IAM 권한 변경 세부 정보 - AMS Accelerate 사용 설명서

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM 권한 변경 세부 정보

각 관리형 인스턴스에는 다음과 같은 관리형 정책이 포함된 AWS Identity and Access Management 역할이 있어야 합니다.

  • arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

  • arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy

  • arn:aws:iam::aws:policy/AMSInstanceProfileBasePolicy

처음 두 정책은 AWS관리형 정책입니다. AMS 관리형 정책은 다음과 같습니다.

AMSInstanceProfileBasePolicy

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:UpdateSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:/ams/byoa/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

인스턴스에 이미 연결된 IAM 역할이 있지만 이러한 정책이 누락된 경우 AMS는 누락된 정책을 IAM 역할에 추가합니다. 인스턴스에 IAM 역할이 없는 경우 AMS는 AMSOSConfigurationCustomerInstanceProfile IAM 역할을 연결합니다. AMSOSConfigurationCustomerInstanceProfile IAM 역할에는 AMS Accelerate에 필요한 모든 정책이 있습니다.

참고

기본 인스턴스 프로파일 제한인 10에 도달하면 AMS는 제한을 20으로 늘려 필요한 인스턴스 프로파일을 연결할 수 있습니다.