Trusted Advisor의 서비스 링크 역할 사용
AWS Trusted Advisor는 AWS Identity and Access Management(IAM) 서비스 연결 역할을 사용합니다. 서비스 연결 역할은 AWS Trusted Advisor에 직접 연결된 고유한 IAM 역할입니다. 서비스 연결 역할은 Trusted Advisor에서 사전 정의하며, 서비스에서 다른 AWS 서비스를 자동으로 호출하기 위해 필요한 모든 권한을 포함합니다. Trusted Advisor는 AWS 환경을 개선하기 위해 이 역할을 사용하여 AWS 전반에 걸친 사용을 점검하고 권장 사항을 제공합니다. 예를 들어 Trusted Advisor는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 사용을 분석하여 비용을 줄이고, 성능을 높이며, 오류를 허용하고, 보안을 강화할 수 있도록 합니다.
참고
AWS Support는 계정의 리소스에 액세스하는 데 별도의 IAM 서비스 연결 역할을 사용하여 결제, 관리 및 지원 서비스를 제공합니다. 자세한 내용은 AWS Support에 서비스 연결 역할 사용 단원을 참조하세요.
서비스 연결 역할을 지원하는 다른 서비스에 대한 자세한 내용은 IAM으로 작업하는 AWS 서비스 단원을 참조하세요. 서비스 연결 역할(Service-linked role) 열에서 예(Yes)라고 표시된 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 예(Yes) 링크를 선택합니다.
주제
Trusted Advisor에 대한 서비스 링크 역할 권한
Trusted Advisor는 다음과 같은 두 개의 서비스 연결 역할을 사용합니다.
-
AWSServiceRoleForTrustedAdvisor
- 이 역할은 사용자를 대신해 AWS 서비스에 액세스하는 역할을 맡도록 Trusted Advisor 서비스를 신뢰합니다. 역할 권한 정책은 모든 AWS 리소스에 대해 Trusted Advisor 읽기 전용 액세스 권한을 부여합니다. Trusted Advisor에 대해 필요한 권한을 추가하지 않아도 되므로, AWS 역할은 계정 시작을 간소화합니다. AWS 계정을 열면 Trusted Advisor가 해당 역할을 자동으로 생성합니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함됩니다. 권한 정책은 다른 어떤 IAM 엔터티에도 연결할 수 없습니다. 연결된 정책에 대한 자세한 내용은 AWSTrustedAdvisorServiceRolePolicy를 참조하세요.
-
AWSServiceRoleForTrustedAdvisorReporting
- 이 역할은 조직 보기 기능에 대한 역할을 맡도록 Trusted Advisor 서비스를 신뢰합니다. 이 역할은 AWS Organizations 조직에서 Trusted Advisor를 신뢰할 수 있는 서비스로 활성화합니다. 조직 보기를 활성화하면 Trusted Advisor가 이 역할을 생성합니다. 연결 정책에 대한 자세한 내용은 AWSTrustedAdvisorReportingServiceRolePolicy 단원을 참조하세요.
조직 보기를 사용하여 조직의 모든 계정에 대한 Trusted Advisor 검사 결과 보고서를 생성할 수 있습니다. 이 기능에 대한 자세한 내용은 AWS Trusted Advisor에 대한 조직 보기 단원을 참조하세요.
서비스 연결 역할 권한 관리
IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 작성하고 편집하거나 삭제할 수 있도록 권한을 구성해야 합니다. 다음은 AWSServiceRoleForTrustedAdvisor 서비스 연결 역할을 사용한 예입니다.
예 IAM 엔터티가 AWSServiceRoleForTrustedAdvisor 서비스 연결 역할을 생성하도록 허용
이 단계는 Trusted Advisor 계정이 비활성화되어 있고, 서비스 연결 역할이 삭제되었으며, 사용자가 역할을 다시 생성하여 Trusted Advisor를 다시 활성화해야 하는 경우에만 필요합니다.
서비스 연결 역할을 생성하기 위해 IAM 엔터티의 권한 정책에 다음 명령문을 추가합니다.
{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
예 IAM 엔터티가 AWSServiceRoleForTrustedAdvisor 서비스 연결 역할의 설명을 편집할 수 있도록 허용
AWSServiceRoleForTrustedAdvisor 역할에 관한 설명만 편집할 수 있습니다. 서비스 연결 역할의 설명을 편집하기 위해 IAM 개체의 권한 정책에 다음 명령문을 추가할 수 있습니다.
{ "Effect": "Allow", "Action": [ "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
예 IAM 엔터티가 AWSServiceRoleForTrustedAdvisor 서비스 연결 역할을 삭제하도록 허용
서비스 연결 역할을 삭제하기 위해 IAM 개체의 권한 정책에 다음 문장을 추가할 수 있습니다.
