위임된 관리자를 지정하는 데 필요한 권한 - AWS CloudTrail

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

위임된 관리자를 지정하는 데 필요한 권한

CloudTrail 위임된 관리자를 지정하는 경우 다음 정책 설명에 나열된 특정 AWS Organizations API 작업 및 IAM 권한뿐만 아니라 CloudTrail에서 위임된 관리자를 추가 및 제거할 수 있는 권한이 있어야 합니다.

기존 IAM 정책의 끝에 다음 문을 추가하여 이러한 권한을 부여할 수 있습니다.

{ "Sid": "Permissions", "Effect": "Allow", "Action": [ "cloudtrail:RegisterOrganizationDelegatedAdmin", "cloudtrail:DeregisterOrganizationDelegatedAdmin", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator", "organizations:ListAWSServiceAccessForOrganization", "iam:CreateServiceLinkedRole", "iam:GetRole" ], "Resource": "*" }

위임된 관리자 권한에 대한 정책 설명과 함께 조건 키를 사용할 때의 고려 사항

추가 보안을 위해 CloudTrail에서 위임된 관리자를 추가 및 제거하는 정책 설명을 추가할 때 IAM 전역 조건 키를 사용하는 것이 좋습니다. 이때 두 서비스 보안 주체 이름(SPNs)을 조건에 모두 포함해야 합니다. 예시:

{ "Condition": { "StringLike": { "iam:AWSServiceName": [ "context.cloudtrail.amazonaws.com", "cloudtrail.amazonaws.com" ] } }, "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow" }

자세한 내용은 에 대한 자격 증명 및 액세스 관리 AWS CloudTrail 단원을 참조하십시오.