기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Control Tower를 위한 ID 기반 정책(IAM 정책) 사용
이 주제에서는 ID 기반 정책의 예를 통해 계정 관리자가 IAM 자격 증명(사용자, 그룹, 역할)에 권한 정책을 연결해 AWS Control Tower 리소스에 대한 작업 수행 권한을 부여하는 방법을 보여줍니다.
**중요**
AWS Control Tower 리소스에 대한 액세스 관리를 위해 제공되는 기본 개념과 옵션 설명이 나온 소개 주제 부분을 먼저 읽는 것이 좋습니다. 자세한 내용은 [AWS Control Tower 리소스에 대한 액세스 권한 관리 개요](access-control-overview.md) 단원을 참조하십시오.
## AWS ControlTowerAdmin 역할
이 역할은 랜딩 존 유지 관리에 중요한 인프라에 대한 액세스 권한을 AWS Control Tower에 제공합니다. `AWS ControlTowerAdmin` 역할에는 연결된 관리형 정책과 IAM 역할에 대한 역할 신뢰 정책이 필요합니다. *역할 신뢰 정책*은 역할을 수임할 수 있는 위탁자를 지정하는 리소스 기반 정책입니다.
다음은 역할 신뢰 정책에 대한 예제 코드 조각입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "controltower.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
AWS CLI에서이 역할을 생성하고 라는 파일에 넣기 위한 CLI 명령의 예는 다음과 `trust.json`같습니다.
```
aws iam create-role --role-name AWSControlTowerAdmin --path /service-role/ --assume-role-policy-document file://trust.json
```
이 역할에는 두 가지 IAM 정책이 필요합니다.
1. 인라인 정책, 예:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*"
}
]
}
```
------
1. 다음 관리형 정책으로, `AWS ControlTowerServiceRolePolicy`입니다.
## AWS ControlTowerServiceRolePolicy
**AWS ControlTowerServiceRolePolicy**는 CloudFormation 스택 세트 및 스택 인스턴스, AWS CloudTrail 로그 파일, AWS Control Tower의 구성 집계자, AWS Control Tower에서 관리하는 AWS Organizations 계정 및 조직 단위(OUs)와 같은 AWS AWS Control Tower 리소스를 생성하고 관리할 수 있는 권한을 정의하는 AWS관리형 정책입니다.
이 관리형 정책에 대한 업데이트는 [AWS Control Tower에 대한 관리형 정책](managed-policies-table.md)의 표에 요약되어 있습니다.
자세한 내용은 *AWS 관리형 정책 참조 안내서*의 [AWS ControlTowerServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerServiceRolePolicy.html)를 참조하세요.
역할 신뢰 정책:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"controltower.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
인라인 정책은 `AWS ControlTowerAdminPolicy`입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
## AWS ControlTowerIdentityCenterManagementPolicy
이 정책은 AWS Control Tower에 등록된 멤버 계정에서 IAM Identity Center(IdC) 리소스를 구성할 수 있는 권한을 제공합니다. AWS Control Tower에서 랜딩 존 설정(또는 업데이트) 중에 IAM Identity Center를 ID 제공업체로 선택하면 이 정책이 `AWS ControlTowerAdmin` 역할에 연결됩니다.
최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 자세한 내용을 보려면 *AWS 관리형 정책 참조 안내서*의 [AWS ControlTowerIdentityCenterManagementPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSControlTowerIdentityCenterManagementPolicy.html)를 참조하세요.
## AWS ControlTowerStackSetRole
CloudFormation 는이 역할을 수임하여 AWS Control Tower에서 생성한 계정에 스택 세트를 배포합니다. 인라인 정책:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::*:role/AWSControlTowerExecution"
],
"Effect": "Allow"
}
]
}
```
------
**신뢰 정책**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerCloudTrailRolePolicy
AWS Control Tower는 CloudTrail을 모범 사례로 활성화하고 이 역할을 CloudTrail에 제공합니다. CloudTrail은 이 역할을 수임하여 CloudTrail 로그를 생성하고 게시합니다.
**관리형 정책:** `AWS ControlTowerCloudTrailRolePolicy`
이 역할은 AWS관리형 정책를 사용합니다. `AWS ControlTowerCloudTrailRolePolicy`이 정책은 AWS Control Tower를 대신하여 감사 로그를 Amazon CloudWatch Logs에 게시하는 데 필요한 권한을 CloudTrail에 부여합니다. 이 관리형 정책은 이전에이 역할에 사용된 인라인 정책을 대체하므로 고객 개입 없이 정책을 업데이트할 AWS 수 있습니다.
