기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 변경 관리 모드
<a name="using-change-management"></a>

AWS Managed Services(AMS)는 변경 관리 모드를 사용하여 AMS Advanced의 변경 사항을 보호합니다. 변경 관리 모드는 환경에 대한 높은 운영 표준을 유지하고 위험을 제어하고 부정적인 영향을 방지하는 데 도움이 됩니다. AMS Advanced에는 다양한 수준의 제어 및 위험을 제공하는 다양한 모드가 있습니다. 고객 관리형 모드를 제외한 모든 모드는 AMS에서 관리합니다. 사용 가능한 변경 관리 모드는 다음과 같습니다.
+ RFC 모드(이전 표준 CM 모드): "변경 요청"(RFC) 시스템 및 AMS 사용자 지정 변경 유형(CTs)을 제공합니다.
+ 직접 변경 모드: RFC 모드와 동일하며 AWS APIs 및 콘솔을 사용하여 AMS 관리형 리소스 생성
+ AMS의 AWS Service Catalog: Direct Change 모드와 유사하지만 AMS 변경 관리 시스템(RFCs)을 사용하는 대신 AWS Service Catalog를 사용하여 AMS가 관리하는 리소스를 생성합니다.
+ 개발자 모드: 직접 변경 모드와 동일 AWS APIs 및 콘솔을 사용하여 생성한 리소스만 AMS 관리형이 아니므로 해당 리소스의 관리는 사용자의 책임입니다.
+ 셀프 서비스 프로비저닝(SSP) 모드: AMS 변경 관리 시스템에 액세스할 수 없다는 점을 제외하면 개발자 모드와 동일합니다(RFCs 없음).
+ 고객 관리형 모드: AMS는 다중 계정 랜딩 존 랜딩 존을 제공하지만 모든 리소스 관리는 사용자의 책임입니다.

변경 관리(CM) API를 사용하는 AWS Managed Services(AMS) 변경 관리 시스템은 다중 계정 랜딩 존(MALZ) 및 단일 계정 랜딩 존(SALZ) 계정 모두에 대한 변경 요청(RFCs)을 생성하고 관리하는 작업을 제공합니다.

변경 요청(RFC)은 관리형 환경을 변경하기 위해 AMS 인터페이스를 통해 사용자 또는 AMS가 생성하는 요청이며 특정 작업에 대한 변경 유형(CT) ID를 포함합니다.

AMS 변경 관리(CM) API는 변경 요청(RFCs)을 생성하고 관리하는 작업을 제공합니다. RFCs. AMS 연산자는 RFCs으로 표시할 수 있습니다.

태그 또는 기타 이름에 사용할 수 없는 AMS 예약 접두사 목록은 [예약 접두사를 참조하세요](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html).

스키마 및 예제를 포함하여 각 변경 유형에 대한 자세한 내용은 [AMS 변경 유형 참조](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)를 참조하세요.

**참고**  
모든 변경 관리 API 호출은 AWS CloudTrail에 기록됩니다. 자세한 내용은 [로그 액세스를 참조하세요](https://docs.aws.amazon.com/managedservices/latest/userguide/access-to-logs.html).

# 모드 개요
<a name="ams-modes-ug"></a>

이 정보를 사용하면 비즈니스 성과를 달성하기 위해 원하는 유연성과 규범적 거버넌스 조합을 기반으로 애플리케이션을 호스팅하는 데 적합한 AWS Managed Services(AMS) 모드를 선택하는 데 도움이 됩니다.

이 정보의 대상은 다음과 같습니다.
+ 랜딩 존의 전략 및 거버넌스를 담당하는 고객 팀. 이 정보는 팀이 내부 및 외부 고객에게 제공하려는 AMS 모드를 사용하여 AMS 관리형 랜딩 존의 기반을 마련하는 데 도움이 됩니다.
+ 비즈니스 및 애플리케이션 소유자는 애플리케이션을 AMS로 마이그레이션하는 작업을 담당했습니다. 이 정보는 애플리케이션을 마이그레이션/호스팅하는 데 적합한 AMS 모드를 사용하여 애플리케이션 마이그레이션을 계획하는 데 도움이 됩니다. 참고로 소프트웨어 개발 수명 주기(SDLC) 수명 주기의 여러 단계에서 동일한 애플리케이션을 둘 이상의 AMS 모드에서 호스팅할 수 있습니다.
+ AMS 파트너는 AMS를 구축하고 AMS로 마이그레이션하기 위한 다양한 옵션에 대해 고객을 안내하는 작업을 담당했습니다.

이 정보는 AMS 관리형 플랫폼 설정의 기초 단계와 AMS로의 온보딩이 완료되고 애플리케이션 거버넌스 및 운영에 집중한 직후 클라우드 채택 여정의 기초에서 마이그레이션 단계로 전환할 때 가장 유용합니다.

# AMS의 모드 및 계정 유형
<a name="ams-modes-types"></a>

AWS Managed Services(AMS) 모드는 각 모드의 특정 거버넌스 프레임워크에 따라 AMS 서비스와 상호 작용하는 방법으로 정의할 수 있습니다. 랜딩 존 차이, 다중 계정 랜딩 존 또는 MALZ 및 단일 계정 랜딩 존 또는 SALZ가 기록됩니다.

**참고**  
애플리케이션 배포 및 올바른 AMS 모드 선택에 대한 자세한 내용은 [AMS 모드 및 애플리케이션 또는 워크로드](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-and-apps-ug.html)를 참조하세요.  
다양한 모드의 실제 사용 사례는 [AMS 모드의 실제 사용 사례를 참조하세요.](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-use-cases.html)

다음 표에는 AMS 서비스당 모드에 대한 설명이 나와 있습니다.


| AMS 기능 | RFC 모드(이전 표준 CM 모드)/OOD**\$1** | 직접 변경 모드 | AWS Service Catalog | 셀프 서비스 프로비저닝/개발자 모드 | 고객 관리형 | 
| --- | --- | --- | --- | --- | --- | 
| 랜딩 존 구성 | MALZ 및 SALZ | MALZ 및 SALZ | MALZ 및 SALZ | 
| 변경 관리 | 변경 일정, 수동 변경 사항 검토 및 변경 레코드 | IAM 또는 보안 그룹과 같은 고위험 변경의 경우 RFC 모드와 동일 | 없음 | 
| 로깅, 모니터링, 가드레일 및 이벤트 관리 | 예(지원되는 리소스) | 아니요 | 
| 연속성 관리 | 예(지원되는 리소스) | 해당 사항 없음/아니요 | 아니요 | 
| 보안 관리 | 인스턴스 수준 보안 제어 및 계정 수준 제어 | 계정 수준 제어 | AWS 조직 수준 제어 | 
| 패치 관리 | 예 | 해당 사항 없음/아니요 | 아니요 | 
| 인시던트 및 문제 관리 | AMS 지원 리소스에 대한 응답 및 해결 SLA | 결과 리소스에 대한 응답 SLA | 아니요 | 
| 보고 | 예 | 아니요 | 
| 서비스 요청 관리 | 예 | 지원 요청만 | 아니요 | 

**\$1**OOD(Operations On Demand)에는 RFC 모드를 사용하는 고객이 전용 리소싱을 통해 변경 사항을 관리할 수 있는 기능이 있습니다. 자세한 내용은 [ 오퍼링의 온디맨드 운영 카탈로그를](https://docs.aws.amazon.com/managedservices/latest/userguide/ood-catalog.html) 참조하고 클라우드 서비스 제공 관리자(CSDM)에게 문의하세요.

**참고**  
[AMS의 셀프 서비스 프로비저닝 모드](self-service-provisioning-section.md) 및는 모두 네이티브 AWS 서비스에 기반을 둔 복잡한 아키텍처가 있는 애플리케이션에 적합한 것으로 보일 [AMS 고급 개발자 모드](developer-mode-section.md) 수 있습니다. 워크로드를 설계할 때 비즈니스 컨텍스트에 따라 운영 우수성과 민첩성을 절충합니다. 이는 애플리케이션에 대해 SSP 모드 또는 개발자 모드를 선택할 때 고려할 수 있는 좋은 방법입니다. 선택 사항은 애플리케이션의 SDLC 단계에 따라 변경될 수도 있습니다. 예: 애플리케이션이 프로덕션 준비가 되면이 모드에서 AMS 가드레일이 더 엄격하기 때문에 SSP 모드가 더 적절한 옵션일 수 있습니다. 가드레일은 애플리케이션 OU 수준에서 IAM 업데이트 및 SCPs에 대한 RFC 기반 변경 제어와 같은 예방적 제어의 형태로 적용됩니다. 이러한 비즈니스 의사결정에 따라 엔지니어링 우선 순위가 달라질 수 있습니다. 거버넌스 및 운영 지원을 희생하면서 "pre-prod" 단계에서 애플리케이션 소유자의 유연성을 높이도록 최적화할 수 있습니다.

## MALZ 아키텍처 및 관련 AMS 모드
<a name="ams-modes-and-malz"></a>

AMS 다중 계정 랜딩 존(MALZ)은 기본 조직 단위(OU): 고객 관리형 OU, 관리형 OU 또는 개발 OU에 따라 애플리케이션 계정(또는 리소스 계정)을 자동으로 프로비저닝할 수 있는 옵션을 제공합니다. 이러한 각 OUs로 생성된 애플리케이션 계정에 프로비저닝된 인프라에는 해당 기본 OUs에서 제공하는 특정 AMS 모드가 적용됩니다. 동일한 애플리케이션 계정에서 두 개 이상의 모드를 혼합하여 찾는 것이 일반적입니다. 예를 들어 RFC 모드와 SSP 모드는 트리거 함수를 위한 API Gateway 및 Lambda와 수집 및 오케스트레이션을 위한 EC2, S3 및 SQS로 구성된 파이프라인 아키텍처를 호스팅하는 AMS 관리형 계정에 공존할 수 있습니다. 이 경우 SSP 모드가 Lambda 및 API Gateway에 적용됩니다.

그림 1은 AMS의 기본 OUs 통해 다양한 모드가 제공되는 방법을 보여줍니다. AMS에서 새 애플리케이션 계정을 요청할 때는 계정의 OU를 선택해야 합니다.

MALZ 아키텍처 및 관련 AMS 모드

![\[Diagram showing AWS 계정 structure with Management, Shared Services, Network, Security, and Log Archive accounts.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/images/MALZ-high-level-(Mar2021).png)


AMS는 서비스 제어 정책(SCPs)을 사용하여 계정을 논리적으로 관리하는 방법으로 AWS 모범 사례를 기반으로 하는 기본 OUs를 활용합니다. 이는 각 AMS 모드에서 거버넌스 프레임워크를 적용하는 방법입니다. 기본 OUs에 적용되는 모든 거버넌스 및 보안 가드레일(SCPs 형식)도 사용자 지정/하위 OUs에 자동으로 적용됩니다. 하위 OU에 대해 추가 SCPs를 요청할 수 있습니다. OUs 애플리케이션 계정이 모드와 동일하지 않다는 점을 이해하는 것이 중요합니다. 모드는 계정 내에 프로비저닝된 인프라에 적용되며 AMS와 고객 간의 운영 책임을 정의합니다.

그림 1: MALZ 아키텍처 및 관련 AMS 모드

![\[Table comparing AMS modes, default governance controls, and support for customer-added controls.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/images/ams-modes-guardrails-dcm.png)


**참고**  
“제한적”이란 이러한 OUs에 대한 사용자 지정 정책을 요청할 수 있으며, 운영 우수성을 제공하는 AMS의 기능을 방해하지 않도록 case-by-case AMS의 승인을 받았음을 의미합니다. AMS 가드레일의 자세한 목록은 사용 설명서의 [AMS 가드레일을 참조하세요](https://docs.aws.amazon.com/managedservices/latest/userguide/security-mgmt.html#detective-rules).

# AMS 모드 및 애플리케이션 또는 워크로드
<a name="ams-modes-and-apps-ug"></a>

새 애플리케이션 계정을 요청하거나 기존 애플리케이션 계정에서 애플리케이션을 호스팅하여 올바른 모드를 선택할 때 애플리케이션의 운영 및 거버넌스 요구 사항을 고려합니다. 각 애플리케이션 또는 워크로드에 적합한 AMS 모드 선택은 다음 요인에 따라 달라집니다.
+ 환경이 제공할 SDLC 수명 주기 함수의 유형(예: 조정되지 않은 변경 사항이 있는 샌드박스, 자주 변경되는 UAT, 최소한의 변경 사항이 있고 규제가 엄격한 프로덕션)
+ 필요한 거버넌스 정책(OU 수준에서 SCPs를 통해 적용됨)
+ 운영 모델(운영 책임을 소유하거나 AMS에 아웃소싱하려는 경우)
+ 클라우드 운영 시간, 운영 비용 등 원하는 비즈니스 성과입니다.

**참고**  
AMS 서비스당 모드 유형에 대한 설명은 [AMS의 모드 및 계정 유형을 참조하세요](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-types.html).  
다양한 모드의 실제 사용 사례는 [AMS 모드의 실제 사용 사례를 참조하세요.](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-and-use-cases.html)

다음 표에는 애플리케이션 소유자가 가장 적합한 AMS 모드를 결정하는 데 도움이 되는 주요 고려 사항이 요약되어 있습니다. 애플리케이션 소유자는 특정 애플리케이션에 적용되는 모드를 완전히 이해하려면 애플리케이션 마이그레이션 전에 평가 단계를 포함해야 합니다. 예: 클라우드 네이티브 서비스 또는 서버리스 아키텍처 기반 애플리케이션의 경우 가장 좋은 옵션은 개발자 모드에서 빌드 및 반복을 시작하고 AMS 관리형 - SSP 모드를 사용하여 최종 코드형 인프라를 배포하는 것입니다. 이 경우 자동 배포를 위해 생성된 CloudFormation 템플릿이 AMS에서 제시한 수집 지침을 충족하는지 확인하기 위해 라이트 리팩터링이 필요할 수 있습니다. 또한 모든 IAM 권한은 최소 권한 모델을 따르도록 AMS Security의 승인을 받아야 합니다.

애플리케이션을 호스팅하도록 선택한 AMS 모드를 사용하면 원하는 클라우드 운영 모델을 구축할 수 있습니다.

**참고**  
애플리케이션을 호스팅하기 위해 선택한 다양한 AMS 모드를 기반으로 단일 AMS 관리형 랜딩 존에 둘 이상의 클라우드 운영 모델이 존재할 수 있습니다.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/ams-modes-and-apps-ug.html)

**\$1**OOD(Operations On Demand)에는 표준 CM 모드를 사용하는 고객이 전용 리소싱을 통해 변경 사항을 관리할 수 있는 기능이 있습니다. 자세한 내용은 [ 오퍼링의 온디맨드 운영 카탈로그를](https://docs.aws.amazon.com/managedservices/latest/userguide/ood-catalog.html) 참조하고 클라우드 서비스 제공 관리자(CSDM)에게 문의하세요.

**참고**  
SSP 모드와 개발자 모드 간의 가격 비교는 동일한 AWS 서비스가 프로비저닝된다고 가정합니다.

AMS 모드와 비즈니스 및 IT 목표 비교

![\[Comparison of AMS modes showing governance and flexibility against time to operationalize.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/images/ams-modes-choosing-dcm.png)


표시된 것처럼 애플리케이션에 대해 고도로 제어되고 표준화된 거버넌스 모델을 찾고 있다면 AMS 관리형 표준 변경, AWS Service Catalog 또는 직접 변경 모드가 가장 적합합니다. 운영 준비 없이 애플리케이션 혁신에 중점을 둔 맞춤형 거버넌스 모델이 필요한 경우 고객 관리형 모드를 선택합니다. 고객 관리형 모드를 사용하면 인시던트 관리, 구성 관리, 프로비저닝 관리, 보안 관리, 패치 관리 등과 같은 운영 기능을 지원하는 인력, 프로세스 및 도구를 구축할 책임이 있으므로 애플리케이션을 운영하는 데 시간이 더 오래 걸릴 수 있습니다.

# AMS 모드의 실제 사용 사례
<a name="ams-modes-use-cases"></a>

이를 검토하여 AMS 모드를 사용하는 방법을 결정합니다.
+ **사용 사례 1, 시간에 민감한 데이터 센터 종료와 함께 비용을 절감하기 위한 비즈니스 요구** 사항: 데이터 센터 종료와 같은 매력적인 비즈니스 이벤트가 있는 기업은 클라우드에서 온프레미스 애플리케이션을 다시 호스팅하는 데 관심이 있습니다. 대부분의 온프레미스 인벤토리는 운영 체제 버전이 혼합된 Windows 및 Linux 서버로 구성됩니다. 이를 통해 고객은 클라우드로 전환하여 애플리케이션의 기술 및 보안 태세를 개선하는 비용 절감을 활용하고자 합니다. 고객은 빠르게 움직이고 싶지만 아직 사내 클라우드 운영 전문 지식이 구축되어 있지 않습니다. 고객은 리팩터링의 균형을 찾아야 합니다. 리팩터링이 너무 많으면 촉박한 타임라인에 비해 위험할 수 있습니다. 그러나 OS 버전 업데이트 및 데이터베이스 최적화와 같은 일부 리팩터링을 통해 애플리케이션은 다음 수준의 성능을 달성할 수 있습니다. 이 예제에서 고객은 AMS 관리형 RFC 모드를 선택하여 대부분의 애플리케이션을 다시 호스팅할 수 있습니다. AMS는 인프라 운영을 제공하는 동시에 고객 운영 팀에 클라우드에서 안전하게 운영하는 모범 사례를 안내합니다.

  AMS 관리형 AWS Service Catalog 및 AMS 관리형 Direct Change 모드는 고객에게 동일한 비즈니스 성과와 목표를 달성하면서 유연성을 높입니다. 또한 고객은 AMS Operations On Demand(OOD) 오퍼링을 사용하여 전용 AMS 운영 엔지니어가 변경 요청(RFCs.

  차별화되지 않은 인프라 운영 작업(패치, 백업, 계정 관리 등)을 AMS로 오프로드하는 동안 고객은 애플리케이션을 최적화하는 데 계속 집중하고 클라우드 운영에서 내부 팀을 확장할 수 있습니다. AMS는 고객에게 비용 절감에 대한 월별 보고서를 제공하고 리소스 최적화에 대한 권장 사항을 제시합니다. 이 사용 사례에서는 Windows 2003 및 2008과 같은 레거시 OS 버전에서 호스팅된 end-of-life 애플리케이션이 있고 고객이 리팩터링하지 않기로 결정한 경우 해당 애플리케이션을 AMS로 마이그레이션하고 고객 관리형 모드를 활용하는 계정에서 호스팅할 수도 있습니다.
+ **사용 사례 2, 보안 AMS 경계 내에서 Lambda, Glue, Athena로 데이터 레이크 구축**: 기업은 AMS의 여러 애플리케이션에 대한 보고 요구 사항을 충족하기 위해 Data Lake를 설정하려고 합니다. 고객은 S3 버킷을 사용하여 데이터 세트를 저장하고 AWS Athena를 사용하여 각 보고서의 데이터 세트를 쿼리하려고 합니다. S3와 AWS Athena는 별도의 AMS 관리형 계정에 배포됩니다. S3가 있는 계정에는 데이터 수집 파이프라인을 빌드하기 위한 Glue, Lambda 및 Step Functions와 같은 다른 서비스도 있습니다. 이 경우 Glue, Lambda, Athena 및 Step Functions는 셀프 서비스 프로비저닝(SSP) 서비스로 간주됩니다. 또한 고객은 임시 도구/스크립팅 서버 역할을 하는 계정에 EC2 인스턴스를 배포했습니다. 고객은 먼저 AMS 관리형 계정에서 SSP 서비스를 활성화하도록 AMS에 요청합니다. AMS는 역할이 고객의 연동 솔루션에 온보딩되면 고객이 수임할 수 있는 각 서비스에 대해 IAM 역할을 프로비저닝합니다. 간편한 관리를 위해 고객은 별도의 IAM 역할에 대한 정책을 하나의 사용자 지정 역할로 결합하여 AWS 서비스 간에 작업할 때 역할을 전환할 필요성을 줄일 수도 있습니다. 계정에서 역할이 활성화되면 고객은 요구 사항에 따라 서비스를 구성할 수 있습니다. 그러나 고객은 AMS 변경 관리 시스템과 협력하여 사용 사례에 따라 추가 권한을 요청해야 합니다.

  예를 들어 Glue 크롤러에 액세스하려면 Glue에 추가 권한이 필요합니다. Lambda에 대한 이벤트 소스를 생성하려면 추가 권한도 필요합니다. 고객은 AMS와 협력하여 Athena가 S3 버킷을 쿼리할 수 있도록 교차 계정 액세스를 허용하도록 IAM 역할을 업데이트합니다. Lambda가 Step Functions 서비스를 호출하고 Glue가 모든 S3 버킷을 읽고 쓸 수 있도록 AMS 변경 관리를 통해 서비스 역할 또는 서비스 연결 역할을 업데이트해야 합니다. AMS는 고객과 협력하여 최소 권한 액세스 모델을 따르고 요청된 IAM 변경 사항이 지나치게 허용적이지 않고 불필요한 위험에 노출되지 않도록 합니다. 고객의 데이터 레이크 팀은 고객의 아키텍처와 관련된 서비스에 필요한 모든 IAM 권한을 계획하고 AMS에 이를 활성화하도록 요청합니다. 이는 모든 IAM 변경 사항이 수동으로 처리되고 AMS 보안 팀의 검토를 받기 때문입니다. 이러한 요청을 처리하는 데 걸리는 시간은 애플리케이션 배포 일정에서 고려해야 합니다.

  SSP 서비스가 계정에서 작동하므로 고객은 AMS 인시던트 관리 및 서비스 요청을 통해 지원을 요청하고 문제를 보고할 수 있습니다. 그러나 AMS는 Lambda에 대한 성능 및 동시성 지표 또는 Glue에 대한 작업 지표를 적극적으로 모니터링하지 않습니다. SSP 서비스에 대해 적절한 로깅 및 모니터링이 활성화되었는지 확인하는 것은 고객의 책임입니다. 계정의 EC2 인스턴스 및 S3 버킷은 AMS에서 완전히 관리됩니다.
+ **사용 사례 3, AMS에서 CICD 배포 파이프라인의 빠르고 유연한 설정**: 고객이 AMS의 모든 애플리케이션 계정에 코드 파이프라인을 배포하기 위해 Jenkins 기반 CICD 파이프라인을 설정하려고 합니다. 고객은 AMS 관리형 Direct Change 모드(DCM) 또는 AMS 관리형 개발자 모드에서이 CICD 파이프라인을 호스팅하는 것이 가장 적합할 수 있습니다. 이는 아티팩트 리포지토리를 호스팅하는 CloudFormation 및 S3 버킷에 액세스할 수 있는 원하는 IAM 권한과 함께 EC2에 필요한 사용자 지정 구성으로 Jenkins 서버를 유연하게 설정할 수 있기 때문입니다. AMS 관리형 RFC 모드에서도이 작업을 수행할 수 있지만 고객 팀은 IAM 역할에 대해 여러 개의 수동 RFCs를 생성하여 AMS에서 수동으로 검토하는 최소 허용 권한 세트를 반복해야 합니다. DCM을 사용하면 AMS 관리형 RFCs 대한 수동 RFC를 여러 개 생성할 필요 없이 AWS에서 운영 목표를 달성하여 AMS에서 수동으로 검토하는 최소 허용 권한 세트를 반복할 수 있습니다. AMS 프로세스와 도구를 늘리려면 고객 측 교육뿐만 아니라 시간이 걸립니다. 개발자 모드에서 고객은 "개발자 역할"로 시작하여 네이티브 AWS APIs. 이 파이프라인을 설정하는 가장 빠르고 유연한 방법은 AMS Managed-Developer 모드를 사용하는 것입니다. 개발자 모드는 운영 통합을 손상시키면서 가장 빠르고 쉬운 방법을 제공하는 반면, DCM은 덜 유연하지만 RFC 모드와 동일한 수준의 운영 지원을 제공합니다.
+ **사용 사례 4, AMS 기반 내의 맞춤형 운영 모델**: 고객이 기한 기반 데이터 센터 종료를 보고 있으며, 애플리케이션 운영 및 인프라 운영을 포함한 타사 MSP가 엔터프라이즈 애플리케이션 중 하나를 완전히 관리합니다. AMS에서 운영할 수 있도록 고객이 일정에이 애플리케이션을 리팩터링할 시간이 없다고 가정하면 고객 관리형 모드가 적절한 옵션입니다. 고객은 AMS 관리형 랜딩 존의 자동 및 빠른 설정을 활용할 수 있습니다. 중앙 집중식 네트워킹 계정을 통해 계정 벤딩 및 연결을 제어하는 중앙 집중식 계정 관리를 활용할 수 있습니다. 또한 AMS Payer 계정을 통해 모든 고객 관리형 계정에 대한 요금을 통합하여 결제를 간소화합니다. 고객은 AMS 관리형 계정에 사용되는 표준 액세스 관리와 별도로 MSP를 사용하여 맞춤형 액세스 관리 모델을 유연하게 설정할 수 있습니다. 이렇게 하면 고객 관리형 모드를 사용하여 온프레미스 환경을 비우는 비즈니스 요구 사항을 충족하면서 AMS 관리형 환경을 설정할 수 있습니다. 이 경우 고객이 클라우드로 마이그레이션하는 Windows 기반 애플리케이션도 보유하고 있고 이를 고객 관리형 계정으로 이동하기로 선택한 경우 고객은 클라우드 운영 모델을 생성할 책임이 있습니다. 이는 기존 IT 프로세스를 혁신하고 인력을 교육하는 고객의 능력에 따라 복잡하고 비용이 많이 들고 시간이 많이 걸릴 수 있습니다. 고객은 이러한 워크로드를 AMS 관리형 계정으로 "리프트 앤 시프트"하여 시간과 비용을 절약하고 인프라 작업을 AMS로 오프로드할 수 있습니다.
**참고**  
고객은 RFC 또는 SSP 모드의 거버넌스 프레임워크와 개발자 모드 간에 애플리케이션 계정을 이동해야 할 때가 있습니다. 예를 들어 고객은 초기 리프트 앤 시프트 마이그레이션의 일부로 AMS 관리형 모드에서 애플리케이션을 호스팅할 수 있지만, 초과 근무 시 애플리케이션을 다시 작성하여 클라우드 네이티브 AWS 서비스에 최적화하려고 합니다. 사전 프로덕션 계정의 모드를 AMS 관리형 RFC에서 AMS 관리형 개발자 모드로 변경하여 인프라를 프로비저닝할 수 있는 유연성과 민첩성을 제공할 수 있습니다. 그러나 "개발자 역할"을 사용하여 인프라 프로비저닝을 변경한 후에는 동일한 인프라를 AMS 관리형 RFC 모드로 다시 이동할 수 없습니다. 이는 AMS가 AMS 변경 관리 시스템 외부에서 프로비저닝된 인프라의 운영을 보장할 수 없기 때문입니다. 고객은 AMS 관리형 RFC 모드를 제공하는 새 애플리케이션 계정을 생성한 다음 AMS 관리형 계정으로 수집된 CloudFormation 템플릿 또는 사용자 지정 AMIs를 통해 "최적화된" 인프라 구성을 다시 배포해야 할 수 있습니다. 이는 프로덕션 준비 구성을 배포하는 깔끔한 방법입니다. 배포되면 애플리케이션은 규범적 AMS 거버넌스 및 운영의 적용을 받습니다. 고객 관리형 모드와 AMS 관리형 모드 간 전환 모드에도 동일하게 적용됩니다.

# RFC 모드
<a name="rfc-mode"></a>

RFC 모드는 AMS Advanced 운영 계획 고객의 기본 모드입니다. 여기에는 변경 또는 RFCs에 대한 요청이 있는 변경 관리 시스템과 계정에 필요한 추가 또는 변경을 요청하는 데 사용할 변경 유형 카탈로그가 포함됩니다. 이 변경 관리 시스템은 계정을 변경할 수 있는 사용자를 제한하는 데 있어 보안 수준을 제공합니다.

AMS 고급 변경 유형에 대한 자세한 내용은 [AMS 변경 유형이란 무엇입니까?를 참조하세요](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html).

AMS Advanced 온보딩에 대한 자세한 내용은 [AWS Managed Services 온보딩 소개를 참조하세요](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/index.html).

변경 유형 예제 연습은 *AMS 고급 변경 유형 참조 분류별 변경 유형* [섹션의 관련 변경 유형에 대한 "추가 정보" 섹션을 참조하세요](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html).

**참고**  
RFC 모드는 이전에 "변경 관리 모드" 또는 "표준 CM 모드"라고 불렸습니다.

**Topics**
+ [RFCs 대해 알아보기](ex-rfc-works.md)
+ [변경 유형이란 무엇입니까?](understanding-cts.md)
+ [AMS의 RFC 오류 문제 해결](rfc-troubleshoot.md)

# RFCs 대해 알아보기
<a name="ex-rfc-works"></a>

변경 요청 또는 RFCs는 두 가지 방식으로 작동합니다. 먼저 RFC 자체에 필요한 파라미터가 있습니다. API의 옵션은 다음과 같습니다`CreateRfc`. 둘째, RFC의 작업에 필요한 파라미터(실행 파라미터)가 있습니다. `CreateRfc` 옵션에 대한 자세한 내용은 AMS API 참조의 [CreateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html) 섹션을 참조하세요. ** 이러한 옵션은 일반적으로 RFC 생성 페이지의 **추가 구성** 영역에 나타납니다.

`CreateRfc` API, `aws amscm create-rfc` CLI 또는 AMS 콘솔 RFC 생성 페이지를 사용하여 RFC를 생성하고 제출할 수 있습니다. RFC 생성에 대한 자습서는 섹션을 참조하세요[RFC 생성](ex-rfc-create-col.md).

**Topics**
+ [RFC란 무엇인가요?](what-r-rfcs.md)
+ [AMS API/CLI 사용 시 인증](ex-rfc-authentication.md)
+ [RFC 보안 검토 이해](rfc-security.md)
+ [RFC 변경 유형 분류 이해](ex-rfc-csio.md)
+ [RFC 작업 및 활동 상태 이해](ex-rfc-action-state.md)
+ [RFC 상태 코드 이해](ex-rfc-status-codes.md)
+ [RFC 업데이트 CTs 및 CloudFormation 템플릿 드리프트 감지 이해](ex-rfc-updates-and-dd.md)
+ [RFCs 예약](ex-rfc-scheduling.md)
+ [RFCs 승인 또는 거부](ex-rfc-approvals.md)
+ [RFC 제한 실행 기간 요청](ex-rfc-restrict-execute.md)
+ [RFCs 생성, 복제, 업데이트, 찾기 및 취소](ex-rfc-use-examples.md)
+ [RFCs와 함께 AMS 콘솔 사용](ex-rfc-gui.md)
+ [일반적인 RFC 파라미터에 대해 알아보기](rfc-common-params.md)
+ [RFC 일일 이메일에 가입](rfc-digest.md)

# RFC란 무엇인가요?
<a name="what-r-rfcs"></a>

변경 요청 또는 RFC는 AMS 관리형 환경을 변경하거나 AMS에 사용자를 대신하여 변경하도록 요청하는 방법입니다. RFC를 생성하려면 AMS 변경 유형 중에서 선택하고 RFC 파라미터(예: 일정)를 선택한 다음 AMS 콘솔 또는 API 명령 [CreateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html) 및 [SubmitRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_SubmitRfc.html)를 사용하여 요청을 제출합니다.

RFC에는 두 가지 사양이 있습니다. 하나는 RFC 자체용이고 다른 하나는 변경 유형(CT) 파라미터용입니다. 명령줄에서 인라인 RFC 명령 또는 JSON 형식의 표준 CreateRfc 템플릿을 사용하여 생성한 CT JSON 스키마 파일(CT 파라미터 기반)과 함께 작성하고 제출할 수 있습니다. CT 이름은 CT에 대한 비공식 설명입니다. CSIO(범주, 하위 범주, 항목, 작업)는 CT에 대한 보다 공식적인 설명입니다. RFC를 생성할 때 CT ID만 지정해야 합니다.

RFCs 검증과 실행이라는 두 가지 주요 단계를 거칩니다.

1. 검증 단계에서 AMS는 RFC 요청의 완전성과 정확성을 검토합니다. 또한 AMS는 보안 [기술 표준에 따라 보안](rfc-security.md#rfc-security.title) 요청을 평가합니다. AMS는 요청된 변경이 유효하고 실행 가능한지 확인합니다.

1. 실행 단계에서 AMS는 계정에서 요청된 변경 사항을 시도합니다.

AMS는 자동화된 프로세스, 수동 프로세스 또는 두 프로세스의 조합을 통해 두 단계를 모두 처리합니다. 수동 프로세스는 AMS 운영 팀에서 처리합니다. 자세한 내용은 [자동 및 수동 CTs](ug-automated-or-manual.md) 단원을 참조하십시오.

AMS는 요청을 처리하기 위한 세 가지 실행 모드를 제공합니다.
+ **(AMS 권장) 실행 모드: 자동**. 이러한 CTs는 비즈니스 성과를 달성하는 가장 빠른 방법인 RFC 검증 및 실행에 자동화를 사용합니다.
+ **(AMS 권장) 실행 모드: 수동 및 지정: 관리형 자동화**. 이러한 CTs RFC 검증 및 실행을 위해 자동화된 프로세스와 수동 프로세스의 조합을 활용합니다. 자동화가 요청된 변경을 실행할 수 없는 경우 RFC는 수동 처리를 위해 (자동 라우팅 또는 대체 RFC를 생성하여) AMS 운영 팀에 전송됩니다. 이러한 CTs를 제출하면 AMS 자동화로 보완된 요청을 보다 구조화하여 처리 및 실행 결과 기간을 개선할 수 있습니다.
+ **실행 모드: 수동 및 지정: 검토 필요**. [ct-1e1xtak34nx76 관리 \$1 기타 \$1 기타 \$1 업데이트(검토 필요)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-other-other-update-review-required.html) 또는 [ct-0xdawir96cy7k 관리 \$1 기타 \$1 기타 \$1 생성(검토 필요)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-other-other-create-review-required.html)을 통해 요청된 변경 사항. 이러한 CTs 검증 및 실행을 위한 수동 처리에 의존합니다. 이러한 CTs는 변경 요청의 수동 해석에 따라 달라집니다.

AMS는 변경이 성공적으로 완료되거나(성공) 실패하면(실패) 알려줍니다.

**참고**  
RFC 실패 문제 해결에 대한 자세한 내용은 섹션을 참조하세요[AMS의 RFC 오류 문제 해결](rfc-troubleshoot.md).

다음 그림은 사용자가 제출한 RFC의 워크플로를 보여줍니다.

![\[고객이 제출한 RFC의 워크플로입니다.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/images/requestForChange-v5g.png)


# AMS API/CLI 사용 시 인증
<a name="ex-rfc-authentication"></a>

AMS API/CLI를 사용하는 경우 임시 자격 증명으로 인증해야 합니다. 페더레이션 사용자를 위한 임시 보안 자격 증명을 요청하려면 [ GetFederationToken](https://docs.aws.amazon.com/STS/latest/UsingSTS/CreatingFedTokens.html), [AssumeRole](https://docs.aws.amazon.com/STS/latest/UsingSTS/sts_delegate.html), [AssumeRoleWithSAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_assumerolewithsaml) 또는 [ AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_assumerolewithwebidentity) AWS 보안 토큰 서비스(STS) APIs.

일반적인 선택은 SAML입니다. 설정 후 호출하는 각 작업에 인수를 추가합니다. 예를 들어 `aws --profile saml amscm list-change-type-categories`입니다.

SAML 2.0 프로파일의 바로 가기는를 사용하여 각 API/CLI 시작 시 프로파일 변수를 설정하는 것입니다`set AWS_DEFAULT_PROFILE=saml`(Windows의 경우 , Linux의 경우 `export AWS_DEFAULT_PROFILE=saml`). CLI 환경 변수 설정에 대한 자세한 내용은 [ AWS 명령줄 인터페이스 구성, 환경 변수를 참조하세요](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html#cli-environment).

# RFC 보안 검토 이해
<a name="rfc-security"></a>

AWS Managed Services(AMS) 변경 관리 승인 프로세스를 통해 계정의 변경 사항에 대한 보안 검토를 수행할 수 있습니다.

AMS는 AMS 기술 표준을 기준으로 모든 변경 요청(RFCs 평가합니다. 기술 표준을 벗어나 계정의 보안 태세를 저하시킬 수 있는 모든 변경 사항은 보안 검토를 거칩니다. 보안 검토 중에 AMS는 관련 위험을 강조 표시하고, 보안 위험이 높거나 매우 높은 경우 승인된 보안 담당자가 RFC를 수락하거나 거부합니다. 또한 모든 변경 사항을 평가하여 AMS의 운영 능력에 부정적인 영향을 미치는지 평가합니다. 잠재적인 부정적인 영향이 발견되면 AMS 내에서 추가 검토 및 승인이 필요합니다.

## AMS 기술 표준
<a name="rfc-sec-tech-standards"></a>

AMS 기술 표준은 최소 보안 기준, 구성 및 프로세스를 정의하여 계정의 기본 보안을 설정합니다. AMS와 사용자 모두 이러한 표준을 따라야 합니다.

기술 표준을 벗어나 계정의 보안 태세를 잠재적으로 저하시킬 수 있는 모든 변경 사항은 위험 수락 프로세스를 거칩니다.이 프로세스에서는 AMS에서 관련 위험을 강조 표시하고 권한 있는 보안 담당자가 사용자 측에서 수락하거나 거부합니다. 또한 이러한 모든 변경 사항을 평가하여 AMS의 계정 운영 능력에 부정적인 영향을 미칠지 여부를 평가하고, 영향을 미칠 경우 AMS 내에서 추가 검토 및 승인이 필요한지 여부를 평가합니다.

