AMS에서 CFN 수집 또는 스택 업데이트 CTs 사용한 자동화된 IAM 배포 - AMS 고급 애플리케이션 개발자 안내서

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AMS에서 CFN 수집 또는 스택 업데이트 CTs 사용한 자동화된 IAM 배포

이러한 AMS 변경 유형을 사용하여 다중 계정 랜딩 존(MALZ)과 단일 계정 랜딩 존(SALZ) 모두에서 IAM 역할(AWS::IAM::Role리소스)을 배포할 수 있습니다.

  • 배포 | 수집 | CloudFormation 템플릿의 스택 | 생성(ct-36cn2avfrrj9v)

  • 관리 | 사용자 지정 스택 | CloudFormation 템플릿의 스택 | 업데이트(ct-361tlo1k7339x)

  • 관리 | 사용자 지정 스택 | CloudFormation 템플릿의 스택 | 승인 및 업데이트(ct-1404e21baa2ox)

CFN 템플릿의 IAM 역할에 대해 수행된 검증:

  • ManagedPolicyArns: 속성 ManagedPolicyArns가에 없어야 합니다AWS::IAM::Role. 검증을 통해 프로비저닝되는 역할에 관리형 정책을 연결할 수 없습니다. 대신 속성 정책을 통해 인라인 정책을 사용하여 역할에 대한 권한을 관리할 수 있습니다.

  • PermissionsBoundary: 역할에 대한 권한 경계를 설정하는 데 사용되는 정책은 AMS 판매 관리형 정책인 만 가능합니다AWSManagedServices_IAM_PermissionsBoundary. 이 정책은 프로비저닝되는 역할을 사용하여 AMS 인프라 리소스가 수정되지 않도록 보호하는 가드레일 역할을 합니다. 이 기본 권한 경계를 사용하면 AMS가 제공하는 보안 이점이 유지됩니다.

    AWSManagedServices_IAM_PermissionsBoundary (기본값)이 필요하지 않으면 요청이 거부됩니다.

  • MaxSessionDuration: IAM 역할에 대해 설정할 수 있는 최대 세션 기간은 1~4시간입니다. AMS 기술 표준에서는 4시간을 초과하는 세션 기간 동안 고객 위험 승인을 요구합니다.

  • RoleName: 다음 네임스페이스는 AMS에서 보존되며 IAM 역할 이름 접두사로 사용할 수 없습니다.

    AmazonSSMRole,
AMS,
Ams,
ams,
AWSManagedServices,
customer_developer_role,
customer-mc-,
Managed_Services,
MC,
Mc,
mc,
SENTINEL,
Sentinel,
sentinel,
StackSet-AMS,
StackSet-Ams,
StackSet-ams,
StackSet-AWS,
StackSet-MC,
StackSet-Mc,
StackSet-mc

  • 정책: IAM 역할에 포함된 인라인 정책에는 AMS에서 사전 승인한 IAM 작업 세트만 포함될 수 있습니다. (제어 정책)을 사용하여 IAM 역할을 생성할 수 있는 모든 IAM 작업의 상한입니다. 제어 정책은 다음으로 구성됩니다.

    • 모든 AWS 서비스 및 리소스에 대한 읽기 전용 액세스를 제공하는 AWS 관리형 정책 ReadOnlyAccess의 모든 작업

    • 계정 간 S3 작업, 즉 허용된 S3 작업에 대한 제한이 있는 다음 작업은 생성 중인 역할과 동일한 계정에 있는 리소스에서만 수행할 수 있습니다.

      amscm:*,
amsskms:*,
lambda:InvokeFunction,
logs:CreateLogStream,
logs:PutLogEvents,
s3:AbortMultipartUpload,
s3:DeleteObject,
s3:DeleteObjectVersion,
s3:ObjectOwnerOverrideToBucketOwner,
s3:PutObject,
s3:ReplicateTags,
secretsmanager:GetRandomPassword,
sns:Publish

      CFN 수집을 통해 생성되거나 업데이트된 모든 IAM 역할은이 제어 정책에 나열된 작업 또는 제어 정책에 나열된 작업에서 범위가 축소된 작업(미만 허용)을 허용할 수 있습니다. 현재 읽기 전용 작업으로 분류할 수 있는 이러한 안전한 IAM 작업과 CTs를 통해 수행할 수 없고 AMS 기술 표준에 따라 사전 승인된 위에서 언급한 비읽기 전용 작업을 허용합니다.

  • AssumeRolePolicyDocument: 다음 엔터티는 사전 승인되었으며 생성 중인 역할을 수임하기 위해 신뢰 정책에 포함될 수 있습니다.

    • 동일한 계정의 모든 IAM 엔터티(역할, 사용자, 루트 사용자, STS 수임된 역할 세션)가 역할을 수임할 수 있습니다.

