위임된 관리자를 지정하는 데 필요한 권한 - AWS CloudTrail
조건 키에 대한 고려 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

위임된 관리자를 지정하는 데 필요한 권한

CloudTrail 위임된 관리자를 지정하는 경우 다음 정책 설명에 나열된 특정 AWS Organizations API 작업 및 IAM 권한뿐만 아니라 CloudTrail에서 위임된 관리자를 추가 및 제거할 수 있는 권한이 있어야 합니다.

기존 IAM 정책의 끝에 다음 문을 추가하여 이러한 권한을 부여할 수 있습니다.

{
    "Sid": "Permissions",
    "Effect": "Allow",
    "Action": [
        "cloudtrail:RegisterOrganizationDelegatedAdmin",
        "cloudtrail:DeregisterOrganizationDelegatedAdmin",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator",
        "organizations:ListAWSServiceAccessForOrganization",
        "iam:CreateServiceLinkedRole",
        "iam:GetRole"
    ],
    "Resource": "*"
}

위임된 관리자 권한에 대한 정책 설명과 함께 조건 키를 사용할 때의 고려 사항

추가 보안을 위해 CloudTrail에서 위임된 관리자를 추가 및 제거하는 정책 설명을 추가할 때 IAM 전역 조건 키를 사용하는 것이 좋습니다. 이때 두 서비스 보안 주체 이름(SPNs)을 조건에 모두 포함해야 합니다. 예시: 

{
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": [
            "context.cloudtrail.amazonaws.com",
            "cloudtrail.amazonaws.com"
          ]
        }
      },
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow"
}

자세한 내용은 에 대한 자격 증명 및 액세스 관리 AWS CloudTrail 단원을 참조하십시오.