## RFC 고객 보안 위험 관리(CSRM) 프로세스
<a name="rfc-sec-risk"></a>

조직의 누군가가 관리형 환경에 대한 변경을 요청하면 AMS는 변경 사항을 검토하여 해당 요청이 기술 표준을 벗어나 계정의 보안 태세를 저하시킬 수 있는지 확인합니다. 요청이 계정의 보안 태세를 저하시키는 경우 AMS는 보안 팀에 관련 위험을 알리고 변경을 실행합니다. 또는 변경으로 인해 환경에서 보안 위험이 높거나 매우 높은 경우 AMS는 위험 수락(다음 설명됨)의 형태로 보안 팀 연락처로부터 명시적 승인을 구합니다. AMS 고객 위험 수락 프로세스는 다음을 위해 설계되었습니다.
+ 위험을 명확하게 식별하고 올바른 소유자에게 알립니다.
+ 환경에 대해 식별된 위험 최소화
+ 조직의 위험 프로필을 이해하는 지정된 보안 담당자로부터 승인을 받고 문서화합니다.
+ 식별된 위험에 대한 지속적인 운영 오버헤드 감소

## 기술 표준 및 높거나 매우 높은 위험에 액세스하는 방법
<a name="rfc-sec-tech-standards-access"></a>

[https://console.aws.amazon.com/artifact/](https://console.aws.amazon.com/artifact/) AMS 기술 표준 설명서를 보고서로 참조할 수 있도록 했습니다. AMS 기술 표준 설명서를 사용하여 변경 요청(RFC)을 제출하기 전에 승인된 보안 담당자의 위험 수락이 변경에 필요한지 여부를 파악합니다.

기본 **AWSManagedServicesChangeManagementRole**로 로그인한 후 **보고서** 탭 검색 창에서 "AWS Managed Services(AMS) 기술 표준" AWS Artifact 을 검색하여 기술 표준 보고서를 찾습니다.

**참고**  
AMS 기술 표준 문서는 단일 계정 랜딩 존의 Customer\$1ReadOnly\$1Role에 액세스할 수 있습니다. 다중 계정 랜딩 존에서는 보안 관리자가 사용하는 AWSManagedServicesAdminRole과 애플리케이션 팀이 사용하는 AWSManagedServicesChangeManagementRole을 사용하여 문서에 액세스할 수 있습니다. 팀에서 사용자 지정 역할을 사용하는 경우 기타 \$1 기타 RFC를 생성하여 액세스를 요청하면 지정된 사용자 지정 역할이 업데이트됩니다.

# RFC 변경 유형 분류 이해
<a name="ex-rfc-csio"></a>

RFC를 제출할 때 사용하는 변경 유형은 두 가지 광범위한 범주로 나뉩니다.
+ **배포**:이 분류는 리소스를 생성하기 위한 것입니다.
+  **관리**:이 분류는 리소스를 업데이트하거나 삭제하기 위한 것입니다. **관리** 범주에는 인스턴스 액세스, AMIs 암호화 또는 공유, 스택 시작, 중지, 재부팅 또는 삭제를 위한 변경 유형도 포함됩니다.

# RFC 작업 및 활동 상태 이해
<a name="ex-rfc-action-state"></a>

`RfcActionState` (API) / **활동 상태**(콘솔)는 RFC에서 사람의 개입 또는 작업 상태를 이해하는 데 도움이 됩니다. 주로 수동 RFCs에 사용되는 `RfcActionState`는 사용자 또는 AMS 작업에 필요한 작업이 있는 시기를 이해하고 AMS 작업이 RFC에서 활발하게 작업하는 시기를 확인하는 데 도움이 됩니다. 이렇게 하면 수명 주기 동안 RFC에서 수행되는 작업에 대한 투명성이 향상됩니다.

`RfcActionState` (API) / **활동 상태**(콘솔) 정의:
+ **AwsOperatorAssigned**: AWS 운영자가 RFC에서 적극적으로 작업하고 있습니다.
+ **AwsActionPending**: AWS의 응답 또는 작업이 예상됩니다.
+ **CustomerActionPending**: 고객의 응답 또는 조치가 필요합니다.
+ **NoActionPending**: AWS 또는 고객의 조치가 필요하지 않습니다.
+ **NotApplicable**:이 상태는 AWS 운영자 또는 고객이 설정할 수 없으며이 기능이 릴리스되기 전에 생성된 RFCs에만 사용됩니다.

RFC 작업 상태는 제출된 변경 유형에 수동 검토가 필요한지 여부와 일정이 **ASAP**로 설정되어 있는지 여부에 따라 달라집니다.
+ 지연된 일정으로 수동 변경 유형을 검토, 승인 및 시작하는 동안 RFC **ActionState**가 변경됩니다.
  + 예약된 수동 RFC를 제출하면 **ActionState**가 자동으로 **AwsActionPending**으로 변경되어 운영자가 RFC를 검토하고 승인해야 함을 나타냅니다.
  + 운영자가 RFC를 적극적으로 검토하기 시작하면 **ActionState**가 **AwsOperatorAssigned**로 변경됩니다.
  + 운영자가 RFC를 승인하면 RFC 상태가 예약됨으로 변경되고 **ActionState**가 자동으로 **NoActionPending**으로 변경됩니다.
  + RFC의 예약된 시작 시간에 도달하면 RFC 상태가 **InProgress**으로 변경되고 **ActionState**가 자동으로 **AwsActionPending**으로 변경되어 RFC 검토를 위해 연산자를 할당해야 함을 나타냅니다.
  + 운영자가 RFC를 적극적으로 실행하기 시작하면 **ActionState**를 **AwsOperatorAssigned**로 변경합니다.
  + 완료되면 연산자가 RFC를 닫습니다. 그러면 **ActionState**가 **NoActionPending**으로 자동 변경됩니다.  
![\[예약이 연기된 수동 변경 유형의 검토, 승인 및 시작 중 RFC ActionState 변경 사항\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/images/actionStateRfc.png)

**중요**  
작업 상태는 사용자가 설정할 수 없습니다. RFC의 변경 사항에 따라 자동으로 설정되거나 AMS 연산자가 수동으로 설정합니다.
RFC에 서신을 추가하면 **ActionState**가 자동으로 **AwsActionPending**으로 설정됩니다.
RFC가 생성되면 **ActionState**가 **NoActionPending**으로 자동 설정됩니다.
RFC가 제출되면 **ActionState**는 자동으로 **AwsActionPending**으로 설정됩니다.
RFC가 거부됨, 취소됨 또는 성공 또는 실패 상태로 완료되면 **ActionState**가 **NoActionPending**으로 자동 재설정됩니다.
작업 상태는 자동 RFCs 모두에서 활성화되지만 수동 RFCs의 경우 대부분 통신이 필요한 RFCs 경우가 많습니다.

# RFC 작업 상태 사용 사례 검토
<a name="ex-rfc-action-state-examples"></a>

**사용 사례: 수동 RFC 프로세스에 대한 가시성**
+ 수동 RFC를 제출하면 운영자가 RFC를 검토하고 승인해야 함을 나타내`AwsActionPending`기 위해 RFC 작업 상태가 로 자동 변경됩니다. 운영자가 RFC를 적극적으로 검토하기 시작하면 RFC 작업 상태가 로 변경됩니다`AwsOperatorAssigned`.
+ 승인 및 예약되었으며 실행을 시작할 준비가 된 수동 RFC를 생각해 보십시오. RFC 상태가 로 변경되면 `InProgress`RFC 작업 상태가 자동으로 로 변경됩니다`AwsActionPending`. 운영자가 RFC를 적극적으로 실행하기 시작`AwsOperatorAssigned`하면 다시 로 변경됩니다.
+ 수동 RFC가 완료되면("성공" 또는 "실패"로 닫힘) RFC 작업 상태가 로 변경`NoActionPending`되어 고객 또는 운영자의 추가 작업이 필요하지 않음을 나타냅니다.

**사용 사례: RFC 대응**
+ 수동 RFC가 인 경우 AMS 운영자`Pending Approval`가 추가 정보를 필요로 할 수 있습니다. 연산자는 RFC에 서신을 게시하고 RFC 작업 상태를 로 변경합니다`CustomerActionPending`. 새 RFC 대응 서신을 추가하여 응답하면 RFC 작업 상태가 자동으로 로 변경됩니다`AwsActionPending`.
+ 자동 또는 수동 RFC가 실패하면 RFC 세부 정보에 서신을 추가하여 AMS 운영자에게 RFC가 실패한 이유를 물어볼 수 있습니다. 서신이 추가되면 RFC 작업 상태가 자동으로 로 설정됩니다`AwsActionPending`. AMS 운영자가 서신을 보기 위해 RFC를 선택하면 RFC 작업 상태가 로 변경됩니다`AwsOperatorAssigned`. 연산자가 새 RFC 대응 서신을 추가하여 응답하면 RFC 작업 상태가 고객으로부터 다른 응답이 있음을 `CustomerActionPending`나타내는 로 설정되거나 고객의 응답이 필요하지 않음을 `NoActionPending`나타내는 로 설정될 수 있습니다.

# RFC 상태 코드 이해
<a name="ex-rfc-status-codes"></a>

RFC 상태 코드는 요청을 추적하는 데 도움이 됩니다. CLI 출력에서 RFC를 실행하는 동안 또는 콘솔에서 RFC 목록 페이지를 새로 고쳐 이러한 상태 코드를 관찰할 수 있습니다.

해당 RFC의 세부 정보 페이지에서 다음과 같은 RFC의 코드를 볼 수도 있습니다.

![\[RFC 상태 코드.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/images/guiRfcStatusCodes.png)


목록에 제출하지 않은 RFC가 표시될 수 있습니다. AMS 연산자가 내부 전용 CT를 사용하는 경우 RFC에 제출하고 RFC 목록에 표시됩니다. 자세한 내용은 [내부 전용 변경 유형](ct-internals.md) 단원을 참조하십시오.

**중요**  
RFC 상태 변경에 대한 알림을 요청할 수 있습니다. 자세한 내용은 [RFC 상태 변경 알림을 참조하세요](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-state-change-notices.html).


**RFC 상태 코드**  

| Success | 실패 | 
| --- | --- | 
|  편집: RFC가 생성되었지만 제출되지 않음 PendingApproval / Submitted: RFC가 제출되었으며 시스템에서 승인이 필요한지 여부를 결정하고 필요한 경우 해당 승인을 얻고 있습니다. AWS에서 승인/고객이 승인: RFC가 승인되었습니다. 자동 RFCs는 AWS의 승인을 받고 수동 RFCs는 운영자 및 경우에 따라 고객의 승인을 받습니다. 예약됨: RFC가 구문 및 요구 사항 검사를 통과했으며 실행이 예약됨 InProgress: RFC가 실행 중입니다. 여러 리소스를 프로비저닝하거나 오래 실행되는 UserData가 있는 RFCs는 실행하는 데 시간이 더 오래 걸립니다. 실행됨: RFC가 실행되었습니다. 성공/성공: RFC가 성공적으로 완료되었습니다.  |  거부됨: RFCs는 일반적으로 검증에 실패하기 때문에 거부됩니다. 예를 들어 사용할 수 없는 리소스, 즉 서브넷이 지정됩니다. 취소됨: RFCs는 일반적으로 구성된 시작 시간이 경과하기 전에 검증을 통과하지 못하기 때문에 취소됩니다. 실패: RFC가 실패했습니다. 실패 이유는 출력의 StatusReason을 참조하세요. AMS 작업은 자동으로 문제 티켓을 생성하고 필요에 따라 사용자와 통신합니다. | 

**참고**  
취소되거나 거부된 RFCs는 [UpdateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_UpdateRfc.html)를 사용하여 다시 제출할 수 있습니다. 단원을 참조하십시오[RFCs 업데이트](ex-update-rfcs.md).

RFC가 필요한 모든 조건을 통과하면(예: 필요한 모든 파라미터가 지정됨) 상태가 로 변경됩니다`PendingApproval`(자동 CTs도 승인이 필요하며 구문 및 파라미터 검사가 통과하면 자동으로 발생함). 전달되지 않으면 상태가 로 변경됩니다`Rejected`. 는 거부에 대한 정보를 `StatusReason` 제공하고, `ExecutionOutput` 필드는 승인 및 완료에 대한 정보를 제공합니다. 오류 코드는 다음과 같습니다.
+ InvalidRfcStateException: RFC가 호출된 작업을 허용하지 않는 상태입니다. 예를 들어 RFC가 제출됨 상태로 전환된 경우 더 이상 수정할 수 없습니다.
+ InvalidRfcScheduleException: StartTime, EndTime 또는 TimeoutInMinutes 파라미터가 위반되었습니다.
+ InternalServerError: 시스템에 문제가 발생했습니다.
+ InvalidArgumentException: 파라미터가 잘못 지정되었습니다. 예를 들어 허용할 수 없는 값이 사용됩니다.
+ ResourceNotFoundException: 스택 ID와 같은 값을 찾을 수 없습니다.

변경이 승인되기 전에 예약된 요청된 시작 및 종료 시간(변경 실행 기간이라고도 함)이 발생하면 RFC 상태가 로 변경됩니다`Canceled`. 변경이 승인되면 RFC 상태가 로 변경됩니다`Scheduled`. ASAP RFCs입니다. `ExpectedExecutionDuration` 

변경 실행 기간이 도착하기 전에 언제든지 예약된 변경(CLI`RequestedStartTime`에서와 함께 제출됨)을 수정하거나 취소할 수 있습니다. 예약된 변경 사항이 수정된 경우 다시 제출해야 합니다.

변경 시작 시간이 도착하고(예약 또는 ASAP) 승인이 완료되면 상태가 로 변경`InProgress`되며 수정할 수 없습니다. 지정된 변경 실행 기간 내에 변경이 완료되면 상태가 로 변경됩니다`Success`. 변경의 일부가 실패하거나 변경 실행 기간이 종료될 때 변경 사항이 계속 진행 중인 경우 상태가 로 변경됩니다`Failure`.

**참고**  
`InProgress`, `Success`또는 상태 `Failure` 변경 중에는 RFC를 수정하거나 취소할 수 없습니다.

다음 다이어그램은 CreateRFC 호출부터 해결까지의 RFC 상태를 보여줍니다.

![\[CreateRFC 호출부터 해결까지의 RFC 상태입니다.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/images/RfcStateFlow2.png)


# RFC 업데이트 CTs 및 CloudFormation 템플릿 드리프트 감지 이해
<a name="ex-rfc-updates-and-dd"></a>

AMS에 프로비저닝된 리소스는 수정된 CloudFormation 템플릿을 사용합니다. 리소스에 서비스의 AWS 관리 콘솔을 통해 직접 변경된 파라미터가 있는 경우 해당 리소스의 CloudFormation 생성 레코드가 동기화되지 않습니다. 이 경우 AMS 업데이트 변경 유형을 사용하여 AMS의 리소스를 업데이트하려고 하면 AMS는 원래 리소스 구성을 참조하고 잠재적으로 변경된 파라미터를 재설정합니다. 이 재설정은 손상될 수 있으므로 추가 AMS 구성 변경이 감지되면 AMS는 업데이트 변경 유형이 있는 RFCs를 허용하지 않습니다.

업데이트 변경 유형 목록은 콘솔 필터를 사용합니다.

## 드리프트 문제 해결 FAQs
<a name="drift-remeditate-faqs"></a>

AMS 드리프트 수정에 대한 질문과 답변. 드리프트 문제 해결을 시작하는 데 사용할 수 있는 두 가지 변경 유형이 있습니다. 하나는 실행 모드=수동 또는 "관리형 자동화"이고 다른 하나는 실행 모드=자동입니다.

### 드리프트 수정 지원 리소스(ct-3kinq0u4l33zf)
<a name="drift-remeditate-faqs-sr"></a>

다음은 드리프트 수정 변경 유형(ct-3kinq0u4l33zf)에서 지원하는 리소스입니다.   리소스를 수정하려면 대신 "관리형 자동화"(ct-34sxfo53yuzah) 변경 유형을 사용합니다.

```
AWS::EC2::Instance
AWS::EC2::SecurityGroup
AWS::EC2::VPC
AWS::EC2::Subnet
AWS::EC2::NetworkInterface
AWS::EC2::EIP
AWS::EC2::InternetGateway
AWS::EC2::NatGateway
AWS::EC2::NetworkAcl
AWS::EC2::RouteTable
AWS::EC2::Volume
AWS::AutoScaling::AutoScalingGroup
AWS::AutoScaling::LaunchConfiguration
AWS::AutoScaling::LifecycleHook
AWS::AutoScaling::ScalingPolicy
AWS::AutoScaling::ScheduledAction
AWS::ElasticLoadBalancing::LoadBalancer
AWS::ElasticLoadBalancingV2::Listener
AWS::ElasticLoadBalancingV2::ListenerRule
AWS::ElasticLoadBalancingV2::LoadBalancer
AWS::CloudWatch::Alarm
```

### 드리프트 문제 해결 변경 유형
<a name="drift-remeditate-faqs-cts"></a>

AMS 드리프트 문제 해결 변경 유형 사용에 대한 질문과 답변입니다.

드리프트 문제 해결 기능에 지원되는 리소스 목록은 섹션을 참조하세요[드리프트 수정 지원 리소스(ct-3kinq0u4l33zf)](#drift-remeditate-faqs-sr).

**중요**  
드리프트 수정은 스택 템플릿 및/또는 파라미터를 수정하며, 최신 스택 템플릿 및 파라미터를 사용하도록 로컬 템플릿 리포지토리 또는 이러한 스택을 업데이트하는 자동화를 업데이트해야 합니다. 동기화 없이 이전 템플릿 및/또는 파라미터를 사용하면 기본 리소스가 손상될 수 있습니다.  
관리형 자동화가 없는 자동화된 CT(ct-3kinq0u4l33zf)는 RFC당 10개의 리소스만 수정할 수 있도록 지원합니다. 나머지 리소스를 10개 배치로 수정하려면 모든 리소스가 수정될 때까지 새 RFCs 생성합니다.

어떤 드리프트 문제 해결 변경 유형을 사용해야 합니까?  
다음과 같은 경우 **비관리형 자동화**, 자동 CT(ct-3kinq0u4l33zf)를 사용하는 것이 좋습니다.  
+ 자동 CT를 사용하여 기존 스택 리소스에 대한 업데이트를 수행하려고 하면 스택이 이므로 RFC가 거부됩니다`DRIFTED`.
+ 과거에 Update CT를 사용했는데 스택이 DRIFTED되어 실패했습니다. 업데이트를 다시 시도할 필요가 없으며 대신 관리형 자동화, 수동, CT를 사용할 수 있습니다.
드리프트 문제 해결 **관리형 자동화** 없음, 자동화, CT(ct-3kinq0u4l33zf)에서 드리프트된 리소스 유형을 지원하지 않거나 드리프트 문제 해결 관리형 자동화, 자동화, CT가 실패하지 않는 경우에만 관리형 자동화, 수동 CT(ct-34sxfo53yuzah)를 사용하는 것이 좋습니다.

문제 해결 중에 스택에 어떤 변경 사항이 적용되나요?  
수정하려면 드리프트된 속성에 따라 스택 템플릿 및/또는 파라미터를 업데이트해야 합니다. 또한 문제 해결은 문제 해결 중에 스택의 스택 정책을 업데이트하고 문제 해결이 완료되면 스택 정책을 이전 값으로 복원합니다.

스택 템플릿 및/또는 파라미터에 대해 수행된 변경 사항을 보려면 어떻게 해야 합니까?  
RFC에 대한 응답으로 다음 정보와 함께 변경 요약이 제공됩니다.  
+ `ChangeSummaryJson`: 드리프트 수정의 일부로 스택 템플릿 및/또는 파라미터의 변경 요약을 포함합니다. 문제 해결은 여러 단계로 수행됩니다. 이 변경 요약은 개별 단계의 변경 사항으로 구성됩니다. 문제 해결이 성공하면 마지막 단계의 변경 사항을 확인합니다. 순서대로 실행되는 단계는 JSON의 ExecutionPlan을 참조하세요. 예를 들어 있는 경우 RestoreReferences 섹션은 항상 끝에 실행되며 수정 후 변경 사항에 대한 JSON을 포함합니다. DryRun 모드에서 문제 해결을 실행하면 스택에 이러한 변경 사항이 적용되지 않습니다.
+ `PreRemediationStackTemplateAndConfigurationJson`: 스택에서 수정이 트리거되기 전에 템플릿, 파라미터, 출력, StackPolicyBody를 포함한 CloudFormation 스택의 구성 스냅샷을 포함합니다.

문제 해결이 수행되면 어떻게 해야 하나요?  
수정 스택을 업데이트하는 로컬 템플릿 리포지토리 또는 자동화를 RFC 요약에 제공된 최신 템플릿 및 파라미터로 업데이트해야 합니다. 이전 템플릿 및/또는 파라미터를 사용하면 스택 리소스가 더 이상 파괴적으로 변경될 수 있으므로이 작업을 수행하는 것이 매우 중요합니다.

이 문제 해결 중에 내 애플리케이션이 영향을 받나요?  
해결은 CloudFormation 스택 구성에서만 수행되는 오프라인 프로세스입니다. 기본 리소스에 대한 업데이트는 수행되지 않습니다.

문제 해결 후 관리 \$1 기타 \$1 기타 RFCs 계속 사용하여 리소스에 대한 업데이트를 수행할 수 있나요?  
사용 가능한 자동 CT 업데이트를 사용하여 스택 리소스에 대한 업데이트를 항상 수행하는 것이 좋습니다 CTs. 사용 가능한 업데이트 CTs가 사용 사례를 지원하지 않는 경우 관리 \$1 기타 \$1 기타 요청을 사용합니다.

수정으로 스택에 새 리소스가 생성되나요?  
수정은 스택에 새 리소스를 생성하지 않습니다. 그러나 수정은 새 출력을 생성하고 스택 템플릿 [메타데이터](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/metadata-section-structure.html) 섹션을 업데이트하여 참조용으로 수정 요약을 저장합니다.

문제 해결은 항상 성공하나요?  
수정을 수행하려면 템플릿 구성을 신중하게 분석하고 검증해야 합니다. 이러한 검증이 실패하는 시나리오에서는 수정 프로세스가 중지되고 스택 템플릿 또는 파라미터에 대한 변경 사항이 수행되지 않습니다. 또한 지원되는 리소스 유형에 대해서만 문제 해결을 수행할 수 있습니다.

문제 해결에 실패하면 스택 리소스에 대한 업데이트를 수행하려면 어떻게 해야 합니까?  
관리 \$1 기타 \$1 기타 \$1 CT 업데이트(ct-0xdawir96cy7k)를 사용하여 변경을 요청할 수 있습니다. AMS는 이러한 시나리오를 모니터링하고 문제 해결 솔루션을 개선하기 위해 노력합니다.

지원되는 리소스 유형과 지원되지 않는 리소스 유형이 모두 있는 스택을 수정할 수 있나요?  
예. 그러나 수정은 지원되는 리소스 유형이 스택에서 DRIFTED로 발견된 경우에만 수행됩니다. 지원되지 않는 리소스 유형이 DRIFTED인 경우 수정이 계속되지 않습니다.

비CFN Ingest CTs를 통해 생성된 스택에 대한 문제 해결을 요청할 수 있나요?  
예. 스택 생성에 사용되는 변경 유형에 관계없이 스택에서 수정을 수행할 수 있습니다.

수정 전에 스택에 대해 수행할 변경 사항을 알 수 있나요?  
예. 두 변경 유형 모두 스택이 수정될 경우 수행할 변경을 요청하는 데 사용할 수 있는 **DryRun** 옵션을 제공합니다. 그러나 최종 수정 변경 사항은 수정 시 스택에 있는 드리프트에 따라 다를 수 있습니다.

# RFCs 예약
<a name="ex-rfc-scheduling"></a>

**예약** 기능을 사용하면 RFCs. **예약** 기능에서 사용할 수 있는 옵션은 다음과 같습니다.
+ **이 변경 사항을 최대한 빨리 실행**: AMS는 RFC가 승인되는 즉시 실행합니다. 대부분의 CTs 자동으로 승인됩니다. RFC가 특정 시간에 시작되지 않도록 하려면이 옵션을 사용합니다.
+ **이 변경 예약**: RFC를 실행할 날짜, 시간 및 시간대를 설정합니다. 자동 변경 유형의 경우 RFC를 제출하려는 후 최소 10분 후에 시작 시간을 요청하는 것이 가장 좋습니다. 관리형 자동화 변경 유형의 경우 RFC를 제출하려는 후 최소 24시간이 지난 시작 시간을 요청해야 합니다. 구성된 시작 시간까지 RFC가 승인되지 않으면 RFC가 거부됩니다.

## RFC 일정 설정
<a name="ex-rfc-scheduling-schedule"></a>

RFC를 예약하려면 다음 방법 중 하나를 사용합니다.

**이 변경 사항을 최대한 빨리 실행합니다**.
+ 콘솔: 아무 작업도 수행하지 않습니다. 기본 RFC 일정을 사용합니다.
+ API 또는 CLI: RFC 생성 작업에서 `RequestedStartTime` 및 `RequestedEndTime` 옵션을 제거합니다.

**ASAP** "관리형 자동화" RFCs는 제출 후 30일 이내에 승인되지 않은 경우 자동 거부됩니다.

이 **변경을 예약합니다.**
+ 콘솔: **이 변경 예약** 라디오 버튼을 선택합니다. **시작 시간** 영역이 열립니다. 수동으로 날짜를 입력하거나 일정 위젯을 사용하여 날짜를 선택합니다. ISO 8601 형식으로 표현된 시간을 UTC로 입력하고 드롭다운 목록을 사용하여 위치를 선택합니다. 기본적으로 AMS는 ISO 8601 형식 YYYYMMDDThhmmssZ 또는 YYYY-MM-DDThh:mm:ssZ를 사용하며, 두 형식 중 하나가 허용됩니다.
**참고**  
**기본 종료 시간은** 입력한 **시작 시간**으로부터 4시간입니다. 예약된 변경의 **종료 시간을** 4시간 이상으로 설정하려면 API 또는 CLI를 사용하여 변경 사항을 실행합니다.
+ API 또는 CLI: RFC 생성 작업에서 `RequestedStartTime` 및 `RequestedEndTime` 파라미터 값을 제출합니다. 구성된를 전달해도 이미 시작된 자동 변경 유형에 대한 실행이 중지되지 `RequestedEndTime` 않습니다. "관리형 자동화" 변경 유형의 경우 AMS 운영 조사가 진행 중인 동안 `RequestedEndTime`에 도달하고 AMS와 통신하는 경우 확장을 요청하거나 RFC를 다시 제출하라는 메시지가 표시될 수 있습니다.
**작은 정보**  
UTC 시간 읽기의 예는 Time-is 웹 사이트의 [UTC](https://time.is/UTC)를 참조하세요. 오후 2:20에 2016-12-05의 날짜/시간 값에 대한 ISO 8601 형식의 예: **2016-12-05T14:20:00Z** 또는 **20161205T142000Z**.

제공하는 경우...
+ 만`RequestedStartTime`, RFC는 예약된 것으로 간주되며 `RequestedEndTime`는 `ExecutionDurationInMinutes` 값을 사용하여 채워집니다.
+ 만 `RequestedEndTime`해당됩니다. InvalidArgumentException이 발생합니다.
+ `RequestedStartTime` 및 모두 `RequestedEndTime` 지정된 시작 시간 \$1 `ExecutionDurationInMinutes` 값으로를 `RequestedEndTime`덮어씁니다.
+ `RequestedStartTime` 또는 도 아닙니다. 이러한 값은 null로 `RequestedEndTime`유지되며 RFC는 ASAP RFC로 처리됩니다.

**참고**  
예약된 모든 RFCs 대해 지정되지 않은 종료 시간은 지정된의 시간과 제출된 변경 유형의 `ExpectedExecutionDurationInMinutes` 속성을 `RequestedStartTime` 더한 시간으로 작성됩니다. 예를 들어 `ExpectedExecutionDurationInMinutes`가 "60"(분)이고 지정된 `RequestedStartTime`가 `2016-12-05T14:20:00Z` (2016년 12월 5일 오전 4시 20분)인 경우 실제 종료 시간은 2016년 12월 5일 오전 5시 20분으로 설정됩니다. 특정 변경 유형에 `ExpectedExecutionDurationInMinutes` 대한를 찾으려면 다음 명령을 실행합니다.  

```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```

## RFC 우선 순위 옵션 사용
<a name="ex-rfc-priority"></a>

`execution mode = manual` 변경 유형에서 **우선 순위** 옵션을 사용하여 AMS 작업에 요청의 긴급성을 알립니다.

의 **우선** 순위 옵션`execution mode = manual`:

수동 RFC의 우선 순위를 **높**음, **중간** 또는 **낮음**으로 지정합니다. **높**음으로 분류된 RFCs는 RFCs 서비스 수준 목표(SLOs) 및 제출 시간에 따라 **중간**으로 분류된 RFC 이전에 검토 및 승인됩니다. 우선 순위가 **낮**거나 우선 순위가 지정되지 않은 RFCs는 제출된 순서대로 처리됩니다.

# RFCs 승인 또는 거부
<a name="ex-rfc-approvals"></a>

승인 필요(수동) CTs와 함께 제출된 RFCs는 사용자 또는 AMS의 승인을 받아야 합니다. 사전 승인된 CTs 자동으로 처리됩니다. 자세한 내용은 [CT 승인 요구 사항](constrained-unconstrained-ctis.md) 단원을 참조하십시오.

**참고**  
수동 CTs를 사용하는 경우 ASAP **예약** 옵션(콘솔에서 **ASAP** 선택, API/CLI에서 시작 및 종료 시간 비워 두기)을 사용하는 것이 좋습니다. 이러한 CTs는 AMS 운영자가 RFC를 검사하고 승인 및 실행 전에 사용자와 통신해야 하기 때문입니다. 이러한 RFCs 예약하는 경우 최소 24시간을 허용해야 합니다. 예정된 시작 시간 전에 승인이 이루어지지 않으면 RFC가 자동으로 거부됩니다.

AMS에서 승인 필요 RFC를 성공적으로 제출한 경우 사용자의 명시적 승인을 받아야 합니다. 또는 승인 필요 RFC를 제출하는 경우 AMS의 승인을 받아야 합니다. AMS가 제출한 RFC를 승인해야 하는 경우 승인을 요청하는 이메일 또는 기타 미리 결정된 통신이 전송됩니다. 통신에는 RFC ID가 포함됩니다. 통신이 전송된 후 다음 중 하나를 수행합니다.
+ 콘솔 승인 또는 거부: 관련 RFC에 대한 RFC 세부 정보 페이지를 사용합니다.  
![\[RFC 세부 정보 페이지.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/images/AMS_Console-App-Rej.png)
+ API/CLI 승인: [ApproveRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ApproveRfc.html)는 변경 사항을 승인됨으로 표시합니다. 필요한 경우 소유자와 운영자 모두 조치를 취해야 합니다. 다음은 CLI 승인 명령의 예입니다. 다음 예제에서는 RFC\$1ID를 적절한 RFC ID로 바꿉니다.

  ```
  aws amscm approve-rfc --rfc-id RFC_ID
  ```
+ API/CLI 거부: [RejectRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_RejectRfc.html)는 변경 사항을 거부로 표시합니다. 다음은 CLI 거부 명령의 예입니다. 다음 예제에서는 RFC\$1ID를 적절한 RFC ID로 바꿉니다.

  ```
  aws amscm reject-rfc --rfc-id RFC_ID --reason "no longer relevant"
  ```

# RFC 제한 실행 기간 요청
<a name="ex-rfc-restrict-execute"></a>

이전에는 블랙아웃 일수라고 했지만 특정 기간을 제한하도록 요청할 수 있습니다. 해당 시간 동안에는 변경 사항을 실행할 수 없습니다.

제한된 실행 기간을 설정하려면 [UpdateRestrictedExecutionTimes](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_UpdateRestrictedExecutionTimes.html) API 작업을 사용하고 UTC로 특정 기간을 설정합니다. 지정한 기간은 지정된 이전 기간을 재정의합니다. 지정된 제한된 실행 시간 동안 RFC를 제출하면 잘못된 RFC 일정 오류와 함께 제출이 실패합니다. 최대 200개의 제한된 기간을 지정할 수 있습니다. 기본적으로 제한된 기간은 설정되지 않습니다. 다음은 요청 명령의 예입니다(SAML 인증이 구성된 경우).

```
aws amscm  --profile saml update-restricted-execution-times --restricted-execution-times="[{\"TimeRange\":{\"StartTime\":\"2018-01-01T12:00:00Z\",\"EndTime\":\"2018-01-01T12:00:01Z\"}}]"
```

RestrictedExecutionTimes 설정을 볼 수도 있습니다. [ListRestrictedExecutionTimes](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListRestrictedExecutionTimes.html) 예시

```
aws amscm  --profile saml list-restricted-execution-times
```

지정된 제한된 실행 시간 동안 RFC를 제출하려면 **RestrictedExecutionTimesOverrideId**를 **OverrideRestrictedTimeRanges** 값으로 추가한 다음 평소와 같이 RFC를 제출합니다. 중요하거나 긴급한 RFC에만이 방법을 사용하는 것이 가장 좋습니다. 자세한 내용은 [SubmitRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_SubmitRfc.html)에 대한 API 참조를 참조하세요.

# RFCs 생성, 복제, 업데이트, 찾기 및 취소
<a name="ex-rfc-use-examples"></a>

다음 예제에서는 다양한 RFC 작업을 안내합니다.

**Topics**
+ [RFC 생성](ex-rfc-create-col.md)
+ [AMS 콘솔RFCs 복제(다시 생성)](ex-clone-rfcs.md)
+ [RFCs 업데이트](ex-update-rfcs.md)
+ [RFCs 찾기](ex-rfc-find-col.md)
+ [RFCs 취소](ex-cancel-rfcs.md)

# RFC 생성
<a name="ex-rfc-create-col"></a>

## 콘솔을 사용하여 RFC 생성
<a name="ex-rfc-create-con"></a>

다음은 AMS 콘솔에서 **빠른 카드**가 열리고 **변경 유형 찾아보**기가 활성화된 RFC 생성 프로세스의 첫 페이지입니다.

![\[Quick create section with options for common AWS stack operations and access management.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/images/quickCreate1.png)


다음은 **범주별 선택**이 활성화된 AMS 콘솔에서 RFC 생성 프로세스의 첫 번째 페이지입니다.

![\[Create RFC page with change type categorization options for managed services environment.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/images/guiRfcCreate1-2.png)


작동 방식:

1. **RFC 생성** 페이지로 이동합니다. AMS 콘솔의 왼쪽 탐색 창에서 **RFCs** 클릭하여 RFCs 목록 페이지를 연 다음 **RFC 생성을** 클릭합니다.

1. 기본 변경 유형 **찾아보기 보기에서 인기 있는 변경 유형**(CT)을 선택하거나 **범주별 선택** 보기에서 CT를 선택합니다.
   + **변경 유형별 찾아보**기: **빠른 생성** 영역에서 인기 있는 CT를 클릭하여 **RFC 실행** 페이지를 즉시 열 수 있습니다. 빠른 생성으로 이전 CT 버전을 선택할 수 없습니다.

     CTs 정렬하려면 **카드** 또는 **테이블** 보기에서 **모든 변경 유형** 영역을 사용합니다. 어느 보기에서든 CT를 선택한 다음 **RFC 생성을** 클릭하여 **RFC 실행** 페이지를 엽니다. 해당하는 경우 RFC **생성 버튼 옆에 이전 버전으로** 생성 옵션이 나타납니다. **** 
   + **범주별 선택**: 범주, 하위 범주, 항목 및 작업을 선택하면 해당하는 경우 **이전 버전으로 생성** 옵션이 있는 CT 세부 정보 상자가 열립니다. **RFC 생성을** 클릭하여 **RFC 실행** 페이지를 엽니다.

1. **RFC 실행** 페이지에서 CT 이름 영역을 열어 CT 세부 정보 상자를 확인합니다. **제목**은 필수입니다(**변경 유형 찾아보**기 보기에서 CT를 선택하면 입력됨). **추가 구성** 영역을 열어 RFC에 대한 정보를 추가합니다.

   **실행 구성** 영역에서 사용 가능한 드롭다운 목록을 사용하거나 필요한 파라미터의 값을 입력합니다. 선택적 실행 파라미터를 구성하려면 **추가 구성** 영역을 엽니다.

1. 완료되면 **실행**을 클릭합니다. 오류가 없는 경우 **RFC가 성공적으로 생성된** 페이지에 제출된 RFC 세부 정보와 초기 **실행 출력**이 표시됩니다.

1. **실행 파라미터** 영역을 열어 제출한 구성을 확인합니다. 페이지를 새로 고쳐 RFC 실행 상태를 업데이트합니다. 선택적으로 RFC를 취소하거나 페이지 상단의 옵션을 사용하여 RFC 사본을 생성합니다.

## CLI를 사용하여 RFC 생성
<a name="ex-rfc-create-cli"></a>

작동 방식:

1. 인라인 생성(모든 RFC 및 실행 파라미터가 포함된 `create-rfc` 명령을 실행) 또는 템플릿 생성(2개의 JSON 파일을 생성, 하나는 RFC 파라미터용이고 다른 하나는 실행 파라미터용)을 사용하고 두 파일을 입력으로 사용하여 `create-rfc` 명령을 실행합니다. 두 방법 모두 여기에 설명되어 있습니다.

1. 반환된 RFC ID로 RFC: `aws amscm submit-rfc --rfc-id ID` 명령을 제출합니다.

   RFC: `aws amscm get-rfc --rfc-id ID` 명령을 모니터링합니다.

변경 유형 버전을 확인하려면 다음 명령을 사용합니다.

```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**참고**  
`CreateRfc` 변경 유형에 대한 스키마의 일부인지 여부에 관계없이 모든 파라미터를 RFC와 함께 사용할 수 있습니다. 예를 들어 RFC 상태가 변경될 때 알림을 받으려면 요청의 `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"` RFC 파라미터 부분(실행 파라미터 아님)에이 줄을 추가합니다. 모든 CreateRfc 파라미터 목록은 [AMS Change Management API 참조](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)를 참조하세요.

