{ "resourceShareAssociations": [ "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE", "associatedEntity": "arn:aws:ec2:us-east-1:ubnet/subnet-0250c25a1f4e15235", "associationType": "RESOURCE", "status": "DISASSOCIATING", "external": false ] } -
리소스 공유에 연결된 태그를 수정하려면 tag-resource 및 untag-resource 명령을 사용합니다. 다음 예에서는 지정된 리소스 공유에
project=lima태그를 추가합니다.$aws ram tag-resource \ --region us-east-1 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \ --tags key=project,value=lima다음 예에서는 지정된 리소스 공유에서 키가
project인 태그를 제거합니다.$aws ram untag-resource \ --region us-east-1 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \ --tag-keys=project태그 지정 명령은 성공해도 출력을 생성하지 않습니다.
-
