기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Identity and Access Management AMS Accelerate의
AWS Identity and Access Management 는 AWS 리소스에 대한 액세스를 안전하게 제어하는 데 도움이 되는 웹 서비스입니다. IAM을 사용하여 리소스를 사용하도록 인증(로그인) 및 권한 부여(권한 있음)된 대상을 제어합니다. AMS Accelerate 온보딩 중에 각 관리형 계정 내에서 교차 계정 IAM 관리자 역할을 생성할 책임은 사용자에게 있습니다.
AMS Accelerate에서는 액세스 관리 솔루션, 액세스 정책 AWS 계정 및 관련 프로세스와 같은 및 기본 리소스에 대한 액세스를 관리할 책임이 있습니다. 즉, 사용자 수명 주기, 디렉터리 서비스의 권한 및 페더레이션 인증 시스템을 관리하여 AWS 콘솔 또는 AWS APIs. 액세스 솔루션을 관리하는 데 도움이 되도록 AMS Accelerate는 일반적인 IAM 구성 오류를 감지하는 AWS Config 규칙을 배포하고 문제 해결 알림을 제공합니다. 자세한 내용은 AWS Config 관리형 규칙을 참조하세요.
AMS Accelerate에서 자격 증명으로 인증
AMS는 IAM 자격 증명의 한 유형인 IAM 역할을 사용합니다. IAM 역할은 자격 증명이 할 수 있는 것과 없는 것을 결정하는 권한 정책이 있는 자격 증명이라는 점에서 사용자와 유사합니다 AWS. 그러나 역할에는 자격 증명이 연결되어 있지 않으며, 역할이 필요한 사람은 한 사람과 고유하게 연결되는 대신 역할을 수임할 수 있습니다. IAM 사용자는 한 가지 역할을 맡음으로써 특정 작업을 위해 다른 권한을 임시로 얻을 수 있습니다.
액세스 역할은 Operations Management에서 관리하고 정기적으로 검토하는 내부 그룹 멤버십에 의해 제어됩니다. AMS는 다음 IAM 역할을 사용합니다.
참고
AMS 액세스 역할을 사용하면 AMS 운영자가 리소스에 액세스하여 AMS 기능을 제공할 수 있습니다( 참조서비스 설명). 이러한 역할을 변경하면 이러한 기능을 제공할 수 없게 될 수 있습니다. AMS 액세스 역할을 변경해야 하는 경우 Cloud Architect에 문의하세요.
| 역할 이름 | 설명 |
|---|---|
| (엔터티)에서 사용: AMS Access Service만 해당 | |
ams-access-management |
온보딩 중에 사용자가 수동으로 배포합니다. 액세스 역할을 배포하거나 업데이트하기 위해 AMS 액세스에서만 수임합니다. 향후 액세스 역할에 대한 업데이트를 위해 온보딩 후에도 계정에 남아 있습니다. |
| (엔터티)에서 사용: AMS 작업 | |
ams-access-admin-operations |
이 역할은 계정에서 작동할 수 있는 관리 권한이 있지만 Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift, Amazon ElastiCache와 같이 데이터 스토어로 일반적으로 사용되는 AWS 서비스의 고객 콘텐츠를 읽거나, 쓰거나, 삭제할 수 있는 권한은 없습니다. 일부 AMS 개인만이 역할을 수임할 수 있습니다. |
ams-access-operations |
이 AMS 작업 역할에는 계정에서 관리 작업을 수행할 수 있는 권한이 있습니다. 이 역할에는 Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift, Amazon ElastiCache와 같이 데이터 스토어로 일반적으로 사용되는 AWS 서비스의 고객 콘텐츠에 대한 읽기, 쓰기 또는 삭제 권한이 없습니다. AWS Identity and Access Management 쓰기 작업을 수행할 수 있는 권한도이 역할에서 제외됩니다. |
ams-access-read-only |
이 AMS 읽기 전용 역할은 AMS 계정의 읽기 전용 권한으로 제한됩니다. Amazon S3, Amazon RDS, DynamoDB, Amazon Redshift, ElastiCache와 같이 데이터 스토어로 일반적으로 사용되는 AWS 서비스의 고객 콘텐츠에 대한 읽기 권한은이 역할에서 부여하지 않습니다. |