*인라인 생성*:

인라인으로 제공된 실행 파라미터(실행 파라미터를 인라인으로 제공할 때 따옴표 이스케이프)로 RFC 생성 명령을 실행한 다음 반환된 RFC ID를 제출합니다. 예를 들어 콘텐츠를 다음과 같은 내용으로 바꿀 수 있습니다.

```
aws amscm create-rfc --change-type-id "CT_ID" --change-type-version "VERSION" --title "TITLE" --execution-parameters "{\"Description\": \"example\"}"
```

*템플릿 생성*:
**참고**  
RFC를 생성하는이 예제에서는 Load Balancer(ELB) 스택 변경 유형을 사용합니다.

1. 관련 CT를 찾습니다. 다음 명령은 **항목** 이름에 "ELB"가 포함된 CT 분류 요약을 검색하고 범주, 항목, 작업 및 ChangeTypeID의 출력을 테이블 형식으로 생성합니다(둘 다 하위 범주는 임`Advanced stack components`).

   ```
   aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries[?contains(Item,'ELB')].[Category,Item,Operation,ChangeTypeId]" --output table
   ```

   ```
   ---------------------------------------------------------------------
   |                            CtSummaries                            |
   +-----------+---------------------------+---------------------------+
   | Deployment| Load balancer (ELB) stack | Create | ct-123h45t6uz7jl |
   | Management| Load balancer (ELB) stack | Update | ct-0ltm873rsebx9 |
   +-----------+---------------------------+---------------------------+
   ```

1. 최신 버전의 CT를 찾습니다.

   `ChangeTypeId` 및 `ChangeTypeVersion`:이 연습의 변경 유형 ID는 `ct-123h45t6uz7jl` (ELB 생성)입니다. 최신 버전을 확인하려면 다음 명령을 실행합니다.

   ```
   aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=ct-123h45t6uz7jl
   ```

1. 옵션 및 요구 사항을 알아봅니다. 다음 명령은 스키마를 CreateElbParams.json.

   ```
   aws amscm get-change-type-version --change-type-id "ct-123h45t6uz7jl" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateElbParams.json
   ```

1. 실행 파라미터 JSON 파일을 수정하고 저장합니다. 이 예제에서는 파일 이름을 CreateElbParams.json.

   프로비저닝 CT의 경우 StackTemplateId는 스키마에 포함되며 실행 파라미터에 제출해야 합니다.

   TimeoutInMinutes의 경우 RFC가 실패하기 전에 스택을 생성하는 데 허용되는 분 수는이 설정으로 인해 RFC 실행이 지연되지 않지만 충분한 시간을 제공해야 합니다(예: "5"를 지정하지 않음). 오래 실행되는 UserData: EC2 생성 및 ASG 생성CTs의 경우 유효한 값은 "60"\$1"360"입니다. 다른 모든 프로비저닝 CTs에 허용되는 최대 "60"을 권장합니다.

   스택을 생성할 VPC의 ID를 제공합니다. CLI 명령를 사용하여 VPC ID를 가져올 수 있습니다`aws amsskms list-vpc-summaries`.

   ```
   {
   "Description":      "ELB-Create-RFC", 
   "VpcId":            "VPC_ID", 
   "StackTemplateId":  "stm-sdhopv00000000000", 
   "Name":             "MyElbInstance",
   "TimeoutInMinutes": 60,
   "Parameters":   {
       "ELBSubnetIds":                     ["SUBNET_ID"],
       "ELBHealthCheckHealthyThreshold":   4,
       "ELBHealthCheckInterval":           5,
       "ELBHealthCheckTarget":             "HTTP:80/",
       "ELBHealthCheckTimeout":            60,
       "ELBHealthCheckUnhealthyThreshold": 5,
       "ELBScheme":                        false
       }
   }
   ```

1. RFC JSON 템플릿을 CreateElbRfc.json:이라는 현재 폴더의 파일로 출력합니다.

   ```
   aws amscm create-rfc --generate-cli-skeleton > CreateElbRfc.json
   ```

1. CreateElbRfc.json 파일을 수정하고 저장합니다. 별도의 파일에서 실행 파라미터를 생성했으므로 `ExecutionParameters` 줄을 제거합니다. 예를 들어 콘텐츠를 다음과 같은 내용으로 바꿀 수 있습니다.

   ```
   {
   "ChangeTypeVersion":    "2.0",
   "ChangeTypeId":         "ct-123h45t6uz7jl",
   "Title":                "Create ELB"
   }
   ```

1. RFC를 생성합니다. 다음 명령은 실행 파라미터 파일과 RFC 템플릿 파일을 지정합니다.

   ```
   aws amscm create-rfc --cli-input-json file://CreateElbRfc.json --execution-parameters file://CreateElbParams.json
   ```

   응답에서 새 RFC의 ID를 수신하고 이를 사용하여 RFC를 제출하고 모니터링할 수 있습니다. 제출하기 전까지는 RFC가 편집 상태로 유지되고 시작되지 않습니다.

## 팁
<a name="ex-rfc-create-tip"></a>

**참고**  
AMS API/CLI를 사용하여 RFC JSON 파일 또는 CT 실행 파라미터 JSON 파일을 생성하지 않고도 RFC를 생성할 수 있습니다. 이렇게 하려면 `create-rfc` 명령을 사용하고 필요한 RFC 및 실행 파라미터를 명령에 추가합니다. 이를 "인라인 생성"이라고 합니다. 모든 프로비저닝 CTs 리소스에 대한 파라미터가 포함된 `Parameters` 배열이 `execution-parameters` 블록 내에 포함되어 있습니다. 파라미터에는 슬래시(\$1)로 이스케이프된 따옴표가 있어야 합니다.  
RFC를 생성하는 다른 문서화된 방법을 "템플릿 생성"이라고 합니다. 여기에서 RFC 파라미터에 대한 JSON 파일과 실행 파라미터에 대한 다른 JSON 파일을 생성하고 `create-rfc` 명령을 사용하여 두 파일을 제출합니다. 이러한 파일은 템플릿 역할을 할 수 있으며 향후 RFCs.  
템플릿을 사용하여 RFCs를 생성할 때 명령을 사용하여 다음과 같이 명령을 실행하여 원하는 콘텐츠로 JSON 파일을 생성할 수 있습니다. 명령은 표시된 콘텐츠가 포함된 "parameters.json"이라는 파일을 생성합니다. 이러한 명령을 사용하여 RFC JSON 파일을 생성할 수도 있습니다.

# AMS 콘솔RFCs 복제(다시 생성)
<a name="ex-clone-rfcs"></a>

AMS 콘솔을 사용하여 기존 RFC를 복제할 수 있습니다.

AMS 콘솔을 사용하여 RFC를 복제하거나 다시 생성하려면 다음 단계를 따르세요.

1. 관련 RFC를 찾습니다. 왼쪽 탐색 창에서 **RFCs** 클릭합니다.

   RFCs 열립니다.

1. 복제하려는 RFC를 찾을 때까지 페이지를 스크롤합니다. **필터** 옵션을 사용하여 목록의 범위를 좁힙니다. 복제할 RFC를 선택합니다.

   RFC 세부 정보 페이지가 열립니다.

1. **복사본 생성을** 클릭합니다.

   **변경 요청 생성** 페이지가 열리고 모든 옵션이 원래 RFC에서 로 설정됩니다.

1. 원하는 대로 변경합니다. 추가 옵션을 설정하려면 **기본** 옵션을 **고급**으로 변경합니다. 모든 옵션을 설정한 후 **제출**을 선택합니다.

   활성 RFC 세부 정보 페이지가 복제된 RFC의 새 RFC ID와 함께 열리고 복제된 RFC가 RFC 대시보드에 나타납니다.

# RFCs 업데이트
<a name="ex-update-rfcs"></a>

RFC를 업데이트한 다음 제출하거나 다시 제출하여 거부되었거나 아직 제출되지 않은 RFC를 다시 제출할 수 있습니다. 지정된 RFCs`RequestedStartTime`가 제출 전에 통과했거나 지정된 TimeoutInMinutes가 RFC를 실행하기에 충분하지 않기 때문에 대부분의 RFC가 거부됩니다(TimeoutInMinutes는 성공적인 RFC를 연장하지 않으므로 Amazon EC2 또는 장기 실행 UserData가 있는 Amazon EC2 Auto Scaling 그룹의 경우 항상 "60"\$1"360"으로 설정하는 것이 좋습니다). 이 섹션에서는 CLI 버전의 `UpdateRfc` 명령을 사용하여 새 RFC 파라미터로 RFC를 업데이트하거나 문자열화된 JSON 또는 업데이트된 파라미터 파일을 사용하여 새 파라미터를 업데이트하는 방법을 설명합니다.

이 예제에서는 AMS UpdateRfc API의 CLI 버전 사용에 대해 설명합니다([RFC 업데이트](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/update-rfc.html) 참조). 일부 리소스(DNS 프라이빗 및 퍼블릭, 로드 밸런서 스택 및 스택 패치 구성)를 업데이트하기 위한 변경 유형이 있지만 RFC를 업데이트할 CT는 없습니다.

한 번에 하나의 UpdateRfc 작업을 제출하는 것이 좋습니다. 예를 들어 DNS 스택에서 여러 업데이트를 제출하면 업데이트가 DNS 업데이트를 동시에 시도하지 못할 수 있습니다.

필수 데이터: `RfcId`: 업데이트 중인 RFC입니다.

선택적 데이터: `ExecutionParameters`:와 같이 필요하지 않은 필드를 업데이트하지 않는 한 수정된 실행 파라미터를 `Description`제출하여 RFC가 거부되거나 취소되는 문제를 해결합니다. 제출된 모든 null이 아닌 값은 원래 RFC에서 해당 값을 덮어씁니다.

1. 거부되거나 취소된 관련 RFC를 찾으려면이 명령을 사용할 수 있습니다( 값을 로 대체할 수 있음`Canceled`).

   ```
   aws amscm list-rfc-summaries --filter Attribute=RfcStatusId,Value=Rejected
   ```

1. 다음 RFC 파라미터 중 하나를 수정할 수 있습니다.

   ```
   {
       "Description": "string",
       "ExecutionParameters": "string",
       "ExpectedOutcome": "string",
       "ImplementationPlan": "string",
       "RequestedEndTime": "string",
       "RequestedStartTime": "string",
       "RfcId": "string",
       "RollbackPlan": "string",
       "Title": "string",
       "WorstCaseScenario": "string"}
   ```

   설명 필드를 업데이트하는 명령의 예:

   ```
   aws amscm update-rfc --description "AMSTestNoOpsActionRequired" --rfc-id "RFC_ID" --region us-east-1
   ```

   ExecutionParameters VpcId 필드를 업데이트하는 명령의 예:

   ```
   aws amscm update-rfc  --execution-parameters "{\"VpcId\":\"VPC_ID\"}" --rfc-id "RFC_ID" --region us-east-1
   ```

   업데이트가 포함된 실행 파라미터 파일로 RFC를 업데이트하는 예제 명령. [EC2 스택 \$1 생성](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ec2-stack-create.html)의 2단계에서 예제 실행 파라미터 파일을 참조하세요.

   ```
   aws amscm update-rfc --execution-parameters file://CreateEc2ParamsUpdate.json --rfc-id "RFC_ID" --region us-east-1
   ```

1. 를 사용하여 RFC를 다시 제출`submit-rfc`하고 RFC를 처음 생성할 때와 동일한 RFC ID를 사용합니다.

   ```
   aws amscm submit-rfc --rfc-id RFC_ID
   ```

   RFC가 성공하면 명령줄에 확인 메시지나 오류 메시지가 표시되지 않습니다.

1. 요청 상태를 모니터링하고 실행 출력을 보려면 다음 명령을 실행합니다.

   ```
   aws amscm get-rfc --rfc-id RFC_ID
   ```

# RFCs 찾기
<a name="ex-rfc-find-col"></a>

## 콘솔을 사용하여 변경 요청(RFC) 찾기
<a name="ex-rfc-find-con"></a>

AMS 콘솔을 사용하여 RFC를 찾으려면 다음 단계를 따릅니다.
**참고**  
이 절차는 예약된 RFCs, 즉 **ASAP** 옵션을 사용하지 않은 RFCs에만 적용됩니다.

1. 왼쪽 탐색 창에서 **RFCs** 클릭합니다.

   RFCs 열립니다.

1. 목록을 스크롤하거나 **필터** 옵션을 사용하여 목록을 구체화합니다.

   RFC 목록은 필터 기준에 따라 변경됩니다.

1. 원하는 RFC의 제목 링크를 선택합니다.

   RFC ID를 포함한 정보가 포함된 해당 RFC에 대한 RFC 세부 정보 페이지가 열립니다.

1.  대시보드에 RFCs가 많은 경우 **필터** 옵션을 사용하여 RFC로 검색할 수 있습니다.
   + **제목**: 생성 시 RFC에 제공된 제목 줄 또는 제목(API/CLI)입니다.
   + **RFC ID**: RFC의 식별자입니다.
   + **활동 상태**: RFC 상태를 알고 있는 경우 운영자가 현재 RFC를 보고 있다는 의미의 **AwsOperatorAssigned**, RFC 실행을 진행하기 전에 AMS 운영자가 무언가를 수행해야 한다는 의미의 **AwsActionPending** 또는 RFC 실행을 진행하기 전에 조치를 취해야 한다는 의미의 **CustomerActionPending** 중에서 선택할 수 있습니다.
   + **상태**: RFC 상태를 알고 있는 경우 다음 중에서 선택할 수 있습니다.
     + **예약**됨: 예약된 RFCs.
     + **취소됨**: 취소된 RFCs.
     + **진행 중**: RFCs 진행 중입니다.
     + **성공**: 성공적으로 실행된 RFCs.
     + **거부됨**: 거부된 RFCs.
     + **편집**: 편집 중인 RFCs.
     + **Failure**: 실패한 RFCs.
     + **승인 보류** 중: AMS 또는 사용자가 승인할 때까지 진행할 수 없는 RFCs. 일반적으로 이는 RFC를 승인해야 함을 나타냅니다. 서비스 요청 목록에서 이에 대한 서비스 알림을 받게 됩니다.
   + **변경 유형**: **범주**, **하위 범주**, **항목** 및 **작업을** 선택하면 변경 유형 ID가 검색됩니다.
   + **요청된 시작 시간** 또는 **요청된 종료 시간**:이 필터 옵션을 사용하면 **이전** 또는 **이후**를 선택한 다음 **날짜** 및 선택적으로 **시간**(hh:mm 및 시간대)을 입력할 수 있습니다. 이 필터는 예약된 RFCs(ASAP RFCs 아님)에서만 성공적으로 작동합니다.
   + **상태**: **예약**됨, **취소됨**, **진행 중**, **성공**, **거부됨**, **편집** 중 또는 **실패**.
   + **제목**: RFC에 제공한 제목(또는 RFC가 API/CLI로 생성된 경우 제목)입니다.
   + **변경 유형 ID**: RFC와 함께 제출된 변경 유형의 식별자를 사용합니다.

   다음 스크린샷과 같이 검색을 통해 필터를 추가할 수 있습니다.  
![\[Search or filter options including Subject, RFC ID, Activity state, and various time-related fields.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/images/filterRfcAllOptions3.png)

1. 원하는 RFC의 제목 링크를 클릭합니다.

   RFC ID를 포함한 정보가 포함된 해당 RFC에 대한 RFC 세부 정보 페이지가 열립니다.

## CLI를 사용하여 변경 요청(RFC) 찾기
<a name="ex-rfc-find-cli"></a>

여러 필터를 사용하여 RFC를 찾을 수 있습니다.

변경 유형 버전을 확인하려면 다음 명령을 사용합니다.

```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**참고**  
변경 유형에 대한 스키마의 일부인지 여부에 관계없이 모든 RFC에서 `CreateRfc` 파라미터를 사용할 수 있습니다. 예를 들어 RFC 상태가 변경될 때 알림을 받으려면 요청의 `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"` RFC 파라미터 부분(실행 파라미터 아님)에이 줄을 추가합니다. 모든 CreateRfc 파라미터 목록은 [AMS Change Management API 참조](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)를 참조하세요.

RFC ID를 기록하지 않고 나중에 찾아야 하는 경우 AMS 변경 관리(CM) 시스템을 사용하여 이를 검색하고 필터 또는 쿼리로 결과의 범위를 좁힐 수 있습니다.

1. CM API [ListRfcSummaries](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListRfcSummaries.html) 작업에는 필터가 있습니다. 논리적 AND 작업에서 `Attribute` 및를 `Value` 결합하거나 , `Condition`및 `Attribute`를 기반으로 결과를 [필터링](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_Filter.html)할 수 있습니다`Values`.  
**RFC 필터링**    
<a name="rfc-filtering-table"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/ex-rfc-find-col.html)

   예시:

   SQS와 관련된 모든 RFCs의 IDs를 찾으려면(SQS가 CT의 항목 부분에 포함된 경우) 다음 명령을 사용할 수 있습니다.

   ```
   list-rfc-summaries --query 'RfcSummaries[?contains(Item.Name,`SQS`)].[Category.Id,Subcategory.Id,Type.Id,Item.Id,RfcId]' --output table
   ```

   다음과 같이 반환됩니다.

   ```
   ----------------------------------------------------------------------------
   |                         ListRfcSummaries                                   |
   +----------+--------------------------------+-------+-------+----------------+
   |Deployment| Advanced Stack Components      |SQS    |Create |ct-123h45t6uz7jl|
   |Management| Monitoring & Notification  |SQS    |Update |ct-123h45t6uz7jl|
   +----------+--------------------------------+-------+-------+----------------+
   ```

   에 사용할 수 있는 또 다른 필터`list-rfc-summaries`는 자동 또는 수동 RFCs`AutomationStatusId`를 찾는 입니다.

   ```
   aws amscm list-rfc-summaries --filter Attribute=AutomationStatusId,Value=Automated
   ```

   에 사용할 수 있는 또 다른 필터`list-rfc-summaries`는 `Title` (콘솔의 **제목**)입니다.

   ```
    Attribute=Title,Value=RFC-TITLE
   ```

   RFCs:
   + (제목에는 "Windows 2012" 또는 "Amazon Linux"라는 문구가 포함되어 있음) 및
   + (RfcStatusId EQUALS "Success" 또는 "InProgress") AND
   + (20170101T000000Z <= RequestedStartTime <= 20170103T000000Z) AND (ActualEndTime <= 20170103T000000Z)

   ```
   {
     "Filters": [
       {
         "Attribute": "Title",
         "Values": ["Windows 2012", "Amazon Linux"],
         "Condition": "Contains"
       },
       {
         "Attribute": "RfcStatusId",
         "Values": ["Success", "InProgress"],
         "Condition": "Equals"
       },
       {
         "Attribute": "RequestedStartTime",
         "Values": ["20170101T000000Z", "20170103T000000Z"],
         "Condition": "Between"
       },
       {
         "Attribute": "ActualEndTime",
         "Values": ["20170103T000000Z"],
         "Condition": "Before"
       }
     ]
   }
   ```
**참고**  
고급를 통해 `Filters`AMS는 향후 릴리스에서 다음 필드를 더 이상 사용하지 않으려고 합니다.  
값: 값 필드는 필터 필드의 일부입니다. 고급 기능을 지원하는 값 필드를 사용합니다.
RequestedEndTimeRange: 고급 기능을 지원하는 필터 필드 내에서 RequestedEndTime 사용
RequestedStartTimeRange: 고급 기능을 지원하는 필터 필드 내에서 RequestedStartTime을 사용합니다.

   CLI 쿼리 사용에 대한 자세한 내용은 [ --query 옵션을 사용하여 출력을 필터링하는 방법](https://docs.aws.amazon.com/cli/latest/userguide/controlling-output.html#controlling-output-filter) 및 쿼리 언어 참조인 [JMESPath 사양을](http://jmespath.org/specification.html) 참조하세요.

1. AMS 콘솔을 사용하는 경우:

   **RFCs** 페이지로 이동합니다. 필요한 경우 RFC 주체를 기준으로 필터링할 수 있습니다. RFC **주체**는 RFC를 생성할 `Title` 때 RFC로 입력한 것입니다.

## 팁
<a name="ex-rfc-find-tip"></a>

**참고**  
이 절차는 예약된 RFCs, 즉 **ASAP** 옵션을 사용하지 않은 RFCs에만 적용됩니다.

# RFCs 취소
<a name="ex-cancel-rfcs"></a>

콘솔 또는 AMS API/CLI를 사용하여 RFC를 취소할 수 있습니다.

콘솔을 사용하여 RFC를 취소하려면 RFC 목록에서 RFC를 찾아 열고 **취소**를 클릭합니다.

필수 데이터:
+ `Reason`: RFC를 취소하는 이유.
+ `RfcId`: 취소하려는 RFC입니다.

1. 일반적으로 RFC를 제출한 직후 취소합니다(RFC ID가 유용해야 함). 그렇지 않으면 예약한 후 지정된 시작 시간 이전이 아니면 취소할 수 없습니다. RFC ID를 찾아야 하는 경우이 명령을 사용할 수 있습니다(수동으로 승인된 RFC를 `PendingApproval` `Value`로 대체할 수 있음).

   ```
   aws amscm list-rfc-summaries --filter Attribute=RfcStatusId,Value=Scheduled
   ```

1. RFC를 취소하는 명령의 예:

   ```
   aws amscm cancel-rfc --reason "Bad Stack ID" --rfc-id "RFC_ID" --profile saml --region us-east-1
   ```

# RFCs와 함께 AMS 콘솔 사용
<a name="ex-rfc-gui"></a>

AMS 콘솔은 RFCs를 생성하고 제출하는 데 도움이 되는 기능을 제공합니다.

## RFC 목록 페이지 사용(콘솔)
<a name="ex-rfc-list-table"></a>

AMS 콘솔 **RFCs** 목록 페이지에는 다음 옵션이 제공됩니다.
+ **필터를** 통한 고급 RFC 검색. 자세한 내용은 [RFCs 찾기](ex-rfc-find-col.md) 단원을 참조하세요.
+ RFC가 마지막으로 **수정된** 시간을 찾습니다. 이 값은 RFC 상태가 마지막으로 변경된 시간을 나타냅니다.
+ RFC **주체**를 사용하여 RFC 세부 정보 보기. 이 링크를 선택하면 해당 RFC의 세부 정보 페이지가 열립니다.
+ RFC 상태 보기. 자세한 정보는 [RFC 상태 코드 이해](ex-rfc-status-codes.md) 섹션을 참조하세요.

![\[RFC 목록 페이지.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/images/guiRfcListTable.png)


## RFC 빠른 생성 사용(콘솔)
<a name="ex-rfc-create-qc"></a>

RFC 빠른 생성 카드 또는 목록 테이블을 사용하거나 분류별로 RFCs에 대한 변경 유형을 선택합니다.

자세한 내용은 [RFC 생성](ex-rfc-create-col.md)를 참조하세요.

## RFC 서신 및 첨부 파일 추가(콘솔)
<a name="ex-rfc-correspondence"></a>

예를 들어 "PendingApproval" 상태일 때 RFC가 제출된 후 승인되기 전에 RFC에 서신을 추가할 수 있습니다. RFC가 승인된 후('예약됨' 또는 'InProgress' 상태) 요청에 대한 변경으로 해석될 수 있으므로 서신을 추가할 수 없습니다. RFC가 완료되면("Canceled", "Rejected", "Success" 또는 "Failure" 상태) 대응이 다시 활성화됩니다. 단, RFC가 30일 이상 닫히면 대응이 비활성화됩니다.

**참고**  
각 서신은 5,000자로 제한됩니다.

**첨부 파일에 대한 제한 사항:**
+ 서신당 첨부 파일은 3개뿐입니다.
+ RFC당 50개의 첨부 파일을 제한합니다.
+ 각 연결의 크기는 5MB 미만이어야 합니다.
+ 일반 텍스트(`.txt`), 쉼표로 구분된 값(`.csv`), JSON(`.json`) 또는 YAML()과 같은 텍스트 파일만 허용됩니다`.yaml`. YAML 형식의 경우 파일 확장명를 사용하여 파일을 첨부해야 합니다`.yaml`.
**참고**  
XML 콘텐츠가 있는 텍스트 파일은 금지됩니다. AMS와 공유할 XML 콘텐츠가 있는 경우 서비스 요청을 사용합니다.
+ 파일 이름은 숫자, 문자, 공백, 대시(-), 밑줄(\$1), 점(.)만 포함하여 255자로 제한됩니다.
+ RFC에서 첨부 파일을 업데이트하고 삭제하는 것은 현재 지원되지 않습니다.

RFC에 서신과 첨부 파일을 추가하려면 다음 단계를 따르세요.

1. AMS 콘솔의 RFC 세부 정보 페이지에서 페이지 하단의 **서신** 섹션을 찾습니다.

   서신을 보내기 전에:  
![\[빈 서신 섹션.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/images/correspondence-rfc-detail-new.png)

   일부 서신을 보낸 후:  
![\[회신 양식과 수신된 서신을 보여주는 서신 섹션입니다.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/images/correspondence-reply-form2.png)

1. 새 서신을 추가하려면 **회신** 텍스트 상자에 메시지를 입력합니다. 서신과 관련된 파일을 첨부하려면 **첨부 파일 추가**를 선택한 다음 원하는 파일을 선택합니다.  
![\[설명 상자와 첨부 파일을 보여주는 서신 섹션입니다.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/images/correspondence-add-attachments.png)

1. 완료되면 **제출**을 선택합니다.

   새 서신은 첨부된 파일에 대한 링크와 함께 RFC 세부 정보 페이지의 서신 목록에 표시됩니다.  
![\[수신된 서신의 목록입니다.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/images/correspondence-list2.png)

# RFC 이메일 알림 구성(콘솔)
<a name="ex-rfc-email-notices"></a>

AMS 콘솔 **변경 요청** 생성 페이지에서는 이메일 주소를 추가하여 RFC 상태 변경 알림을 받을 수 있는 옵션을 제공합니다.

![\[이메일 주소를 추가하여 RFC 상태 변경 알림을 받습니다.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/images/emailNoticeOption2.png)


또한 다음과 같은 모든 변경 유형에 알림용 이메일 주소를 추가할 수 있습니다.

```
aws amscm create-rfc --change-type-id <Change type ID>
                    --change-type-version 1.0 --title "TITLE"
                    --notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"
```

파라미터 부분이 아닌 요청의 RFC 파라미터 부분에 있는 모든 변경 유형 인라인 또는 템플릿 요청에 유사한 줄(`--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"`)을 추가합니다.

# 일반적인 RFC 파라미터에 대해 알아보기
<a name="rfc-common-params"></a>

다음은 제출해야 하는 RFC 파라미터와 RFCs
+ 변경 유형 정보: ChangeTypeId 및 ChangeTypeVersion. 변경 유형 IDs. [https://docs.aws.amazon.com/managedservices/latest/ctref/index.html](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html) 

  `query` 인수를 사용하여 CLI`list-change-type-classification-summaries`에서를 실행하여 결과의 범위를 좁힙니다. 예를 들어, 결과를 좁혀 `Item` 이름에 "Access"가 포함된 유형을 변경합니다.

  ```
  aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries [?contains (Item, 'access')].[Category,Subcategory,Item,Operation,ChangeTypeId]" --output table
  ```

  를 실행`get-change-type-version`하고 변경 유형 ID를 지정합니다. 다음 명령은 ct-2tylseo8rxfsc의 CT 버전을 가져옵니다.

  ```
  aws amscm get-change-type-version --change-type-id ct-2tylseo8rxfsc
  ```
+ 제목: RFC의 이름입니다.이 이름은 AMS 콘솔 RFC 목록에서 RFC의 **주체**가 되며 `GetRfc` 명령과 필터를 사용하여 검색할 수 있습니다. `Title` 
+ 예약: 예약된 RFC를 원하는 경우 `RequestedStartTime` 및 `RequestedEndTime` 파라미터를 포함하거나 **이 변경 예약** 콘솔 옵션을 사용해야 합니다. **ASAP** RFC(승인되는 즉시 실행됨)의 경우 CLI를 사용할 때 `RequestedStartTime` 및 `RequestedEndTime` null을 그대로 둡니다. 콘솔을 사용하는 경우 **ASAP** 옵션을 수락합니다.

  `RequestedStartTime`이 누락된 경우 RFC가 거부됩니다.
+ 프로비저닝 CTs: 실행 파라미터 또는 `Parameters`는 리소스를 프로비저닝하는 데 필요한 특정 설정입니다. CT에 따라 크게 달라집니다.
+ 비프로비저닝 CTs: CTs 또는 기타 \$1 기타 또는 스택 삭제와 같이 리소스를 프로비저닝하지 않는 CTs에는 최소한의 실행 파라미터가 있으며 `Parameters` 블록이 없습니다.
+ 또한 일부 RFCs에서는를 지정`TimeoutInMinutes`하거나 RFC가 실패하기 전에 스택을 생성하는 데 허용되는 분 수를 지정해야 합니다. 유효한 값은 장기 실행 UserData의 경우 60(분)\$1360입니다. 이 `TimeoutInMinutes` 초과되기 전에 실행을 완료할 수 없는 경우 RFC가 실패합니다. 그러나이 설정은 RFC 실행을 지연시키지 않습니다.
+ S3 버킷 또는 ELB와 같이 인스턴스를 생성하는 RFCs는 일반적으로 최대 7개의 태그(키/값 페어)를 추가할 수 있는 스키마를 제공합니다. 배포 \$1 고급 스택 구성 요소 \$1 태그 \$1 변경 유형 생성(ct-3cx7we852p3af)을 사용하여 RFC를 제출하여 S3 버킷에 태그를 더 추가할 수 있습니다. EC2, EFS, RDS 및 다중 계층(HA 2계층 및 HA 1계층) 스키마는 최대 50개의 태그를 허용합니다. 태그는 스키마의 `ExecutionParameters` 부분에 지정됩니다. 태그를 제공하는 것은 큰 가치가 있을 수 있습니다. 자세한 내용은 [Amazon EC2 리소스에 태그 지정](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) 단원을 참조하십시오.

  AMS 콘솔을 사용하는 경우 태그를 추가하려면 **추가 구성** 영역을 열어야 합니다.<a name="using-tags-tip"></a>
**작은 정보**  
많은 CT 스키마에는 스키마 상단에 `Description` 및 `Name` 필드가 있습니다. 이러한 필드는 스택 또는 스택 구성 요소의 이름을 지정하는 데 사용되며 생성 중인 리소스의 이름은 지정되지 않습니다. 일부 스키마는 생성 중인 리소스의 이름을 지정하는 파라미터를 제공하고 일부는 그렇지 않습니다. 예를 들어 EC2 스택 생성을 위한 CT 스키마는 EC2 인스턴스 이름을 지정하는 파라미터를 제공하지 않습니다. 이렇게 하려면 "Name" 키와 이름을 지정할 값을 사용하여 태그를 생성해야 합니다. 이러한 태그를 생성하지 않으면 EC2 인스턴스가 이름 속성 없이 EC2 콘솔에 표시됩니다.

## RFC AWS 리전 옵션 사용
<a name="ex-rfc-region"></a>

AMS API 및 CLI(`amscm` 및 `amsskms`) 엔드포인트는에 있습니다`us-east-1`. SAML(Security Assertion Markup Language)과 연동하면 온보딩 시 AWS 리전을 us-east-1로 설정하는 스크립트가 제공됩니다. SAML을 사용하는 경우 명령을 실행할 때 `--region` 옵션을 지정할 필요가 없습니다. SAML이 us-east-1을 사용하도록 구성되어 있지만 계정이 해당 AWS 리전에 없는 경우 다른 AWS 명령(예: )을 실행할 때 계정 온보딩 리전을 지정해야 합니다`aws s3`.

**참고**  
이 가이드에 제공된 대부분의 명령 예제에는 `--region` 옵션이 포함되어 있지 않습니다.

# RFC 일일 이메일에 가입
<a name="rfc-digest"></a>

RFC 다이제스트 기능을 사용하여 지난 24시간 동안 계정의 RFC 활동을 요약하는 일일 이메일에 가입할 수 있습니다. RFC 다이제스트 기능은 계정의 RFCs. RFC 다이제스트는 응답을 보류 중인 작업을 놓칠 가능성을 줄일 수 있습니다.

RFC 다이제스트 기능을 켜려면 AMS Cloud Service Delivery Manager(CSDM)에 문의하십시오. CSDM에서 구독합니다. RFC 다이제스트 이메일 목록에 포함할 이메일 주소(또는 별칭)를 최대 20개까지 요청할 수 있습니다. 현재 이메일 일정은 09:00 UTC-8에 고정됩니다.

RFC 다이제스트 기능을 끄려면 요청과 함께 CSDM에 문의하세요.

RFC 다이제스트를 설정하지 않고 RFCs에 대한 알림을 원하는 경우 또는 RFCs 다이제스트가 제공하는 것보다 RFC에 대한 자세한 정보를 원하는 경우 변경 관리 시스템을 사용하여 정보를 원하는 모든 개별 RFC에 대해 CloudWatch Events 알림 또는 이메일 알림을 설정합니다. RFC 알림 설정에 대한 자세한 내용은 [RFC 상태 변경 알림을 참조하세요](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-state-change-notices.html).

RFC 다이제스트에 포함된 주제는 다음과 같습니다.
+ 고객 승인 대기 중: 승인 대기 중인 **PendingApproval** 중 상태인 RFCs를 나열합니다.
+ 고객 응답 대기 중: RFCs 서신에 대한 응답을 기다리고 있는 RFC를 나열합니다.
+ AWS 승인 또는 회신 보류 중: AMS에서 회신 또는 승인을 기다리고 있는 RFCs를 나열합니다.
+ 완료됨: **성공**, **실패**, **취소됨** 및 **거부됨** 상태의 RFCs를 나열합니다.

다음은 RFC 다이제스트의 예입니다.

![\[RFC 다이제스트 예제\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/images/RFCDigestExample.png)


# 변경 유형이란 무엇입니까?
<a name="understanding-cts"></a>

변경 유형은 AWS Managed Services(AMS)의 변경 요청(RFC)이 수행하고 변경 작업 자체와 수동 및 자동의 변경 유형을 포함하는 작업을 나타냅니다. AMS에는 다른 Amazon 웹 서비스에서 사용하지 않는 대규모 변경 유형 모음이 있습니다. 리소스 배포, 관리 또는 액세스 권한을 얻기 위해 변경 요청(RFC)을 제출할 때 이러한 변경 유형을 사용합니다.

**Topics**
+ [자동 및 수동 CTs](ug-automated-or-manual.md)
+ [CT 승인 요구 사항](constrained-unconstrained-ctis.md)
+ [유형 버전 변경](ct-versions.md)
+ [변경 유형 생성](ct-creates.md)
+ [변경 유형 업데이트](ct-updates.md)
+ [내부 전용 변경 유형](ct-internals.md)
+ [변경 유형 스키마](ct-schemas.md)
+ [변경 유형에 대한 권한 관리](ct-permissions.md)
+ [변경 유형에서 민감한 정보 수정](ct-redaction.md)
+ [쿼리 옵션을 사용하여 변경 유형 찾기](ug-find-ct-ex-section.md)

# 자동 및 수동 CTs
<a name="ug-automated-or-manual"></a>

변경 유형에 대한 제약 조건은 자동 또는 수동인지 여부입니다. 이는 AMS 콘솔에서 **실행 모드**라고 하는 변경 유형 `AutomationStatusId` 속성입니다.

자동 변경 유형은 예상 결과와 실행 시간이 있으며 일반적으로 1시간 이내에 AMS 자동 시스템을 통해 실행됩니다(대부분 CT가 프로비저닝하는 리소스에 따라 다름). 수동 변경 유형은 흔하지 않지만 AMS 연산자가 실행되기 전에 RFC에서 작업해야 하므로 다르게 처리됩니다. 이는 RFC 제출자와 통신하는 것을 의미하기도 하므로 수동 변경 유형을 완료하려면 다양한 시간이 필요합니다.

예약된 모든 RFCs 대해 지정되지 않은 종료 시간은 지정된의 시간과 제출된 변경 유형의 `ExpectedExecutionDurationInMinutes` 속성을 `RequestedStartTime` 더한 시간으로 작성됩니다. 예를 들어 `ExpectedExecutionDurationInMinutes`가 "60"(분)이고 지정된 `RequestedStartTime`가 `2016-12-05T14:20:00Z` (2016년 12월 5일 오전 4시 20분)인 경우 실제 종료 시간은 2016년 12월 5일 오전 5시 20분으로 설정됩니다. 특정 변경 유형에 `ExpectedExecutionDurationInMinutes` 대한를 찾으려면 다음 명령을 실행합니다.

```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```

**참고**  
**실행 모드**가 수동인 예약된 RFCs 콘솔에서 최소 24시간 후에 실행되도록 설정해야 합니다.

**참고**  
수동 CTs를 사용하는 경우 ASAP **예약** 옵션(콘솔에서 **ASAP** 선택, API/CLI에서 시작 및 종료 시간 비워 두기)을 사용하는 것이 좋습니다. 이러한 CTs는 AMS 운영자가 RFC를 검사하고 승인 및 실행 전에 사용자와 통신해야 하기 때문입니다. 이러한 RFCs 예약하는 경우 최소 24시간을 허용해야 합니다. 예정된 시작 시간 전에 승인이 이루어지지 않으면 RFC가 자동으로 거부됩니다.

AMS는 4시간 이내에 수동 CT에 응답하는 것을 목표로 하며 가능한 한 빨리 대응하지만 RFC를 실제로 실행하는 데 훨씬 더 오래 걸릴 수 있습니다.

수동이고 AMS 검토가 필요한 CTs 목록은 콘솔의 **개발자 리소스** 페이지에서 사용할 수 있는 변경 유형 CSV 파일을 참조하세요.

**YouTube 동영상**: [ AMS RFCs 하나요?](https://www.youtube.com/watch?v=sOzDuCCOduI&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=2&t=1s)

AMS 콘솔에서 CT의 **실행 모드를** 찾으려면 **변경 유형 찾아보기** 검색 옵션을 사용해야 합니다. 결과는 일치하는 변경 유형 또는 변경 유형의 실행 모드를 보여줍니다.