    • 다음은 역할을 수임할 AWS 서비스 수 있습니다.

      apigateway.amazonaws.com,
autoscaling.amazonaws.com,
cloudformation.amazonaws.com,
codebuild.amazonaws.com,
codedeploy.amazonaws.com,
codepipeline.amazonaws.com,
datapipeline.amazonaws.com,
datasync.amazonaws.com,
dax.amazonaws.com,
dms.amazonaws.com,
ec2.amazonaws.com,
ecs-tasks.amazonaws.com,
ecs.application-autoscaling.amazonaws.com,
elasticmapreduce.amazonaws.com,
es.amazonaws.com,
events.amazonaws.com,
firehose.amazonaws.com,
glue.amazonaws.com,
lambda.amazonaws.com,
monitoring.rds.amazonaws.com,
pinpoint.amazonaws.com,
rds.amazonaws.com,
redshift.amazonaws.com,
s3.amazonaws.com,
sagemaker.amazonaws.com,
servicecatalog.amazonaws.com,
sns.amazonaws.com,
ssm.amazonaws.com,
states.amazonaws.com,
storagegateway.amazonaws.com,
transfer.amazonaws.com,
vmie.amazonaws.com

    • 동일한 계정의 SAML 공급자가 역할을 수임할 수 있습니다. 현재 지원되는 유일한 SAML 공급자 이름은 입니다customer-saml.

하나 이상의 검증이 실패하면 RFC가 거부됩니다. 샘플 RFC 거부 이유는 다음과 같습니다.

{"errorMessage":"[ 'LambdaRole: The maximum session duration (in seconds) should be a numeric value in the range 3600 to 14400 (i.e. 1 to 4 hours).', 'lambda-policy: Policy document is too permissive.']","errorType":"ClientError"}

실패한 RFC 검증 또는 실행에 도움이 필요한 경우 RFC 서신을 사용하여 AMS에 문의하세요. 지침은 RFC 서신 및 첨부 파일(콘솔)을 참조하세요. 다른 질문이 있는 경우 서비스 요청을 제출하세요. 사용 방법은 서비스 요청 생성을 참조하세요.

참고

현재 IAM 검증의 일환으로 IAM 모범 사례를 적용하지 않습니다. IAM 모범 사례는 IAM의 보안 모범 사례를 참조하세요.

더 허용적인 작업을 사용하여 IAM 역할 생성 또는 IAM 모범 사례 적용

다음과 같은 수동 변경 유형을 사용하여 IAM 엔터티를 생성합니다.

  • 배포 | 고급 스택 구성 요소 | Identity and Access Management(IAM) | 개체 또는 정책 생성(ct-3dpd8mdd9jn1r)

  • 관리 | 고급 스택 구성 요소 | Identity and Access Management(IAM) | 엔터티 또는 정책 업데이트(ct-27tuth19k52b4)

이러한 수동 RFCs를 제출하기 전에 기술 표준을 읽고 이해하는 것이 좋습니다. 액세스는 기술 표준에 액세스하는 방법을 참조하세요.

참고

이러한 수동 변경 유형으로 직접 생성된 각 IAM 역할은 자체 개별 스택에 속하며 다른 인프라 리소스가 CFN Ingest CT를 통해 생성되는 동일한 스택에 상주하지 않습니다.

자동 변경 유형을 통해 업데이트를 수행할 수 없는 경우 수동 변경 유형을 통해 CFN 수집으로 생성된 IAM 역할 업데이트

관리 | 고급 스택 구성 요소 | Identity and Access Management(IAM) | 엔터티 또는 정책 업데이트(ct-27tuth19k52b4) 변경 유형을 사용합니다.

중요

수동 CT를 통한 IAM 역할 업데이트는 CFN 스택 템플릿에 반영되지 않으므로 스택 드리프트가 발생합니다. 검증을 통과하지 못한 상태로 수동 요청을 통해 역할이 업데이트되면 검증을 계속 준수하지 않는 한 스택 업데이트 CT(ct-361tlo1k7339x)를 다시 사용하여 역할을 더 이상 업데이트할 수 없습니다. 업데이트 CT는 CFN 스택 템플릿이 검증을 준수하는 경우에만 사용할 수 있습니다. 그러나 검증을 준수하지 않는 IAM 리소스가 업데이트되지 않고 CFN 템플릿이 검증을 통과하면 스택 업데이트 CT(ct-361tlo1k7339x)를 통해 스택을 업데이트할 수 있습니다.

AWS CloudFormation 수집을 통해 생성된 IAM 역할 삭제

전체 스택을 삭제하려면 다음과 같은 자동 스택 삭제 변경 유형을 사용합니다. 지침은 스택 삭제:

  • 유형 ID 변경: ct-0q0bic0ywqk6c

  • 분류: 관리 | 표준 스택 | 스택 | 삭제 및 관리 | 고급 스택 구성 요소 | 스택 | 삭제

전체 스택을 삭제하지 않고 IAM 역할을 삭제하려는 경우 CloudFormation 템플릿에서 IAM 역할을 제거하고 업데이트된 템플릿을 자동 스택 업데이트 변경 유형에 대한 입력으로 사용할 수 있습니다.

  • 유형 ID 변경: ct-361tlo1k7339x

  • 분류: 관리 | 사용자 지정 스택 | CloudFormation 템플릿의 스택 | 업데이트

지침은 AWS CloudFormation 수집 스택 업데이트를 참조하세요.