AWS Service Catalog의 Identity and Access Management - AWS Service Catalog

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Service Catalog의 Identity and Access Management

AWS Service Catalog에 액세스하려면 자격 증명이 필요합니다. 이러한 자격 증명에는 AWS Service Catalog 포트폴리오 또는 제품과 같은 AWS 리소스에 액세스할 수 있는 권한이 있어야 합니다. AWS Service Catalog는 AWS Identity and Access Management(IAM)와 통합되어 AWS Service Catalog 관리자에게 제품을 만들고 관리하는 데 필요한 권한을 부여하고 AWS Service Catalog 최종 사용자에게 제품을 시작하고 프로비저닝된 제품을 관리하는 데 필요한 권한을 부여할 수 있습니다. 이러한 정책은 AWS에서 만들고 관리하거나, 관리자와 최종 사용자가 개별적으로 만들고 관리합니다. 액세스를 제어하려면 AWS Service Catalog에서 사용하는 IAM 사용자, 그룹 및 역할에 이러한 정책을 연결합니다.

대상

AWS Identity and Access Management(IAM)를 통해 갖는 권한은 AWS Service Catalog에서 사용자가 수행하는 역할에 따라 달라질 수 있습니다.

관리자 - AWS Service Catalog 관리자는 관리자 콘솔에 대한 모든 액세스 권한과 포트폴리오와 제품 생성 및 관리, 제약 조건 관리, 최종 사용자에게 액세스 권한 부여 등의 작업을 수행할 수 있는 IAM 권한이 필요합니다.

최종 사용자 - 최종 사용자가 제품을 사용하려면 AWS Service Catalog 최종 사용자 콘솔에 대한 액세스 권한을 부여해야 합니다. 최종 사용자는 제품을 시작하고 프로비저닝된 제품을 관리할 수 있는 권한을 가질 수도 있습니다.

IAM 관리자 - IAM 관리자는 AWS Service Catalog에 대한 액세스 권한을 관리할 수 있는 정책을 작성하는 방법에 대해 자세히 알아보고 싶을 수 있습니다. IAM에서 사용할 수 있는 AWS Service Catalog 자격 증명 기반 정책 예제를 보려면 사전 정의된 AWS 관리형 정책 단원을 참조하십시오.

Controlling Access

관리자는 AWS Service Catalog 포트폴리오를 통해 최종 사용자 그룹에 대한 액세스 제어 수준을 얻을 수 있습니다. 포트폴리오에 사용자를 추가하면 사용자가 포트폴리오에서 제품을 검색하고 시작할 수 있습니다. 자세한 내용은 포트폴리오 관리 단원을 참조하십시오.

Constraints

제약 조건은 특정 포트폴리오에서 제품을 시작할 때 최종 사용자에게 적용되는 규칙을 제어합니다. 제약 조건을 사용하여 거버넌스 또는 비용 관리를 위해 제품에 제한을 적용할 수 있습니다. 제약 조건에 대한 자세한 내용은 AWS Service Catalog 제약 조건 사용 단원을 참조하십시오.

AWS Service Catalog 시작 제약 조건을 사용하면 최종 사용자에게 필요한 권한을 보다 효율적으로 제어할 수 있습니다. 관리자가 포트폴리오에서 제품에 대한 시작 제약 조건을 생성하면 시작 제약 조건은 최종 사용자가 해당 포트폴리오에서 제품을 시작할 때 사용되는 역할 ARN을 연결합니다. 이 패턴을 사용하여 AWS 리소스 생성에 대한 액세스를 제어할 수 있습니다. 자세한 내용은 AWS Service Catalog 시작 제약 조건 단원을 참조하십시오.

사전 정의된 AWS 관리형 정책

AWS가 생성한 관리형 정책은 일반 사용 사례에서 필요한 권한을 부여합니다. IAM 사용자 및 역할에 이러한 정책을 연결할 수 있습니다. 자세한 내용은 IAM 사용 설명서AWS 관리형 정책 단원을 참조하십시오.

다음은 AWS Service Catalog에 대한 AWS 관리형 정책입니다.

관리자
  • AWSServiceCatalogAdminFullAccess — 관리자 콘솔 보기에 대한 모든 액세스와 제품 및 포트폴리오를 만들고 관리할 권한을 부여합니다.

  • AWSServiceCatalogAdminReadOnlyAccess — 관리자 콘솔 보기에 대한 모든 액세스를 부여합니다. 제품과 포트폴리오를 만들거나 관리하는 권한을 부여하지 않습니다.

최종 사용자
  • AWSServiceCatalogEndUserFullAccess — 최종 사용자 콘솔 보기에 대한 전체 액세스 권한을 부여합니다. 제품을 시작하고 프로비저닝된 제품을 관리할 권한을 부여합니다.

  • AWSServiceCatalogEndUserReadOnlyAccess — 최종 사용자 콘솔 보기에 대한 읽기 전용 액세스 권한을 부여합니다. 제품을 시작하거나 프로비저닝된 제품을 관리할 권한을 부여하지 않습니다.

IAM 사용자에게 정책을 연결하려면

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 [Users]를 선택합니다.

  3. 해당 IAM 사용자의 이름(확인란 아님)을 선택합니다.

  4. 권한 탭에서 권한 추가를 선택합니다.

  5. [Add permissions] 페이지에서 [Attach existing policies directly]를 선택합니다.

  6. AWS Service Catalog의 관리형 정책 옆의 확인란을 선택한 후 다음: 검토를 선택합니다.

  7. 권한 요약 페이지에서 권한 추가를 선택합니다.