AMS CLI를 사용하여 특정 변경 유형에 `AutomationStatus` 대한를 찾으려면 다음 명령을 실행합니다.

```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{AutomationStatus:AutomationStatus.Name}"
```

모든 [AMS 변경 유형에 대한 정보를 제공하는 AMS 변경 유형 참조](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)에서 변경 유형을 조회할 수도 있습니다.

**참고**  
AMS API/CLI는 현재 AWS API/CLI의 일부가 아닙니다. AMS API/CLI에 액세스하려면 AMS 콘솔을 통해 AMS SDK를 다운로드합니다.

# CT 승인 요구 사항
<a name="constrained-unconstrained-ctis"></a>

AMS CTs에는 항상 **AwsApprovalId**와 **CustomerApprovalId**라는 두 가지 승인 조건이 있습니다.이 조건은 RFC에서 실행을 승인하기 위해 AMS 또는 사용자 또는 다른 사람이 필요한지 여부를 나타냅니다.

승인 조건은 실행 모드와 다소 관련이 있습니다. 자세한 내용은 섹션을 참조하세요[자동 및 수동 CTs](ug-automated-or-manual.md).

CT의 승인 조건을 확인하려면 [AMS 변경 유형 참조](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)에서 확인하거나 [GetChangeTypeVersion](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_GetChangeTypeVersion.html)을 실행합니다. 둘 다 CT `AutomationStatusId` 또는 **실행 모드**도 제공합니다.

AMS 콘솔을 사용하거나 다음 명령을 사용하여 RFCs를 승인할 수 있습니다.

```
aws amscm approve-rfc --rfc-id RFC_ID
```


**CT 승인 조건**  

| CT 승인 조건이 인 경우 | 의 승인이 필요합니다. | 및 | 
| --- | --- | --- | 
| `AwsApprovalId: Required` | AMS 변경 유형 시스템 | 아무 조치도 필요하지 않습니다. 이 조건은 자동 CTs의 경우 일반적입니다. | 
| `AwsApprovalId: NotRequiredIfSubmitter` | 제출된 RFC가 제출된 계정에 대한 경우 AMS 변경 유형 시스템이며 다른 사람은 없습니다. | 아무 조치도 필요하지 않습니다. 이 조건은 AMS 운영자가 항상 검토하므로 수동 CTs의 경우 일반적입니다. | 
| `CustomerApprovalId: NotRequired` | AMS 변경 유형 시스템 | RFC가 구문 및 파라미터 검사를 통과하면 자동으로 승인됩니다. | 
| `CustomerApprovalId: Required` | AMS 변경 유형 시스템 및 사용자, | 알림이 전송되므로 알림에 응답하거나 [ApproveRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ApproveRfc.html) 작업을 실행하여 RFC를 명시적으로 승인해야 합니다. | 
| `CustomerApprovalId: NotRequiredIfSubmitter` | RFC를 제출한 경우 AMS 변경 유형 시스템이며 다른 사람은 없습니다. | RFC가 구문 및 파라미터 검사를 통과하면 자동으로 승인됩니다. | 
| 긴급 보안 인시던트 또는 패치 | AMS | 자동 승인되고 구현됩니다. | 

# 유형 버전 변경
<a name="ct-versions"></a>

변경 유형은 버전이 지정되고 변경 유형에 대한 주요 업데이트가 수행되면 버전이 변경됩니다.

AMS 콘솔을 사용하여 변경 유형을 선택한 후 **추가 구성** 영역을 열고 변경 유형 버전을 선택할 수 있습니다. API/CLI 명령줄에서 변경 유형 버전을 지정할 수도 있습니다. 다음과 같은 다양한 이유로이 작업을 수행할 수 있습니다.
+ 원하는 **업데이트** 변경 유형의 버전은 현재 업데이트하려는 리소스를 생성하는 데 사용한 변경 **생성** 유형의 버전과 일치해야 합니다. 예를 들어 ELB 변경 유형 버전 1 생성을 사용하여 생성한 Elastic Load Balancer(ELB) 인스턴스가 있을 수 있습니다. 업데이트하려면 ELB 업데이트 버전 1을 선택합니다.
+ 최신 변경 유형과 다른 옵션이 있는 변경 유형 버전을 사용하려고 합니다. AMS 업데이트는 주로 보안상의 이유로 유형을 변경하므로 권장하지 않으며 항상 최신 버전을 선택하는 것이 좋습니다.

# 변경 유형 생성
<a name="ct-creates"></a>

변경 유형 생성은 version-to-version 변경 유형 업데이트와 일치합니다. 즉, 리소스를 프로비저닝하는 데 사용하는 변경 유형 버전은 나중에 해당 리소스를 수정하는 데 사용할 업데이트 변경 유형 버전과 일치해야 합니다. 예를 들어 S3 버킷 변경 유형 생성 버전 2.0으로 S3 버킷을 생성하고 나중에 RFC를 제출하여 해당 S3 버킷을 수정하려는 경우 버전 S3.0으로 S3 버킷 업데이트 변경 유형이 있더라도 S3 버킷 업데이트 변경 유형 버전 2.0도 사용해야 합니다.

나중에 변경 유형 업데이트를 사용하여 수정하려는 경우 변경 유형 생성으로 리소스를 프로비저닝할 때 사용하는 변경 유형 ID 및 버전에 대한 레코드를 보관하는 것이 좋습니다.

# 변경 유형 업데이트
<a name="ct-updates"></a>

AMS는 변경 유형 생성을 사용하여 생성된 리소스를 업데이트하는 업데이트 변경 유형을 제공합니다. 업데이트 변경 유형은 원래 리소스를 프로비저닝하는 데 사용된 변경 생성 유형과 version-to-version이 일치해야 합니다.

리소스를 쉽게 업데이트할 수 있도록 리소스를 프로비저닝할 때 사용하는 변경 유형 ID 및 버전을 기록해 두는 것이 좋습니다.

**YouTube 동영상**: [ 업데이트 CTs 사용하여 AWS Managed Services(AMS) 계정의 리소스를 변경하려면 어떻게 해야 하나요?](https://www.youtube.com/watch?v=dqb31yaAXhc&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=8&t=30s)

# 내부 전용 변경 유형
<a name="ct-internals"></a>

내부 전용 변경 유형을 볼 수 있습니다. 따라서 AMS가 수행할 수 있거나 수행할 수 있는 작업을 알 수 있습니다. 사용하려는 내부 전용 변경 유형이 있는 경우 서비스 요청을 제출합니다.

예를 들어 관리 \$1 모니터링 및 알림 \$1 CloudWatch 경보 억제 \$1 내부 전용 CT 업데이트가 있습니다. AMS는 이를 사용하여 인프라 업데이트(패칭 등)를 배포하고 업데이트가 잘못 트리거될 수 있는 경보 알림을 끕니다. 이 CT가 제출되면 RFC 목록에 CT의 RFC가 표시됩니다. RFC에 배포된 모든 내부 전용 CT는 RFC 목록에 표시됩니다.

# 변경 유형 스키마
<a name="ct-schemas"></a>

모든 변경 유형은 리소스의 생성, 수정 또는 액세스 시 입력에 대한 JSON 스키마를 제공합니다. 스키마는 변경 요청(RFC)을 생성할 수 있도록 파라미터와 설명을 제공합니다.

RFC를 성공적으로 실행하면 실행 출력이 생성됩니다. RFCs 프로비저닝의 경우 실행 출력에는 CloudFormation의 스택을 나타내며 CloudFormation 콘솔에서 검색할 수 있는 "stack\$1id"가 포함됩니다. 실행 출력에는 생성된 인스턴스의 ID 출력이 포함되고 해당 ID를 사용하여 해당 AWS 콘솔에서 인스턴스를 검색할 수 있습니다. 예를 들어 ELB CT 실행 생성 출력에는 CloudFormation에서 검색할 수 있는 "stack\$1id"가 포함되며 Amazon EC2 콘솔에서 Elastic Load Balancing에 대해 검색할 수 있는 키=ELB 값=<stack-xxxx>가 출력됩니다.

CT 스키마를 살펴보겠습니다. 이것은 상당히 작은 스키마인 CodeDeploy Application Create의 스키마입니다. 일부 스키마에는 매우 큰 `Parameter` 영역이 있습니다.


****  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/ct-schemas.html)

**참고**  
이 스키마는 최대 7개의 태그를 허용하지만 EC2, EFS, RDS 및 다중 계층 생성 스키마는 최대 50개의 태그를 허용합니다.

# 변경 유형에 대한 권한 관리
<a name="ct-permissions"></a>

사용자 지정 정책을 사용하여 다른 그룹 또는 사용자가 사용할 수 있는 변경 유형(CTs)을 제한할 수 있습니다.

이에 대한 자세한 내용은 AMS 사용 설명서의 [권한 설정을 참조하세요](https://docs.aws.amazon.com/managedservices/latest/userguide/setting-permissions.html).

# 변경 유형에서 민감한 정보 수정
<a name="ct-redaction"></a>

AMS 변경 유형 스키마`"metadata":"ams:sensitive":"true"`는 암호와 같은 민감한 정보를 포함하는 파라미터에 사용되는 파라미터 속성을 제공합니다. 이 속성을 설정하면 제공된 입력이 가려집니다. 이 파라미터 속성은 설정할 수 없지만 AMS를 사용하여 변경 유형을 생성하고 입력 시 가려야 하는 파라미터가 있는 경우 이를 요청할 수 있습니다.

# 쿼리 옵션을 사용하여 변경 유형 찾기
<a name="ug-find-ct-ex-section"></a>

이 예제에서는 AMS 콘솔을 사용하여 제출하려는 RFC에 적합한 변경 유형을 찾는 방법을 보여줍니다.

콘솔 또는 API/CLI를 사용하여 변경 유형 ID(CT) 또는 버전을 찾을 수 있습니다. 검색 또는 분류 선택이라는 두 가지 방법이 있습니다. 두 선택 유형 모두 **가장 자주 사용**, **가장 최근에 사용** 또는 **알파벳순을 선택하여 검색을 정렬할 수 있습니다**.

**YouTube 동영상**: [ AWS Managed Services CLI를 사용하여 RFC를 생성하려면 어떻게 해야 하고 CT 스키마는 어디에서 찾을 수 있습니까?](https://www.youtube.com/watch?v=IluDFwnJJFU&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=3&t=150s)

AMS 콘솔의 **RFCs** **** 
+ **변경 유형별 찾아보**기(기본값)를 선택한 상태에서 다음 중 하나를 수행합니다.
  + **빠른 생성** 영역을 사용하여 AMS의 가장 인기 CTs 중에서 선택합니다. 레이블을 클릭하면 **제목** 옵션이 자동으로 채워진 **RFC 실행** 페이지가 열립니다. 필요에 따라 나머지 옵션을 완료하고 **실행**을 클릭하여 RFC를 제출합니다.
  + 또는 **모든 변경 유형** 영역까지 아래로 스크롤하여 옵션 상자에 CT 이름을 입력하기 시작합니다. 정확한 변경 유형 이름이나 전체 변경 유형 이름을 가질 필요는 없습니다. 관련 단어를 입력하여 변경 유형 ID, 분류 또는 실행 모드(자동 또는 수동)별로 CT를 검색할 수도 있습니다.

    기본 **카드** 보기를 선택하면 입력 시 일치하는 CT 카드가 나타나고 카드를 선택한 다음 **RFC 생성을** 클릭합니다. **테이블** 보기를 선택한 상태에서 관련 CT를 선택하고 **RFC 생성을** 클릭합니다. 두 방법 모두 **RFC 실행** 페이지를 엽니다.
+ 또는 변경 유형 선택을 탐색하려면 페이지 상단의 **범주별 선택을** 클릭하여 일련의 드롭다운 옵션 상자를 엽니다.
+ **범주**, **하위 범주**, **항목** 및 **작업을** 선택합니다. 해당 변경 유형에 대한 정보 상자가 페이지 하단에 패널이 나타납니다.
+ 준비가 되면 **Enter** 키를 누르면 일치하는 변경 유형 목록이 나타납니다.
+ 목록에서 변경 유형을 선택합니다. 해당 변경 유형에 대한 정보 상자가 페이지 하단에 나타납니다.
+ 올바른 변경 유형을 지정한 후 **RFC 생성을** 선택합니다.
**참고**  
이러한 명령이 작동하려면 AMS CLI가 설치되어 있어야 합니다. AMS API 또는 CLI를 설치하려면 AMS 콘솔 **개발자 리소스** 페이지로 이동합니다. AMS CM API 또는 AMS SKMS API에 대한 참조 자료는 사용 설명서의 AMS 정보 리소스 섹션을 참조하세요. 인증 `--profile` 옵션을 추가해야 할 수 있습니다. 예: `aws amsskms ams-cli-command --profile SAML`. 와 같이 모든 AMS 명령이 us-east-1에서 부족하므로 `--region` 옵션을 추가해야 할 수도 있습니다`aws amscm ams-cli-command --region=us-east-1`.
**참고**  
AMS API/CLI(amscm 및 amsskms) 엔드포인트는 AWS 버지니아 북부 리전에 있습니다`us-east-1`. 인증 설정 방식과 계정 및 리소스가 있는 AWS 리전에 따라 명령을 실행할 `--region us-east-1` 때를 추가해야 할 수 있습니다. 인증 방법인 `--profile saml`경우를 추가해야 할 수도 있습니다.

AMS CM API([ListChangeTypeClassificationSummaries](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListChangeTypeClassificationSummaries.html) 참조) 또는 CLI를 사용하여 변경 유형을 검색하려면

필터 또는 쿼리를 사용하여 검색할 수 있습니다. ListChangeTypeClassificationSummaries 작업에는 `Category`, `Subcategory``Item`, 및에 대한 [필터](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListChangeTypeClassificationSummaries.html#amscm-ListChangeTypeClassificationSummaries-request-Filters) 옵션이 `Operation`있지만 값은 기존 값과 정확히 일치해야 합니다. CLI를 사용할 때 보다 유연한 결과를 얻으려면 `--query` 옵션을 사용할 수 있습니다.


**AMS CM API/CLI를 사용한 유형 필터링 변경**  
<a name="ct-filtering-table"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/ug-find-ct-ex-section.html)

1. 다음은 변경 유형 분류를 나열하는 몇 가지 예입니다.

   다음 명령은 모든 변경 유형 범주를 나열합니다.

   ```
   aws amscm list-change-type-categories
   ```

   다음 명령은 지정된 범주에 속하는 하위 범주를 나열합니다.

   ```
   aws amscm list-change-type-subcategories --category CATEGORY
   ```

   다음 명령은 지정된 범주 및 하위 범주에 속하는 항목을 나열합니다.

   ```
   aws amscm list-change-type-items --category CATEGORY --subcategory SUBCATEGORY
   ```

1. 다음은 CLI 쿼리를 사용하여 변경 유형을 검색하는 몇 가지 예입니다.

   다음 명령은 항목 이름에 "S3"가 포함된 CT 분류 요약을 검색하고 범주, 하위 범주, 항목, 작업 및 변경 유형 ID의 출력을 테이블 형식으로 생성합니다.

   ```
   aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries [?contains(Item, 'S3')].[Category,Subcategory,Item,Operation,ChangeTypeId]" --output table
   ```

   ```
   +---------------------------------------------------------------+
   |               ListChangeTypeClassificationSummaries           |
   +----------+-------------------------+--+------+----------------+
   |Deployment|Advanced Stack Components|S3|Create|ct-1a68ck03fn98r|
   +----------+-------------------------+--+------+----------------+
   ```

1. 그런 다음 변경 유형 ID를 사용하여 CT 스키마를 가져오고 파라미터를 검사할 수 있습니다. 다음 명령은 스키마를 CreateS3Params.schema.json.

   ```
   aws amscm get-change-type-version --change-type-id "ct-1a68ck03fn98r" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateS3Params.schema.json
   ```

   CLI 쿼리 사용에 대한 자세한 내용은 [--query 옵션을 사용하여 출력을 필터링하는 방법](https://docs.aws.amazon.com/cli/latest/userguide/controlling-output.html#controlling-output-filter) 및 쿼리 언어 참조인 [JMESPath 사양을](http://jmespath.org/specification.html) 참조하세요.

1. 변경 유형 ID가 있으면 변경 유형의 버전을 확인하여 최신 버전인지 확인하는 것이 좋습니다. 이 명령을 사용하여 지정된 변경 유형의 버전을 찾습니다.

   ```
   aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CHANGE_TYPE_ID
   ```

   특정 변경 유형에 `AutomationStatus` 대한를 찾으려면 다음 명령을 실행합니다.

   ```
   aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{AutomationStatus:AutomationStatus.Name}"
   ```

   특정 변경 유형에 `ExpectedExecutionDurationInMinutes` 대한를 찾으려면 다음 명령을 실행합니다.

   ```
   aws amscm --profile saml get-change-type-version --change-type-id ct-14027q0sjyt1h --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
   ```

# AMS의 RFC 오류 문제 해결
<a name="rfc-troubleshoot"></a>

CloudFormation 설명서를 통해 많은 AMS 프로비저닝 RFC 실패를 조사할 수 있습니다. [ AWS CloudFormation 문제 해결: 오류 문제 해결을 참조하세요](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors).

추가 문제 해결 제안은 다음 섹션에 나와 있습니다.

## AMS의 “관리” RFC 오류
<a name="rfc-access-failure"></a>

AMS "관리" 범주 변경 유형(CTs)을 사용하면 리소스에 대한 액세스를 요청하고 기존 리소스를 관리할 수 있습니다. 이 섹션에서는 몇 가지 일반적인 문제를 설명합니다.

### RFC 액세스 오류
<a name="rfc-access-failure"></a>
+ RFC에 지정한 사용자 이름과 FQDN이 올바르고 도메인에 존재하는지 확인합니다. FQDN을 찾는 데 도움이 필요하면 [FQDN 찾기를 참조하세요](https://docs.aws.amazon.com/managedservices/latest/userguide/find-FQDN.html).
+ 액세스를 위해 지정한 스택 ID가 EC2-related 스택인지 확인합니다. ELB 및 Amazon Simple Storage Service(S3)와 같은 스택은 액세스 RFCs의 대상이 아니며, 대신 읽기 전용 액세스 역할을 사용하여 이러한 스택 리소스에 액세스합니다. 스택 ID 찾기에 대한 도움말은 [스택 IDs](https://docs.aws.amazon.com/managedservices/latest/userguide/find-stack.html).
+ 제공한 스택 ID가 올바르고 관련 계정에 속하는지 확인합니다.

다른 액세스 RFC 실패에 대한 도움말은 [액세스 관리를](https://docs.aws.amazon.com/managedservices/latest/userguide/access-mgmt.html) 참조하세요.

**YouTube 동영상**: [ 거부 및 실패를 방지하기 위해 변경 요청(RFC)을 올바르게 제기하려면 어떻게 해야 하나요?](https://www.youtube.com/watch?v=IFOn4Q-5Cas&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=5&t=242s)

### RFC(수동) CT 예약 오류
<a name="manual-ct-schedule-failure"></a>

대부분의 변경 유형은 ExecutionMode=Automated이지만 일부는 ExecutionMode=Manual이며 RFC 실패를 방지하기 위해 변경 유형을 예약하는 방법에 영향을 미칩니다.

ExecutionMode=ManualRFCs는 AMS 콘솔을 사용하여 RFC를 생성하는 경우 향후 최소 24시간 동안 실행되도록 설정해야 합니다.

AMS는 8시간 이내에 수동 CT에 응답하는 것을 목표로 하며 가능한 한 빨리 대응하지만 RFC가 실제로 실행되는 데 훨씬 더 오래 걸릴 수 있습니다.

### 수동 업데이트 CTsRFCs 사용
<a name="manual-ct-update-failure"></a>

업데이트하려는 스택 유형에 대한 업데이트 변경 유형이 있는 경우 AMS 작업은 스택 업데이트에 대한 관리 \$1 기타 \$1 기타 RFCs를 거부합니다.

### RFC 스택 삭제 오류
<a name="rfc-delete-stack-fail"></a>

RFC 스택 삭제 실패: 관리 \$1 표준 스택 \$1 스택 \$1 CT 삭제를 사용하는 경우 AMS 스택 이름과 함께 스택에 대한 자세한 이벤트가 CloudFormation 콘솔에 표시됩니다. AMS 콘솔에 있는 이름과 비교하여 스택을 식별할 수 있습니다. CloudFormation 콘솔은 장애 원인에 대한 자세한 내용을 제공합니다.

스택을 삭제하기 전에 스택이 생성된 방법을 고려해야 합니다. AMS CT를 사용하여 스택을 생성하고 스택 리소스를 추가하거나 편집하지 않은 경우 문제 없이 스택을 삭제할 수 있습니다. 그러나 스택에 대해 스택 삭제 RFC를 제출하기 전에 스택에서 수동으로 추가된 리소스를 제거하는 것이 좋습니다. 예를 들어 전체 스택 CT(HA 2 티어)를 사용하여 스택을 생성하는 경우 보안 그룹 - SG1이 포함됩니다. 그런 다음 AMS를 사용하여 다른 보안 그룹인 SG2를 생성하고 전체 스택의 일부로 생성된 SG1의 새 SG2를 참조한 다음 스택 삭제 CT를 사용하여 스택을 삭제하면 SG2에서 참조하므로 SG1이 삭제되지 않습니다. SG1 SG2

**중요**  
스택을 삭제하면 원치 않고 예상치 못한 결과가 발생할 수 있습니다. AMS는 이러한 이유로 고객을 대신하여 스택 또는 스택 리소스를 삭제\$1하지 않는 것을 선호합니다. 참고로 AMS는 삭제할 적절한 자동 변경 유형을 사용하여 삭제할 수 없는 사용자 대신(제출된 관리 \$1 기타 \$1 기타 \$1 변경 유형 업데이트) 리소스만 삭제합니다. 추가 고려 사항:  
리소스가 '삭제 방지'에 대해 활성화된 경우 AMS는 관리 \$1 기타 \$1 기타 \$1 변경 유형 업데이트를 제출하고 삭제 방지가 제거된 후 자동 CT를 사용하여 해당 리소스를 삭제할 경우 이를 차단 해제하는 데 도움이 될 수 있습니다.
스택에 리소스가 여러 개 있고 스택 리소스의 하위 집합만 삭제하려는 경우 CloudFormation 업데이트 변경 유형을 사용합니다([CloudFormation 수집 스택: 업데이트](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-cfn-ingest-update-col.html) 참조). 관리 \$1 기타 \$1 기타 \$1 변경 유형 업데이트 및 필요한 경우 AMS 엔지니어가 변경 세트를 만드는 데 도움을 줄 수도 있습니다.
드리프트로 인해 CloudFormation Update CT를 사용하는 데 문제가 있는 경우 AMS는 Management \$1 Other \$1 Other \$1 Update를 제출하여 드리프트를 해결하고(AWS CloudFormation Service에서 지원하는 범위까지) 자동 CT, Management/Custom Stack/Stack From CloudFormation Template/Approve Changeset and Update를 사용하여 검증하고 실행할 수 있는 ChangeSet를 제공하는 경우에 도움이 될 수 있습니다. CloudFormation 
AMS는 예상치 못하거나 예상치 못한 리소스 삭제가 없도록 위의 제한을 유지합니다.

자세한 내용은 [ AWS CloudFormation 문제 해결: 스택 삭제 실패를 참조하세요](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors-delete-stack-fails).

### RFC 업데이트 DNS 오류
<a name="rfc-update-dns-failure"></a>

DNS 호스팅 영역을 업데이트하는 여러 RFCs가 실패할 수 있으며, 일부 RFC는 이유 없이 실패할 수 있습니다. DNS 호스팅 영역(프라이빗 또는 퍼블릭)을 업데이트하기 위해 여러 RFCs를 동시에 생성하면 동일한 스택을 동시에 업데이트하려고 하기 때문에 일부 RFCs가 실패할 수 있습니다. AMS 변경 관리는 스택이 이미 다른 RFCs에 의해 업데이트되고 있기 때문에 스택을 업데이트할 수 없는 RFC를 거부하거나 실패합니다. AMS에서는 한 번에 하나의 RFC를 생성하고 RFC가 성공할 때까지 기다린 후 동일한 스택에 대해 새 RFC를 생성하는 것이 좋습니다.

### RFC IAM 엔터티 오류
<a name="making-iam-requests"></a>

AMS는 요구 사항에 맞게 설계된 AMS 계정에 여러 기본 IAM 역할 및 프로필을 프로비저닝합니다. 그러나 가끔 추가 IAM 리소스를 요청해야 할 수 있습니다.

사용자 지정 IAM 리소스를 요청하는 RFCs를 제출하는 프로세스는 수동 RFCs에 대한 표준 워크플로를 따르지만 승인 프로세스에는 적절한 보안 제어가 마련되어 있는지 확인하기 위한 보안 검토도 포함됩니다. 따라서 프로세스는 일반적으로 다른 수동 RFCs보다 오래 걸립니다. 이러한 RFCs의 주기 시간을 줄이려면 다음 지침을 따르세요.

IAM 검토의 의미와 기술 표준 및 위험 수락 프로세스에 매핑되는 방법에 대한 자세한 내용은 섹션을 참조하세요[RFC 보안 검토 이해](rfc-security.md).

일반적인 IAM 리소스 요청:
+ CloudEndure와 같은 주요 클라우드 호환 애플리케이션과 관련된 정책을 요청하는 경우 AMS 사전 승인된 IAM CloudEndure 정책: [WIGs Cloud Endure Landing Zone 예제](samples/wigs-ce-lz-examples.zip) 파일의 압축을 풀고 `customer_cloud_endure_policy.json`
**참고**  
보다 허용적인 정책을 원하는 경우 CloudArchitect/CSDM과 요구 사항에 대해 논의하고 필요한 경우 정책을 구현하는 RFC를 제출하기 전에 AMS 보안 검토 및 승인을 받습니다.
+ 기본적으로 계정의 AMS에서 배포한 리소스를 수정하려면 기존 리소스를 변경하는 대신 해당 리소스의 수정된 사본을 요청하는 것이 좋습니다.
+ 인간 사용자에 대한 권한을 요청하는 경우(사용자에게 권한을 연결하는 대신) 역할에 권한을 연결한 다음 사용자에게 해당 역할을 수임할 수 있는 권한을 부여합니다. 이에 대한 자세한 내용은 [임시 AMS 고급 콘솔 액세스를](https://docs.aws.amazon.com/managedservices/latest/userguide/access-console-temp.html) 참조하세요.
+ 임시 마이그레이션 또는 워크플로에 대한 예외적인 권한이 필요한 경우 요청에서 해당 권한의 종료 날짜를 제공합니다.
+ 보안 팀과 요청의 주체에 대해 이미 논의한 경우 CSDM에 최대한 자세히 승인 증거를 제공합니다.

AMS가 IAM RFC를 거부하는 경우 거부에 대한 명확한 이유를 제공합니다. 예를 들어 IAM 정책 생성 요청을 거부하고 정책에 대한 부적절한 내용을 설명할 수 있습니다. 이 경우 식별된 변경을 수행하고 요청을 다시 제출할 수 있습니다. 요청 상태에 대한 추가 설명이 필요한 경우 서비스 요청을 제출하거나 CSDM에 문의하십시오.

다음 목록은 IAM RFCs를 검토할 때 AMS가 완화하려고 하는 일반적인 위험을 설명합니다. IAM RFC에 이러한 위험이 있는 경우 RFC가 거부될 수 있습니다. 예외가 필요한 경우 AMS는 보안 팀에 승인을 요청합니다. 이러한 예외를 찾으려면 CSDM과 조정하십시오.

**참고**  
AMS는 어떤 이유로든 계정 내 IAM 리소스에 대한 변경을 거부할 수 있습니다. RFC 거부와 관련된 우려 사항은 서비스 요청을 통해 AMS Operations에 문의하거나 CSDM에 문의하십시오.
+ 자체 권한을 수정하거나 계정 내 다른 리소스의 권한을 수정할 수 있는 권한과 같은 권한 에스컬레이션. 예시:
  + 더 많은 권한을 가진 다른 역할과 `iam:PassRole` 함께를 사용합니다.
  + 역할 또는 사용자로부터 IAM 정책을 연결/분리할 수 있는 권한.
  + 계정의 IAM 정책 수정.
  + 관리 인프라의 맥락에서 API를 호출하는 기능입니다.
+ AMS 서비스를 제공하는 데 필요한 리소스 또는 애플리케이션을 수정할 수 있는 권한. 예시:
  + 접속, 관리 호스트 또는 EPS 인프라와 같은 AMS 인프라 수정.
  + 로그 관리 AWS Lambda 함수 또는 로그 스트림 삭제.
  + 기본 CloudTrail 모니터링 애플리케이션의 삭제 또는 수정입니다.
  + 디렉터리 서비스 Active Directory(AD)의 수정입니다.
  + CloudWatch(CW) 경보 비활성화.
  + 랜딩 존의 일부로 계정에 배포된 보안 주체, 정책 및 네임스페이스의 수정입니다.
+ 정보 보안을 위태롭게 하는 상태에서 인프라를 생성할 수 있는 권한과 같은 모범 사례를 벗어나는 인프라 배포. 예시:
  + 퍼블릭 또는 암호화되지 않은 S3 버킷 생성 또는 EBS 볼륨의 퍼블릭 공유.
  + 퍼블릭 IP 주소의 프로비저닝입니다.
  + 광범위한 액세스를 허용하도록 보안 그룹을 수정했습니다.
+ 인프라 및 계정 내 애플리케이션에 대한 데이터 손실, 무결성 손실, 부적절한 구성 또는 서비스 중단을 초래할 수 있는 권한과 같이 애플리케이션에 영향을 미칠 수 있는 권한이 지나치게 광범위합니다. 예시:
  + `ModifyNetworkInterfaceAttribute` 또는와 같은 APIs를 통해 네트워크 트래픽을 비활성화하거나 리디렉션합니다`UpdateRouteTable`.
  + 관리형 호스트에서 볼륨을 분리하여 관리형 인프라를 비활성화합니다.
+ AMS 서비스 설명의 일부가 아니며 AMS에서 지원하지 않는 서비스에 대한 권한.

  AMS 서비스 설명에 나열되지 않은 서비스는 AMS 계정에서 사용할 수 없습니다. 기능 또는 서비스에 대한 지원을 요청하려면 CSDM에 문의하십시오.
+ 너무 관대하거나 보수적이거나 잘못된 리소스에 적용되므로 명시된 목표를 충족하지 않는 권한. 예시:
  + 관련 키에 대한 `s3:PutObject` 권한 없이 필수 KMS 암호화가 있는 S3 버킷에 대한 `KMS:Encrypt` 권한 요청입니다.
  + 계정에 없는 리소스와 관련된 권한입니다.
  + RFCs의 설명이 요청과 일치하지 않는 것으로 보이는 IAM RFC입니다.

## “배포” RFC 오류
<a name="rfc-provisioning-fail"></a>

AMS "배포" 범주 변경 유형(CTs)을 사용하면 다양한 AMS 지원 리소스를 계정에 추가하도록 요청할 수 있습니다.

리소스를 생성하는 대부분의 AMS CTs는 CloudFormation 템플릿을 기반으로 합니다. 고객은 CloudFormation 콘솔을 사용하여 CloudFormation 스택 설명을 기반으로 스택을 나타내는 스택을 빠르게 식별할 CloudFormation수 있습니다. 실패한 스택은 DELETE\$1COMPLETE 상태일 수 있습니다. CloudFormation 스택을 식별하면 이벤트에 생성에 실패한 특정 리소스와 그 이유가 표시됩니다.

### CloudFormation 설명서를 사용하여 문제 해결
<a name="rfc-cfn-docs"></a>

대부분의 AMS 프로비저닝 RFCs는 CloudFormation 템플릿을 사용하며이 설명서는 문제 해결에 유용할 수 있습니다. 해당 CloudFormation 템플릿에 대한 설명서를 참조하세요.
+ 애플리케이션 로드 밸런서 생성 실패: [ AWS::ElasticLoadBalancingV2::LoadBalancer(Application Load Balancer)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-elasticloadbalancingv2-loadbalancer.html)
+ Auto Scaling 그룹 생성: [ AWS::AutoScaling::AutoScalingGroup(Auto Scaling 그룹)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-as-group.html)
+ memcached 캐시 생성: [ AWS::ElastiCache::CacheCluster(캐시 클러스터)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-elasticache-cache-cluster.html)
+ Redis 캐시 생성: [ AWS::ElastiCache::CacheCluster(캐시 클러스터)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-elasticache-cache-cluster.html)
+ DNS 호스팅 영역 생성(DNS 프라이빗/퍼블릭 생성과 함께 사용): [ AWS::Route53::HostedZone(R53 호스팅 영역)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-route53-hostedzone.html)
+ DNS 레코드 세트 생성(DNS 프라이빗/퍼블릭 생성과 함께 사용): [ AWS::Route53::RecordSet(리소스 레코드 세트)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-route53-recordset.html)
+ EC2 스택 생성: [ AWS::EC2::Instance(Elastic Compute Cloud)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-instance.html)
+ EFS(Elastic File System): [ AWS::EFS::FileSystem(Elastic File System)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-efs-filesystem.html)
+ 로드 밸런서 생성: [ AWS::ElasticLoadBalancing::LoadBalancer(Elastic Load Balancer)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-elb.html)
+ RDS DB 생성: [ AWS::RDS::DBInstance(관계형 데이터베이스)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-rds-database-instance.html)
+ Amazon S3 생성: [ AWS::S3::Bucket(Simple Storage Service)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-s3-bucket.html)
+ 대기열 생성: [ AWS::SQS::Queue(단순 대기열 서비스)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-sqs-queues.html)

### RFC 생성 AMIs 오류
<a name="rfc-create-ami-failure"></a>

Amazon Machine Image(AMI)는 소프트웨어 구성이 기재된 템플릿입니다(예: 운영 체제, 애플리케이션 서버, 애플리케이션). AMI에서 인스턴스를 바로 시작하실 수 있는데, 이 인스턴스는 AMI의 사본으로, 클라우드에서 실행되는 가상 서버입니다. AMIs는 매우 유용하며 EC2 인스턴스 또는 Auto Scaling 그룹을 생성하는 데 필요하지만 몇 가지 요구 사항을 준수해야 합니다.
+ RFC가 성공하려면에 대해 지정하는 인스턴스가 중지 상태여야 `Ec2InstanceId` 합니다. ASG가 중지된 인스턴스를 종료하므로이 파라미터에 Auto Scaling 그룹(ASG) 인스턴스를 사용하지 마십시오.
+ AMS Amazon Machine Image(AMI)를 생성하려면 AMS 인스턴스로 시작해야 합니다. 인스턴스를 사용하여 AMI를 생성하려면 먼저 인스턴스가 중지되고 도메인에서 조인 해제되었는지 확인하여 인스턴스를 준비해야 합니다. 자세한 내용은 [ Sysprep을 사용하여 표준 Amazon Machine Image 생성을](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_EBSbacked_WinAMI.html#23ami-create-standard) 참조하세요.
+ 새 AMI에 지정하는 이름은 계정 내에서 고유해야 합니다. 그렇지 않으면 RFC가 실패합니다. 이 작업을 수행하는 방법은 [AMI \$1 생성](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html)에 설명되어 있으며, 자세한 내용은 및 [AWS AMI 설계를](https://aws.amazon.com/answers/configuration-management/aws-ami-design/) 참조하세요.

**참고**  
AMI 생성 준비에 대한 자세한 내용은 [AMI \$1 생성을](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html) 참조하세요.

### EC2s 또는 ASGs 오류를 생성하는 RFCs
<a name="rfc-create-ec2-asg-failure"></a>

제한 시간이 있는 EC2 또는 ASG 실패의 경우 AMS는 사용된 AMI가 사용자 지정되었는지 확인할 것을 권장합니다. 그렇다면이 가이드에 포함된 AMI 생성 단계([AMI \$1 생성](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html) 참조)를 참조하여 AMI가 올바르게 생성되었는지 확인하세요. 사용자 지정 AMI를 생성할 때 흔히 발생하는 실수는 가이드의 단계를 따라 Sysprep의 이름을 바꾸거나 호출하는 것이 아닙니다.

### RDS 오류를 생성하는 RFCs
<a name="rfc-create-rds-failure"></a>

Amazon Relational Database Service(RDS) 장애는 RDS를 생성할 때 다양한 엔진을 사용할 수 있으며 각 엔진에는 고유한 요구 사항과 제한이 있기 때문에 여러 가지 이유로 발생할 수 있습니다. AMS RDS 스택을 생성하기 전에 AWS RDS 파라미터 값을 주의 깊게 검토하세요. [CreateDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html)를 참조하세요.

크기 권장 사항을 포함하여 일반적으로 Amazon RDS에 대한 자세한 내용은 [Amazon Relational Database Service 설명서를](https://aws.amazon.com/documentation/rds/) 참조하세요.

### Amazon S3s 오류를 생성하는 RFCs
<a name="rfc-create-s3-failure"></a>

S3 스토리지 버킷을 생성할 때 발생하는 한 가지 일반적인 오류는 버킷에 고유한 이름을 사용하지 않는 것입니다. 이전에 제출한 것과 동일한 이름의 S3 버킷 CT 생성을 제출한 경우 해당 BucketName에 S3 버킷이 이미 존재하기 때문에 실패합니다. 이는 CloudFormation 스택 이벤트에서 버킷 이름이 이미 사용 중임을 보여주는 콘솔에 자세히 설명되어 있습니다.

## RFC 검증과 실행 오류 비교
<a name="rfc-valid-execute-errors"></a>

RFC 실패 및 관련 메시지는 선택한 RFC에 대한 AMS 콘솔 RFC 세부 정보 페이지의 출력 메시지에서 다릅니다.
+ 검증 실패 이유는 상태 필드에서만 사용할 수 있습니다.
+ 실행 실패 이유는 실행 출력 및 상태 필드에서 확인할 수 있습니다.

![\[Request for change details showing rejected status due to no domain trust found.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/images/rfcReason.png)


## RFC 오류 메시지
<a name="rfc-error-messages"></a>

나열된 변경 유형(CTs)에 대해 다음 오류가 발생하면 이러한 솔루션을 사용하여 문제의 원인을 찾고 수정할 수 있습니다.

