기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # AMS에서 CFN 수집 또는 스택 업데이트 CTs 사용한 자동화된 IAM 배포 이러한 AMS 변경 유형을 사용하여 다중 계정 랜딩 존(MALZ)과 단일 계정 랜딩 존(SALZ) 모두에서 IAM 역할(`AWS::IAM::Role`리소스)을 배포할 수 있습니다. + 배포 \$1 수집 \$1 CloudFormation 템플릿의 스택 \$1 생성(ct-36cn2avfrrj9v) + 관리 \$1 사용자 지정 스택 \$1 CloudFormation 템플릿의 스택 \$1 업데이트(ct-361tlo1k7339x) + 관리 \$1 사용자 지정 스택 \$1 CloudFormation 템플릿의 스택 \$1 승인 및 업데이트(ct-1404e21baa2ox) **CFN 템플릿의 IAM 역할에 대해 수행된 검증:** + **ManagedPolicyArns**: 속성 **ManagedPolicyArns**가에 없어야 합니다`AWS::IAM::Role`. 검증을 통해 프로비저닝되는 역할에 관리형 정책을 연결할 수 없습니다. 대신 속성 정책을 통해 인라인 정책을 사용하여 역할에 대한 권한을 관리할 수 있습니다. + **PermissionsBoundary**: 역할에 대한 권한 경계를 설정하는 데 사용되는 정책은 AMS 판매 관리형 정책인 만 가능합니다`AWSManagedServices_IAM_PermissionsBoundary`. 이 정책은 프로비저닝되는 역할을 사용하여 AMS 인프라 리소스가 수정되지 않도록 보호하는 가드레일 역할을 합니다. 이 기본 권한 경계를 사용하면 AMS가 제공하는 보안 이점이 유지됩니다. `AWSManagedServices_IAM_PermissionsBoundary` (기본값)이 필요하지 않으면 요청이 거부됩니다. + **MaxSessionDuration**: IAM 역할에 대해 설정할 수 있는 최대 세션 기간은 1\$14시간입니다. AMS 기술 표준에서는 4시간을 초과하는 세션 기간 동안 고객 위험 승인을 요구합니다. + **RoleName**: 다음 네임스페이스는 AMS에서 보존되며 IAM 역할 이름 접두사로 사용할 수 없습니다. ``` AmazonSSMRole, AMS, Ams, ams, AWSManagedServices, customer_developer_role, customer-mc-, Managed_Services, MC, Mc, mc, SENTINEL, Sentinel, sentinel, StackSet-AMS, StackSet-Ams, StackSet-ams, StackSet-AWS, StackSet-MC, StackSet-Mc, StackSet-mc ``` + **정책**: IAM 역할에 포함된 인라인 정책에는 AMS에서 사전 승인한 IAM 작업 세트만 포함될 수 있습니다. (제어 정책)을 사용하여 IAM 역할을 생성할 수 있는 모든 IAM 작업의 상한입니다. 제어 정책은 다음으로 구성됩니다. + 모든 AWS 서비스 및 리소스에 대한 읽기 전용 액세스를 제공하는 AWS 관리형 정책 ReadOnlyAccess의 모든 작업 + 계정 간 S3 작업, 즉 허용된 S3 작업에 대한 제한이 있는 다음 작업은 생성 중인 역할과 동일한 계정에 있는 리소스에서만 수행할 수 있습니다. ``` amscm:*, amsskms:*, lambda:InvokeFunction, logs:CreateLogStream, logs:PutLogEvents, s3:AbortMultipartUpload, s3:DeleteObject, s3:DeleteObjectVersion, s3:ObjectOwnerOverrideToBucketOwner, s3:PutObject, s3:ReplicateTags, secretsmanager:GetRandomPassword, sns:Publish ``` CFN 수집을 통해 생성되거나 업데이트된 모든 IAM 역할은이 제어 정책에 나열된 작업 또는 제어 정책에 나열된 작업에서 범위가 축소된 작업(미만 허용)을 허용할 수 있습니다. 현재 읽기 전용 작업으로 분류할 수 있는 이러한 안전한 IAM 작업과 CTs를 통해 수행할 수 없고 AMS 기술 표준에 따라 사전 승인된 위에서 언급한 비읽기 전용 작업을 허용합니다. + **AssumeRolePolicyDocument**: 다음 엔터티는 사전 승인되었으며 생성 중인 역할을 수임하기 위해 신뢰 정책에 포함될 수 있습니다. + 동일한 계정의 모든 IAM 엔터티(역할, 사용자, 루트 사용자, STS 수임된 역할 세션)가 역할을 수임할 수 있습니다. + 다음은 역할을 수임할 AWS 서비스 수 있습니다. ``` apigateway.amazonaws.com, autoscaling.amazonaws.com, cloudformation.amazonaws.com, codebuild.amazonaws.com, codedeploy.amazonaws.com, codepipeline.amazonaws.com, datapipeline.amazonaws.com, datasync.amazonaws.com, dax.amazonaws.com, dms.amazonaws.com, ec2.amazonaws.com, ecs-tasks.amazonaws.com, ecs.application-autoscaling.amazonaws.com, elasticmapreduce.amazonaws.com, es.amazonaws.com, events.amazonaws.com, firehose.amazonaws.com, glue.amazonaws.com, lambda.amazonaws.com, monitoring.rds.amazonaws.com, pinpoint.amazonaws.com, rds.amazonaws.com, redshift.amazonaws.com, s3.amazonaws.com, sagemaker.amazonaws.com, servicecatalog.amazonaws.com, sns.amazonaws.com, ssm.amazonaws.com, states.amazonaws.com, storagegateway.amazonaws.com, transfer.amazonaws.com, vmie.amazonaws.com ``` + 동일한 계정의 SAML 공급자가 역할을 수임할 수 있습니다. 