Systems Manager Explorer에 대한 역할 및 권한 구성

통합 설정은 AWS Systems Manager Explorer 및 AWS Systems Manager OpsCenter에 대한 AWS Identity and Access Management(IAM) 역할을 자동으로 생성하고 구성합니다. 통합 설정을 완료한 경우에는 Explorer에 대한 역할 및 사용 권한을 구성하기 위해 추가 작업을 수행할 필요가 없습니다. 그러나 이 항목의 뒷부분에 설명된 대로 OpsCenter에 대한 권한을 구성해야 합니다.

통합 설정으로 생성된 역할에 대한 정보

통합 설정은 Explorer 및 OpsCenter 작업을 위해 다음과 같은 역할을 생성 및 구성합니다.

• AWSServiceRoleForAmazonSSM: Systems Manager에서 관리하거나 사용하는 AWS 리소스에 대한 액세스를 제공합니다.

• OpsItem-CWE-Role: CloudWatch Events 및 EventBridge가 일반적인 이벤트에 대한 응답으로 OpsItems를 생성하도록 허용합니다.

• AWSServiceRoleForAmazonSSM_AccountDiscovery: Systems Manager가 데이터를 동기화할 때 AWS 계정 정보를 검색하기 위해 다른 AWS 서비스을(를) 호출하도록 허용합니다. 이에 대한 자세한 내용은 AWSServiceRoleForAmazonSSM_AccountDiscovery 역할 정보 섹션을 참조하세요.

• AmazonSSMExplorerExport: Explorer가 OpsData를 쉼표로 구분된 값(CSV) 파일로 내보내도록 허용합니다.

AWSServiceRoleForAmazonSSM_AccountDiscovery 역할 정보

AWS Organizations 및 리소스 데이터 동기화를 사용하여 여러 계정 및 리전의 데이터를 표시하도록 Explorer를 구성하면 Systems Manager가 서비스 연결 역할이 생성됩니다. Systems Manager는 이 역할을 사용하여 AWS Organizations에서의 AWS 계정에 대한 정보를 얻습니다. 역할은 다음과 같은 권한 정책을 사용합니다.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "organizations:DescribeAccount",
            "organizations:DescribeOrganization",
            "organizations:ListAccounts",
            "organizations:ListAWSServiceAccessForOrganization",
            "organizations:ListChildren",
            "organizations:ListParents"
         ],
         "Resource":"*"
      }
   ]
}

AWSServiceRoleForAmazonSSM_AccountDiscovery 역할에 대한 자세한 내용은 역할을 사용하여 OpsCenter 및 Explorer에 대한 AWS 계정 정보 수집 섹션을 참조하세요.

Systems Manager OpsCenter에 대한 권한 구성

통합 설정을 완료한 후에는 사용자가 OpsCenter에서 작업을 수행할 수 있도록 사용자, 그룹 또는 역할 권한을 구성해야 합니다.

시작하기 전 준비 사항

여러 계정 또는 단일 계정에서 OpsItems를 생성하고 관리하도록 OpsCenter를 구성할 수 있습니다. 여러 계정의 OpsItems를 생성하고 관리하도록 OpsCenter를 구성하는 경우 AWS Organizations 관리 계정은 다른 계정의 OpsItems를 수동으로 생성, 확인 또는 편집할 수 있습니다. 필요한 경우 Systems Manager 위임 관리자 계정을 선택하여 멤버 계정에 OpsItems를 생성하고 관리할 수도 있습니다.   그러나 단일 계정에 대해 OpsCenter를 구성하는 경우 OpsItems가 생성된 계정에서만 OpsItems를 보거나 편집할 수 있습니다. AWS 계정에서 OpsItems를 공유하거나 전송할 수 없습니다. 그러므로 AWS 워크로드를 실행하는 데 사용되는 AWS 계정에서 OpsCenter에 대한 권한을 구성하는 것이 좋습니다. 그런 다음 해당 계정에서 사용자 또는 그룹을 생성할 수 있습니다. 이러한 방식으로 여러 운영 엔지니어 또는 IT 전문가가 동일한 AWS 계정에서 OpsItems를 생성하고, 보고, 편집할 수 있습니다.