`{"errorMessage":"An error has occurred during RFC execution. We are investigating the issue.","errorType":"InternalError"}`

다음 문제 해결 옵션을 참조한 후 추가 지원이 필요한 경우 RFC 서신을 통해 AMS를 참여시킵니다. 자세한 내용은 [RFC 서신 및 첨부 파일(콘솔)을 참조하세요](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-rfc-gui.html#ex-rfc-correspondence).

### 워크로드 수집(WIGS) 오류
<a name="rfc-valid-execute-wigs"></a>

**참고**  
Windows 및 Linux용 검증 도구를 다운로드하여 온프레미스 서버와 AWS의 EC2 인스턴스에서 직접 실행할 수 있습니다. 이는 *AMS Advanced Application Developer's Guide* [Migrating workloads: Linux pre-ingestion validation](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-migrate-instance-linux-validation.html) and [Migrating workloads: Windows pre-ingestion validation](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-migrate-instance-win-validation.html)을 통해 찾을 수 있습니다.
+ EC2 인스턴스가 대상 AMS 계정에 있는지 확인합니다. 예를 들어 AMI를 비 AMS 계정에서 AMS 계정으로 공유한 경우 워크로드 수집 RFC를 제출하기 전에 공유 AMI를 사용하여 AMS 계정에 EC2 인스턴스를 생성해야 합니다.
+ 인스턴스에 연결된 보안 그룹에 송신 트래픽이 허용되는지 확인합니다. SSM 에이전트는 퍼블릭 엔드포인트에 연결할 수 있어야 합니다.
+ 인스턴스에 SSM 에이전트와 연결할 수 있는 적절한 권한이 있는지 확인합니다. 이러한 권한은와 함께 제공되며 EC2 콘솔에서 이를 확인할 `customer-mc-ec2-instance-profile`수 있습니다.  
![\[EC2 instance details showing IAM role set to customer-mc-ec2-instance-profile.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/images/ec2ConsoleWCircle.png)

### EC2 인스턴스 스택 중지 오류
<a name="rfc-valid-execute-ec2-stop"></a>
+ 인스턴스가 이미 중지되거나 종료된 상태인지 확인합니다.
+ EC2 인스턴스가 온라인 상태이고 `InternalError` 오류가 표시되면 AMS가 조사할 서비스 요청을 제출합니다.
+ 변경 유형 관리 \$1 고급 스택 구성 요소 \$1 EC2 인스턴스 스택 \$1 중지 ct-3mvt2zkyveqj를 사용하여 Auto Scaling 그룹(ASG) 인스턴스를 중지할 수 없습니다. ASG 인스턴스를 중지해야 하는 경우 서비스 요청을 제출합니다.

### EC2 인스턴스 스택 생성 오류
<a name="rfc-valid-execute-ec2-create"></a>

메시지는 CREATION\$1FAILED 상태 이유인 CloudFormation에서 보낸 `InternalError` 것입니다. 다음 단계에 따라 CloudWatch 스택 이벤트의 스택 실패에 대한 세부 정보를 찾을 수 있습니다.
+ AWS Management 콘솔에서 스택이 생성, 업데이트 또는 삭제되는 동안 스택 이벤트 목록을 볼 수 있습니다. 이 목록에서 실패 이벤트를 찾은 다음 해당 이벤트에 대한 상태 사유를 확인할 수 있습니다.

  상태 이유에는 문제를 이해하는 데 도움이 될 수 있는 AWS CloudFormation 또는 특정 서비스의 오류 메시지가 포함될 수 있습니다.
+ 스택 이벤트 보기에 대한 자세한 내용은 [ AWS Management Console에서 AWS CloudFormation 스택 데이터 및 리소스 보기를 참조하세요](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html).

### EC2 인스턴스 볼륨 복원 오류
<a name="rfc-ec2-vol-restore-ec2-fail"></a>

AMS는 EC2 인스턴스 볼륨 복원에 실패할 때 내부 문제 해결 RFC를 생성합니다. 이는 EC2 인스턴스 볼륨 복원이 재해 복구(DR)의 중요한 부분이며 AMS가이 내부 문제 해결 RFC를 자동으로 생성하기 때문입니다.

내부 문제 해결 RFC가 생성되면 RFC에 대한 링크를 제공하는 배너가 표시됩니다. 이 내부 문제 해결 RFC는에 RFC 장애에 대한 더 많은 가시성을 제공하며, 동일한 오류로 이어지는 재시도 RFCs를 제출하거나이 장애에 대해 AMS에 수동으로 연락하는 대신 변경 사항을 추적하고 AMS에서 장애를 처리하고 있음을 알 수 있습니다. 또한 AMS 연산자가 요청을 기다리는 대신 RFC 장애에 대해 사전에 작업하므로 변경 사항에 대한 time-to-recovery(TTR) 지표가 줄어듭니다.

## RFC에 대한 도움을 받는 방법
<a name="rfc-escalate"></a>

AMS에 문의하여 장애의 근본 원인을 식별할 수 있습니다. AMS 업무 시간은 하루 24시간, 주 7일, 1년 365일입니다.

AMS는 도움을 요청할 수 있는 몇 가지 방법을 제공합니다.
+ 열린 RFC 또는 완료되었지만 잘못된 RFC에 대한 지원이 필요한 경우 RFC 양방향 통신문을 통해 AMS를 참여시킵니다. 자세한 내용은 [RFC 서신 및 첨부 파일(콘솔)을 참조하세요](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-rfc-gui.html#ex-rfc-correspondence).
+ 관리형 환경에 영향을 미치는 AWS 또는 AMS 서비스 성능 문제를 보고하려면 AMS 콘솔을 사용하여 인시던트 보고서를 제출합니다. 자세한 내용은 [인시던트 보고를 참조하세요](https://docs.aws.amazon.com/managedservices/latest/userguide/gui-ex-report-incident.html). AMS 인시던트 관리에 대한 일반적인 정보는 [인시던트 대응](https://docs.aws.amazon.com/managedservices/latest/userguide/sec-incident-response.html)을 참조하세요.
+ 사용자 또는 리소스 또는 애플리케이션이 AMS로 작업하는 방식에 대한 구체적인 질문이 있거나 인시던트를 에스컬레이션하려면 다음 중 하나 이상을 이메일로 보내십시오.

  1. 먼저 서비스 요청 또는 인시던트 보고서 응답이 만족스럽지 않은 경우 CSDM에 ams-csdm@amazon.com으로 이메일을 보냅니다.

  1. 다음으로 에스컬레이션이 필요한 경우 AMS Operations Manager에 이메일을 보낼 수 있습니다(하지만 CSDM에서이 작업을 수행할 수 있음). ams-opsmanager@amazon.com

  1. 추가 에스컬레이션은 AMS Director에게: ams-director@amazon.com

  1. 마지막으로 언제든지 AMS VP: ams-vp@amazon.com에 연결할 수 있습니다.

# AMS의 직접 변경 모드
<a name="direct-change-mode-section"></a>

**Topics**
+ [직접 변경 모드 시작하기](dcm-get-started.md)
+ [보안 및 규정 준수](dcm-security-n-compliance.md)
+ [직접 변경 모드에서 변경 관리](dcm-change-mgmt.md)
+ [Direct Change 모드를 사용하여 스택 생성](dcm-creating-stacks.md)
+ [직접 변경 모드 사용 사례](dcm-use-cases.md)

AWS Managed Services(AMS) Direct Change 모드(DCM)는 AMS Advanced Plus 및 Premium 계정에 대한 기본 AWS 액세스를 제공하여 AWS 리소스를 프로비저닝하고 업데이트함으로써 AMS Advanced 변경 관리를 확장합니다. DCM을 사용하면 네이티브 AWS API(콘솔 또는 CLI/SDK) 또는 AMS Advanced 변경 관리 요청(RFCs)을 사용할 수 있으며, 두 경우 모두 모니터링, 패치, 백업, 인시던트 대응 관리를 포함하여 리소스 및 변경 사항이 AMS에서 완전히 지원됩니다. DCM을 통해 프로비저닝된 리소스는 AMS 서비스 지식 관리 시스템(SKMS)에 등록되고, AMS 관리형 Active Directory 도메인(해당하는 경우)에 조인되며, AMS 관리 에이전트를 실행합니다. 기존 도구(예: CloudFormation, AWS SDK 및 CDK)를 사용하여 AMS 관리형 CloudFormation 스택을 개발하고 배포합니다.

**참고**  
직접 변경 모드는 AMS 변경 관리 RFCs 제거하지 않습니다. DCM을 사용하여 AMS RFCs 대한 전체 액세스 권한을 가집니다.

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob)


# 직접 변경 모드 시작하기
<a name="dcm-get-started"></a>

먼저 사전 조건을 확인한 다음 적격 AMS Advanced 계정에서 변경 요청(RFC)을 제출합니다.

1. DCM과 함께 사용하려는 계정이 요구 사항을 충족하는지 확인합니다.
   + 계정은 AMS Advanced Plus 또는 Premium입니다.
   + 계정에 Service Catalog가 활성화되어 있지 않습니다. 현재 DCM과 Service Catalog 모두에 동시에 계정을 온보딩하는 것은 지원하지 않습니다. 이미 Service Catalog에 온보딩되어 있지만 DCM에 관심이 있는 경우 클라우드 서비스 제공 관리자(CSDM)와 요구 사항에 대해 논의하세요. Service Catalog에서 DCM으로 전환하기로 결정한 경우 Service Catalog를 오프보드하여 이를 수행하려면 아래 변경 요청에 요청을 포함하세요. AMS의 Service Catalog에 대한 자세한 내용은 [AMS 및 Service Catalog](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-service-catalog.html)를 참조하세요.

1. 관리 \$1 관리형 계정 \$1 직접 변경 모드 \$1 변경 유형 활성화(ct-3rd4781c2nnhp)를 사용하여 변경 요청(RFC)을 제출합니다. 예제 연습은 [직접 변경 모드 \$1 활성화](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-direct-change-mode-enable.html)를 참조하세요.

   CT가 처리되면 미리 정의된 IAM 역할 `AWSManagedServicesCloudFormationAdminRole` 및 `AWSManagedServicesUpdateRole`가 지정된 계정에 프로비저닝됩니다.

1. 내부 페더레이션 프로세스를 사용하여 DCM 액세스가 필요한 사용자에게 적절한 역할을 할당합니다.

**참고**  
원하는 수의 SAMLIdentityProviders, AWS Services 및 IAM 엔터티(역할, 사용자 등)를 지정하여 역할을 수임할 수 있습니다. `SAMLIdentityProviderARNs`, `IAMEntityARNs`또는 중 하나 이상을 제공해야 합니다`AWSServicePrincipals`. 자세한 내용은 회사의 IAM 부서 또는 AMS 클라우드 아키텍트(CA)에 문의하세요.

## 직접 변경 모드 IAM 역할 및 정책
<a name="dcm-gs-iam-roles-and-policies"></a>

계정에서 직접 변경 모드가 활성화되면 다음과 같은 새 IAM 엔터티가 배포됩니다.

`AWSManagedServicesCloudFormationAdminRole`:이 역할은 CloudFormation 콘솔에 대한 액세스 권한을 부여하고, CloudFormation 스택을 생성 및 업데이트하고, 드리프트 보고서를 보고, CloudFormation ChangeSets를 생성 및 실행합니다. 이 역할에 대한 액세스는 SAML 공급자를 통해 관리됩니다.

역할에`AWSManagedServicesCloudFormationAdminRole` 배포되고 연결된 관리형 정책은 다음과 같습니다.
+ AMS 고급 다중 계정 랜딩 존(MALZ) 애플리케이션 계정
  + AWSManagedServices\$1CloudFormationAdminPolicy1
  + AWSManagedServices\$1CloudFormationAdminPolicy2
    + 이 정책은에 부여된 권한을 나타냅니다`AWSManagedServicesCloudFormationAdminRole`. 사용자와 파트너는이 정책을 사용하여 계정의 기존 역할에 대한 액세스 권한을 부여하고 해당 역할이 계정의 CloudFormation 스택을 시작하고 업데이트하도록 허용합니다. 다른 IAM 엔터티가 CloudFormation 스택을 시작하도록 허용하려면 추가 AMS 서비스 제어 정책(SCP) 업데이트가 필요할 수 있습니다.
+ AMS 고급 단일 계정 랜딩 존(SALZ) 계정
  + AWSManagedServices\$1CloudFormationAdminPolicy1
  + AWSManagedServices\$1CloudFormationAdminPolicy2
  + cdk-legacy-mode-s3-access[인라인 정책]
  + AWS ReadOnlyAccess 정책

`AWSManagedServicesUpdateRole`:이 역할은 다운스트림 AWS 서비스 APIs에 대한 제한된 액세스 권한을 부여합니다. 역할은 변경 및 비변환 API 작업을 제공하는 관리형 정책과 함께 배포되지만, 일반적으로 IAM, KMS,GuardDuty, VPC, AMS 인프라 리소스 및 구성 등과 같은 특정 서비스에 대해 변경 작업(예: Create/Delete/PUT)을 제한합니다.이 역할에 대한 액세스는 SAML 공급자를 통해 관리됩니다.

역할에`AWSManagedServicesUpdateRole` 배포되고 연결된 관리형 정책은 다음과 같습니다.
+ AMS Advanced 다중 계정 랜딩 존 애플리케이션 계정
  + AWSManagedServicesUpdateBasePolicy 
  + AWSManagedServicesUpdateDenyPolicy 
  + AWSManagedServicesUpdateDenyProvisioningPolicy 
  + AWSManagedServicesUpdateEC2AndRDSPolicy 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy
+ AMS Advanced 단일 계정 랜딩 존 계정
  + AWSManagedServicesUpdateBasePolicy 
  + AWSManagedServicesUpdateDenyProvisioningPolicy 
  + AWSManagedServicesUpdateEC2AndRDSPolicy 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy1 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy2

이 외에도 관리형 정책`AWSManagedServicesUpdateRole` 역할에는 AWS 관리형 정책이 `ViewOnlyAccess` 연결되어 있습니다.

# 보안 및 규정 준수
<a name="dcm-security-n-compliance"></a>

보안 및 규정 준수는 AMS Advanced와 고객 간의 공동 책임입니다. AMS 고급 직접 변경 모드는이 공동 책임을 변경하지 않습니다.

## 직접 변경 모드의 보안
<a name="dcm-security"></a>

AMS Advanced는 규범적 랜딩 존, 변경 관리 시스템 및 액세스 관리를 통해 추가 가치를 제공합니다. 직접 변경 모드를 사용하는 경우이 책임 모델은 변경되지 않습니다. 그러나 추가 위험을 알고 있어야 합니다.

직접 변경 모드 "업데이트" 역할( 참조[직접 변경 모드 IAM 역할 및 정책](dcm-get-started.md#dcm-gs-iam-roles-and-policies))은 계정 내에서 AMS 지원 서비스의 인프라 리소스를 변경할 수 있도록 엔터티가 액세스할 수 있는 승격된 권한을 제공합니다. 권한이 높아지면 리소스, 서비스 및 작업에 따라 다양한 위험이 존재합니다. 특히 감독, 실수 또는 내부 프로세스 및 제어 프레임워크 준수 부족으로 인해 잘못된 변경이 이루어지는 상황에서는 더욱 그렇습니다.

AMS 기술 표준에 따라 다음과 같은 위험이 식별되었으며 권장 사항은 다음과 같습니다. AMS 기술 표준에 대한 자세한 내용은를 통해 확인할 수 있습니다 AWS Artifact. 에 액세스하려면 CSDM에 AWS Artifact문의하여 지침을 받거나 [시작하기로 AWS Artifact](https://aws.amazon.com/artifact/getting-started) 이동합니다.

**AMS-STD-001: 태그 지정**

<a name="AMS-STD-001"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)

**AMS-STD-002: Identity and Access Management(IAM)**


| 표준 | 깨졌나요? | 위험 | 권장 사항 | 
| --- | --- | --- | --- | 
| 4.7 변경 관리 프로세스(RFC)를 우회하는 작업은 인스턴스 시작 또는 중지, S3 버킷 또는 RDS 인스턴스 생성 등과 같이 허용되지 않아야 합니다. 개발자 모드 계정 및 셀프 서비스 프로비저닝 모드 서비스(SSPS)는 작업이 할당된 역할의 경계 내에서 수행되는 한 면제됩니다. | 예. 셀프 서비스 작업의 목적을 통해 AMS RFC 시스템을 우회하는 작업을 수행할 수 있습니다. | 보안 액세스 모델은 AMS의 핵심 기술 패싯이며 콘솔 또는 프로그래밍 방식의 액세스를 위한 IAM 사용자는이 액세스 제어를 우회합니다. IAM 사용자 액세스는 AMS 변경 관리에서 모니터링되지 않습니다. 액세스는 CloudTrail에만 로깅됩니다. | IAM 사용자는 시간 제한을 두고 최소 권한과 need-to-know 따라 권한을 부여받아야 합니다. | 

**AMS-STD-003: 네트워크 보안**

<a name="AMS-STD-003"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)

**AMS-STD-007: 로깅**

<a name="AMS-STD-007"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)

이에 따라 내부 권한 부여 및 인증 팀과 협력하여 Direct Change 모드 역할에 대한 권한을 제어합니다.

## 직접 변경 모드의 규정 준수
<a name="dcm-compliance"></a>

Direct Change 모드는 프로덕션 워크로드와 비프로덕션 워크로드 모두와 호환됩니다. 규정 준수 표준(예: PHI, HIPAA, PCI)을 준수하고 Direct Change 모드 사용이 내부 제어 프레임워크 및 표준을 준수하도록 하는 것은 사용자의 책임입니다.

# 직접 변경 모드에서 변경 관리
<a name="dcm-change-mgmt"></a>

변경 관리는 AMS Advanced가 변경 요청을 구현하는 데 사용하는 프로세스입니다. 변경 요청(RFC)은 관리형 환경을 변경하기 위해 사용자 또는 AMS Advanced 인터페이스를 통해 AMS Advanced가 생성한 요청으로, 특정 작업에 대한 AMS Advanced 변경 유형(CT) ID를 포함합니다. 자세한 내용은 [변경 관리를](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-what-is.html) 참조하세요.

**참고**  
직접 변경 모드는 AMS 변경 관리 RFCs 제거하지 않으며 DCM을 사용하는 AMS RFCs에 대한 전체 액세스 권한을 여전히 가집니다.

AMS Direct Change 모드(DCM)는 AWS 리소스를 프로비저닝하고 업데이트하기 위해 AMS Advanced Plus 및 Premium 계정에 대한 기본 AWS 액세스를 제공하여 AMS Advanced 변경 관리를 확장합니다. IAM 역할을 통해 Direct Change 모드 권한을 부여받은 사용자는 기본 AWS API 액세스를 사용하여 AMS Advanced 계정의 리소스를 프로비저닝하고 변경할 수 있습니다. 사용자는 동일한 IAM 역할을 사용하여 AMS Advanced 변경 관리 RFCs를 계속 사용할 수 있습니다. 두 경우 모두 모니터링, 패치, 백업, 인시던트 대응 관리를 포함하여 AMS에서 리소스와 리소스 변경 사항을 완벽하게 지원합니다. 이러한 계정에서 적절한 역할이 없는 사용자는 AMS Advanced 변경 관리 RFC 프로세스를 사용하여 변경해야 합니다.

## 변경 관리 사용 사례
<a name="dcm-cm-use-cases"></a>

보안상의 이유로 AMS Advanced의 일부 변경은 변경 관리 변경 요청(RFC) 프로세스를 통해서만 수행할 수 있습니다. `AWSManagedServicesCloudFormationAdminRole`는 CloudFormation(CFN)을 통해 수행되는 작업으로 제한됩니다. DCM을 통해 스택을 생성하는 방법에 대한 자세한 내용은 [Direct Change 모드를 사용하여 스택 생성을 참조하세요](https://docs.aws.amazon.com/managedservices/latest/userguide/dcm-creating-stacks.html). `AWSManagedServicesUpdateRole`는 다음 작업으로 제한됩니다.

관리 \$1 관리형 계정 \$1 직접 변경 모드 \$1 활성화(ct-3rd4781c2nnhp) 변경 유형을 포함한 각 변경 유형에 대한 예제 안내는 분류별 *AMS 고급 변경 유형 참조 변경* 유형 섹션에서 관련 변경 유형에 대한 "추가 정보" 섹션을 참조하세요. [https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html) 

<a name="AMS-STD-007"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/dcm-change-mgmt.html)

# Direct Change 모드를 사용하여 스택 생성
<a name="dcm-creating-stacks"></a>

AMS에서 스택을 관리하려면를 사용하여 CloudFormation에서 스택을 시작할 때 다음 두 가지 요구 사항이 있습니다`AWSManagedServicesCloudFormationAdminRole`.
+ 템플릿에는가 포함되어야 합니다`AmsStackTransform`.
+ 스택 이름은 접두사 뒤에 17자의 영숫자 문자열`stack-`로 시작해야 합니다.

**참고**  
를 성공적으로 사용하려면 스택 템플릿에 CloudFormation (CFN)가 스택을 생성하거나 업데이트하기 위한 `CAPABILITY_AUTO_EXPAND` 기능이 포함되어 있음을 확인해야 `AmsStackTransform`합니다. 이렇게 하려면를 create-stack 요청의 `CAPABILITY_AUTO_EXPAND` 일부로 전달합니다. 가 템플릿에 포함될 때이 기능이 확인되지 않으면 CFN`AmsStackTransform`은 요청을 거부합니다. CFN 콘솔은 템플릿에 변환이 있는 경우이 기능을 전달하도록 보장하지만 APIs를 통해 CFN과 상호 작용할 때이 기능을 놓칠 수 있습니다.  
다음 CFN API 호출을 사용할 때마다이 기능을 전달해야 합니다.  
[CreateChangeSet](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateChangeSet.html)
[ CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html#API_CreateStack_RequestParameters)
[UpdateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStack.html)

DCM을 사용하여 스택을 생성하거나 업데이트할 때 스택에서 CFN 수집 및 스택 업데이트 CTs의 동일한 검증 및 증강이 수행됩니다. 자세한 내용은 [CloudFormation 수집 지침, 모범 사례 및 제한을 참조하세요](https://docs.aws.amazon.com/managedservices/latest/appguide/cfn-author-templates.html). 단, AMS 기본 보안 그룹(SGs)은 독립형 EC2 인스턴스 또는 Auto Scaling 그룹(ASGs)의 EC2 인스턴스에 연결되지 않습니다. 독립형 EC2 인스턴스 또는 ASGs를 사용하여 CloudFormation 템플릿을 생성할 때 기본 SGs.

**참고**  
이제를 사용하여 IAM 역할을 생성하고 관리할 수 있습니다`AWSManagedServicesCloudFormationAdminRole`.

AMS 기본 SGs에는 인스턴스를 성공적으로 시작하고 나중에 AMS 작업 및 사용자에 의해 SSH 또는 RDP를 통해 액세스할 수 있는 수신 및 송신 규칙이 있습니다. AMS 기본 보안 그룹이 너무 허용적이라고 판단되면 사용자와 AMS 작업이 인시던트 발생 시 인스턴스에 액세스할 수 있도록 허용하는 한 보다 제한적인 규칙을 사용하여 자체 SGs를 생성하고 인스턴스에 연결할 수 있습니다.

AMS 기본 보안 그룹은 다음과 같습니다.
+ SentinelDefaultSecurityGroupPrivateOnly:이 SSM 파라미터를 통해 CFN 템플릿에서 액세스할 수 있습니다. `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnly` 
+ SentinelDefaultSecurityGroupPrivateOnlyEgressAll:이 SSM 파라미터를 통해 CFN 템플릿에서 액세스할 수 있습니다. `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnlyEgressAll` 

## AMS 변환
<a name="dcm-cs-ams-transform"></a>

 CloudFormation 템플릿에 `Transform` 문을 추가합니다. 그러면 시작 시 스택을 검증하고 AMS에 등록하는 CloudFormation 매크로가 추가됩니다.

**JSON **예제

```
"Transform": {
    "Name": "AmsStackTransform",
    "Parameters": {
      "StackId": {"Ref" : "AWS::StackId"}
    }
  }
```

**YAML **예제

```
Transform:
  Name: AmsStackTransform
  Parameters:
    StackId: !Ref 'AWS::StackId'
```

또한 기존 스택의 템플릿을 업데이트할 때 `Transform` 문을 추가합니다.

**JSON **예제

```
{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Description" : "Create an SNS Topic",
    "Transform": {
      "Name": "AmsStackTransform",
      "Parameters": {
        "StackId": {"Ref" : "AWS::StackId"}
     }
  },
  "Parameters": {
    "TopicName": {
      "Type": "String",
      "Default": "HelloWorldTopic"
    }
  },
  "Resources": {
    "SnsTopic": {
      "Type": "AWS::SNS::Topic",
      "Properties": {
        "TopicName": {"Ref": "TopicName"}
      }
    }
  }
}
```

**YAML **예제

```
AWSTemplateFormatVersion: '2010-09-09'
Description: Create an SNS Topic
Transform:
  Name: AmsStackTransform
  Parameters:
    StackId: !Ref 'AWS::StackId'
Parameters:
  TopicName:
    Type: String
    Default: HelloWorldTopic
Resources:
  SnsTopic:
    Type: AWS::SNS::Topic
    Properties:
      TopicName: !Ref TopicName
```

## 스택 이름
<a name="dcm-cs-stack-name"></a>

스택 이름은 접두사 뒤에 17자의 영숫자 문자열`stack-`로 시작해야 합니다. 이는 AMS 스택 IDs. 

 다음은 호환되는 스택 IDs.

Bash:

```
echo "stack-$(env LC_CTYPE=C tr -dc 'a-z0-9' < /dev/urandom | head -c 17)"
```

Python:

```
import string
import random

'stack-' + ''.join(random.choices(string.ascii_lowercase + string.digits, k=17))
```

Powershell:

```
"stack-" + ( -join ((0x30..0x39) + ( 0x61..0x7A) | Get-Random -Count 17  | % {[char]$_}) )
```

# 직접 변경 모드 사용 사례
<a name="dcm-use-cases"></a>

다음은 직접 변경 모드의 사용 사례입니다.

**를 통한 리소스 프로비저닝 및 관리 CloudFormation**
+ 기존 CloudFormation 기반 도구 및 프로세스를 통합합니다.

**지속적인 리소스 관리 및 업데이트**
+ 위험이 낮은 작은 원자성 변화.
+ 수동 또는 자동 RFC를 통해 실행되는 변경 사항입니다.
+ 네이티브 AWS API 액세스가 필요한 도구입니다.
+ 마이그레이션 단계에 있는 경우 DCM 역할을 사용할 수 있습니다. 마이그레이션 팀은 DCM에 대한 권한을 활용하여 스택을 생성하거나 수정합니다.
+ CI/CD 파이프라인에서 DCM 역할을 사용하여 새 AMIs를 빌드하고 Amazon ECS 작업을 생성하는 등의 작업을 수행할 수 있습니다.

# AMS 고급 개발자 모드
<a name="developer-mode-section"></a>

**Topics**
+ [AMS 고급 개발자 모드 시작하기](developer-mode-implement.md)
+ [개발자 모드의 보안 및 규정 준수](developer-mode-security-and-compliance.md)
+ [개발자 모드의 변경 관리](developer-mode-change-management.md)
+ [AMS 개발자 모드에서 인프라 프로비저닝](developer-mode-provisioning.md)
+ [AMS 개발자 모드의 탐지 제어](developer-mode-detective-controls.md)
+ [AMS 개발자 모드에서 로깅, 모니터링 및 이벤트 관리](developer-mode-logging.md)
+ [AMS 개발자 모드에서의 인시던트 관리](developer-mode-incident-management.md)
+ [AMS 개발자 모드에서 패치 관리](developer-mode-patch-management.md)
+ [AMS 개발자 모드에서 연속성 관리](developer-mode-continuity.md)
+ [AMS 개발자 모드의 보안 및 액세스 관리](developer-mode-security-and-access.md)

AWS Managed Services(AMS) 개발자 모드는 AMS Advanced Plus 및 Premium 계정에서 승격된 권한을 사용하여 AMS Advanced 변경 관리 프로세스 외부에서 AWS 리소스를 프로비저닝하고 업데이트합니다. AMS Advanced Developer 모드는 AMS Advanced Virtual Private Cloud(VPC) 내에서 네이티브 AWS API 호출을 활용하여 이를 수행하므로 관리형 환경에서 인프라와 애플리케이션을 설계하고 구현할 수 있습니다.

개발자 모드가 활성화된 계정을 사용하는 경우 AMS Advanced 변경 관리 프로세스를 통해 또는 AMS Amazon Machine Image(AMI)를 사용하여 프로비저닝된 리소스에 대해 연속성 관리, 패치 관리 및 변경 관리가 제공됩니다. 그러나 이러한 AMS 관리 기능은 AWS APIs 통해 프로비저닝된 리소스에는 제공되지 않습니다.

사용자는 AMS Advanced 변경 관리 프로세스 외부에서 프로비저닝되는 인프라 리소스를 모니터링할 책임이 있습니다. 개발자 모드는 프로덕션 워크로드와 비프로덕션 워크로드 모두와 호환됩니다. 권한이 승격되면 내부 제어를 준수할 책임이 증가합니다.

**중요**  
개발자 모드를 사용하여 생성한 리소스는 AMS Advanced 변경 관리 프로세스를 사용하여 생성한 경우에만 AMS Advanced에서 관리할 수 있습니다.

개발자 모드는 사용할 수 있는 AMS 고급 모드 중 하나입니다. 자세한 내용은 [모드 개요](ams-modes-ug.md) 단원을 참조하십시오.

# AMS 고급 개발자 모드 시작하기
<a name="developer-mode-implement"></a>

AMS Advanced Developer 모드가 있는 다양한 AMS Advanced 계정과 개발자 모드를 성공적으로 구현하는 방법을 알아봅니다.

**Topics**
+ [시작하기 전 준비 사항](developer-mode-faqs.md)
+ [개발자 모드의 사전 조건](#developer-mode-implement-prerequisites)
+ [개발자 모드를 구현하는 방법](#developer-mode-implement-steps)
+ [개발자 모드 권한](#developer-mode-role)

# AMS 개발자 모드를 시작하기 전에
<a name="developer-mode-faqs"></a>

개발자 모드를 구현하기 전에 알아야 할 몇 가지 사항이 있습니다.

AMS Advanced는 변경 요청(RFCs)을 통해 AMS Advanced 변경 관리 프로세스 외부에서 생성된 DevMode 계정의 기존 스택 또는 리소스를 관리할 수 없습니다. 그러나 계정이 DevMode에 있는 동안 AMS Advanced는 RFCs를 사용하여 AMS Advanced 변경 관리 프로세스를 통해 프로비저닝된 리소스를 계속 관리합니다.

DevMode 계정으로 시작하여 나중에 AMS Advanced 관리형 애플리케이션 계정으로 은폐할 수 없습니다.

## AMS 개발자 모드의 사전 조건
<a name="developer-mode-implement-prerequisites"></a>

다음은 개발자 모드를 구현하기 위한 사전 조건입니다.
+ 온보딩된 AMS Advanced Plus 또는 Premium 계정이 하나 이상 있는 AMS Advanced 고객이어야 합니다.
+ 사용하는 모든 계정은 AMS Advanced Plus 또는 Premium 계정이어야 합니다.
+ **다중 계정 랜딩 존(MALZ)**: `AWSManagedServicesDevelopmentRole` 사전 정의된 AWS Identity and Access Management (IAM) 역할을 사용해야 합니다. 이 역할을 요청합니다. 다음 섹션에서는 개발자 모드 권한을 획득하는 방법을 설명합니다.
+ **단일 계정 랜딩 존(SALZ)**: `customer_developer_role` 사전 정의된 AWS Identity and Access Management (IAM) 역할을 사용해야 합니다. 이 역할을 요청합니다. 다음 섹션에서는 개발자 모드 권한을 획득하는 방법을 설명합니다.

## AMS Advanced Developer 모드를 구현하는 방법
<a name="developer-mode-implement-steps"></a>

적격 AMS Advanced 계정에 사전 정의된 IAM 역할을 프로비저닝하도록 요청하여 개발자 모드를 구현합니다.
+ **MALZ**: `AWSManagedServicesDevelopmentRole`
+ **SALZ**: `customer_developer_role`

그런 다음 페더레이션 네트워크의 관련 사용자에게 역할을 할당합니다.

개발자 모드는 AMS 고급 관리형 리소스에 대한 AMS 고급 변경 관리와 고객이 관리하는 리소스에 대한 고객 관리형 역할 페더레이션이라는 두 가지 변경 벡터를 생성하므로 개발자 모드 사용이 내부 제어 프레임워크 및 표준을 준수하는지 확인하는 것이 좋습니다. AMS Advanced 프로세스는 선언을 계속 준수하지만 고객 프로세스 및 제어 프레임워크를 업데이트해야 할 수 있습니다.

**AMS Advanced 계정에서 개발자 모드를 구현하려면**

1. 개발자 모드와 함께 사용할 계정이에 나열된 요구 사항을 충족하는지 확인합니다[AMS 개발자 모드의 사전 조건](#developer-mode-implement-prerequisites).

1. 변경 유형(CT) 관리 \$1 관리형 계정 \$1 개발자 모드 \$1 활성화(관리형 자동화)를 사용하여 변경 요청(RFC)을 제출합니다. 이 CT를 사용하는 방법의 예는 [ 개발자 모드 \$1 활성화(관리형 자동화)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-developer-mode-enable-review-required.html)를 참조하세요.

   CT가 처리되면 미리 정의된 IAM 역할(`AWSManagedServicesDevelopmentRole`**MALZ**의 경우 , **SALZ**의 `customer_developer_role` 경우 )이 요청된 계정에 프로비저닝됩니다.

1. 내부 페더레이션 프로세스를 사용하여 개발자 모드 액세스가 필요한 사용자에게 적절한 역할을 할당합니다.

   AMS Advanced는 리소스의 원치 않거나 승인되지 않은 프로비저닝 또는 변경을 방지하기 위해 액세스를 제한할 것을 권장합니다.

## AMS Advanced Developer 모드 권한
<a name="developer-mode-role"></a>

사전 정의된 역할(`AWSManagedServicesDevelopmentRole`**MALZ**의 경우 , **SALZ**의 `customer_developer_role` 경우 )은 AMS Advanced에서 운영하는 *공유 서비스* 구성 요소(예: 관리 호스트, 도메인 컨트롤러, Trend Micro EPS, 접속 및 지원되지 않는 AWS 서비스)에 대한 액세스를 제한하면서 IAM 역할을 포함하여 AMS Advanced VPC 내에서 애플리케이션 인프라 리소스를 생성할 수 있는 권한을 부여합니다. 또한이 역할은 AWS 서비스 Amazon GuardDuty, AWS Organizations, AWS Directory Service APIs.

역할을 통해 추가 IAM 역할을 생성할 수 있지만 개발자 모드 액세스에 포함된 것과 동일한 권한 경계가에서 생성한 모든 IAM 역할에 적용됩니다`AWSManagedServicesDevelopmentRole`.

# 개발자 모드의 보안 및 규정 준수
<a name="developer-mode-security-and-compliance"></a>

보안 및 규정 준수는 AMS Advanced와 고객 간의 공동 책임입니다. AMS 고급 개발자 모드는 변경 관리 프로세스 외부에서 프로비저닝되거나 변경 관리를 통해 프로비저닝되지만 개발자 모드 권한으로 업데이트된 리소스에 대한 공동 책임을 사용자에게 이전합니다. 공동 책임에 대한 자세한 내용은 [AWS Managed Services](https://aws.amazon.com/managed-services/)를 참조하세요.

**주의:**
+ DevMode를 사용하면 사용자와 권한 있는 팀이 AMS 보안의 핵심에서 deny-by-default 원칙을 우회할 수 있습니다. 이점, 셀프 서비스, AMS 대기 시간 단축을 단점과 비교해야 합니다. 누구나 보안 팀의 지식 없이 예기치 않고 파괴적인 조치를 수행할 수 있습니다. 개발 모드 및 직접 변경 모드를 활성화하는 자동 변경 유형이 노출되며, 조직의 권한이 있는 모든 사람이 이러한 CTs 실행하고 이러한 모드를 활성화할 수 있습니다.
+ 사용자 기반에서 CT 실행 권한을 관리하는 것은 사용자의 책임입니다.
+ AMS는 CT 실행 권한을 관리하지 않습니다.

**권장 사항:**
+ **보호**
  + 고객은 권한을 통해이 CT에 대한 액세스를 방지할 수 있습니다. [IAM 역할 정책 설명을 사용하여 권한 제한을](https://docs.aws.amazon.com/managedservices/latest/userguide/request-iam-user.html) 참조하세요.
  + ITSM 시스템과 같은 프록시를 구현하여이 CT에 대한 액세스 방지
  + 필요에 따라 정책 및 동작을 방지하는 서비스 제어 정책(SCPs [https://docs.aws.amazon.com/managedservices/latest/userguide/scp-library.html](https://docs.aws.amazon.com/managedservices/latest/userguide/scp-library.html)
+ **감지**
  + RFC에서 실행 중인 CTs(개발자 모드 ct-1opjmhuddw194 및 직접 변경 모드 활성화, ct-3rd4781c2nnhp 활성화)를 모니터링하고 그에 따라 응답합니다.
  + 계정에서 IAM 리소스가 있는지 검토 및/또는 감사하여 개발자 모드 또는 직접 변경 모드가 배포된 계정을 식별합니다.
+ **응답**
  + 필요에 따라 개발자 모드에서 계정 제거

## 개발자 모드의 보안
<a name="developer-mode-security"></a>

AMS Advanced는 규범적 랜딩 존, 변경 관리 시스템 및 액세스 관리를 통해 추가 가치를 제공합니다. 개발자 모드를 사용하는 경우 AMS Advanced의 보안 값은 기본 AMS Advanced 보안 강화 네트워크를 설정하는 표준 AMS Advanced 계정과 동일한 계정 구성을 사용하여 유지됩니다. 네트워크는 역할(`AWSManagedServicesDevelopmentRole`**MALZ**의 경우 , **SALZ**의 `customer_developer_role` 경우 )에 적용되는 권한 경계로 보호되므로 사용자가 계정을 설정할 때 설정된 파라미터 보호 기능을 해제하지 못하도록 제한됩니다.