현재 지원되는 유일한 SAML 공급자 이름은 입니다`customer-saml`. 하나 이상의 검증이 실패하면 RFC가 거부됩니다. 샘플 RFC 거부 이유는 다음과 같습니다. ``` {"errorMessage":"[ 'LambdaRole: The maximum session duration (in seconds) should be a numeric value in the range 3600 to 14400 (i.e. 1 to 4 hours).', 'lambda-policy: Policy document is too permissive.']","errorType":"ClientError"} ``` 실패한 RFC 검증 또는 실행에 도움이 필요한 경우 RFC 서신을 사용하여 AMS에 문의하세요. 지침은 [RFC 서신 및 첨부 파일(콘솔)을](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-rfc-correspondence.html) 참조하세요. 다른 질문이 있는 경우 서비스 요청을 제출하세요. 사용 방법은 [서비스 요청 생성을 참조하세요](https://docs.aws.amazon.com/managedservices/latest/userguide/gui-ex-create-service-request.html). **참고** 현재 IAM 검증의 일환으로 IAM 모범 사례를 적용하지 않습니다. IAM 모범 사례는 [IAM의 보안 모범 사례를](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 참조하세요. **더 허용적인 작업을 사용하여 IAM 역할 생성 또는 IAM 모범 사례 적용** 다음과 같은 수동 변경 유형을 사용하여 IAM 엔터티를 생성합니다. + 배포 \$1 고급 스택 구성 요소 \$1 Identity and Access Management(IAM) \$1 개체 또는 정책 생성(ct-3dpd8mdd9jn1r) + 관리 \$1 고급 스택 구성 요소 \$1 Identity and Access Management(IAM) \$1 엔터티 또는 정책 업데이트(ct-27tuth19k52b4) 이러한 수동 RFCs를 제출하기 전에 기술 표준을 읽고 이해하는 것이 좋습니다. 액세스는 [기술 표준에 액세스하는 방법을 참조하세요](https://docs.aws.amazon.com/managedservices/latest/ctref/rfc-security.html#rfc-sec-tech-standards-access). **참고** 이러한 수동 변경 유형으로 직접 생성된 각 IAM 역할은 자체 개별 스택에 속하며 다른 인프라 리소스가 CFN Ingest CT를 통해 생성되는 동일한 스택에 상주하지 않습니다. **자동 변경 유형을 통해 업데이트를 수행할 수 없는 경우 수동 변경 유형을 통해 CFN 수집으로 생성된 IAM 역할 업데이트** 관리 \$1 고급 스택 구성 요소 \$1 Identity and Access Management(IAM) \$1 엔터티 또는 정책 업데이트(ct-27tuth19k52b4) 변경 유형을 사용합니다. **중요** 수동 CT를 통한 IAM 역할 업데이트는 CFN 스택 템플릿에 반영되지 않으므로 스택 드리프트가 발생합니다. 검증을 통과하지 못한 상태로 수동 요청을 통해 역할이 업데이트되면 검증을 계속 준수하지 않는 한 스택 업데이트 CT(ct-361tlo1k7339x)를 다시 사용하여 역할을 더 이상 업데이트할 수 없습니다. 업데이트 CT는 CFN 스택 템플릿이 검증을 준수하는 경우에만 사용할 수 있습니다. 그러나 검증을 준수하지 않는 IAM 리소스가 업데이트되지 않고 CFN 템플릿이 검증을 통과하면 스택 업데이트 CT(ct-361tlo1k7339x)를 통해 스택을 업데이트할 수 있습니다. ** AWS CloudFormation 수집을 통해 생성된 IAM 역할 삭제** 전체 스택을 삭제하려면 다음과 같은 자동 스택 삭제 변경 유형을 사용합니다. 지침은 [스택 삭제](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-stack-delete-col.html): + 유형 ID 변경: ct-0q0bic0ywqk6c + 분류: 관리 \$1 표준 스택 \$1 스택 \$1 삭제 및 관리 \$1 고급 스택 구성 요소 \$1 스택 \$1 삭제 전체 스택을 삭제하지 않고 IAM 역할을 삭제하려는 경우 CloudFormation 템플릿에서 IAM 역할을 제거하고 업데이트된 템플릿을 자동 스택 업데이트 변경 유형에 대한 입력으로 사용할 수 있습니다. + 유형 ID 변경: ct-361tlo1k7339x + 분류: 관리 \$1 사용자 지정 스택 \$1 CloudFormation 템플릿의 스택 \$1 업데이트 지침은 [AWS CloudFormation 수집 스택 업데이트를](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-cfn-ingest-update-col.html) 참조하세요.