| (엔터티)에서 사용: AMS 작업 및 AMS 서비스 | |
ams_ssm_automation_역할 |
계정 내에서 SSM 자동화 문서를 실행 AWS Systems Manager 하기 위해에서 가정합니다. |
ams_ssm_automation_역할 | |
| (엔터티)에서 사용: AMS 보안 | |
ams-access-security-analyst |
이 AMS 보안 역할은 AMS 계정에 전용 보안 알림 모니터링 및 보안 인시던트 처리를 수행할 수 있는 권한이 있습니다. 일부 AMS 보안 담당자만이 역할을 수임할 수 있습니다. Amazon S3;, Amazon RDS;, Amazon DynamoDB, Amazon Redshift 및 ElastiCache와 같이 일반적으로 데이터 스토어로 사용되는 AWS 서비스의 고객 콘텐츠에 대한 읽기 권한은이 역할에서 부여하지 않습니다. |
ams-access-security-analyst-read-only |
이 AMS 보안 역할은 전용 보안 알림 모니터링 및 보안 인시던트 처리를 수행할 수 있는 AMS 계정의 읽기 전용 권한으로 제한됩니다. Amazon S3;, Amazon RDS;, Amazon DynamoDB, Amazon Redshift 및 ElastiCache와 같이 일반적으로 데이터 스토어로 사용되는 AWS 서비스의 고객 콘텐츠에 대한 읽기 권한은이 역할에서 부여하지 않습니다. |
| (엔터티)에서 사용: AWS 서비스 | |
ams-access-admin |
이 AMS 관리자 역할에는 제한 없이 계정에서 작업할 수 있는 모든 권한이 있습니다. AMS 내부 서비스(범위 축소 세션 정책 포함)만 관리자 역할을 수임할 수 있습니다. |
ams-opscenter-eventbridge-role |
Amazon EventBridge에서 AMS별 AWS Config 규칙 문제 해결 워크플로의 일부로 AWS Systems Manager OpsItems를 생성한다고 가정합니다. |
AMSOSConfigurationCustomerInstanceRole |
이 IAM 역할은 AMS OS-Configuration 서비스가 필요한 IAM 정책이 누락된 것을 발견하면 Amazon EC2 인스턴스에 적용됩니다. 이를 통해 Amazon EC2 인스턴스가 AWS Systems Manager Amazon CloudWatch 및 Amazon EventBridge 서비스와 상호 작용할 수 있습니다. 또한 Windows 인스턴스에 대한 RDP 액세스를 활성화하기 위해 AMS 사용자 지정 관리형 정책을 연결했습니다. |
mc-patch-glue-service-role |
데이터 변환을 수행하고 AMS 패치 보고서 생성기를 준비하기 위해 AWS Glue ETL 워크플로에서 가정합니다. |
| (엔터티)에서 사용: AMS 서비스 | |
ams-alarm-manager-AWSManagedServicesAlarmManagerDe-<8자리 해시> |
새 AWS AppConfig 배포에 대한 평가를 수행하기 AWS Config 규칙 위해 AMS 계정 내의 AMS 경보 관리자 인프라에서 가정합니다. |
ams-alarm-manager-AWSManagedServicesAlarmManagerRe-<8자리 해시> |
문제 해결을 위해 경보를 생성하거나 삭제할 수 있도록 AMS 계정 내의 AMS 경보 관리자 문제 해결 인프라에서 가정합니다. |
ams-alarm-manager-AWSManagedServicesAlarmManagerSS-<8자리 해시> |
가 AMS 계정 내에서 AMS 경보 관리자 문제 해결 서비스를 호출 AWS Systems Manager 하는 것으로 가정합니다. |
ams-alarm-manager-AWSManagedServicesAlarmManagerTr-<8자리 해시> |
AWS 계정 내의 AMS 경보 관리자 인프라에서 정기적인 AMS AWS Config 규칙 평가를 수행하도록 가정합니다. |
ams-alarm-manager-AWSManagedServicesAlarmManagerVa-<8자리 해시> |