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
Trusted Advisor에 대한 전체 액세스 권한을 제공하기 위해 AWS 관리형 정책(예: AdministratorAccess
Trusted Advisor에 대한 서비스 링크 역할 생성
AWSServiceRoleForTrustedAdvisor 서비스 연결 역할을 수동으로 생성할 필요가 없습니다. AWS 계정을 시작하면 Trusted Advisor에서 서비스 연결 역할을 생성합니다.
중요
Trusted Advisor 서비스가 서비스 연결 역할 지원을 시작하기 전에 이 서비스를 사용 중이었다면 Trusted Advisor에서 사용자 계정에 AWSServiceRoleForTrustedAdvisor 역할을 이미 생성한 것입니다. 자세한 내용은 IAM 사용 설명서의 내 IAM 계정에 표시되는 새 역할을 참조하세요.
계정에 AWSServiceRoleForTrustedAdvisor 서비스 연결 역할이 없는 경우, Trusted Advisor는 정상 작동하지 않습니다. 계정의 누군가가 Trusted Advisor를 비활성화한 후 서비스 연결 역할을 삭제한 경우 이러한 상황이 발생할 수 있습니다. 이럴 경우 IAM을 사용하여 AWSServiceRoleForTrustedAdvisor 서비스 연결 역할을 생성하고 Trusted Advisor를 다시 활성화하세요.
Trusted Advisor를 활성화하려면(콘솔)
-
Trusted Advisor에 대한 서비스 연결 역할을 생성하는 데 IAM 콘솔, AWS CLI 또는 IAM API를 사용하세요. 자세한 내용은 서비스 연결 역할 만들기를 참조하세요.
-
AWS Management 콘솔에 로그인하고 https://console.aws.amazon.com/trustedadvisor
에서 Trusted Advisor 콘솔을 여세요. 비활성화된 Trusted Advisor(Disabled Trusted Advisor) 상태 배너가 콘솔에 표시됩니다.
-
상태 배너에서 Trusted Advisor 역할 활성화를 선택합니다. 필요한
AWSServiceRoleForTrustedAdvisor가 감지되지 않을 경우 비활성화됨 상태 배너가 유지됩니다.
Trusted Advisor에 대한 서비스 연결 역할 편집
서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에서비스 연결 역할 이름을 변경할 수 없습니다. 그러나 IAM 콘솔, AWS CLI 또는 IAM API를 사용하여 역할에 대한 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 편집을 참조하세요.
Trusted Advisor에 대한 서비스 연결 역할 삭제
Trusted Advisor의 기능 또는 서비스를 사용할 필요가 없다면 AWSServiceRoleForTrustedAdvisor 역할을 삭제할 수 있습니다. 먼저 Trusted Advisor를 비활성화해야 이 서비스 연결 역할을 삭제할 수 있습니다. 이로써 Trusted Advisor 작업에 필요한 권한을 제거하는 일을 방지할 수 있습니다. Trusted Advisor를 비활성화하면 오프라인 처리 및 알림을 포함한 모든 서비스 기능이 비활성화됩니다. 또한 회원 계정에 대해 Trusted Advisor 사용을 비활성화하면 별도의 지급인 계정에도 영향을 미치고, 즉, 비용 절감 방법을 확인하는 Trusted Advisor 검사를 받지 않게 됩니다. Trusted Advisor 콘솔에 액세스할 수 없습니다. Trusted Advisor에 대한 API 호출이 액세스 거부됨 오류를 반환합니다.
먼저 계정에 AWSServiceRoleForTrustedAdvisor 서비스 연결 역할을 다시 생성해야 Trusted Advisor를 다시 활성화할 수 있습니다.
먼저 콘솔에서 Trusted Advisor를 비활성화해야 AWSServiceRoleForTrustedAdvisor 서비스 연결 역할을 삭제할 수 있습니다.
Trusted Advisor를 비활성화하려면
-
AWS Management 콘솔에 로그인하고 https://console.aws.amazon.com/trustedadvisor
의 Trusted Advisor 콘솔로 이동하세요. -
탐색 창에서 기본 설정(Preferences)을 선택합니다.
-
Service Linked Role Permissions 섹션에서 Disable Trusted Advisor를 선택합니다.
-
확인 대화 상자에서확인(OK)을 클릭하여 Trusted Advisor 비활성화 여부를 확인합니다.
Trusted Advisor을 비활성화하면 Trusted Advisor 기능이 모두 비활성화되고, Trusted Advisor 콘솔에 비활성화됨 상태 배너만 표시됩니다.
그러면 IAM 콘솔, AWS CLI, 또는 IAM API를 사용하여 이름이 AWSServiceRoleForTrustedAdvisor인 Trusted Advisor 서비스 연결 역할을 삭제할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 삭제 단원을 참조하세요.
