조직용 Change Manager 설정(관리 계정) - AWS Systems Manager

조직용 Change Manager 설정(관리 계정)

이 항목의 태스크는 AWS Organizations에 설정된 조직과 함께 AWS Systems Manager의 기능인 Change Manager를 사용하는 경우에 적용됩니다. 단일 AWS 계정로만 Change Manager를 사용하려면 주제 Change Manager 옵션 및 모범 사례 구성으로 건너뜁니다.

Organizations에서 관리 계정 역할을 하는 AWS 계정로 이 섹션의 태스크를 수행합니다. 관리 계정 및 기타 Organizations 개념에 대한 자세한 내용은 AWS Organizations 용어 및 개념을 참조하세요.

계속하기 전에 Organizations를 설정하고 계정을 관리 계정으로 지정해야 하는 경우 AWS Organizations User GuideCreating and managing an organization을 참조하세요.

참고

이 설정 프로세스는 다음 AWS 리전에서 수행할 수 없습니다.

  • 유럽(밀라노)(eu-south-1)

  • 중동(바레인)(me-south-1)

  • 아프리카(케이프타운)(af-south-1)

  • 아시아 태평양(홍콩)(ap-east-1)

이 절차를 수행하려면 관리 계정의 다른 리전에서 작업하고 있는지 확인합니다.

설치 절차를 진행하는 동안 AWS Systems Manager의 기능인 Quick Setup에서 다음과 같은 주요 태스크를수행합니다.

  • 태스크 1 - 조직을 위해 위임된 관리자 계정 등록

    Change Manager를 사용하여 수행되는 변경 관련 태스크는 위임된 관리자 계정으로 지정한 멤버 계정 중 하나에서 관리됩니다. Change Manager에 등록한 위임된 관리자 계정은 모든 Systems Manager 작업에 대한 위임된 관리자 계정이 됩니다. (다른 AWS 서비스에 대한 관리자 계정을 위임했을 수 있습니다.) 관리 계정과 다른 Change Manager에 대한 위임된 관리자 계정은 변경 템플릿, 변경 요청 및 각각에 대한 승인을 포함하여 조직 전체의 변경 활동을 관리합니다. 위임된 관리자 계정에서 Change Manager 작업에 대한 다른 구성 옵션도 지정합니다.

    중요

    위임된 관리자 계정은 Organizations에서 할당된 조직 단위(OU)의 유일한 멤버여야 합니다.

  • 태스크 2: Change Manager 작업에 사용할 변경 요청자 역할 또는 사용자 정의 직무에 대한 실행서 액세스 정책 정의 및 지정

    Change Manager에서 변경 요청을 생성하려면 멤버 계정의 사용자에게 AWS Identity and Access Management(IAM) 권한이 부여되어 사용자가 사용할 수 있도록 선택한 Automation 실행서와 변경 템플릿에만 액세스할 수 있어야 합니다.

    참고

    사용자가 변경 요청을 생성할 때 먼저 변경 템플릿을 선택합니다. 이 변경 템플릿을 사용하면 여러 실행서를 사용할 수 있지만 사용자는 각 변경 요청에 대해 하나의 실행서만 선택할 수 있습니다. 사용자가 요청에 사용 가능한 실행서를 포함하도록 변경 템플릿을 구성할 수도 있습니다.

    Change Manager는 필요한 권한을 부여하기 위해 IAM에서도 사용되는 직무 개념을 사용합니다. 그러나 IAM의 직무에 대한 AWS 관리형 정책과 달리 Change Manager 직무의 이름과 해당 직무에 대한 IAM 권한을 모두 지정합니다.

    직무를 구성할 때 사용자 정의 정책을 생성하고 변경 관리 태스크를 수행하는 데 필요한 권한만 제공하는 것이 좋습니다. 예를 들어, 정의한 직무를 기반으로 특정 런북 집합으로 사용자를 제한하는 권한을 지정할 수 있습니다.

    예를 들어 이름이 DBAdmin인 직무를 생성할 수 있습니다. 이 직무의 경우 AWS-CreateDynamoDbBackupAWSConfigRemediation-DeleteDynamoDbTable과 같은 Amazon DynamoDB 데이터베이스와 관련된 실행서에 필요한 권한만 부여할 수 있습니다.

    또 다른 예로 AWS-ConfigureS3BucketLoggingAWSConfigRemediation-ConfigureS3BucketPublicAccessBlock과 같은 Amazon Simple Storage Service(Amazon S3) 버킷과 관련된 실행서 작업에 필요한 권한만 일부 사용자에게 부여할 수 있습니다.

    Change Manager에 대한 Quick Setup의 구성 프로세스에서는 생성한 관리 역할에 적용할 수 있는 전체 Systems Manager 관리 권한 집합도 만듭니다.

