기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 1단계. 필요한 역할 생성 계정 사용자 지정을 시작하기 전에 AWS Control Tower와 허브 계정 간 신뢰 관계가 포함된 역할을 설정해야 합니다. 이 역할은 허브 계정의 리소스를 관리할 수 있는 액세스 권한을 AWS Control Tower에 부여합니다. 이 역할의 이름은 **AWSControlTowerBlueprintAccess**여야 합니다. AWS Control Tower는이 역할을 수임하여 사용자를 대신하여 포트폴리오 리소스를 생성한 다음 AWS Service Catalog, 블루프린트를이 포트폴리오에 서비스 카탈로그 제품으로 추가한 다음, 계정 프로비저닝 중에이 포트폴리오와 블루프린트를 멤버 계정과 공유합니다. 다음 섹션에 설명된 대로 `AWSControlTowerBlueprintAccess` 역할을 생성합니다. 등록된 계정 또는 등록되지 않은 계정에서 역할을 설정할 수 있습니다. **IAM 콘솔로 이동하여 필요한 역할을 설정합니다.** **등록된 AWS Control Tower 계정에서 AWSControlTowerBlueprintAccess 역할을 설정하는 방법** 1. AWS Control Tower 관리 계정의 위탁자로 페더레이션하거나 로그인합니다. 1. 관리 계정의 페더레이션 위탁자에서, 블루프린트 허브 계정으로 사용하기 위해 선택한 등록된 AWS Control Tower 계정의 `AWSControlTowerExecution` 역할을 수임하거나 이 역할로 전환합니다. 1. 등록된 AWS Control Tower 계정의 `AWSControlTowerExecution` 역할을 통해 적절한 권한과 신뢰 관계를 가진 `AWSControlTowerBlueprintAccess` 역할을 생성합니다. **중요** AWS 모범 사례 지침을 준수하려면 `AWSControlTowerExecution` 역할을 생성한 후 즉시 `AWSControlTowerBlueprintAccess` 역할에서 로그아웃하는 것이 중요합니다. 리소스에 대한 의도하지 않은 변경을 방지하기 위해 `AWSControlTowerExecution` 역할은 AWS Control Tower에서만 사용할 수 있습니다. 블루프린트 허브 계정이 AWS Control Tower에 등록되지 않은 경우 `AWSControlTowerExecution` 역할은 계정에 존재하지 않으므로 `AWSControlTowerBlueprintAccess` 역할 설정을 계속하기 전에 이를 수임할 필요가 없습니다. **등록되지 않은 멤버 계정에서 AWSControlTowerBlueprintAccess 역할을 설정하는 방법** 1. 원하는 방법을 사용하여 허브 계정으로 지정하려는 계정에 위탁자로 페더레이션하거나 로그인합니다. 1. 계정에 위탁자로 로그인한 경우 적절한 권한과 신뢰 관계를 포함하는 `AWSControlTowerBlueprintAccess` 역할을 생성합니다. **AWSControlTowerBlueprintAccess** 역할은 다음 두 위탁자에게 신뢰를 부여하도록 설정해야 합니다. + AWS Control Tower 관리 계정에서 AWS Control Tower를 실행하는 위탁자(사용자)입니다. + 이름이 `AWSControlTowerAdmin`인 AWS Control Tower 관리 계정의 역할입니다. 다음은 역할에 포함해야 하는 것과 유사한 신뢰 정책의 예제입니다. 이 정책은 최소 권한 액세스를 부여하는 모범 사례를 보여줍니다. 자체 정책을 만들 때 {{YourManagementAccountId}}라는 용어를 AWS Control Tower 관리 계정의 실제 계정 ID로 바꾸고, {{YourControlTowerUserRole}}이라는 용어를 관리 계정의 IAM 역할 식별자로 바꿉니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::{{111122223333}}:role/service-role/AWSControlTowerAdmin", "arn:aws:iam::{{111122223333}}:role/YourControlTowerUserRole" ] }, "Action": "sts:AssumeRole" } ] } ``` ------ **필요한 권한 정책** AWS Control Tower에서는 `AWSServiceCatalogAdminFullAccess`이라는 관리형 정책을 `AWSControlTowerBlueprintAccess` 역할에 연결해야 합니다. 이 정책은 AWS Control Tower가 포트폴리오 및 AWS Service Catalog 제품 리소스를 관리할 수 있도록 허용하는 시기를 AWS Service Catalog 찾는 권한을 제공합니다. IAM 콘솔에서 역할을 생성할 때 이 정책을 연결할 수 있습니다. **추가 권한이 필요할 수 있음** Amazon S3에 블루프린트를 저장하는 경우 AWS Control Tower에는 `AWSControlTowerBlueprintAccess` 역할에 대한 `AmazonS3ReadOnlyAccess` 권한 정책도 필요합니다. 기본 **관리자** 정책을 사용하지 않는 경우 AWS Service Catalog Terraform 유형의 제품을 사용하려면 AFC 사용자 지정 IAM 정책에 몇 가지 추가 권한을 추가해야 합니다. Terraform 템플릿에서 정의하는 리소스를 생성하는 데 필요한 권한 외에도 이러한 권한이 필요합니다.