자세한 내용은 *AWS 관리형 정책 참조 안내서*의 [AWS ControlTowerCloudTrailRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerCloudTrailRolePolicy.html)를 참조하세요.
이 관리형 정책에 대한 업데이트는 [AWS Control Tower에 대한 관리형 정책](managed-policies-table.md)의 표에 요약되어 있습니다.
**참고**
관리형 정책을 도입하기 전에이 역할은 동등한 권한이 있는 인라인 정책을 사용했습니다. 인라인 정책은 원활한 업데이트를 위해 관리형 정책으로 대체되었습니다.
**이전 인라인 정책(참조용):**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "logs:CreateLogStream",
"Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
"Effect": "Allow"
},
{
"Action": "logs:PutLogEvents",
"Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
"Effect": "Allow"
}
]
}
```
------
**신뢰 정책**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerBlueprintAccess 역할 요구 사항
AWS Control Tower를 사용하려면 동일한 조직 내에서 지정된 블루프린트 허브 계정에 `AWS ControlTowerBlueprintAccess` 역할을 생성해야 합니다.
**역할 이름**
역할 이름은 `AWS ControlTowerBlueprintAccess`이어야 합니다.
**역할 신뢰 정책**
다음 위탁자를 신뢰하도록 역할을 설정해야 합니다.
+ 관리 계정에서 AWS Control Tower를 사용하는 위탁자입니다.
+ 관리 계정의 `AWS ControlTowerAdmin` 역할입니다.
다음 예제는 최소 권한 신뢰 정책을 보여줍니다. 자체 정책을 만들 때 {{YourManagementAccountId}}라는 용어를 AWS Control Tower 관리 계정의 실제 계정 ID로 바꾸고, {{YourControlTowerUserRole}}이라는 용어를 관리 계정의 IAM 역할 식별자로 바꿉니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::{{111122223333}}:role/service-role/AWSControlTowerAdmin",
"arn:aws:iam::{{111122223333}}:role/{{YourControlTowerUserRole}}"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
**역할 권한**
관리형 정책 **AWSServiceCatalogAdminFullAccess**를 역할에 연결해야 합니다.
## AWSServiceRoleForAWSControlTower
이 역할은 로그 아카이브 계정, 감사 계정 및 멤버 계정에 대한 액세스 권한을 AWS Control Tower에 제공하여 드리프트된 리소스 알림과 같이 랜딩 존 유지에 중요한 작업을 수행합니다.
`AWS ServiceRoleFor AWS ControlTower` 역할에는 연결된 관리형 정책과 IAM 역할에 대한 역할 신뢰 정책이 필요합니다.
**이 역할에 대한 관리형 정책: **`AWS ControlTowerAccountServiceRolePolicy`
역할 신뢰 정책:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "controltower.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerAccountServiceRolePolicy
이 AWS관리형 정책을 통해 AWS Control Tower는 사용자를 대신하여 자동화된 계정 구성 및 중앙 집중식 거버넌스를 제공하는 AWS 서비스를 호출할 수 있습니다.
이 정책에는 AWS Control Tower가 Security Hub CSPM **서비스 관리형 표준: AWS Control Tower의 일부인 Security Hub CSPM** 제어에서 관리하는 리소스에 대한 결과 전달을 구현 AWS Security Hub CSPM 할 수 있는 최소 권한이 포함되어 있으며, 이는 고객 계정 관리 기능을 제한하는 변경을 방지합니다. 이는 고객이 직접 시작하지 않는 백그라운드 AWS Security Hub CSPM 드리프트 탐지 프로세스의 일부입니다.
이 정책은 각 멤버 계정에서 특히 Security Hub CSPM 제어를 위한 Amazon EventBridge 규칙을 생성할 수 있는 권한을 부여하며, 이러한 규칙은 정확한 EventPattern을 지정해야 합니다. 또한 규칙은 서비스 위탁자가 관리하는 규칙에서만 작동할 수 있습니다.
**서비스 위탁자:** `controltower.amazonaws.com`
자세한 내용은 *AWS 관리형 정책 참조 안내서*의 [AWS ControlTowerAccountServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerAccountServiceRolePolicy.html)를 참조하세요.
이 관리형 정책에 대한 업데이트는 [AWS Control Tower에 대한 관리형 정책](managed-policies-table.md)의 표에 요약되어 있습니다.