  8. (선택 사항) 프라이빗 CloudFormation 템플릿을 사용해야 하는 관리자에게는 Amazon S3에 대한 추가 사용 권한을 부여해야 합니다. 자세한 내용은 Amazon Simple Storage Service 개발자 가이드사용자 정책 예제를 참조하십시오.

지원이 중단되는 정책

다음 관리형 정책에 대한 지원이 중단됩니다.

  • ServiceCatalogAdminFullAccess — AWSServiceCatalogAdminFullAccess를 대신 사용합니다.

  • ServiceCatalogAdminReadOnlyAccessAWSServiceCatalogAdminReadOnlyAccess를 대신 사용합니다.

  • ServiceCatalogEndUserFullAccessAWSServiceCatalogEndUserFullAccess를 대신 사용합니다.

  • ServiceCatalogEndUserAccessAWSServiceCatalogEndUserReadOnlyAccess를 대신 사용합니다.

다음 절차에 따라 현재 정책을 사용해 관리자 및 최종 사용자에게 권한이 부여되는지 확인합니다.

지원이 중단된 정책에서 현재 정책으로 마이그레이션하려면

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 정책을 선택합니다.

  3. 검색 필드에 ServiceCatalog을 입력하여 정책 목록을 필터링합니다. ServiceCatalogAdminFullAccess의 이름(확인란 아님)을 선택합니다.

  4. 연결된 각각의 엔터티(사용자, 그룹 또는 역할)에 대해 다음을 수행합니다.

    1. 엔터티의 요약 페이지를 엽니다.

    2. IAM 사용자에게 정책을 연결하려면 절차에 설명된 대로 현재 정책 중 하나를 추가합니다.

    3. [Permissions] 탭에서 [ServiceCatalogAdminFullAccess] 옆의 [Detach Policy]를 선택합니다. 확인 메시지가 나타나면 [Detach]를 선택합니다.

  5. ServiceCatalogEndUserFullAccess에도 같은 과정을 반복합니다.

최종 사용자의 콘솔 액세스

AWSServiceCatalogEndUserFullAccessAWSServiceCatalogEndUserReadOnlyAccess 정책은 AWS Service Catalog 최종 사용자 콘솔 보기에 대한 액세스 권한을 부여합니다. 이러한 정책 중 하나를 가진 사용자가 AWS Management 콘솔에서 AWS Service Catalog를 선택하면 최종 사용자 콘솔 보기에는 시작 권한이 있는 제품이 표시됩니다.

최종 사용자가 액세스 권한을 받은 AWS Service Catalog 제품을 성공적으로 시작할 수 있으려면 제품의 AWS CloudFormation 템플릿에 있는 기본 AWS 리소스 각각을 사용할 수 있도록 최종 사용자에게 IAM 권한을 추가로 부여해야 합니다. 예를 들어 제품 템플릿에 Amazon Relational Database Service(Amazon RDS)가 포함되어 있는 경우, 사용자에게 해당 제품을 시작하기 위한 Amazon RDS 권한을 부여해야 합니다.

최종 사용자가 AWS 리소스에 대한 최소 액세스 권한을 적용하면서 제품을 시작할 수 있도록 하는 방법에 대한 자세한 내용은 AWS Service Catalog 제약 조건 사용 단원을 참조하십시오.

AWSServiceCatalogEndUserReadOnlyAccess 정책을 적용하면 사용자가 최종 사용자 콘솔 보기에 액세스할 수 있으나, 제품을 시작하고 프로비저닝된 제품을 관리하는 데 필요한 권한은 없습니다. IAM을 사용하여 최종 사용자에게 직접 이러한 권한을 부여할 수 있으나, 최종 사용자가 AWS 리소스에 대해 보유하는 액세스 권한을 제한하려는 경우 시작 역할에 이 정책을 연결해야 합니다. 그런 다음 AWS Service Catalog를 사용하여 해당 제품의 시작 제약 조건에 시작 역할을 적용합니다. 시작 역할, 시작 역할 제한 및 샘플 시작 역할 적용에 대한 자세한 내용은 AWS Service Catalog 시작 제약 조건 단원을 참조하십시오.

참고

사용자에게 AWS Service Catalog 관리자용 IAM 권한을 부여하면 관리자 콘솔 보기가 대신 표시됩니다. 최종 사용자에게 관리자 콘솔 보기에 액세스할 권한을 부여하려는 경우가 아닌 한 이러한 권한을 부여하지 마십시오.

최종 사용자의 제품 액세스

최종 사용자가 액세스 권한을 받은 제품을 사용할 수 있으려면 제품 AWS CloudFormation 템플릿의 기본 AWS 리소스 각각을 사용할 수 있도록 최종 사용자에게 IAM 권한을 추가로 부여해야 합니다. 예를 들어 제품 템플릿에 Amazon Relational Database Service(Amazon RDS)가 포함되어 있는 경우, 사용자에게 해당 제품을 시작하기 위한 Amazon RDS 권한을 부여해야 합니다.

ServiceCatalogEndUserAccess 정책을 적용하면 사용자가 최종 사용자 콘솔 보기에 액세스할 수 있으나, 제품을 시작하고 프로비저닝된 제품을 관리하는 데 필요한 권한은 없습니다. IAM에서 최종 사용자에게 직접 이러한 권한을 부여할 수 있으나, 최종 사용자가 AWS 리소스에 대해 보유하는 액세스 권한을 제한하려는 경우 시작 역할에 이 정책을 연결해야 합니다. 그런 다음 AWS Service Catalog를 사용하여 해당 제품의 시작 제약 조건에 시작 역할을 적용합니다. 시작 역할, 시작 역할 제한 및 샘플 시작 역할 적용에 대한 자세한 내용은 AWS Service Catalog 시작 제약 조건 단원을 참조하십시오.