필요한 경보가 AWS 계정에 존재하는지 확인하기 위해 AMS 계정 내의 AMS 경보 관리자 인프라에서 가정합니다. |
ams-backup-iam-role |
이 역할은 계정 AWS Backup 내에서를 실행하는 데 사용됩니다. |
ams-monitoring-AWSManagedServicesLogGroupLimitLamb-<8자리 해시> |
AMS 계정의 AMS 로깅 및 모니터링 인프라에서 Amazon CloudWatch Logs 그룹 제한을 평가하고 서비스 할당량과 비교한다고 가정합니다. |
ams-monitoring-AWSManagedServicesRDSMonitoringRDSE-<8자리 해시> |
Amazon RDS 이벤트를 Amazon CloudWatch Events에 전달하기 위해 AMS 계정의 AMS 로깅 및 모니터링 인프라에서 가정합니다. |
ams-monitoring-AWSManagedServicesRedshiftMonitorin-<8자리 해시> |
AMS 계정의 AMS 로깅 및 모니터링 인프라가 Amazon Redshift 이벤트(CreateCluster 및 DeleteCuster)를 Amazon CloudWatch Events로 전달한다고 가정합니다. |
ams-monitoring-infrastruc-AWSManagedServicesMonito-<8자리 해시> |
AMS 계정의 AMS 로깅 및 모니터링 인프라에서 Amazon Simple Notification Service에 메시지를 게시하여 계정이 필요한 모든 데이터를 보고하고 있는지 검증하는 것으로 가정합니다. |
ams-opscenter-role |
계정의 알림과 관련된 AWS Systems Manager OpsItems 관리하기 위해 AMS 계정의 AMS 알림 관리 시스템에서 수임합니다. |
ams-opsitem-autoexecution-role |
계정의 리소스와 관련된 알림을 모니터링하기 위해 SSM 문서를 사용하여 자동 문제 해결을 처리하도록 AMS 알림 관리 시스템에서 가정합니다. |
ams-patch-infrastructure-amspatchconfigruleroleC1-<8자리 해시> |
AMS 패치 리소스를 평가하고 스택의 드리프트를 AWS CloudFormation 감지하기 AWS Config 위해에서 가정합니다. |
ams-patch-infrastructure-amspatchcwruleopsitemams-<8자리 해시> |
Amazon EventBridge에서 패치 실패에 대한 AWS Systems Manager OpsItems를 생성한다고 가정합니다. |
ams-patch-infrastructure-amspatchservicebusamspat-<8자리 해시> |
Amazon EventBridge에서 AWS Systems Manager Maintenance Windows 상태 변경 알림을 위해 이벤트를 AMS Patch 오케스트레이터 이벤트 버스로 보내는 것으로 가정합니다. |
ams-patch-reporting-infra-amspatchreportingconfigr-<8자리 해시> |
AMS 패치 보고 리소스를 평가하고 AWS CloudFormation 스택의 드리프트를 감지하기 AWS Config 위해에서 가정합니다. |
ams-resource-tagger-AWSManagedServicesResourceTagg-<8자리 해시> |
새 AWS AppConfig 배포 시 AWS Config 규칙 평가를 수행하기 위해 AMS 계정 내의 AMS Resource Tagger 인프라에서 가정합니다. |
ams-resource-tagger-AWSManagedServicesResourceTagg-<8자리 해시> |
관리형 리소스에 필요한 AWS 태그가 있는지 확인하기 위해 AMS 계정 내의 AMS Resource Tagger 인프라에서 가정합니다. |
ams-resource-tagger-AWSManagedServicesResourceTagg-<8자리 해시> |
가 AMS 계정에서 AMS Resource Tagger 문제 해결 워크플로를 호출 AWS Systems Manager 하는 것으로 가정합니다. |