    배포하는 각 Change Manager Quick Setup 구성은 선택한 조직 단위에서 Change Manager 템플릿 및 Automation 실행서를 실행할 수 있는 권한이 있는 위임된 관리자 계정에 직무를 생성합니다. Change Manager에 대해 최대 15개의 Quick Setup 구성을 생성할 수 있습니다.

  • 작업 3: 조직에서 Change Manager에 사용할 멤버 계정 선택

    Organizations에 설정된 모든 조직 단위의 모든 멤버 계정과 해당 조직이 운영하는 모든 AWS 리전에 Change Manager를 사용할 수 있습니다. 원하는 경우 일부 조직 단위에만 Change Manager를 사용할 수 있습니다.

중요

이 절차를 시작하기 전에 해당 단계를 읽고 구성 선택 사항과 부여할 권한을 이해하는 것이 좋습니다. 특히 생성할 사용자 정의 직무와 각 직무에 할당할 권한을 계획합니다. 이렇게 하면 나중에 생성한 직무 정책을 개별 사용자, 사용자 그룹 또는 IAM 역할에 연결할 때 원하는 권한만 부여됩니다.

가장 좋은 방법은 AWS 계정 관리자 로그인을 사용하여 위임된 관리자 계정을 설정하는 것부터 시작하는 것입니다. 그런 다음 변경 템플릿을 생성하고 각 템플릿에서 사용하는 실행서를 식별한 후 직무와 해당 권한을 구성합니다.

조직에 사용하도록 Change Manager를 설정하려면 Systems Manager 콘솔의 Quick Setup 영역에서 다음 태스크를 수행합니다.

조직에 대해 생성하려는 직무마다 이 태스크를 반복합니다. 생성하는 각 직무는 서로 다른 조직 단위 집합에 대한 권한을 가질 수 있습니다.

Organizations 관리 계정에서 Change Manager에 대한 조직을 설정하려면

  1. AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/)을 엽니다.

  2. 탐색 창에서 Quick Setup를 선택합니다.

    -또는-

    AWS Systems Manager 홈 페이지가 처음 열리면 메뉴 아이콘( The menu icon )을 선택하여 탐색 창을 연 다음 탐색 창에서 Quick Setup를 선택합니다.

  3. Change Manager 카드에서 Create(생성)를 선택합니다.

  4. 위임된 관리자 계정의 경우 Change Manager에 변경 템플릿, 변경 요청 및 실행서 워크플로 관리에 사용할 AWS 계정의 ID를 입력합니다.

    이전에 Systems Manager에 대해 위임된 관리자 계정을 지정한 경우 이 필드에 해당 ID가 이미 보고됩니다.

    중요

    위임된 관리자 계정은 Organizations에서 할당된 조직 단위(OU)의 유일한 멤버여야 합니다.

    등록한 위임된 관리자 계정이 나중에 해당 역할에서 등록 취소되는 경우 시스템은 동시에 Systems Manager 작업을 관리할 수 있는 권한을 제거합니다. Quick Setup으로 돌아가서 다른 위임된 관리자 계정을 지정하고 모든 직무와 권한을 다시 지정해야 합니다.

    조직 전체에서 Change Manager를 사용하는 경우 항상 위임된 관리자 계정에서 변경하는 것이 좋습니다. 조직의 다른 계정에서 변경할 수 있지만 이러한 변경 사항은 위임된 관리자 계정에서 보고되거나 볼 수 없습니다.

  5. [요청 및 변경 권한(Permissions to request and make changes)] 섹션에서 다음을 수행합니다.

    참고

    생성하는 각 배포 구성은 하나의 직무에 대한 권한 정책을 제공합니다. 작업에 사용할 변경 템플릿을 만든 경우 나중에 Quick Setup으로 돌아가서 더 많은 직무를 생성할 수 있습니다.

    관리 역할을 생성하려면 - 모든 AWS 작업에 대한 IAM 권한이 있는 관리자 직무의 경우 다음을 수행합니다.

    중요

    사용자에게 전체 관리 권한을 부여하는 것은 사용자의 역할에 전체 Systems Manager 액세스가 필요한 경우에만 수행해야 합니다. Systems Manager 액세스의 보안 고려 사항에 대한 중요한 내용은 AWS Systems Manager의 I자격 증명 및 액세스 관리Systems Manager의 보안 모범 사례 섹션을 참조하세요.

    1. [직무(Job function)]에 이 역할과 권한을 식별하는 이름을 입력합니다(예: MyAWSAdmin).

    2. [역할 및 권한 옵션(Role and permissions option)]에서 [관리자 권한(Administrator permissions)]을 선택합니다.

    다른 직무를 생성하려면 - 비관리 역할을 생성하려면 다음을 수행합니다.

    1. [직무(Job function)]에 이 역할을 식별하고 해당 권한을 제안하는 이름을 입력합니다. 선택하는 이름은 권한을 제공할 실행서의 범위를 나타내야 합니다(예: DBAdmin 또는 S3Admin).