Explorer와 OpsCenter는 다음 API 작업을 사용합니다. 사용자, 그룹 또는 역할이 이러한 작업에 대한 액세스 권한을 가지고 있는 경우 Explorer 및 OpsCenter의 모든 기능을 사용할 수 있습니다. 이 단원의 뒷부분에서 설명하는 것처럼 보다 제한적인 액세스를 만들 수도 있습니다.

• CreateOpsItem

• CreateResourceDataSync

• DescribeOpsItems

• DeleteResourceDataSync

• GetOpsItem

• GetOpsSummary

• ListResourceDataSync

• UpdateOpsItem

• UpdateResourceDataSync

원하는 경우 계정, 그룹 또는 역할에 다음 인라인 정책을 추가하여 읽기 전용 권한을 지정할 수 있습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem",
        "ssm:GetOpsSummary",
        "ssm:DescribeOpsItems",
        "ssm:GetServiceSetting",
        "ssm:ListResourceDataSync"
      ],
      "Resource": "*"
    }
  ]
}

IAM 정책 생성 및 편집에 대한 자세한 내용은 IAM User Guide의 Creating IAM Policies를 참조하세요. 이 정책을 IAM 그룹에 할당하는 방법에 대한 자세한 내용은 IAM 그룹에 정책 연결 섹션을 참조하세요.

다음을 사용하여 권한을 생성하고 사용자, 그룹 또는 역할에 추가합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem",
        "ssm:UpdateOpsItem",
        "ssm:DescribeOpsItems",
        "ssm:CreateOpsItem",
        "ssm:CreateResourceDataSync",
        "ssm:DeleteResourceDataSync",
        "ssm:ListResourceDataSync",
        "ssm:UpdateResourceDataSync"

      ],
      "Resource": "*"
    }
  ]
}

조직에서 사용 중인 ID 애플리케이션에 따라 다음 옵션 중 하나를 선택하여 사용자 액세스를 구성할 수 있습니다.

액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요:

• AWS IAM Identity Center의 사용자 및 그룹:

  권한 세트를 생성합니다. AWS IAM Identity Center 사용 설명서의 권한 세트 생성의 지침을 따릅니다.

• 보안 인증 공급자를 통해 IAM에서 관리되는 사용자:

  ID 페더레이션을 위한 역할을 생성합니다. IAM 사용 설명서의 서드 파티 자격 증명 공급자의 역할 만들기(페더레이션)의 지침을 따릅니다.

• IAM 사용자:

  • 사용자가 맡을 수 있는 역할을 생성합니다. IAM 사용 설명서에서 IAM 사용자의 역할 생성의 지침을 따릅니다.

  • (권장되지 않음)정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. IAM 사용 설명서에서 사용자(콘솔)에 권한 추가의 지침을 따르십시오.

태그를 사용하여 OpsItems에 대한 액세스 제한

태그를 지정하는 인라인 IAM 정책을 사용하여 OpsItems에 대한 액세스를 제한할 수도 있습니다. 다음은 Department라는 태그 키와 Finance라는 태그 값을 지정하는 예제입니다. 이 정책을 사용하는 경우 사용자는 GetOpsItem API 작업을 호출하여 이전에 키=Department 및 값=Finance로 태그를 지정한 OpsItems만 볼 수 있습니다. 다른 OpsItems는 볼 수 없습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem"
             ],
      "Resource": "*"
      ,
      "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } }
    }
  ]
}

다음은 OpsItems를 보고 업데이트하기 위한 API 작업을 지정하는 예제입니다. 또한 이 정책은 Department-Finance와 Project-Unity의 두 가지 태그 키-값 페어를 지정합니다.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "ssm:GetOpsItem",
            "ssm:UpdateOpsItem"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "ssm:resourceTag/Department":"Finance",
               "ssm:resourceTag/Project":"Unity"
            }
         }
      }
   ]
}

OpsItem에 태그를 추가하는 방법에 대한 자세한 내용은 수동으로 OpsItems 만들기 섹션을 참조하세요.