ams-resource-tagger-AWSManagedServicesResourceTagg-<8자리 해시> |
관리형 리소스에 대한 AWS 태그를 생성하거나 삭제하기 위해 AMS 계정 내의 AMS 리소스 태거 수정 인프라에서 가정합니다. |
ams-resource-tagger-AWSManagedServicesResourceTagg-<8자리 해시> |
AWS 계정 내의 AMS Resource Tagger 인프라에서 정기적인 AMS Config 규칙 평가를 수행하는 것으로 가정합니다. |
ams_os_configuration_event_rule_role-<AWS 리전> |
Amazon EventBridge에서 계정의 이벤트를 올바른 리전의 AMS OS-Configuration 서비스 EventBus로 전달한다고 가정합니다. |
mc-patch-reporting-service |
AMS 패치 데이터 집계자 및 보고서 생성기가 가정합니다. |
참고
ams-access-management 역할의 템플릿입니다. 온보딩 시 클라우드 아키텍트(CAs)가 계정에 수동으로 배포하는 스택은 management-role.yaml
이 템플릿은 ams-access-read-only, ams-access-operations, ams-access-admin-operations, ams-access-admin: accelerate-roles.yaml
해시를 포함한 AWS 클라우드 개발 키트 (AWS CDK) (AWS CDK) 식별자에 대한 자세한 내용은 UniqueIDs.
AMS Accelerate 기능 서비스는 계정에 프로그래밍 방식으로 액세스하기 위한 ams-access-admin 역할을 수임하지만 각 기능 서비스(예: 패치, 백업, 모니터링 등)에 대해 세션 정책 범위가 축소됩니다.
AMS Accelerate는 규정 준수 자격을 충족하고 유지하기 위해 업계 모범 사례를 따릅니다. 계정에 대한 AMS Accelerate 액세스는 CloudTrail에 기록되며 변경 사항 추적을 통해 검토할 수도 있습니다. 이 정보를 가져오는 데 사용할 수 있는 쿼리에 대한 자세한 내용은 섹션을 참조하세요AMS Accelerate 계정의 변경 사항 추적.
정책을 사용하여 액세스 관리
운영 엔지니어, 클라우드 아키텍트, 클라우드 서비스 제공 관리자(CSDMs)와 같은 다양한 AMS Accelerate 지원 팀이 서비스 요청 및 인시던트에 대응하기 위해 계정에 액세스해야 하는 경우가 있습니다. 액세스는 비즈니스 정당화, 서비스 요청, 운영 항목 및 지원 사례와 같은 제어를 적용하는 내부 AMS 액세스 서비스에 의해 관리됩니다. 기본 액세스는 읽기 전용이며 모든 액세스가 추적되고 기록됩니다. 단원도 참조하십시오AMS Accelerate 계정의 변경 사항 추적.
IAM 리소스 검증
AMS Accelerate 액세스 시스템은 계정의 역할을 주기적으로 수임하고(최소 24시간마다) 모든 IAM 리소스가 예상대로인지 확인합니다.
계정을 보호하기 위해 AMS Accelerate에는 위에서 언급한 IAM 역할의 존재 및 상태와 연결된 정책을 모니터링하고 경고하는 "canary"가 있습니다. 주기적으로 canary는 ams-access-read-only 역할을 수임하고 계정에 대해 CloudFormation 및 IAM API 호출을 시작합니다. canary는 AMS Accelerate 액세스 역할의 상태를 평가하여 항상 수정되지 않고 up-to-date 상태인지 확인합니다. 이 활동은 계정에 CloudTrail 로그를 생성합니다.
canary의 AWS Security Token Service (AWS STS) 세션 이름은 CloudTrail에 표시된 AMS-Access-Roles-Auditor-{uuid4()}이며 다음과 같은 API 호출이 발생합니다.
Cloud Formation API 호출:
describe_stacks()IAM API 호출:
get_role()list_attached_role_policies()list_role_policies()get_policy()get_policy_version()get_role_policy()