    2. [역할 및 권한 옵션(Role and permissions option)]에서 [사용자 정의 권한(Custom permissions)]을 선택합니다.

    3. [권한 정책 편집기(Permissions policy editor)]에 이 직무에 부여할 IAM 권한을 JSON 형식으로 입력합니다.

    작은 정보

    IAM 정책 편집기를 사용하여 정책을 구성한 다음 정책 JSON을 [권한 정책(Permissions policy)] 필드에 붙여넣는 것이 좋습니다.

    샘플 정책: DynamoDB 데이터베이스 관리

    예를 들어 직무가 액세스해야 하는 Systems Manager 문서(SSM 문서) 작업에 대한 권한을 제공하는 정책 콘텐츠로 시작할 수 있습니다. 다음은 미국 동부(오하이오) 리전(us-east-2)의 샘플 AWS 계정 123456789012에서 생성된 2개의 변경 템플릿 및 DynamoDB 데이터베이스와 관련된 모든 AWS 관리형 Automation 실행서에 대한 액세스 권한을 부여하는 샘플 정책 콘텐츠입니다.

    이 정책에는 Change Calendar에서 변경 요청을 생성하는 데 필요한 StartChangeRequestExecution 작업에 대한 권한도 포함되어 있습니다.

    참고

    이 예는 포괄적이지 않습니다. 데이터베이스, 노드 등의 다른 AWS 리소스를 사용하려면 추가 권한이 필요할 수 있습니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:CreateDocument",
                "ssm:DescribeDocument",
                "ssm:DescribeDocumentParameters",
                "ssm:DescribeDocumentPermission",
                "ssm:GetDocument",
                "ssm:ListDocumentVersions",
                "ssm:ModifyDocumentPermission",
                "ssm:UpdateDocument",
                "ssm:UpdateDocumentDefaultVersion"
            ],
            "Resource": [
                "arn:aws:ssm:region:*:document/AWS-CreateDynamoDbBackup",
                "arn:aws:ssm:region:*:document/AWS-AWS-DeleteDynamoDbBackup",
                "arn:aws:ssm:region:*:document/AWS-DeleteDynamoDbTableBackups",
                "arn:aws:ssm:region:*:document/AWSConfigRemediation-DeleteDynamoDbTable",
                "arn:aws:ssm:region:*:document/AWSConfigRemediation-EnableEncryptionOnDynamoDbTable",
                "arn:aws:ssm:region:*:document/AWSConfigRemediation-EnablePITRForDynamoDbTable",
                "arn:aws:ssm:region:123456789012:document/MyFirstDBChangeTemplate",
                "arn:aws:ssm:region:123456789012:document/MySecondDBChangeTemplate"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ssm:ListDocuments",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:StartChangeRequestExecution",
            "Resource": "arn:aws:ssm:region:123456789012:automation-definition/*:*"
        }
    ]
}

    IAM 정책에 대한 자세한 내용은 IAM User GuideAccess management for AWS resourcesCreating IAM policies를 참조하세요.

  6. [대상(Targets)] 섹션에서 생성 중인 직무에 대한 권한을 전체 조직에 부여할지 아니면 일부 조직 단위에만 부여할지 선택합니다.

    [전체 조직(Entire organization)]을 선택하는 경우 9단계로 진행합니다.

    [사용자 정의(Custom)]를 선택하는 경우 8단계로 진행합니다.

  7. [대상 OU(Target OUs)] 섹션에서 Change Manager에서 사용할 조직 단위의 확인란을 선택합니다.

  8. 생성(Create)을 선택합니다.

시스템이 조직에 대한 Change Manager 설정을 완료하면 배포 요약이 표시됩니다. 이 요약 정보에는 구성한 직무에 대해 생성된 역할의 이름이 포함됩니다. 예를 들면 AWS-QuickSetup-SSMChangeMgr-DBAdminInvocationRole입니다.

참고

Quick Setup은 AWS CloudFormation StackSets를 사용하여 구성을 배포합니다. AWS CloudFormation 콘솔에서 완료된 배포 구성에 대한 정보를 볼 수도 있습니다. StackSets 대한 자세한 내용은 AWS CloudFormation User GuideWorking with AWS CloudFormation StackSets를 참조하세요.

다음 단계는 추가 Change Manager 옵션을 구성하는 것입니다. 위임된 관리자 계정 또는 Change Manager에 사용하도록 허용한 조직 단위의 모든 계정에서 이 태스크를 완료할 수 있습니다. 사용자 자격 증명 관리 옵션 선택, 변경 템플릿 및 변경 요청을 검토하고 승인 또는 거부할 수 있는 사용자 지정, 조직에 허용할 모범 사례 옵션 선택 등의 옵션을 구성합니다. 자세한 내용은 Change Manager 옵션 및 모범 사례 구성 섹션을 참조하세요.