예를 들어 역할이 있는 사용자는 Amazon Route 53에 액세스할 수 있지만 AMS Advanced 내부 호스팅 영역은 제한됩니다. 에서 생성한 IAM 역할에도 동일한 권한 경계가 적용되어 계정이 AMS Advanced에 온보딩될 때 설정된 파라미터 보호 기능을 사용자가 분해하지 못하도록 제한`AWSManagedServicesDevelopmentRole`하는에 대한 권한 경계가 `AWSManagedServicesDevelopmentRole`적용됩니다.

## 개발자 모드의 규정 준수
<a name="developer-mode-compliance"></a>

개발자 모드는 프로덕션 워크로드와 비프로덕션 워크로드 모두와 호환됩니다. 규정 준수 표준(예: PHI, HIPAA, PCI)을 준수하고 개발자 모드 사용이 내부 제어 프레임워크 및 표준을 준수하도록 하는 것은 사용자의 책임입니다.

# 개발자 모드의 변경 관리
<a name="developer-mode-change-management"></a>

변경 관리는 AMS Advanced 서비스가 변경 요청을 구현하는 데 사용하는 프로세스입니다. 변경 요청(RFC)은 관리형 환경을 변경하기 위해 AMS Advanced 인터페이스를 통해 사용자 또는 AMS Advanced가 생성하는 요청이며 특정 작업에 대한 변경 유형(CT) ID를 포함합니다. 자세한 내용은 [변경 관리 모드](using-change-management.md) 단원을 참조하십시오.

개발자 모드 권한이 부여된 AMS Advanced 계정에서는 변경 관리가 적용되지 않습니다. IAM 역할(`AWSManagedServicesDevelopmentRole`**MALZ**의 경우 , **SALZ**의 `customer_developer_role` 경우 )로 개발자 모드 권한을 부여받은 사용자는 기본 AWS API 액세스를 사용하여 AMS Advanced 계정의 리소스를 프로비저닝하고 변경할 수 있습니다. 이러한 계정에서 적절한 역할이 없는 사용자는 AMS Advanced 변경 관리 프로세스를 사용하여 변경해야 합니다.

**중요**  
개발자 모드를 사용하여 생성한 리소스는 AMS Advanced 변경 관리 프로세스를 사용하여 생성한 경우에만 AMS Advanced에서 관리할 수 있습니다. AMS Advanced 변경 관리 프로세스 외부에서 생성된 리소스에 대해 AMS Advanced에 제출된 변경 요청은 사용자가 처리해야 하므로 AMS Advanced에서 거부합니다.

## 셀프 서비스 프로비저닝 서비스 API 제한
<a name="developer-mode-ssps-restrictions"></a>

모든 AMS Advanced 자체 프로비저닝 서비스는 개발자 모드에서 지원됩니다. 자체 프로비저닝된 서비스에 대한 액세스에는 각 사용 설명서 섹션에 설명된 제한 사항이 적용됩니다. 개발자 모드 역할에서 자체 프로비저닝된 서비스를 사용할 수 없는 경우 개발자 모드 변경 유형을 통해 업데이트된 역할을 요청할 수 있습니다.

다음 서비스는 서비스 APIs에 대한 전체 액세스를 제공하지 않습니다.


**개발자 모드에서 제한된 자체 프로비저닝 서비스**  

| 서비스: | 참고 | 
| --- | --- | 
|  Amazon API Gateway | APIs 호출이 허용됩니다`SetWebACL`. | 
|  Application Auto Scaling | 확장 가능 대상만 등록 또는 등록 취소하고 조정 정책을 추가 또는 삭제할 수 있습니다. | 
|  AWS CloudFormation | 접두사가 인 이름이 있는 CloudFormation 스택에는 액세스하거나 수정할 수 없습니다`mc-`. | 
|  AWS CloudTrail | `ams-` 및/또는 접두사가 붙은 이름이 있는 CloudTrail 리소스에는 액세스하거나 수정할 수 없습니다`mc-`. | 
|  Amazon Cognito(사용자 풀) | 소프트웨어 토큰을 연결할 수 없습니다. 사용자 풀, 사용자 가져오기 작업, 리소스 서버 또는 자격 증명 공급자를 생성할 수 없습니다. | 
|  AWS Directory Service | `Connect` 및 `WorkSpaces` 서비스에는 다음 Directory Service 작업만 필요합니다. 다른 모든 디렉터리 서비스 작업은 개발자 모드 권한 경계 정책에 의해 거부됩니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/developer-mode-change-management.html) 단일 계정 랜딩 존 계정에서 경계 정책은 개발 모드 활성화 계정에 대한 액세스를 유지하기 위해 AMS Advanced에서 사용하는 AMS Advanced 관리형 디렉터리에 대한 액세스를 명시적으로 거부합니다. | 
|  Amazon Elastic Compute Cloud | , `DhcpOptions`, `Gateway`, 및 문자열이 포함된 Amazon EC2 APIs`Subnet`에 액세스할 수 없습니다`VPC``VPN`. `AMS`, `ManagementHostASG`, 및/또는 접두사가 붙은 태그가 있는 Amazon EC2 리소스`mc`에는 액세스하거나 수정할 수 없습니다`sentinel`. | 
|  Amazon EC2(보고서) | 보기 액세스 권한만 부여됩니다(수정할 수 없음). 참고: Amazon EC2 보고서가 이동 중입니다. **보고서** 메뉴 항목은 Amazon EC2 콘솔 탐색 메뉴에서 제거됩니다. Amazon EC2 사용 보고서를 제거한 후 보려면 AWS Billing 및 비용 관리 콘솔을 사용합니다. | 
|  AWS Identity and Access Management (IAM) | 기존 권한 경계를 삭제하거나 IAM 사용자 암호 정책을 수정할 수 없습니다. 올바른 IAM 역할(`AWSManagedServicesDevelopmentRole`**MALZ**의 경우 , `customer_developer_role` **SALZ**의 경우 )을 사용하지 않는 한 IAM 리소스를 생성하거나 수정할 수 없습니다. `ams`, `mc``customer_deny_policy`, 및/또는 접두사가 붙은 IAM 리소스는 수정할 수 없습니다`sentinel`. 새 IAM 리소스(역할, 사용자 또는 그룹)를 생성할 때 권한 경계(**MALZ**: `AWSManagedServicesDevelopmentRolePermissionsBoundary`, **SALZ**: `ams-app-infra-permissions-boundary`)를 연결해야 합니다. | 
|  AWS Key Management Service (AWS KMS) | AMS 고급 관리형 KMS 키에 액세스하거나 수정할 수 없습니다. | 
|  AWS Lambda | 접두사가 인 AWS Lambda 함수에는 액세스하거나 수정할 수 없습니다`AMS`. | 
|  CloudWatch Logs(CloudWatch 로그) | 이름 앞에 `mc`, `lambda`, 및/또는 접두사가 붙은 CloudWatch 로그 스트림`aws`에 액세스할 수 없습니다`AMS`. | 
|  Amazon Relational Database Service(Amazon RDS) | 이름이 접두사인 Amazon Relational Database Service(RDS) 데이터베이스(DBs)에는 액세스하거나 수정할 수 없습니다`mc-`. | 
|  AWS Resource Groups | `Get`, `List`및 `Search` 리소스 그룹 API 작업에만 액세스할 수 있습니다. | 
|  Amazon Route 53 | Route53 AMS 고급 유지 관리 리소스에 액세스하거나 수정할 수 없습니다. | 
|  Amazon S3 | `ams-*`, , `ams` `ms-a`또는 접두사가 붙은 이름이 있는 Amazon S3 버킷에는 액세스할 수 없습니다`mc-a`. | 
|  AWS Security Token Service | 허용되는 유일한 보안 토큰 서비스 API는 입니다`DecodeAuthorizationMessage`. | 
|  Amazon SNS | 이름이 접두사 `AMS-`, `Energon-Topic`또는 인 SNS 주제에 액세스할 수 없습니다`MMS-Topic`. | 
|  AWS Systems Manager 관리자(SSM) | `ams`, `mc`또는 접두사가 붙은 SSM 파라미터는 수정할 수 없습니다`svc`. `ams` 또는 접두사가 붙은 태그가 있는 Amazon EC2 인스턴스`SendCommand`에는 SSM API를 사용할 수 없습니다`mc`. | 
|  AWS 태그 지정 | 접두사가 인 AWS API 작업 태그 지정에만 액세스할 수 있습니다`Get`. | 
|  AWS Lake Formation | 다음 AWS Lake Formation API 작업은 거부됩니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/developer-mode-change-management.html) | 
|  Amazon Elastic Inference | Elastic Inference API 작업 만 호출할 수 있습니다`elastic-inference:Connect`. 이 권한은에 `customer_sagemaker_admin_policy` 연결된에 포함됩니다`customer_sagemaker_admin_role`. 이 작업을 통해 Elastic Inference 액셀러레이터에 액세스할 수 있습니다. | 
|  AWS Shield | 이 서비스 APIs 또는 콘솔에는 액세스할 수 없습니다. | 
|  Amazon Simple Workflow Service | 이 서비스 APIs 또는 콘솔에는 액세스할 수 없습니다. | 

# AMS 개발자 모드에서 인프라 프로비저닝
<a name="developer-mode-provisioning"></a>

개발자 모드 IAM 역할이 없는 사용자는 개발자 모드가 활성화된 계정`AWSManagedServicesDevelopmentRole`에서 AMS Advanced AMIs. 올바른 역할(**MALZ**: `AWSManagedServicesDevelopmentRole`, **SALZ**: `customer_developer_role`)을 가진 사용자는 AMS Advanced 변경 관리 시스템 및 AMS Advanced AMIs 사용할 수 있지만 필수는 아닙니다.

**참고**  
 AWS AMS Advanced 워크로드 수집을 통해 처리되지 않았거나 AMS Advanced 계정에서 생성되지 않은 AMI에는 AMS Advanced 필수 구성이 포함되지 않습니다.



# AMS 개발자 모드의 탐지 제어
<a name="developer-mode-detective-controls"></a>

이 섹션에는 민감한 AMS 보안 관련 정보가 포함되어 있으므로 수정되었습니다. 이 정보는 AMS 콘솔 **설명서를** 통해 확인할 수 있습니다. AWS 아티팩트에 액세스하려면 CSDM에 문의하여 지침을 받거나 [AWS 아티팩트 시작하기를](https://aws.amazon.com/artifact/getting-started) 참조하세요.

# AMS 개발자 모드에서 로깅, 모니터링 및 이벤트 관리
<a name="developer-mode-logging"></a>

AMS Advanced 변경 관리 프로세스 외부에서 프로비저닝된 리소스 또는 변경 관리를 통해 프로비저닝된 다음 개발자 모드 권한을 사용하여 계정에 의해 변경된 리소스에는 로깅, 모니터링 및 이벤트 관리를 사용할 수 없습니다.

# AMS 개발자 모드에서의 인시던트 관리
<a name="developer-mode-incident-management"></a>

인시던트 대응 시간은 변경되지 않습니다. 인시던트 해결은 변경 관리 프로세스 외부에서 프로비저닝된 리소스 또는 변경 관리를 통해 프로비저닝된 다음 개발자 모드 권한을 사용하여 계정에 의해 변경된 리소스에 대한 최선의 작업입니다.

**참고**  
AMS 서비스 수준 계약(SLA)은 AMS 변경 관리 시스템(변경 요청 또는 RFCs) 외부에서 생성되거나 업데이트된 리소스, 개발자 모드 포함에는 적용되지 않으므로 개발자 모드에서 업데이트되거나 생성된 리소스는 P3로 자동 저하되며 AMS 지원은 최선의 노력입니다.

# AMS 개발자 모드에서 패치 관리
<a name="developer-mode-patch-management"></a>

AMS Advanced 변경 관리 프로세스 외부에서 프로비저닝된 리소스 또는 변경 관리를 통해 프로비저닝된 다음 개발자 모드 권한을 사용하여 계정에 의해 변경된 리소스에는 패치 관리를 사용할 수 없습니다. 패치 적용 시간:
+ 중요한 보안 업데이트의 경우: 변경 관리를 통해 프로비저닝된 후 개발자 모드 권한을 사용하여 계정에 의해 변경된 리소스에 대해 공급업체가 릴리스한 후 영업일 기준 10일 이내.
+ 중요한 업데이트의 경우: 변경 관리를 통해 프로비저닝된 다음 개발자 모드 권한을 사용하여 계정에 의해 변경된 리소스에 대해 공급업체가 릴리스한 후 2개월 이내.

# AMS 개발자 모드에서 연속성 관리
<a name="developer-mode-continuity"></a>

AMS Advanced 변경 관리 프로세스 외부에서 프로비저닝된 리소스 또는 변경 관리를 통해 프로비저닝된 다음 개발자 모드 권한을 사용하여 계정에 의해 변경된 리소스에는 연속성 관리를 사용할 수 없습니다.

환경 복구 시작 시간은 AMS Advanced 변경 관리 프로세스 외부에서 프로비저닝된 리소스 또는 변경 관리를 통해 프로비저닝된 후 개발자 모드 권한을 사용하여 계정에 의해 변경된 리소스의 경우 최대 12시간이 걸릴 수 있습니다.

# AMS 개발자 모드의 보안 및 액세스 관리
<a name="developer-mode-security-and-access"></a>

맬웨어 방지 보호는 AMS Advanced 변경 관리 프로세스 외부에서 프로비저닝된 리소스 또는 변경 관리를 통해 프로비저닝된 다음 개발자 모드 권한을 사용하여 계정에 의해 변경된 리소스에 대한 사용자의 책임입니다. AMS Advanced 변경 관리를 통해 프로비저닝되지 않은 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 대한 액세스는 페더레이션 액세스를 제공하는 대신 키 페어에 의해 제어될 수 있습니다.

# AMS의 셀프 서비스 프로비저닝 모드
<a name="self-service-provisioning-section"></a>

AWS Managed Services(AMS) 셀프 서비스 프로비저닝(SSP) 모드는 AMS 관리형 계정의 기본 AWS 서비스 및 API 기능에 대한 전체 액세스를 제공합니다. 표준화된 범위 축소 AWS Identity and Access Management 역할을 통해 서비스에 액세스합니다. AMS는 서비스 요청 및 인시던트 관리를 제공합니다. 알림, 모니터링, 로깅, 패치, 백업 및 변경 관리는 사용자의 책임입니다. 대부분의 경우 자체 서비스 프로비저닝 서비스(SSPS)는 자체 관리형 또는 서버리스 서비스이므로 패치 적용과 같은 특정 운영 작업을 관리할 필요가 없습니다. AMS 가드레일에 정의된 환경 경계 내에서 이러한 서비스를 사용하면 이점을 얻을 수 있으며, 플랫폼의 기본 보안을 유지하려면 모든 IAM 변경 사항(서비스 연결 역할, 서비스 역할, 교차 계정 역할 또는 정책 업데이트 포함)을 AMS Operations의 승인을 받아야 합니다. 템플릿을 활용하여 CloudFormation 이러한 서비스의 배포를 자동화할 수 있지만 모든 SSP 서비스에서 지원되지는 않습니다.

**중요**  
AWS Managed Services(AMS) 계정에서 SSP 모드를 사용하여 명시된 제한 사항에 따라 AWS 서비스에 액세스하고 서비스를 사용할 수 있습니다.

AMS 계정에는 AMS 관리 없이 사용할 수 AWS 서비스 있는 몇 가지가 있습니다. 셀프 서비스 프로비저닝 모드 서비스 또는 간단히 말해 SSPS, AMS 계정에 추가하는 방법 및 각 서비스에 대한 FAQs는 섹션에 설명되어 있습니다.

셀프 서비스 프로비저닝 서비스는 있는 그대로 제공되며 사용자는 이를 관리할 책임이 있습니다. AMS는 해당 서비스와 연결된 리소스에 대한 알림, 모니터링, 로깅 또는 패치를 제공하지 않습니다. AMS는 AMS 계정에서 서비스를 안전하게 사용할 수 있는 IAM 역할을 제공합니다. AMS SLAs는 적용되지 않습니다.

셀프 서비스를 통해 프로비저닝하는 리소스의 경우 AMS는 인시던트 관리, 탐지 제어 및 가드레일, 보고, 지정된 리소스(Cloud Service Delivery Manager 및 Cloud Architect), 보안 및 액세스, 서비스 요청을 통한 기술 지원을 제공합니다. 또한 해당하는 경우 AMS 변경 관리 시스템 외부에서 프로비저닝되거나 구성된 리소스의 연속성 관리, 패치 관리, 인프라 모니터링 및 변경 관리에 대한 책임을 집니다.

# AMS에서 SSP 모드 시작하기
<a name="ssp-mode-get-start"></a>

셀프 서비스 프로비저닝은 사용할 수 있는 다중 계정 랜딩 존(MALZ)의 AMS 모드 중 하나입니다. 자세한 내용은 [모드 개요](ams-modes-ug.md) 단원을 참조하십시오.

셀프 서비스 프로비저닝 기능을 제공하기 위해 AMS는 권한 경계가 있는 승격된 IAM 역할을 생성하여 직접 AWS 서비스 액세스에서 의도하지 않은 변경을 제한했습니다. 역할이 모든 변경 사항을 방지하는 것은 아니며, 내부 제어 및 규정 준수 정책을 준수하고 사용 AWS 서비스 중인 모든가 필수 인증을 충족하는지 확인해야 합니다. 셀프 서비스 프로비저닝 모드입니다. AWS 규정 준수 요구 사항에 대한 자세한 내용은 [AWS 규정 준수를](https://aws.amazon.com/compliance/) 참조하세요.

다중 계정 랜딩 존 애플리케이션 계정에 셀프 서비스 프로비저닝 서비스를 추가하려면 서비스에 대한 지침에 따라 검토가 필요한 CT 또는 자동 CT인 **관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 변경 유형(CT) 추가**를 사용합니다.

**참고**  
AMS가 추가 셀프 서비스 프로비저닝 서비스를 제공하도록 요청하려면 서비스 요청을 제출합니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon API Gateway 프로비저닝
<a name="api-gateway"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon API Gateway 기능에 직접 액세스할 수 있습니다. [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html)는 어떤 규모에서든 개발자가 API를 손쉽게 생성, 게시, 유지 관리, 모니터링 및 보호할 수 있도록 지원하는 완전관리형 서비스입니다. 를 사용하면 애플리케이션이 Amazon Elastic Compute Cloud([Amazon EC2](https://aws.amazon.com/ec2/))에서 실행되는 워크로드,에서 실행되는 코드, [AWS Lambda](https://aws.amazon.com/lambda/)웹 애플리케이션 또는 실시간 통신 애플리케이션과 같은 백엔드 서비스에서 데이터, 비즈니스 로직 또는 기능에 액세스할 수 있는 문 역할을 하는 REST 및 WebSocket APIs를 생성할 AWS Management Console 수 있습니다.

API Gateway는 트래픽 관리, 권한 부여 및 액세스 제어, 모니터링 및 API 버전 관리를 포함하여 최대 수십만 개의 동시 API 호출을 수락하고 처리하는 데 관련된 모든 작업을 처리합니다. API Gateway에는 최소 요금이나 시작 비용이 없습니다. 수신한 API 호출과 전송된 데이터 양에 대해서만 비용을 지불하며, API Gateway 계층형 요금 모델을 사용하면 API 사용량이 확장됨에 따라 비용을 절감할 수 있습니다. 자세한 내용은 [Amazon API Gateway](https://aws.amazon.com/api-gateway/)를 참조하세요.

## FAQ: AMS의 API Gateway
<a name="set-api-gateway-faqs"></a>

**Q: AMS 계정에서 Amazon API Gateway에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여 API Gateway에 대한 액세스를 요청합니다. 이 RFC는 계정에 및 IAM 역할을 프로비저닝합니다`customer_apigateway_author_role``customer_apigateway_cloudwatch_role`. 계정에 프로비저닝한 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon API Gateway를 사용할 때 제한 사항은 무엇인가요?**
+ API Gateway 구성은 AMS 인프라에 대한 수정을 방지하기 위해 `AMS-` 또는 `MC-` 접두사가 없는 리소스로 제한됩니다.
+ `CREATE` Elastic Load Balancer의 무단 생성을 방지하기 위해 VPCLink에 대한 권한이 비활성화됩니다. VPCLinks 필요한 경우 [Application Load Balancer \$1 생성을](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-application-load-balancer-create.html) 참조하세요.

**Q: AMS 계정에서 Amazon API Gateway를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

배포하려는 API Gateway 유형에 따라 다릅니다. 독립 실행형 서비스일 수도 있지만 기존 서비스(예: 네트워크 로드 밸런서)에 대한 액세스를 요청할 수도 있습니다.

# AMS SSP를 사용하여 AMS 계정에서 Alexa for Business 프로비저닝
<a name="aws-alexa-bus"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Alexa for Business 기능에 직접 액세스할 수 있습니다. Alexa for Business는 조직과 직원이 Alexa를 사용하여 더 많은 작업을 수행할 수 있는 서비스입니다. Alexa for Business를 사용하면 Alexa를 지능형 어시스턴트로 사용하여 회의실, 책상, 심지어 집이나 이동 중에 이미 사용 중인 Alexa 디바이스에서도 생산성을 높일 수 있습니다. IT 및 시설 관리자는 Alexa for Business를 사용하여 직장 내 기존 회의실의 사용률을 측정하고 늘릴 수 있습니다.

자세한 내용은 [Alexa for Business](https://aws.amazon.com/alexaforbusiness/)를 참조하세요.

## AWS Managed Services FAQ의 Alexa for Business
<a name="set-aws-alexa-bus-faqs"></a>

**Q: AMS 계정에서 Alexa for Business에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_alexa_console_role`. Alexa for Business에서 제공하는 디바이스 설정 도구에 대한 `customer_alexa_device_setup_user`도 생성됩니다. 그러면이 디바이스 설정 도구를 사용하여 디바이스를 설정할 수 있습니다. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

Alexa for Business 게이트웨이를 사용하면 Alexa for Business를 Cisco Webex 및 Poly Group Series 엔드포인트에 연결하여 음성으로 회의를 제어할 수 있습니다. 게이트웨이 소프트웨어는 온프레미스 하드웨어에서 실행되며 Alexa for Business에서 Cisco 엔드포인트로 회의 지시문을 안전하게 프록시합니다. 게이트웨이가 Alexa for Business와 통신하려면 두 쌍의 AWS 자격 증명이 필요합니다. 제한된 액세스 IAM 사용자 2개를 제공합니다. `customer_alexa_gateway_installer_user` Alexa for Business 게이트웨이`customer_alexa_gateway_execution_user`의 경우 게이트웨이를 설치하기 위한 사용자와 게이트웨이를 작동하기 위한 사용자입니다. 이들은 배포 \$1 고급 스택 구성 요소 \$1 Identity and Access Management(IAM) \$1 개체 또는 정책 생성(관리형 자동화) 변경 유형(ct-3dpd8mdd9jn1r)이 포함된 RFC를 제출하여 요청할 수 있습니다.

**참고**  
사용 보고서를 생성하여 Amazon S3로 보내려면 자체 프로비저닝된 서비스 RFC에 Amazon S3 버킷 이름을 지정합니다.

**Q: AMS 계정에서 Alexa for Business를 사용하는 데 따르는 제한 사항은 무엇인가요?**

제한은 없습니다. Alexa for Business의 전체 기능은 Alexa for Business 자체 프로비저닝 서비스 역할에서 사용할 수 있습니다.

**Q: AMS 계정에서 Alexa for Business를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**
+ WPA2 Enterprise Wi-Fi를 사용하여 공유 디바이스를 설정하려는 경우 AWS Private Certificate Authority 가 필요한 디바이스 설정 도구에서이 네트워크 보안 유형을 지정합니다.
+ AMS는 네임스페이스 "A4B"로 시작하는 보안 키만 생성합니다. 이는이 네임스페이스에만 제한됩니다.

**Q: Alexa for Business 기능에는 별도의 RFCs 필요합니까?**

Alexa Voice Service(AVS) 디바이스를 Alexa for Business에 등록하려면 Alexa 내장 디바이스 메이커에 대한 액세스를 제공합니다. 이렇게 하려면 Alexa for Business 콘솔에서 관리 \$1 기타 \$1 기타 변경 유형을 사용하여 배포할 수 있는 IAM 역할을 생성해야 합니다. 이를 통해 AVS 디바이스 제조업체는 사용자를 대신하여 Alexa for Business에 디바이스를 등록하고 관리할 수 있습니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon WorkSpaces 애플리케이션 프로비저닝
<a name="amz-app-stream-2.0"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 Amazon WorkSpaces 애플리케이션(WorkSpaces 애플리케이션) 기능에 액세스할 수 있습니다. WorkSpaces 애플리케이션을 사용하면 데스크톱 애플리케이션을 다시 작성 AWS하지 않고도 로 이동할 수 있습니다. WorkSpaces 애플리케이션에 애플리케이션을 설치하고, 시작 구성을 설정하고, 사용자가 애플리케이션을 사용할 수 있도록 할 수 있습니다. WorkSpaces 애플리케이션은 다양한 가상 머신 옵션을 제공하므로 애플리케이션 요구 사항에 가장 적합한 인스턴스 유형을 선택하고 자동 크기 조정 파라미터를 설정하여 최종 사용자의 요구 사항을 쉽게 충족할 수 있습니다. WorkSpaces 애플리케이션을 사용하면 자체 네트워크에서 애플리케이션을 시작할 수 있습니다. 즉, 애플리케이션이 기존 AWS 리소스와 상호 작용할 수 있습니다.

Amazon WorkSpaces 애플리케이션을 사용하면 이미지 빌더를 사용하여 애플리케이션을 빠르고 쉽게 설치, 테스트 및 업데이트할 수 있습니다. Microsoft Windows Server 2012 R2, Windows Server 2016 또는 Windows Server 2019에서 실행되는 모든 애플리케이션이 지원되므로 수정할 필요가 없습니다. 테스트가 완료되면 애플리케이션 시작 구성, 기본 사용자 설정을 설정하고 사용자가 액세스할 수 있도록 이미지를 게시할 수 있습니다.

자세한 내용은 [WorkSpaces 애플리케이션을](https://aws.amazon.com/appstream2/) 참조하세요.

## AWS Managed Services WorkSpaces 애플리케이션 FAQ
<a name="set-amz-app-stream-2.0-faqs"></a>

**Q: AMS 계정에서 WorkSpaces 애플리케이션에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-3qe6io8t6jtny) 변경 유형을 사용하여 RFC를 제출하여 WorkSpaces 애플리케이션에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_appstream_console_role`.

또한 `customer_appstream_stream_role`는 Active Directory 로그인 자격 증명을 사용하여 사용자를 인증해야 하는 애플리케이션을 스트리밍하도록 배포됩니다.

계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 WorkSpaces 애플리케이션 사용에 대한 제한 사항은 무엇인가요?**
+ 다음 기능은 AMS Support 팀에서 구성해야 하며 특정 RFCs 필요합니다. 추가 기능 요청에 대한 지침은 섹션 4에서 확인할 수 있습니다.
  + 인터페이스 VPC 엔드포인트에서 생성 및 스트리밍.
  + 프라이빗 네트워크에서 홈 폴더 및 애플리케이션 설정 지속성을 위한 Amazon S3 엔드포인트를 지원합니다.
  + 모든 플릿 스트리밍 인스턴스에서 사용할 수 있는 IAM 역할을 생성하고 선택합니다.
  + WorkSpaces 애플리케이션 플릿 및 이미지 빌더 Microsoft Active Directory 도메인 조인.
  + WorkSpaces 애플리케이션 사용자 지정 사용 보고서 생성.
  + 사용자 지정 브랜딩은 현재 지원되지 않습니다.

**Q: AMS 계정에서 WorkSpaces 애플리케이션을 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

WorkSpaces 애플리케이션을 온보딩하기 위해 RFC를 제출하는 동안 WorkSpaces 애플리케이션 사용 보고서에 사용할 Amazon S3 버킷 이름을 포함합니다. 버킷 이름은 WorkSpaces 애플리케이션이 온보딩`customer-appstream-usagereports-policy`될 때 생성되는에 추가됩니다.

**Q: 별도의 RFCs 필요한 WorkSpaces 애플리케이션 기능은 무엇입니까?**
+ WorkSpaces 애플리케이션에 대한 인터페이스 VPC 엔드포인트를 선택하려면 관리 \$1 기타 \$1 기타 \$1 변경 유형 업데이트 RFC를 제출하여 계정에 VPC 엔드포인트를 생성합니다. WorkSpaces 애플리케이션에 대한 사용자 지정 엔드포인트를 생성하는 단계는 WorkSpaces 애플리케이션 사용 설명서의 [ 인터페이스 VPC 엔드포인트에서 생성 및 스트리밍](https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html)을 참조하세요.
+ 관리 \$1 기타 \$1 기타 \$1 변경 유형 생성 RFC를 사용하여 Amazon S3 VPC 엔드포인트를 요청하여 프라이빗 네트워크에서 홈 폴더 및 애플리케이션 설정 지속성에 대한 Amazon S3 엔드포인트 지원을 구성할 수 있습니다. RFC에는 홈 폴더 콘텐츠를 호스팅하는 대상 Amazon S3 버킷 또는 애플리케이션 설정 Amazon S3 버킷이 각각 포함되어야 합니다. 이 RFC는 WorkSpaces 애플리케이션에 Amazon S3 VPC 엔드포인트에 액세스하는 데 필요한 권한을 제공합니다. 스트림에 대한 사용자 지정 엔드포인트를 생성하는 단계는 [ WorkSpaces 애플리케이션 사용 설명서의 홈 폴더에 Amazon S3 VPC 엔드포인트 사용 및 애플리케이션 설정 지속성](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-vpce-iam-policy.html)을 참조하세요. WorkSpaces 
+ 모든 플릿 스트리밍 인스턴스에서 사용할 수 있는 IAM 역할을 생성하고 선택하려면 필요한 정책을 사용하여 IAM 역할을 요청하는 배포 \$1 고급 스택 구성 요소 \$1 Identity and Access Management(IAM) \$1 엔터티 또는 정책 생성(관리형 자동화) 변경 유형(ct-3dpd8mdd9jn1r) RFC를 제출합니다. IAM 역할 이름은 항상 접두사 "customer\$1appstream"으로 시작해야 합니다.
+ Amazon WorkSpaces 애플리케이션 플릿 및 이미지 빌더는 Active Directory(AD)에서 서비스 계정 생성을 위한 관리 \$1 기타 \$1 기타 \$1 업데이트 변경 유형 RFC를 제출하여 Microsoft Active Directory의 도메인에 조인할 수 있습니다. Microsoft Active Directory에 조인하는 데 필요한 최소 권한은 WorkSpaces 애플리케이션 설명서의 [ Active Directory 컴퓨터 객체를 생성하고 관리할 수 있는 권한 부여에 정의되어 있습니다](https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory-admin.html#active-directory-permissions).
+ 사용자 지정 WorkSpaces 애플리케이션 사용 보고서를 생성하려면 다음을 요청하는 관리 \$1 기타 \$1 기타 \$1 변경 유형 생성 RFC를 제출합니다.
  + "AppStreamUsageReports" CFN 스택 생성
  + 계정에서 "customer\$1appstream\$1usagereports\$1role" 프로비저닝
  + 또한 다음 세부 정보를 제공합니다.
    + CRON 표현식을 제공하여 크롤러 실행을 예약합니다. 기본적으로 매일 23:00 UTC입니다.
    + Athena 쿼리 결과에 사용할 Amazon S3 버킷 ARN입니다. 이 버킷에는 접두사가 있어야 합니다. `aws-athena-query-results` 
    + WorkSpaces 애플리케이션용 Amazon S3 버킷 ARN 사용 보고서 로그.

  역할이 프로비저닝된 후 역할을 페더레이션 솔루션에 온보딩하고 로그인한 다음 사용 보고서 역할을 사용하여 사용자 지정 보고서를 생성하기 위해 AWS GlueAWS Glue 및 Athena에 액세스합니다. WorkSpaces 애플리케이션 사용 보고서 사용에 대한 자세한 내용은 [ WorkSpaces 애플리케이션 설명서의 사용자 지정 보고서 생성 및 WorkSpaces 애플리케이션 사용 데이터 분석을](https://docs.aws.amazon.com/appstream2/latest/developerguide/configure-custom-reports-analyze-usage-data.html) WorkSpaces.

# AMS SSP를 사용하여 AMS 계정에서 Amazon Athena 프로비저닝
<a name="athena"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon Athena(Athena) 기능에 직접 액세스할 수 있습니다. Athena는 표준 SQL을 사용하여 Amazon S3의 데이터를 분석하는 데 도움이 되는 대화형 쿼리 서비스입니다. Athena는 서버리스 서비스이므로 관리할 인프라가 없으며 실행한 쿼리에 대해서만 비용을 지불하면 됩니다. Amazon S3의 데이터를 가리키고 스키마를 정의한 다음 표준 SQL을 사용하여 쿼리를 시작합니다. 대부분의 결과는 몇 초 내에 전달됩니다. Athena를 사용하면 분석을 위해 데이터를 준비하는 데 복잡한 ETL(추extract-transform-load) 작업이 필요하지 않습니다. 따라서 SQL 기술을 보유한 모든 사용자가 대규모 데이터 세트를 빠르게 분석할 수 있습니다. 자세한 내용은 [Amazon Athena](https://aws.amazon.com/athena/)를 참조하세요.

## FAQ: AMS의 Athena
<a name="set-athena-faqs"></a>

**Q: AMS 계정에서 Amazon Athena에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여 Athena에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_athena_console_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션에서 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon Athena를 사용할 때 제한 사항은 무엇인가요?**

제한은 없습니다. Amazon Athena의 전체 기능은 AMS 계정에서 사용할 수 있습니다.

**Q: AMS 계정에서 Amazon Athena를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

Athena는 로 생성된 데이터 카탈로그/메타스토어를 사용하므로 AWS Glue 서비스에 대한 주요 종속성이 있습니다 AWS Glue. 따라서 AWS Glue 권한은 성공적인 Athena RFC에 포함됩니다.

역할에는 Amazon S3 버킷`customer_athena_console_role`에 대한 사전 조건이 있습니다. 새 버킷을 생성하려면 자동 CT`ct-1a68ck03fn98r`(배포 \$1 고급 스택 구성 요소 \$1 S3 스토리지 \$1 생성)를 사용합니다. 이 자동 CT를 사용하여 Athena용 S3 버킷을 생성하는 경우 버킷 이름은 접두사 로 시작해야 합니다`athena-query-results-*`.

# AMS SSP를 사용하여 AMS 계정에서 Amazon Bedrock 프로비저닝
<a name="bedrock"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon Bedrock 기능에 직접 액세스할 수 있습니다. Amazon Bedrock은 선도적인 AI 스타트업에서 고성능 파운데이션 모델(FMs)을 만들고 통합 API를 통해 사용할 AWS 수 있는 완전관리형 서비스입니다. 다양한 파운데이션 모델 중에서 선택하여 사용 사례에 가장 적합한 모델을 찾을 수 있습니다. 또한 Amazon Bedrock은 보안, 프라이버시 및 책임감 있는 AI를 갖춘 생성형 AI 애플리케이션을 구축할 수 있는 다양한 기능을 제공합니다. Amazon Bedrock을 사용하면 사용 사례에 맞는 최고 수준의 파운데이션 모델을 쉽게 실험 및 평가하고, 미세 조정 및 검색 증강 생성(RAG)과 같은 기술로 데이터를 사용하여 프라이빗으로 사용자 지정하고, 엔터프라이즈 시스템 및 데이터 소스를 사용하여 작업을 실행하는 에이전트를 구축할 수 있습니다.

Amazon Bedrock의 서버리스 환경을 사용하면 인프라를 관리할 필요 없이 AWS 도구를 사용하여 파운데이션 모델을 빠르고 비공개로 사용자 지정하고 애플리케이션을 쉽고 안전하게 통합 및 배포할 수 있습니다. 자세한 내용은 [Amazon Bedrock](https://aws.amazon.com/bedrock/)을 참조하세요.

## FAQ: AMS의 Amazon Bedrock
<a name="set-bedrock-faqs"></a>

**Q: AMS 계정에서 Amazon Bedrock에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

Amazon Bedrock에 대한 액세스를 요청하려면 관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 사용하여 RFC를 제출합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_bedrock_console_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon Bedrock을 사용할 때 제한 사항은 무엇인가요?**
+ Amazon Bedrock 지식 기반은 현재 AMS에서 지원되지 않는 Amazon OpenSearch Service Serverless에 대한 종속성으로 인해 SSPS 역할의 일부로 기본적으로 지원되지 않습니다.
+ Bedrock Studio는 Amazon DataZone과 같은 지원되지 않는 서비스에 대한 종속성으로 인해 지원되지 않습니다.

**Q: AMS 계정에서 Amazon Bedrock을 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**
+  AWS Marketplace 권한이 필요한 타사 모델 구독은 기본 역할(`AWSManagedServicesAdminRole`MALZ의 경우 , SALZ`Customer_ReadOnly_Role`의 경우 )로 수행해야 합니다. 이는 기본 역할에 AWS Marketplace 권한이 포함되기 때문입니다.
+ 데이터 암호화를 사용하는 경우 콘솔 역할 생성을 요청할 때 AWS KMS 키 ARN을 제공해야 합니다. 또한 사용 중인 Amazon S3 버킷의 이름에 “bedrock”이 있어야 합니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon CloudSearch 프로비저닝
<a name="cloud-search"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon CloudSearch 기능에 직접 액세스할 수 있습니다. Amazon CloudSearch는 웹 사이트 또는 애플리케이션에 대한 검색 솔루션을 비용 효율적으로 설정, 관리 및 확장하는 데 사용하는 AWS 클라우드의 관리형 서비스입니다. Amazon CloudSearch는 강조 표시, 자동 완성 및 지리 공간 검색과 같은 34개 언어와 인기 있는 검색 기능을 지원합니다. 자세한 내용은 [Amazon CloudSearch](https://aws.amazon.com/cloudsearch/)를 참조하세요.

**참고**  
AWS 는 2024년 7월 25일부터 Amazon CloudSearch에 대한 새로운 고객 액세스를 종료했습니다. Amazon CloudSearch 기존 고객은 서비스를 정상적으로 계속 사용할 수 있습니다. AWS 는 계속해서 Amazon CloudSearch의 보안, 가용성 및 성능 개선에 투자하지만 새로운 기능을 도입할 계획은 없습니다.  
Amazon CloudSearch와 Amazon OpenSearch Service의 차이점과 OpenSearch Service로 전환하는 방법을 이해하려면 클라우드 아키텍트(CA)에 문의하여 지침을 받으세요. OpenSearch Service로 전환하는 방법에 대한 자세한 내용은 [ Amazon CloudSearch에서 Amazon OpenSearch Service 서비스로 전환을 참조하세요](https://aws.amazon.com/blogs/big-data/transition-from-amazon-cloudsearch-to-amazon-opensearch-service/).

## AWS Managed Services FAQ의 Amazon CloudSearch
<a name="set-cs-faqs"></a>

**Q: AMS 계정에서 Amazon CloudSearch에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여 Amazon CloudSearch에 대한 액세스를 요청합니다. 이 RFC는 계정에 및 IAM 역할을 프로비저닝합니다`customer_csearch_admin_role``customer_csearch_dev_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon CloudSearch를 사용하는 데 따르는 제한 사항은 무엇인가요?**

Amazon CloudSearch의 전체 기능은 AMS 계정에서 사용할 수 있습니다. 모든 AMS 지원 데이터베이스 솔루션은 현재 Amazon CloudSearch에서 지원됩니다. 현재 DynamoDB는 인덱싱할 수 없는 유일한 관리형 AWS 데이터베이스 솔루션입니다.

**Q: AMS 계정에서 Amazon CloudSearch를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

Amazon CloudSearch는 Amazon S3가 자격 증명 공급자와 협력하여 입력 데이터를 자동으로 분석하고 테이블 필드를 결정하는 데 의존합니다. Amazon S3에 대한 액세스는이 RFC와 함께 제공되지 않으므로 서비스 요청에서 별도로 요청해야 합니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon CloudWatch Synthetics 프로비저닝
<a name="cloud-synth"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon CloudWatch Synthetics 기능에 직접 액세스할 수 있습니다. Amazon CloudWatch Synthetics를 사용하여 'canary'를 생성하여 엔드포인트와 APIs 모니터링할 수 있습니다.

카나리아는 일정에 따라 실행되는 Node.js 또는 Python으로 작성된 구성 가능한 스크립트입니다. Node.js 또는 Python을 프레임워크로 사용하는 Lambda 함수를 계정에 생성합니다. canary는 HTTP 프로토콜과 HTTPS 프로토콜 모두에서 작동합니다. 카나리아는 엔드포인트의 가용성과 지연 시간을 확인하고 로드 시간 데이터와 UI 스크린샷을 저장할 수 있습니다. REST API, URL 및 웹사이트 콘텐츠를 모니터링하고 피싱, 코드 주입 및 교차 사이트 스크립팅으로 인한 무단 변경 사항을 검사할 수 있습니다.

카나리아는 고객과 동일한 경로를 따르고 동일한 작업을 수행하므로 애플리케이션에 고객 트래픽이 없는 경우에도 고객 경험을 지속적으로 확인할 수 있습니다. 카나리를 사용하면 고객보다 먼저 문제를 발견할 수 있습니다. 자세한 내용은 [ Amazon CloudWatch: 합성 모니터링 사용을](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html) 참조하세요.

## AWS Managed Services FAQ의 Amazon CloudWatch Synthetics
<a name="set-cws-faqs"></a>

**Q: AMS 계정에서 Amazon CloudWatch Synthetics에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여 Amazon CloudWatch Synthetics에 대한 액세스를 요청합니다. 이 RFC는 계정에 'customer\$1cw\$1synthetics\$1console\$1role' 및 'customer\$1cw\$1synthetics\$1canary\$1lambda\$1role'이라는 IAM 역할을 프로비저닝합니다. 계정에 프로비저닝된 후에는 페더레이션 솔루션에서 'customer\$1cw\$1synthetics\$1console\$1role' 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon CloudWatch Synthetics를 사용할 때 제한 사항은 무엇인가요?**

AMS 계정에서 Amazon CloudWatch Synthetics를 사용하는 데는 제한이 없습니다. AMS 제공 서비스 역할 'customer\$1cw\$1synthetics\$1canary\$1lambda\$1role' 외부에서 canary에 대한 역할을 생성하는 것은 금지됩니다.

**Q: AMS 계정에서 Amazon CloudWatch Synthetics를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

카나리아는 기본 Amazon CloudWatch Synthetics S3 버킷 "cw-syn-results-*\$1\$1accountnumber\$1*-*\$1\$1default-region\$1*"을 생성하고 사용합니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon Cognito 사용자 풀 프로비저닝
<a name="cognito-pool"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon Cognito 사용자 풀 기능에 직접 액세스할 수 있습니다. Amazon Cognito 사용자 풀은 수억 명의 사용자로 확장되는 안전한 사용자 디렉터리를 제공합니다. 완전 관리형 서비스인 Amazon Cognito 사용자 풀은 서버 인프라 구축에 대한 걱정 없이 설정할 수 있습니다. 이 서비스를 사용하면 내부 애플리케이션과 통합하는 데 사용할 수 있는 최종 사용자 풀을 관리할 수 있습니다. 이 서비스는 웹 또는 모바일 애플리케이션을 위한 사용자 지정 데이터베이스 또는 최종 사용자 디렉터리의 대안을 제공합니다. 동시에 Amazon Cognito 사용자 풀은 암호 정책, 다중 인증, 암호 복구 및 서비스 자체 가입과 같은 디렉터리 서비스의 전체 기능 세트를 제공합니다. 또한 애플리케이션이 OpenID, Facebook, Amazon 또는 Google과 같은 다른 인기 있는 퍼블릭 서비스에서 액세스를 페더레이션할 수 있습니다.

Amazon Cognito는 두 가지 주요 제품으로 나뉩니다. Amazon Cognito 사용자 풀 및 Amazon Cognito 자격 증명 공급자. 이 섹션에서는 Amazon S3 또는 DynamoDB와 같은 다른 서비스에 대한 액세스를 제공하는 Amazon Cognito 사용자 풀에 중점을 둡니다. AWS Amazon S3 DynamoDB 이 서비스를 사용하면 Amazon Cognito 사용자 풀 또는 타사 자격 증명 공급자를 사용하여 AWS 서비스에 대한 액세스를 제공할 수 있습니다. 또한 익명 게스트 액세스를 사용하여 AWS 서비스에 대한 액세스를 제공합니다. Amazon Cognito 사용자 풀의 강력한 특성으로 인해 계정의 잠재적 보안 중단을 방지하기 위해 운영 수동 서비스로 case-by-case 수동으로 관리됩니다. 자세한 내용은 [Amazon Cognito 사용자 풀을 참조하세요](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html).

## AWS Managed Services FAQ의 Amazon Cognito 사용자 풀
<a name="set-cognito-pool-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정의 Amazon Cognito 사용자 풀에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

AMS에서 Amazon Cognito 사용자 풀의 구현은 2단계 프로세스입니다.

1. 관리 제출 \$1 기타 \$1 기타 \$1 (ct-1e1xtak34nx76) 변경 유형을 생성하고 AMS 계정에서 Amazon Cognito 사용자 풀 생성을 요청합니다. 다음 정보를 포함합니다.
   + AWS 리전.
   + Cognito 사용자 풀의 이름입니다.
   + Amazon Simple Email Service(Amazon SES)를 사용하여 기본 내부 Cognito 메일 서비스 대신 메시지 및 알림을 보내려는 경우 고객은 계정에서 Amazon SES Service에 대해 이미 검증된 이메일 주소를 제공해야 합니다. 이 주소는 메시지의 "From" 및 "REPLY-TO" 필드에 사용됩니다. 또한 Amazon SES가 활성화된 리전(us-east-1, eu-west-1 또는 us-west-2)을 표시해야 합니다.
   + 가 일회용 암호 및 확인에 SMS 메시지를 사용하려는 경우 고객은 이를 표시해야 합니다.

1. 관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 변경 유형 추가(ct-1w8z66n899dct)를 제출하여 사용자 액세스를 요청합니다. 이 RFC는 계정에 및 IAM 역할을 프로비저닝합니다`customer_cognito_admin_role``customer_cognito_importjob_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션에서 역할을 온보딩해야 합니다. 이러한 역할을 사용하면 Amazon Cognito 사용자 풀을 관리하고, 풀에서 사용자 및 그룹을 관리하고, 사용자를 위한 가져오기 작업을 생성하고, 알림 및 구독 메시지를 수정하고, 애플리케이션을 사용자 풀에 연결하고, 풀에 페더레이션 서비스를 추가하고, 이미 생성된 풀을 삭제할 수 있습니다.

**Q: AMS 계정의 Amazon Cognito 사용자 풀 사용에 대한 제한 사항은 무엇인가요?**

Amazon Cognito 사용자 풀을 생성할 수 없습니다. 이 작업을 수행하려면 Amazon SES 및 Amazon Simple Notification Service(SNS)와 같이 Amazon Cognito에서 사용하는 서비스를 활용하기 위한 IAM 역할을 생성해야 합니다.Amazon SNS

**Q: AMS 계정에서 Amazon Cognito 사용자 풀을 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

Amazon SES를 사용하여 사용자 풀에 이메일로 메시지와 알림을 보내려면 계정에서 Amazon SES 서비스를 이미 활성화하고 전송된 이메일의 "FROM" 및 "REPLY-TO" 필드에 사용해야 하는 이메일 주소를 이미 검증해야 합니다. Amazon SES를 사용하여 이메일 주소를 검증하는 방법에 대한 자세한 내용은 [ Amazon SES에서 이메일 주소 확인을 참조하세요](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/verify-email-addresses.html).

# AMS SSP를 사용하여 AMS 계정에서 Amazon Comprehend 프로비저닝
<a name="comprehend"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon Comprehend 기능에 직접 액세스할 수 있습니다. Amazon Comprehend는 기계 학습을 사용하여 텍스트에서 인사이트와 관계를 찾는 자연어 처리(NLP) 서비스이므로 기계 학습 경험이 필요하지 않습니다. Amazon Comprehend는 기계 학습을 사용하여 비정형 데이터의 인사이트와 관계를 발견하는 데 도움이 됩니다. 이 서비스는 텍스트의 언어를 식별하고, 주요 문구, 장소, 사람, 브랜드 또는 이벤트를 추출하고, 텍스트가 얼마나 긍정적이거나 부정적인지 이해하고, 토큰화 및 음성 부분을 사용하여 텍스트를 분석하고, 주제별로 텍스트 파일 모음을 자동으로 구성합니다. Amazon Comprehend에서 AutoML 기능을 사용하여 조직의 요구 사항에 맞게 고유하게 조정된 사용자 지정 엔터티 또는 텍스트 분류 모델 세트를 구축할 수도 있습니다. 자세한 내용은 [Amazon Comprehend](https://aws.amazon.com/comprehend/)를 참조하세요.

## AWS Managed Services FAQ의 Amazon Comprehend
<a name="set-comprehend-faqs"></a>

**Q: AMS 계정에서 Amazon Comprehend에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

Amazon Comprehend 콘솔 및 데이터 액세스 역할은 두 개의 AMS Service RFCs.

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_comprehend_console_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon Comprehend를 사용할 때 제한 사항은 무엇인가요?**

Amazon Comprehend 콘솔을 통한 새 IAM 역할 생성 기능은 제한됩니다. 그렇지 않으면 AMS 계정에서 Amazon Comprehend의 전체 기능을 사용할 수 있습니다.

**Q: AMS 계정에서 Amazon Comprehend를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

Amazon S3 버킷이 AWS KMS 키로 암호화된 경우 Amazon Comprehend를 사용하려면 Amazon S3 및 AWS Key Management Service (AWS KMS)가 필요합니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon Connect 프로비저닝
<a name="connect"></a>

**참고**  
신중한 고려 끝에 2026년 5월 20일부터 Amazon Connect Voice ID에 대한 지원을 종료하기로 결정했습니다. Amazon Connect Voice ID는 2025년 5월 20일부터 더 이상 신규 고객을 받지 않습니다. 2025년 5월 20일 이전에 서비스에 가입한 계정이 있는 기존 고객은 Amazon Connect Voice ID 기능을 계속 사용할 수 있습니다. 2026년 5월 20일 이후에는 Amazon Connect Voice ID를 더 이상 사용할 수 없습니다.

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon Connect 기능에 직접 액세스할 수 있습니다. Amazon Connect는 기업이 더 저렴한 비용으로 우수한 고객 서비스를 제공할 수 있도록 지원하는 옴니채널 클라우드 고객 센터입니다. Amazon Connect는 고객과 에이전트에게 음성 및 채팅 전반에 걸쳐 원활한 경험을 제공합니다. 여기에는 기술 기반 라우팅, 강력한 실시간 및 기록 분석, easy-to-use 직관적인 관리 도구를 위한 도구 세트가 포함되며, 모두 pay-as-you-go 요금이 적용됩니다.

AMS 다중 계정 랜딩 존 또는 단일 계정 랜딩 존 계정에서 가상 고객 센터 인스턴스의 인스턴스를 하나 이상 생성할 수 있습니다. 에이전트 액세스에 기존 SAML 2.0 자격 증명 공급자를 사용하거나 사용자 수명 주기 관리에 Amazon Connect 기본 지원을 사용할 수 있습니다.

또한 Amazon Connect 콘솔에서 각 Amazon Connect 인스턴스의 수신자 부담/직통 전화번호를 신청할 수 있습니다. easy-to-use 그래픽 사용자 인터페이스를 사용하여 풍부한 고객 응대 흐름을 생성하여 원하는 고객 경험과 라우팅을 달성할 수 있습니다. 고객 응대 흐름은 AWS Lambda 함수를 활용하여 온프레미스 데이터 스토어 및 API와 통합할 수 있습니다. Kinesis Streams 및 Firehose를 사용하여 데이터 스트리밍을 활성화할 수도 있습니다.

통화 녹음, 채팅 트랜스크립트 및 보고서는 AWS KMS 키를 사용하여 암호화된 Amazon S3 버킷에 저장됩니다. 고객 응대 흐름 로그는 CloudWatch 로그 그룹에 저장할 수 있습니다.

자세한 내용은 [Amazon Connect](https://aws.amazon.com/connect/)를 참조하세요.

## AWS Managed Services의 Amazon Connect FAQ
<a name="set-connect-faqs"></a>

**Q: AMS 계정에서 Amazon Connect에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 및 IAM 역할을 프로비저닝합니다`customer_connect_console_role``customer_connect_user_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon Connect를 사용할 때 제한 사항은 무엇인가요?**

제한은 없습니다. Amazon Connect의 전체 기능은 AMS 계정에서 사용할 수 있습니다.

**Q: AMS 계정에서 Amazon Connect를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**
+ 표준 AMS RFCs를 사용하여 AWS KMS 키와 Amazon S3 버킷을 생성해야 합니다. 통화 녹음 및 채팅 기록을 저장하려면 Amazon S3 버킷이 필요합니다.
+ Active Directory(AD)와 통합하려면 AMS 호스팅 Amazon Connect 인스턴스와 온프레미스 디렉터리 서비스 간의 통합에 AD 커넥터가 필요합니다. AD 커넥터는 '관리 \$1 기타 \$1 기타' RFC를 요청하여 계정에서 구성할 수 있습니다.
+ 고객 응대 흐름 요구 사항에 따라 다음과 같은 선택적 자체 프로비저닝 서비스를 활성화할 수 있습니다.
  + **AWS Lambda**: Lambda 함수를 사용하여 고객 응대 흐름을 확장하여 기존 온프레미스 데이터 스토어 또는 APIs. Lambda 자체 프로비저닝 서비스를 사용하여 Lambda 함수를 생성할 수 있습니다.
  + **Amazon Kinesis Data Streams**: 데이터 스트림을 생성하여 외부 애플리케이션으로 데이터 스트리밍을 활성화할 수 있습니다. 고객 응대 추적 레코드 또는 에이전트 이벤트를 스트리밍할 수 있습니다.
  + **Amazon Kinesis Data Firehose**: Data Firehose를 생성하여 대용량 고객 응대 추적 레코드를 외부 애플리케이션으로 스트리밍할 수 있습니다.
  + **Amazon Lex**: Amazon Lex Chatbots를 활용하여 풍부한 고객 경험과 자동화를 위해 Amazon Alexa 서비스를 활용하는 스마트 고객 응대 흐름을 생성할 수 있습니다.
+ **Q: 아웃바운드 또는 인바운드 통화에 대한 국가 목록을 추가하도록 요청하려면 어떻게 해야 합니까?**

  아웃바운드 또는 인바운드 통화 국가 목록을 추가하려면 AMS에 서비스 요청을 제출합니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon Data Firehose 프로비저닝
<a name="kdf"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon Data Firehose 기능에 직접 액세스할 수 있습니다. Firehose는 스트리밍 데이터를 데이터 레이크, 데이터 스토어 및 분석 도구로 안정적으로 로드하는 가장 쉬운 방법입니다. 스트리밍 데이터를 캡처하고 변환하여 Amazon S3, Amazon Redshift, Amazon OpenSearch Service 및 [Splunk](https://aws.amazon.com/kinesis/data-firehose/splunk/)로 로드할 수 있으므로 현재 이미 사용 중인 기존 비즈니스 인텔리전스 도구 및 대시보드를 사용하여 거의 실시간으로 분석할 수 있습니다. 완전 관리형 서비스로서 데이터 처리량에 대응하여 자동으로 확장되며 지속적인 관리가 필요 없습니다. 또한, 데이터를 로드하기 전에 배치, 압축, 변환 및 암호화하여 대상 스토리지의 사용량을 최소화하고 보안을 강화할 수 있습니다. 자세한 내용은 [Amazon Data Firehose란 무엇입니까?](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)를 참조하세요.

## AWS Managed Services FAQ의 Firehose
<a name="set-kdf-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에서 Amazon Data Firehose에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_kinesis_firehose_user_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Firehose를 사용할 때 적용되는 제한 사항은 무엇인가요?**

제한은 없습니다. Amazon Data Firehose의 전체 기능은 AMS 계정에서 사용할 수 있습니다.

**Q: AMS 계정에서 Firehose를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

각 전송 스트림에 대해 새 서비스 연결 IAM 역할을 요청해야 합니다. 필요한 리소스 권한(S3 버킷/KMS 키/Lambda 함수/Kinesis 스트림 포함)으로 역할 정책을 업데이트하여 모든 스트림에 대해 단일 서비스 연결 역할을 재사용할 수도 있습니다.

Firehose를 추가하기 위해 RFC를 제출하면 AMS 운영 엔지니어가 Data Firehose와 연결하려는 리소스(예: S3 AWS KMS, Lambda 및 Kinesis Streams)의 ARNs에 대한 서비스 요청을 통해 연락을 드릴 것입니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon DevOps Guru 프로비저닝
<a name="devops-guru"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon DevOps Guru 기능에 직접 액세스할 수 있습니다. Amazon DevOps Guru는 개발자와 운영자가 애플리케이션의 성능과 가용성을 쉽게 개선할 수 있는 완전관리형 운영 서비스입니다. DevOps Guru는 운영 문제 식별과 관련된 관리 작업을 없애므로 애플리케이션을 개선하기 위한 권장 사항을 신속하게 구현할 수 있습니다. 이제 DevOps Guru는 애플리케이션을 개선하는 데 사용할 수 있는 사후 대응 인사이트를 제공합니다. 또한 향후 애플리케이션에 영향을 미칠 수 있는 운영 문제를 방지하는 데 도움이 되는 사전 예방 인사이트를 제공합니다. DevOps Guru는 운영 데이터, 애플리케이션 지표 및 이벤트를 분석하여 정상적인 운영 패턴에서 벗어나는 동작을 식별하기 위해 기계 학습을 적용합니다. DevOps Guru가 운영 문제 또는 위험을 감지하면 알림이 전송됩니다. DevOps Guru는 현재 및 향후 예상되는 운영 문제를 해결하기 위해 각 문제에 대한 지능적인 권장 사항을 제시합니다.

자세한 내용은 [Amazon DevOps Guru란 무엇입니까](https://docs.aws.amazon.com/devops-guru/latest/userguide/welcome.html)?를 참조하세요.

## AWS Managed Services의 Amazon DevOps Guru FAQ
<a name="devops-guru-faqs"></a>

**Q: AMS 계정에서 Amazon DevOps Guru에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

액세스를 요청하려면 관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_devopsguru_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon DevOps Guru를 사용하는 데 따르는 제한 사항은 무엇인가요?**

제한은 없습니다. Amazon DevOps Guru의 전체 기능은 AMS 계정에서 사용할 수 있습니다.

**Q: AMS 계정에서 Amazon DevOps Guru를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

사전 조건은 없습니다. DevOps Guru는 Amazon CloudWatch Logs, RDS Insights AWS X-Ray AWS Lambda및 AWS 서비스를 활용합니다 AWS CloudTrail.

# AMS SSP를 사용하여 AMS 계정에서 Amazon DocumentDB(MongoDB 호환) 프로비저닝
<a name="document-db"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon DocumentDB(MongoDB 호환) 기능에 직접 액세스할 수 있습니다. Amazon DocumentDB(MongoDB 호환)은 MongoDB 워크로드를 지원하는 빠르고, 확장 가능하며, 가용성이 높은 완전 관리형 도큐먼트 데이터베이스 서비스입니다. Amazon DocumentDB는 미션 크리티컬 MongoDB 워크로드를 대규모로 운영할 때 필요한 성능, 확장성 및 가용성을 제공합니다. Amazon DocumentDB는 MongoDB 클라이언트가 MongoDB 서버에서 기대하는 응답을 에뮬레이션하여 Apache 2.0 오픈 소스 MongoDB 3.6 API를 구현하므로 Amazon DocumentDB에서 기존 MongoDB 드라이버 및 도구를 사용할 수 있습니다. Amazon DocumentDB에서는 스토리지와 컴퓨팅이 분리되어 각 스토리지를 독립적으로 확장할 수 있으며 데이터 크기에 관계없이 지연 시간이 짧은 읽기 전용 복제본을 최대 15개까지 추가하여 읽기 용량을 초당 수백만 개의 요청으로 늘릴 수 있습니다. Amazon DocumentDB는 99.99% 가용성을 위해 설계되었으며 3개의 AWS 가용 영역(AZs. AWS Database Migration Service (DMS)를 무료로(6개월 동안) 사용하여 가동 중지 없이 온프레미스 또는 Amazon Elastic Compute Cloud(Amazon EC2) MongoDB 데이터베이스를 Amazon DocumentDB로 마이그레이션할 수 있습니다. 자세한 내용은 [Amazon DocumentDB(MongoDB 호환)를 참조하세요](https://aws.amazon.com/documentdb/).

## AWS Managed Services Amazon DocumentDB FAQ
<a name="set-document-db-faqs"></a>

**Q: AMS 계정에서 Amazon DocumentDB에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

Amazon DocumentDB 콘솔 및 데이터 액세스 역할은 콘솔 액세스 및 데이터 액세스라는 두 개의 AMS RFCs를 제출하여 요청할 수 있습니다.

관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 추가(ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여 Amazon DocumentDB에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_documentdb_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon DocumentDB를 사용하는 데 따르는 제한 사항은 무엇인가요?**

Amazon DocumentDB에는 Amazon RDS 관련 권한이 필요합니다. AMS는 Amazon RDS를 완전히 관리하므로 Amazon DocumentDB의 IAM 역할에는 Amazon RDS의 작업에 대한 몇 가지 제한이 포함됩니다. 다음과 같은 제한 사항이 있습니다.
+ `DeleteDBInstance` 및 `DeleteDBCluster` APIs가 제한되었습니다. 이러한 삭제 APIs 사용하려면 관리 \$1 고급 스택 구성 요소 \$1 Identity and Access Management(IAM) \$1 엔터티 또는 정책 업데이트(관리형 자동화) 변경 유형(ct-27tuth19k52b4)을 사용하여 RFC를 제출합니다.
+ Amazon RDS 인스턴스에서는 태그를 추가하거나 제거할 수 없습니다.
+ Amazon DocumentDB 인스턴스는 퍼블릭으로 설정할 수 없습니다.

**Q: AMS 계정에서 Amazon DocumentDB를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

Amazon S3 버킷 AWS KMS 이 AWS KMS 키로 암호화된 경우 Amazon DocumentDB를 사용하려면 Amazon S3 및가 필요합니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon DynamoDB 프로비저닝
<a name="dynamo-db"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon DynamoDB(DynamoDB) 기능에 직접 액세스할 수 있습니다. Amazon DynamoDB는 모든 규모에서 한 자릿수 밀리초의 성능을 제공하는 키 값 및 문서 데이터베이스입니다. 인터넷 규모 애플리케이션을 위한 보안, 백업 및 복원, 인 메모리 캐싱이 내장된 완전 관리형 다중 리전 다중 활성 데이터베이스입니다. 자세한 내용은 [Amazon DynamoDB](https://aws.amazon.com/dynamodb/)를 참조하세요.

Amazon DynamoDB Accelerator(DAX)는 캐시를 DynamoDB 테이블에 추가하는 프로세스를 간소화하기 위해 설계된 라이트-스루(write-through) 캐싱 서비스입니다. DAX는 고성능 읽기가 필요한 애플리케이션을 위해 만들어졌습니다.

## AWS Managed Services DynamoDB FAQ
<a name="set-dynamo-db-faqs"></a>

**Q: AMS 계정에서 DynamoDB 및 DAX에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 서비스 \$1 AWS 자체 프로비저닝 서비스 \$1 추가(ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여 DynamoDB 및 DAX에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할 및 정책을 프로비저닝합니다.
+ DynamoDB 역할 이름: `customer_dynamodb_role`

  DAX 서비스 역할 이름: `customer_dax_service_role`
+ DynamoDB 정책 이름: `customer_dynamodb_policy`

  DAX 서비스 정책: `customer_dax_service_policy`

계정에 프로비저닝된 후에는 페더레이션 솔루션`customer_dynamodb_role`에서를 온보딩해야 합니다.

**Q: AMS 계정에서 DynamoDB를 사용하는 데 따르는 제한 사항은 무엇인가요?**

DynamoDB Accelerator(DAX)를 포함한 모든 DynamoDB 기능이 지원됩니다.

지정된 테이블에 대한 경보를 생성할 때 경보 이름 앞에 "customer\$1"를 붙여야 합니다. 예: `customer-employee-table-high-put-latency`.

DynamoDB에 대한 Amazon SNS 주제를 생성할 때 이름이 여야 합니다`dynamodb`.

DynamoDB에서 생성한 Amazon SNS 주제를 삭제하려면 관리 \$1 기타 \$1 기타 \$1 변경 유형 RFC 업데이트를 제출합니다.

**Q: AMS 계정에서 DynamoDB를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

AMS 계정에서 DynamoDB를 사용하기 위한 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon Elastic Container Registry 프로비저닝
<a name="ecr"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon Elastic Container Registry(Amazon ECR) 기능에 직접 액세스할 수 있습니다. Amazon Elastic Container Registry는 개발자가 [Docker](https://aws.amazon.com/docker/) 컨테이너 이미지를 쉽게 저장, 관리 및 배포할 수 있는 완전 관리형 Docker 컨테이너 레지스트리입니다. Amazon ECR은 [Amazon Elastic Container Service(Amazon ECS)](https://aws.amazon.com/ecs/)와 통합되어 프로덕션 워크플로 개발을 간소화합니다. Amazon ECR을 사용하면 자체 컨테이너 리포지토리를 운영하거나 기본 인프라를 확장할 필요가 없습니다. Amazon ECS는 가용성과 확장성이 뛰어난 아키텍처에서 이미지를 호스팅하므로 애플리케이션용 컨테이너를 안정적으로 배포할 수 있습니다. AWS Identity and Access Management (IAM)과의 통합은 각 리포지토리의 리소스 수준 제어를 제공합니다. Amazon ECR에서는 선결제 요금이나 약정이 없습니다. 리포지토리에 저장한 데이터와 인터넷으로 전송된 데이터의 양에 대해서만 비용을 지불합니다.

자세한 내용은 [Amazon Elastic Container Registry](https://aws.amazon.com/ecr/)를 참조하세요.

## AWS Managed Services의 Amazon Elastic Container Registry FAQ
<a name="set-ecr-faqs"></a>

**Q: AMS 계정에서 Amazon ECR에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여 Amazon ECR에 대한 액세스를 요청합니다. 이 RFC는 `customer_ecr_poweruser_instance_profile_policy`각각 ` customer_ecr_console_role`, 및 관련 IAM 정책, `customer_ecr_console_policy` 및 `customer_ecr_poweruser_instance_profile`와 같은 IAM 역할을 계정에 프로비저닝합니다. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon ECR을 사용할 때 제한 사항은 무엇인가요?**

AMS 계정에서 Amazon ECR을 사용하기 위한 AMS 네임스페이스에는 제한이 있습니다. 컨테이너 이미지에는 "AMS-" 또는 "Sentinel-" 접두사가 붙지 않을 수 있습니다.

**Q: AMS 계정에서 Amazon ECR을 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

AMS 계정에서 Amazon ECR을 사용하기 위한 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정에서 EC2 Image Builder 프로비저닝
<a name="ec2-image-build"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 EC2 Image Builder 기능에 직접 액세스할 수 있습니다. EC2 Image Builder는 특정 IT 표준을 충족하기 위해 소프트웨어 및 설정으로 사전 설치 및 사전 구성된 안전하고 up-to-date의 사용자 지정 "골드" 서버 이미지의 생성, 관리 및 배포를 더 쉽게 자동화할 수 있는 완전 관리형 AWS 서비스입니다.

 , AWS Management Console AWS CLI 또는 APIs를 사용하여 AWS 계정에서 사용자 지정 이미지를 생성할 수 있습니다. 를 사용하면 Amazon EC2 Image Builder 마법사 AWS Management Console가 다음 단계를 안내합니다.
+ 시작 아티팩트 제공
+ 소프트웨어 추가 및 제거
+ 설정 및 스크립트 사용자 지정
+ 선택한 테스트 실행
+  AWS 리전에 이미지 배포

빌드하는 이미지는 계정에 생성되며 운영 체제 패치에 대해 지속적으로 구성할 수 있습니다. 자세한 내용은 [EC2 Image Builder](https://aws.amazon.com/image-builder/)를 참조하세요.

## AWS Managed Services FAQ의 EC2 Image Builder
<a name="set-ec2-image-build-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에서 EC2 Image Builder에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC를 통해 계정에 다음 IAM 역할이 프로비저닝됩니다` customer_ec2_imagebuilder_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: EC2 Image Builder의 제한 사항은 무엇입니까?**

AMS는 인프라 구성에 대한 서비스 기본값 사용을 지원하지 않습니다. 새 인프라 구성을 생성하거나 기존 인프라 구성을 사용할 수 있습니다.

AMS는 현재 컨테이너 레시피 생성을 지원하지 않습니다.

**Q: EC2 Image Builder를 활성화하기 위한 사전 조건 또는 종속성은 무엇입니까?**
+ EC2 Image Builder 서비스 연결 역할: 서비스 연결 역할을 수동으로 생성할 필요가 없습니다. AWS Management Console, AWS CLI 또는 AWS API에서 첫 번째 Image Builder 리소스를 생성하면 Image Builder가 서비스 연결 역할을 생성합니다.
+ Image Builder를 사용하여 이미지를 빌드하고 테스트를 실행하는 데 사용되는 인스턴스는 Systems Manager 서비스에 액세스할 수 있어야 합니다. SSM 에이전트가 아직 없는 경우 소스 이미지에 설치되고 이미지가 생성되기 전에 제거됩니다.
+ AWS IAM: 인스턴스 프로파일과 연결하는 IAM 역할에는 이미지에 포함된 빌드 및 테스트 구성 요소를 실행할 수 있는 권한이 있어야 합니다. 인스턴스 프로파일과 연결된 IAM 역할에 `EC2InstanceProfileForImageBuilder` 및 IAM 역할 정책을 연결해야 합니다`AmazonSSMManagedInstanceCore`. IAM 역할 이름에는 `*imagebuilder*` 키워드가 포함되어야 합니다.
+ 로깅을 구성하는 경우 인프라 구성에 지정된 인스턴스 프로파일에 대상 버킷(`arn:aws:s3:::{bucket-name}/*`)에 대한 `s3:PutObject` 권한이 있어야 합니다. 예제:

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "s3:PutObject"
              ],
              "Resource": "arn:aws:s3:::{bucket-name}/*"
          }
      ]
  }
  ```

------
+ 이름이 'imagebuilder'인 SNS 주제를 생성하여 EC2 Image Builder로부터 알림 및 알림을 받습니다.

# AMS SSP를 사용하여 AMS 계정 AWS Fargate 의에서 Amazon ECS 프로비저닝
<a name="amz-ecs-fargate"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하면 AMS 관리형 계정에서 직접 AWS Fargate Amazon ECS 기능에 액세스할 수 있습니다. AWS Fargate 는 Amazon EC2 인스턴스의 Amazon EC2와 함께 컨테이너([의 컨테이너 AWS](https://aws.amazon.com/what-are-containers) 참조)를 실행하는 데 사용할 수 있는 기술입니다. 를 AWS Fargate사용하면 더 이상 컨테이너를 실행하기 위해 가상 머신 클러스터를 프로비저닝, 구성 또는 확장할 필요가 없습니다. 따라서 서버 유형을 선택하거나, 클러스터를 조정할 시점을 결정하거나, 클러스터 패킹을 최적화할 필요가 없습니다.

자세한 내용은 [Amazon ECS on AWS Fargate](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/AWS_Fargate.html)을 참조하세요.

## AWS Managed Services FAQ의 Fargate 기반 Amazon ECS
<a name="set-amz-ecs-fargate-faqs"></a>

**Q: AMS 계정에서 Fargate의 Amazon ECS에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여 Fargate의 Amazon ECS에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다. `customer_ecs_fargate_console_role` (ECS 정책을 연결할 기존 IAM 역할이 제공되지 않은 경우), `customer_ecs_fargate_events_service_role`, `customer_ecs_task_execution_service_role`, 및 `customer_ecs_codedeploy_service_role``AWSServiceRoleForApplicationAutoScaling_ECSService`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Fargate에서 Amazon ECS를 사용하는 데 따르는 제한 사항은 무엇인가요?**
+ 컨테이너 수준 활동은 하이퍼바이저 위에서 발생하며 로깅 기능은 Fargate의 Amazon ECS에 의해 제한되므로 Amazon ECS 작업 모니터링 및 로깅은 사용자의 책임으로 간주됩니다. Fargate의 Amazon ECS 사용자는 Amazon ECS 작업에 대한 로깅을 활성화하는 데 필요한 단계를 수행하는 것이 좋습니다. 자세한 내용은 [ 컨테이너에 대한 awslogs 로그 드라이버 활성화를 참조하세요](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#enable_awslogs).
+ 컨테이너 수준의 보안 및 멀웨어 보호도 사용자의 책임으로 간주됩니다. Fargate의 Amazon ECS에는 Trend Micro 또는 사전 구성된 네트워크 보안 구성 요소가 포함되지 않습니다.
+ 이 서비스는 다중 계정 랜딩 존과 단일 계정 랜딩 존 AMS 계정 모두에 사용할 수 있습니다.
+ Route 53 프라이빗 호스팅 영역을 생성하려면 승격된 권한이 필요하므로 Amazon ECS [서비스 검색](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-discovery.html)은 기본적으로 자체 프로비저닝된 역할에서 제한됩니다. 서비스에서 서비스 검색을 활성화하려면 관리 \$1 기타 \$1 기타 \$1 변경 유형 업데이트를 제출합니다. Amazon ECS 서비스에 대한 서비스 검색을 활성화하는 데 필요한 정보를 제공하려면 [서비스 검색 설명서를](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-discovery.html) 참조하세요.
+ AMS는 현재 Amazon ECS Fargate의 컨테이너에 배포하는 데 사용되는 이미지를 관리하거나 제한하지 않습니다. Amazon ECR, Docker Hub 또는 기타 프라이빗 이미지 리포지토리에서 이미지를 배포할 수 있습니다. 따라서 퍼블릭 이미지나 보안되지 않은 이미지는 계정에 악의적인 활동이 발생할 수 있으므로 배포하지 않는 것이 좋습니다.

**Q: AMS 계정에서 Fargate에서 Amazon ECS를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**
+ 다음은 Fargate에서 Amazon ECS의 종속성이지만 자체 프로비저닝된 역할로 이러한 서비스를 활성화하는 데 필요한 추가 작업은 없습니다.
  + CloudWatch 로그
  + CloudWatch 이벤트
  + CloudWatch 경보
  + CodeDeploy
  + App Mesh
  + 클라우드 맵
  + Route 53
+ 사용 사례에 따라 다음은 Amazon ECS가 의존하는 리소스이며 계정에서 Fargate에서 Amazon ECS를 사용하기 전에 필요할 수 있습니다.
  + Amazon ECS 서비스와 함께 사용할 보안 그룹입니다. 배포 \$1 고급 스택 구성 요소 \$1 보안 그룹 \$1 생성(자동)(ct-3pc215bnwb6p7)을 사용하거나, 보안 그룹에 특수 규칙이 필요한 경우 배포 \$1 고급 스택 구성 요소 \$1 보안 그룹 \$1 생성(관리형 자동화)(ct-1oxx2g2d7hc90)을 사용할 수 있습니다. 참고: Amazon ECS를 사용하여 선택한 보안 그룹은 Amazon ECS 서비스 또는 클러스터가 있는 Amazon ECS 전용으로 생성해야 합니다. **보안 그룹** 섹션의 [Amazon ECS 설정](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/get-set-up-for-amazon-ecs.html) 및 [Amazon Elastic Container Service의 보안에서](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security.html) 자세히 알아볼 수 있습니다.
  + 작업 간 로드 밸런싱을 위한 Application Load Balancer(ALB), Network Load Balancer(NLB), Classic Load Balancer(ELB).
  + ALBs.
  + Amazon ECS 클러스터와 통합할 앱 메시 리소스(예: 가상 라우터, 가상 서비스, 가상 노드).
+ 현재 AMS가 표준 AMS 변경 유형 외부에서 생성될 때 지원 보안 그룹의 권한과 관련된 위험을 자동으로 완화할 수 있는 방법은 없습니다. Amazon ECS에서 사용하도록 지정되지 않은 보안 그룹을 사용할 가능성을 제한하려면 Fargate 클러스터와 함께 사용할 특정 보안 그룹을 요청하는 것이 좋습니다.

# AMS SSP를 사용하여 AMS 계정 AWS Fargate 의에서 Amazon EKS 프로비저닝
<a name="amz-eks"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS Fargate Amazon EKS 기능에 액세스합니다. AWS Fargate 는 컨테이너에 대한 적절한 크기의 온디맨드 컴퓨팅 용량을 제공하는 기술입니다(컨테이너를 이해하려면 [컨테이너란 무엇입니까?](https://aws.amazon.com/what-are-containers) 참조). 를 사용하면 더 이상 컨테이너를 실행하기 위해 가상 머신 그룹을 프로비저닝, 구성 또는 확장할 필요가 AWS Fargate없습니다. 따라서 서버 유형을 선택하거나, 노드 그룹을 조정할 시점을 결정하거나, 클러스터 패킹을 최적화할 필요가 없습니다.

Amazon Elastic Kubernetes Service(Amazon EKS)는 Kubernetes에서 제공하는 확장 가능한 업스트림 모델을 AWS Fargate 사용하여 구축된 컨트롤러 AWS 를 사용하여 Kubernetes를와 통합합니다. 이러한 컨트롤러는 Amazon EKS 관리형 Kubernetes 컨트롤 플레인의 일부로 실행되며 Fargate에서 네이티브 Kubernetes 포드를 예약하는 역할을 합니다. Fargate 컨트롤러에는 여러 개의 변형 및 검증 승인 컨트롤러 외에도 기본 Kubernetes 스케줄러와 함께 실행되는 새 스케줄러가 포함되어 있습니다. Fargate에서 실행하기 위한 조건을 충족하는 포드를 시작하면 클러스터에서 실행되는 Fargate 컨트롤러가 해당 포드를 인식하고 업데이트하고 Fargate에 예약합니다.

자세한 내용은 [Amazon EKS on AWS Fargate Now Generally Available](https://aws.amazon.com/blogs/aws/amazon-eks-on-aws-fargate-now-generally-available/) 및 [Amazon EKS Best Practices Guide for Security](https://aws.github.io/aws-eks-best-practices/security/docs/)("Recommendations", "Review and revoke unnecessary anonymous access" 등 포함)를 참조하세요.

**작은 정보**  
AMS에는 Amazon EKS와 함께 사용할 수 있는 변경 유형인 배포 \$1 고급 스택 구성 요소 \$1 ID 및 액세스 관리(IAM) \$1 OpenID Connect 공급자 생성(ct-30ecvfi3tq4k3)이 있습니다. 예제는 [ Identity and Access Management(IAM) \$1 OpenID Connect Provider 생성을](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-openid-connect-provider.html) 참조하세요.

## AWS Managed Services AWS Fargate 의의 Amazon EKS FAQ
<a name="set-amz-eks-faqs"></a>

**Q: AMS 계정에서 Fargate의 Amazon EKS에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다.
+ `customer_eks_fargate_console_role`.

  계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.
+ 이러한 서비스 역할은 Fargate의 Amazon EKS에 사용자를 대신하여 다른 AWS 서비스를 호출할 수 있는 권한을 부여합니다.
  + `customer_eks_pod_execution_role`
  + `customer_eks_cluster_service_role`

**Q: AMS 계정에서 Fargate에서 Amazon EKS를 사용하는 데 따르는 제한 사항은 무엇인가요?**
+ [관리형](https://docs.aws.amazon.com/eks/latest/userguide/managed-node-groups.html) 또는 [자체 관리형](https://docs.aws.amazon.com/eks/latest/userguide/worker.html) EC2 노드 그룹 생성은 AMS에서 지원되지 않습니다. EC2 작업자 노드를 사용해야 하는 경우 AMS Cloud Service Delivery Manager(CSDM) 또는 Cloud Architect(CA)에 문의하십시오.
+ AMS에는 컨테이너 이미지에 대한 Trend Micro 또는 사전 구성된 네트워크 보안 구성 요소가 포함되지 않습니다. 배포 전에 자체 이미지 스캔 서비스를 관리하여 악성 컨테이너 이미지를 탐지해야 합니다.
+ CloudFormation 상호 종속성으로 인해 EKSCTL이 지원되지 않습니다.
+ 클러스터를 생성하는 동안 클러스터 컨트롤 플레인 로깅을 비활성화할 수 있는 권한이 있습니다. 자세한 내용을 알아보려면 [Amazon EKS 컨트롤 플레인 로깅](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html)을 참조하세요. 클러스터 생성 시 모든 중요한 API, 인증 및 감사 로깅을 활성화하는 것이 좋습니다.
+ 클러스터 생성 중에 Amazon EKS 클러스터에 대한 클러스터 엔드포인트 액세스는 기본적으로 퍼블릭으로 설정됩니다. 자세한 내용은 [Amazon EKS 클러스터 엔드포인트 액세스 제어를](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html) 참조하세요. Amazon EKS 엔드포인트를 프라이빗으로 설정하는 것이 좋습니다. 퍼블릭 액세스에 엔드포인트가 필요한 경우 특정 CIDR 범위에 대해서만 퍼블릭으로 설정하는 것이 좋습니다.
+ AMS에는 Amazon EKS Fargate의 컨테이너에 배포하는 데 사용되는 이미지를 강제로 적용하고 제한하는 방법이 없습니다. Amazon ECR, Docker Hub 또는 기타 프라이빗 이미지 리포지토리에서 이미지를 배포할 수 있습니다. 따라서 계정에서 악의적인 활동을 수행할 수 있는 퍼블릭 이미지를 배포할 위험이 있습니다.
+ 클라우드 개발 키트(CDK) 또는 CloudFormation Ingest를 통한 EKS 클러스터 배포는 AMS에서 지원되지 않습니다.
+ 수신 생성을 위해 매니페스트 파일에서 [ct-3pc215bnwb6p7 배포 \$1 고급 스택 구성 요소 \$1 보안 그룹 \$1 생성](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-security-group-create.html) 및 참조를 사용하여 필요한 보안 그룹을 생성해야 합니다. 이는 역할`customer-eks-alb-ingress-controller-role`이 보안 그룹을 생성할 권한이 없기 때문입니다.

**Q: AMS 계정에서 Fargate에서 Amazon EKS를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

서비스를 사용하려면 다음 종속성을 구성해야 합니다.
+ 서비스에 대해 인증하려면 KUBECTL과 aws-iam-authenticator를 모두 설치해야 합니다. 자세한 내용은 [클러스터 인증 관리를](https://docs.aws.amazon.com/eks/latest/userguide/managing-auth.html) 참조하세요.
+ Kubernetes는 "서비스 계정"이라는 개념을 사용합니다. EKS의 kubernetes 클러스터 내에서 서비스 계정 기능을 활용하려면 다음 입력과 함께 관리 \$1 기타 \$1 기타 \$1 RFC 업데이트가 필요합니다.
  + [필수] Amazon EKS 클러스터 이름
  + [필수] 서비스 계정(SA)이 배포될 Amazon EKS 클러스터 네임스페이스입니다.
  + [필수] Amazon EKS 클러스터 SA 이름입니다.
  + [필수] 연결할 IAM 정책 이름 및 권한/문서입니다.
  + [필수] 요청 중인 IAM 역할 이름입니다.
  + [선택 사항] OpenID Connect 공급자 URL입니다. 자세한 내용은 다음 섹션을 참조하세요.
    +  [ 클러스터의 서비스 계정에 대한 IAM 역할 활성화](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html)
    +  [ 서비스 계정에 대한 세분화된 IAM 역할 소개](https://aws.amazon.com/blogs/opensource/introducing-fine-grained-iam-roles-service-accounts/)
+ 에 대해 Config 규칙을 구성하고 모니터링하는 것이 좋습니다.
  + 퍼블릭 클러스터 엔드포인트
  + 비활성화된 API 로깅

  이러한 Config 규칙을 모니터링하고 수정하는 것은 사용자의 책임입니다.

[ALB 수신 컨트롤러](https://docs.aws.amazon.com/eks/latest/userguide/alb-ingress.html)를 배포하려면 관리 \$1 기타 \$1 기타 업데이트 RFC를 제출하여 ALB 수신 컨트롤러 포드와 함께 사용하는 데 필요한 IAM 역할을 프로비저닝합니다. ALB 수신 컨트롤러와 연결할 IAM 리소스를 생성하려면 다음 입력이 필요합니다(RFC에 포함).
+ [필수] Amazon EKS 클러스터 이름
+ [선택 사항] OpenID Connect 공급자 URL
+ [선택 사항] 애플리케이션 로드 밸런서(ALB) 수신 컨트롤러 서비스가 배포될 Amazon EKS 클러스터 네임스페이스입니다. [기본값: kube-system]
+ [선택 사항] Amazon EKS 클러스터 서비스 계정(SA) 이름. [기본값: aws-load-balancer-controller]

클러스터에서 봉투 보안 암호 암호화를 활성화하려면(권장) RFC의 설명 필드에 사용하려는 KMS 키 IDs를 제공하여 서비스를 추가합니다(관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 추가(ct-1w8z66n899dct). 봉투 암호화에 대한 자세한 내용은 [ Amazon EKS에서 AWS KMS를 사용한 보안 암호에 대한 봉투 암호화 추가를 참조하세요](https://aws.amazon.com/about-aws/whats-new/2020/03/amazon-eks-adds-envelope-encryption-for-secrets-with-aws-kms/).

# AMS SSP를 사용하여 AMS 계정에서 Amazon EMR 프로비저닝
<a name="amz-emr"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon EMR 기능에 직접 액세스할 수 있습니다. Amazon EMR은 Apache Spark, Apache Hive, Apache HBase, Apache Flink, Apache Hudi, Presto와 같은 오픈 소스 도구를 사용하여 방대한 양의 데이터를 처리하기 위한 업계 최고의 클라우드 빅 데이터 플랫폼입니다. Amazon EMR을 사용하면 기존 온프레미스 솔루션 비용의 절반 미만과 표준 Apache Spark보다 3배 빠른 속도로 페타바이트 규모의 분석을 실행할 수 있습니다. 단기 실행 작업의 경우 클러스터를 가동 및 가동 중지하고 사용된 인스턴스에 대해 초당 비용을 지불할 수 있습니다. 장기 실행 워크로드의 경우 수요에 맞게 자동으로 확장되는 고가용성 클러스터를 생성할 수 있습니다.

AMS 다중 계정 랜딩 존 또는 단일 계정 랜딩 존 계정에서 Amazon EMR 클러스터의 인스턴스를 하나 이상 생성하여 임시 및 영구 Amazon EMR 클러스터를 모두 지원할 수 있습니다. Kerberos 인증을 활성화하여 온프레미스 Active Directory 도메인에서 사용자를 인증할 수도 있습니다.

Amazon EMR 클러스터와 함께 여러 데이터 스토어를 활용하여 사용 사례별 하둡 도구 및 라이브러리를 지원할 수 있습니다. Amazon EMR 클러스터는 OnDemand 또는 스팟 인스턴스를 사용하여 생성하고 오토 스케일링을 구성하여 용량을 관리하고 비용을 절감할 수 있습니다.

클러스터 로그 파일은 로깅 및 디버깅을 위해 Amazon S3 버킷에 보관할 수 있습니다. Amazon EMR 클러스터에서 호스팅되는 웹 인터페이스에 액세스하여 hadoop 관리 요구 사항을 지원하거나 고객을 위한 노트북 경험을 지원할 수도 있습니다.

자세한 내용은 [Amazon EMR](https://aws.amazon.com/emr/)을 참조하세요.

## AWS Managed Services의 Amazon EMR FAQ
<a name="set-amz-emr-faqs"></a>

**Q: AMS 계정에서 Amazon EMR에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다.
+ `customer_emr_cluster_instance_profile`
+ `customer_emr_cluster_autoscaling_role`
+ `customer_emr_console_role`
+ `customer_emr_cluster_service_role`

계정에 프로비저닝된 후에는 페더레이션 솔루션에서 customer\$1emr\$1console\$1role을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon EMR을 사용할 때 제한 사항은 무엇인가요?**

AWS 콘솔에서 EC2 클러스터에 Amazon EMR을 생성하는 동안 **클러스터 생성 - 고급** 옵션을 사용하는 것이 좋습니다. Amazon EMR 클러스터는 키가 **"for-use-with-amazon-emr-managed-policies"**이고 값이 **"true"**인 태그를 추가하여 생성해야 합니다. **보안** 옵션에서 다음 구성을 선택합니다.
+ 클러스터의 사용자 지정 역할을 선택합니다.
  + EMR 역할: customer\$1emr\$1cluster\$1service\$1role
  + EC2 인스턴스 프로파일: customer\$1emr\$1cluster\$1instance\$1profile
  + Auto Scaling 역할: customer\$1emr\$1cluster\$1autoscaling\$1role
+ EC2 보안 그룹:
  + 마스터: ams-emr-master-security-group
  + 코어 및 작업: ams-emr-worker-security-group
  + 서비스 액세스: ams-emr-serviceaccess-security-group

**Q: AMS 계정에서 Amazon EMR을 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

AMS는 Amazon EMR 마스터, 작업자 및 서비스 노드에 대한 기본 보안 그룹을 생성합니다.

Amazon EMR 클러스터에 사용할 시작 템플릿 및 보안 그룹에는 **"for-use-with-amazon-emr-managed-policies"** 태그 키와 **"true"** 값이 있어야 합니다.

기본 Amazon EMR 클러스터 인스턴스 프로파일을 사용하면 이름이 "emr"을 포함하는 s3 버킷 및 dynamodb 테이블과 같은 리소스에 액세스할 수 있습니다. Amazon EMR에서 사용할 추가 리소스를 사용하도록 추가 IAM 정책을 요청할 수 있습니다. 다음 리소스 ARN은 **customer\$1emr\$1cluster\$1instance\$1profile**을 사용하여 Amazon EMR 작업에 사용할 수 있습니다.
+ arn:aws:dynamodb:\$1:\$1:table/\$1emr\$1
+ arn:aws:kinesis:\$1:\$1:stream/\$1emr\$1
+ arn:aws:sns:\$1:\$1:\$1emr\$1arn:aws:sqs:\$1:\$1:\$1emr\$1
+ arn:aws:sqs:\$1:\$1:\$1emr\$1
+ arn:aws:sqs:\$1:\$1:AWS-ElasticMapReduce-\$1
+ arn:aws:sdb:\$1:\$1:domain:\$1emr\$1
+ arn:aws:s3:::\$1emr\$1

Amazon EMR 클러스터에 kerberos 인증이 필요한 경우:
+ 각 각 각기 다른 Amazon EMR 클러스터에 사용할 영역 이름과 온프레미스 Active Directory IP 주소를 제공합니다.
+ 인프라 요구 사항:

  **다중 계정 랜딩 존(MALZ)**: RFC를 제출하여 기존 애플리케이션 계정에서 새 관리형 애플리케이션 계정 또는 새 VPC를 생성합니다.

  **단일 계정 랜딩 존(SALZ)**: RFC를 제출하여 VPC에 새 서브넷을 생성합니다.
+ 온프레미스 Active Directory에서 클러스터 영역에 대한 수신 신뢰를 구성합니다.
+ 관리형 AD에서 영역에 대한 DNS 영역을 구성하려면 RFC를 제출합니다.
+ 영역 구성:

  **MALZ**: 관리 제출 \$1 기타 \$1 기타 \$1 업데이트(ct-0xdawir96cy7k) RFC를 업데이트하여 도메인 이름 접미사에 영역 이름을 사용하도록 VPC DHCP 옵션 세트를 업데이트합니다.

  **SALZ**: 관리 제출 \$1 기타 \$1 기타 \$1 업데이트(ct-0xdawir96cy7k) RFC를 사용하여 도메인 이름 접미사에 특정 영역을 사용할 새 Amazon EMR AMI를 생성합니다.

Amazon EMR 스튜디오를 배포하려면 역할에 Amazon Simple Storage Service 버킷에 대한 사전 조건이 `customer_emr_cluster_service_role` 있습니다. 버킷을 생성하려면 자동 CT`ct-1a68ck03fn98r`(배포 \$1 고급 스택 구성 요소 \$1 S3 스토리지 \$1 생성)를 사용합니다. 이 자동 CT를 사용하여 Amazon EMR용 Amazon S3 버킷을 생성하는 경우 버킷 이름은 접두사 로 시작해야 합니다`customer-emr-*`. 또한 Amazon EMR 클러스터와 동일한 AWS 리전에 버킷을 생성해야 합니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon EventBridge 프로비저닝
<a name="amz-eventbridge"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon EventBridge 기능에 직접 액세스할 수 있습니다. Amazon EventBridge: 애플리케이션을 다양한 소스의 데이터와 쉽게 연결할 수 있는 서버리스 이벤트 버스 서비스입니다. EventBridge는 자체 애플리케이션, Software-as-a-Service(SaaS) 애플리케이션 및 AWS 서비스의 실시간 데이터 스트림을 제공하고 해당 데이터를와 같은 대상으로 라우팅합니다 AWS Lambda. 데이터를 전송할 대상을 결정하는 라우팅 규칙을 설정하여 모든 데이터 소스에 실시간으로 대응하는 애플리케이션 아키텍처를 구축할 수 있습니다. EventBridge를 사용하면 느슨하게 결합되고 분산되는 이벤트 기반 아키텍처를 구축할 수 있습니다.

자세한 내용은 [Amazon EventBridge](https://aws.amazon.com/eventbridge/)를 참조하세요.

## AWS Managed Services FAQ의 EventBridge
<a name="set-amz-eventbridge-faqs"></a>

**Q: AMS 계정에서 EventBridge에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여 EventBridge에 대한 액세스를 요청합니다. 이 RFC는 계정에 및 IAM 역할을 프로비저닝합니다`customer_eventbridge_role``customer_eventbridge_scheduler_execution_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

실행 역할은 EventBridge 스케줄러가 AWS 서비스 사용자를 대신하여 다른와 상호 작용하기 위해 수임하는 IAM 역할`customer_eventbridge_scheduler_execution_role`입니다. 이 역할에 연결된 권한 정책은 EventBridge 스케줄러에 대상을 호출할 수 있는 액세스 권한을 부여합니다.

**참고**  
기본적으로 EventBridge 스케줄러는 EventBridge에 AWS 소유 키를 사용하여 데이터를 암호화합니다. EventBridge의 고객 관리형 키를 사용하여 데이터를 암호화하려면 관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 서비스 프로비저닝을 위한 [추가(관리형 자동화)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-aws-self-provisioned-service-add-review-required.html) 변경 유형(ct-3qe6io8t6jtny)을 사용하여 RFC를 제출합니다.

**Q: AMS 계정에서 EventBridge를 사용할 때 제한 사항은 무엇인가요?**

AMS RFCs 제출하고 배치 작업을 트리거하는 서비스 역할, SQS 대기열, CodeBuild, CodePipeline 및 SSM 명령을 생성해야 합니다.

**Q: AMS 계정에서 EventBridge를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

EventBridge를 사용하여 Lambda, Amazon SNS AWS Batch, Amazon SQS 또는 Amazon CloudWatch Logs AWS 리소스와 같은 다른 리소스를 트리거하기 전에 배포 \$1 고급 스택 구성 요소 \$1 Identity and Access Management(IAM) \$1 엔터티 또는 정책(관리형 자동화) 변경 유형(ct-3dpd8mdd9jn1r)을 사용하여 RFC로 EventBridge 서비스 역할을 요청해야 합니다. 서비스 역할을 요청할 때 호출할 서비스를 지정합니다. 대상을 호출하는 데 필요한 권한에 대한 자세한 내용은 [ EventBridge에 리소스 기반 정책 사용을 참조하세요](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html).

EventBridge는 EventBridge AWS 서비스 에서 사용자 AWS CloudTrail, 역할 또는가 수행한 작업에 대한 레코드를 제공하는 서비스와 통합됩니다. CloudTrail을 활성화하고 로그 파일을 S3 버킷에 저장할 수 있어야 합니다. 참고: 모든 AMS 계정에는 CloudTrail이 활성화되어 있으므로 별도의 조치가 필요하지 않습니다.

**Q: customer\$1eventbridge\$1scheduler\$1execution\$1role 역할에는 AWS Key Management Service 키에 대한 사전 조건이 있습니다(암호화에 사용되는 경우 선택 사항). 저장/전송 시 데이터 암호화에 AWS KMS CMKs 채택하려면 어떻게 해야 합니까? ** 

기본적으로 EventBridge 스케줄러는 AWS 소유 키(저장 시 암호화)로 저장되는 이벤트 메타데이터 및 메시지 데이터를 암호화합니다. 또한 EventBridge 스케줄러는 전송 계층 보안(TLS)(전송 중 암호화)을 사용하여 EventBridge 스케줄러와 다른 서비스 간에 전달하는 데이터를 암호화합니다.

특정 사용 사례에서 EventBridge 스케줄러에서 데이터를 보호하는 암호화 키를 제어하고 감사해야 하는 경우 고객 관리형 키를 사용할 수 있습니다.

Amazon EventBridge를 사용하여 AWS KMS 권한을 온보딩하기 전에 관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 추가(관리형 자동화) 변경 유형을 사용하여 RFC를 요청해야 합니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon Forecast 프로비저닝
<a name="forecast"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon Forecast(Forecast) 기능에 직접 액세스할 수 있습니다. Amazon Forecast는 기계 학습을 사용하여 매우 정확한 예측을 제공하는 완전관리형 서비스입니다.

**참고**  
AWS 는 2024년 7월 29일부터 Amazon Forecast에 대한 신규 고객 액세스를 종료했습니다. Amazon Forecast 기존 고객은 평소와 같이 서비스를 계속 사용할 수 있습니다.는 Amazon Forecast의 보안, 가용성 및 성능 개선에 AWS 계속 투자하지만 새로운 기능을 도입할 계획 AWS 은 없습니다.  
Amazon Forecast를 사용하려면 CSDM에 문의하여 Amazon [Forecast 사용량을 Amazon SageMaker Canvas로 전환하는](https://aws.amazon.com/blogs/machine-learning/transition-your-amazon-forecast-usage-to-amazon-sagemaker-canvas/) 방법에 대해 자세히 알아보세요.

Forecast는 Amazon.com 사용된 것과 동일한 기술을 기반으로 기계 학습을 사용하여 시계열 데이터를 추가 변수와 결합하여 예측을 구축합니다. Forecast를 시작하려면 기계 학습 경험이 필요하지 않습니다. 과거 데이터와 예측에 영향을 미칠 수 있다고 생각되는 추가 데이터만 제공하면 됩니다. 예를 들어, 셔츠의 특정 색상에 대한 수요는 계절과 매장 위치에 따라 변경될 수 있습니다. 이 복잡한 관계는 자체적으로 결정하기 어렵지만 기계 학습은 이를 인식하는 데 이상적입니다. 데이터를 제공하면 Forecast는 시계열 데이터만 보는 것보다 최대 50% 더 정확한 예측을 수행할 수 있는 예측 모델을 자동으로 검사하고 의미 있는 것을 식별하며 생성합니다.

자세한 내용은 [Amazon Forecast](https://aws.amazon.com/forecast/)를 참조하세요.

## AWS Managed Services FAQ의 Amazon Forecast
<a name="set-forecast-faqs"></a>

**Q: AMS 계정에서 Forecast에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 추가(ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 AWS Firewall Manager 제출하여에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_forecast_admin_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Forecast를 사용하는 데 따르는 제한 사항은 무엇인가요?**

기본 S3 버킷 액세스는 이름 지정 패턴이 'customer-forecast-\$1'인 버킷에만 액세스할 수 있도록 허용합니다. 데이터 버킷에 대한 고유한 이름 지정 규칙이 있는 경우 Cloud Architect(CA)와 버킷 이름 지정 및 관련 액세스 설정에 대해 논의합니다. 예:
+ 'AmazonForecast-ExecutionRole-\$1' 및 관련 적절한 S3 버킷 액세스와 같은 이름을 지정하여 특정 Amazon Forecast 서비스 역할을 정의할 수 있습니다.ExecutionRole S3 IAM 콘솔에서 서비스 역할 - AmazonForecast-ExecutionRole-Admin 및 IAM 정책 - customer\$1forecast\$1default\$1s3\$1access\$1policy를 참조하세요.
+ 관련 S3 버킷 액세스를 IAM 페더레이션 역할에 연결해야 할 수 있습니다. IAM 콘솔에서 IAM 정책 - customer\$1forecast\$1default\$1s3\$1access\$1policy를 참조하세요.

**Q: AMS 계정에서 Forecast를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**
+ Forecast를 사용하기 전에 적절한 Amazon S3 버킷(들)을 생성해야 합니다. 특히 기본 S3 버킷 액세스는 'customer-forecast-\$1'라는 이름 지정 패턴을 사용합니다.
+ 'customer-forecast-\$1' 이외의 S3 버킷에서 이름 지정 패턴을 사용하려면 버킷에 대한 S3 액세스 권한이 있는 새 서비스 역할을 생성해야 합니다.

  1. 'AmazonForecast-ExecutionRole-\$1suffix\$1'라는 이름으로 생성할 새 서비스 역할입니다.

  1. customer\$1forecast\$1default\$1s3\$1access\$1policy와 유사하고 새 서비스 역할 및 관련 페더레이션 관리자 역할(예: 'customer\$1forecast\$1admin\$1role')과 연결되는 새 IAM 정책 생성

**Q: Amazon Forecast를 사용하는 동안 데이터 보안을 강화하려면 어떻게 해야 하나요?**
+ 저장 데이터 암호화의 경우 AWS KMS 를 사용하여 고객 관리형 CMK를 프로비저닝하여 Amazon S3 서비스의 데이터 스토리지를 보호할 수 있습니다.
  + 프로비저닝 키를 사용하여 버킷에서 기본 암호화를 활성화하고 데이터를 입력하는 동안 AWS KMS 데이터 암호화를 수락하도록 버킷 정책을 설정합니다.
  + Amazon Forecast 서비스 역할 'AmazonForecast-ExecutionRole-\$1' 및 페더레이션 관리자 역할(예: 'customer\$1forecast\$1admin\$1role')을 AWS KMS 키 사용자로 활성화합니다.
+ 전송 중 데이터 암호화의 경우 Amazon S3 버킷 정책에서 객체를 전송하는 데 필요한 HTTPS 프로토콜을 설정할 수 있습니다.
+ 액세스 제어에 대한 추가 제한에서 Amazon Forecast 서비스 역할 'AmazonForecast-ExecutionRole-\$1' 및 관리자 역할(예: 'customer\$1forecast\$1admin\$1role')에 대해 승인된 액세스에 대한 버킷 정책을 활성화합니다.

**Q: Amazon Forecast 사용 시 모범 사례는 무엇인가요?**
+ Amazon Forecast에서 S3 버킷을 사용하는 동안 데이터 분류 관행을 잘 이해하고 관련 데이터 보안 요구 사항을 매핑해야 합니다.
+ Amazon S3 버킷 구성의 경우 S3 버킷 정책에서 HTTPS 적용을 활성화하는 것이 좋습니다.
+ 'customer-forecast-\$1'라는 이름의 Amazon S3S3 버킷에 대한 관리자 역할 'customer\$1forecast\$1admin\$1role' 지원 허용 액세스(Get/Delete/Put S3 객체)를 알고 있어야 합니다. 참고: 여러 팀에 대한 세분화된 액세스 제어가 필요한 경우 다음 관행을 따르세요.
  + 관련 Amazon S3 버킷에 대한 최소 권한 액세스를 사용하여 팀 기반 액세스 IAM 자격 증명(역할/사용자)을 정의합니다.
  + 팀/프로젝트 기반 AWS KMS CMKs 생성하면 해당 IAM 자격 증명에 대한 적절한 액세스 권한이 부여됩니다(사용자 액세스 및 'AmazonForecast-ExecutionRole-\$1team/project\$1'.
  + 생성된 AWS KMS CMKs를 사용하여 S3 버킷 기본 암호화를 설정합니다.
  + S3 버킷 정책에 HTTPS 프로토콜을 사용하여 S3 API 트래픽을 적용합니다.
  + 관련 IAM 자격 증명(사용자 액세스 및 'AmazonForecast-ExecutionRole-\$1team/project\$1'에 대한 승인된 액세스에 대해 S3 버킷 구성을 버킷에 적용합니다.
+ 'customer\$1forecast\$1admin\$1role'을 범용으로 사용하려면 이전에 나열된 포인트를 고려하여 S3 버킷을 보호하세요.

**Q: Amazon Forecast에 대한 규정 준수 정보는 어디에 있나요?**

[AWS 서비스 규정 준수 프로그램을](https://aws.amazon.com/compliance/services-in-scope/) 참조하세요.

# AMS SSP를 사용하여 AMS 계정에서 Amazon FSx 프로비저닝
<a name="amz-fsx"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon FSx 기능에 직접 액세스할 수 있습니다. Amazon FSx는 완전 관리형 타사 파일 시스템을 제공합니다. Amazon FSx는 Windows 기반 스토리지, 고성능 컴퓨팅(HPC), 기계 학습, 전자 설계 자동화(EDA)와 같은 워크로드를 위한 기능 세트와 타사 파일 시스템의 기본 호환성을 제공합니다. Amazon FSx는 하드웨어 프로비저닝, 소프트웨어 구성, 패치 적용 및 백업과 같이 시간이 많이 걸리는 관리 작업을 자동화합니다. Amazon FSx는 파일 시스템을 클라우드 네이티브 AWS 서비스와 통합하여 더 광범위한 워크로드 세트에 훨씬 더 유용합니다.

Amazon FSx는 Windows 기반 애플리케이션용 Amazon FSx for Windows File Server와 컴퓨팅 집약적인 워크로드용 Amazon FSx for Lustre라는 두 가지 파일 시스템 중에서 선택할 수 있습니다. 자세한 내용은 [Amazon FSx](https://aws.amazon.com/fsx/)를 참조하세요.

## AWS Managed Services의 Amazon FSx FAQ
<a name="set-amz-fsx-faqs"></a>

**Q: AMS 계정에서 Amazon FSx에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여 Amazon FSx에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_fsx_admin_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon FSx를 사용할 때 제한 사항은 무엇인가요?**

제한은 없습니다. 서비스의 전체 기능을 사용할 수 있습니다.

**Q: AMS 계정에서 Amazon FSx를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

사전 조건은 없습니다. 그러나 다중 AZ와 같은 고급 구성의 경우 DFS 복제 및 DFS 네임스페이스 서비스를 설치하고 관리해야 합니다. 자세한 내용은 [다중 AZ 파일 시스템 배포를 참조하세요](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/multi-az-deployments.html).

**Q: Amazon FSx 파일 시스템을 다중 계정 랜딩 존 Managed AD와 통합하려면 어떻게 해야 하나요?**

Amazon FSx 파일 시스템을 생성할 때 MALZ Managed AD를 Windows 인증을 위한 'AWS 관리형 Microsoft Active Directory'로 지정할 수 있습니다. 자세한 내용은 [Microsoft Active Directory AWS Directory Service 용에서 Amazon FSx 사용을](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/fsx-aws-managed-ad.html) 참조하세요.

또한 먼저 Managed AD를 애플리케이션 계정과 공유해야 합니다. 관리 \$1 디렉터리 서비스 \$1 디렉터리 \$1 디렉터리 변경 유형 공유(ct-369odosk0pd9w)를 사용하여 RFC를 제출하여이 작업을 수행합니다.

**Q: **AWS 위임 FSx 관리자** 그룹에 속한 사용자는 무엇입니까?**

IT 파일 서버 관리자만. 이 그룹에는 모든 파일 공유에 대한 **전체 액세스** 권한이 있습니다.

**Q: FSx 시스템이 프로비저닝될 때 생성되는 기본 파일 공유, **공유**를 사용해야 합니까?**

아니요. 프로비저닝된 대로 기본 파일 공유, **공유**를 사용하지 않는 것이 좋습니다. 최소 권한 원칙을 위반하는 **모든** 사람에게 **전체 액세스** 권한을 부여합니다. 대신 비즈니스 요구 사항에 맞는 더 작은 사용자 지정 파일 공유를 생성합니다.

**Q: 내 비즈니스의 특정 조직에 대한 사용자 지정 파일 공유를 생성하려면 어떻게 해야 하나요?**

사용자 지정 [파일 공유 생성에 대한 지침은 파일 공유](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/managing-file-shares.html)를 참조하세요. 최소 권한 원칙을 사용하여 각 파일 공유에 대한 액세스를 제한합니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon FSx for OpenZFS 프로비저닝
<a name="amz-fsx-open-zfs"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon FSx for OpenZFS 기능에 직접 액세스할 수 있습니다. FSx for OpenZFS는 애플리케이션 코드 또는 데이터 관리 방법을 변경하지 않고도 온프레미스 ZFS 또는 기타 Linux 기반 파일 서버에 있는 데이터를 AWS로 쉽게 이동할 수 있는 완전 관리형 파일 스토리지 서비스입니다. 오픈 소스 OpenZFS 파일 시스템에 구축된 매우 안정적이고 확장 가능하며 성능이 뛰어나고 기능이 풍부한 파일 스토리지를 제공하여 OpenZFS 파일 시스템의 친숙한 기능과 기능에 완전 관리형 AWS 서비스의 민첩성, 확장성 및 단순성을 제공합니다. 클라우드 네이티브 애플리케이션을 구축하는 개발자를 위해 데이터 작업을 위한 풍부한 기능을 갖춘 간단한 고성능 스토리지를 제공합니다.

FSx for OpenZFS 파일 시스템은 업계 표준 NFS 프로토콜(v3, v4.0, v4.1, v4.2)을 사용하여 Linux, Windows 및 macOS 컴퓨팅 인스턴스 및 컨테이너에서 광범위하게 액세스할 수 있습니다. AWS Graviton 프로세서와 최신 AWS 디스크 및 네트워킹 기술( AWS Scalable Reliable Datagram 네트워킹 및 AWS Nitro 시스템 포함)로 구동되는 FSx for OpenZFS는 수백 마이크로초의 지연 시간으로 최대 100만 IOPS를 제공합니다. 즉각적인 point-in-time 스냅샷 및 데이터 복제와 같은 OpenZFS 기능을 완벽하게 지원하는 FSx for OpenZFS를 사용하면 온프레미스 파일 서버를 익숙한 파일 시스템 기능을 제공하고 긴 검증을 수행하고 기존 애플리케이션 또는 도구를 변경하거나 재설계할 필요가 없는 AWS 스토리지로 쉽게 교체할 수 있습니다. 또한 OpenZFS 데이터 관리 기능의 성능과 최신 AWS 기술의 고성능 및 비용 효율성을 결합하여 FSx for OpenZFS를 사용하면 데이터 집약적인 고성능 애플리케이션을 구축하고 실행할 수 있습니다.

완전 관리형 서비스인 FSx for OpenZFS를 사용하면에서 완전 관리형 파일 시스템을 쉽게 시작, 실행 및 확장하여 온프레미스에서 실행하는 파일 서버를 AWS 대체하는 동시에 민첩성을 높이고 비용을 절감할 수 있습니다. FSx for OpenZFS를 사용하면 파일 서버 및 스토리지 볼륨 설정 및 프로비저닝, 데이터 복제, 파일 서버 소프트웨어 설치 및 패치, 하드웨어 장애 감지 및 해결, 백업 수동 수행에 대해 더 이상 걱정할 필요가 없습니다. 또한 AWS Identity and Access Management (IAM), AWS Key Management Service (), Amazon CloudWatch 및 같은 다른 AWS 서비스와의 풍부한 통합AWS KMS을 제공합니다 AWS CloudTrail.

Amazon FSx는 Windows 기반 애플리케이션용 Amazon FSx for Windows File Server와 컴퓨팅 집약적인 워크로드용 Amazon FSx for Lustre라는 두 가지 파일 시스템 중에서 선택할 수 있습니다. 자세한 내용은 [Amazon FSx](https://aws.amazon.com/fsx/)를 참조하세요.

## AWS Managed Services FAQ의 Amazon FSx for OpenZFS
<a name="set-amz-fsx-open-zfs-faqs"></a>

**Q: AMS 계정에서 FSx for OpenZFS를 사용하기 위해 액세스를 요청하려면 어떻게 해야 하나요?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여 Amazon FSx OpenZFS에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_fsx_ontap_admin_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 FSx for OpenZFS를 사용할 때 적용되는 제한 사항은 무엇인가요?**

Amazon FSx 탄력적 네트워크 인터페이스(ENIs)의 보안 그룹을 교체하려면 보안 그룹이 AMS 환경의 중요한 경계이므로 관리 \$1 기타 \$1 기타 \$1 RFCs 업데이트를 제출해야 합니다. 이것이 유일한 제한입니다.

**Q: AMS 계정에서 FSx for OpenZFS를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

사전 조건은 없습니다. 그러나가 [AMS SSP를 사용하여 AMS 계정에서 Amazon FSx 프로비저닝](amz-fsx.md) 설치되어 있어야 합니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon FSx for NetApp ONTAP 프로비저닝
<a name="amz-fsx-netapp-ontap"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon FSx for NetApp ONTAP 기능에 직접 액세스할 수 있습니다. Amazon FSx for NetApp ONTAP은 NetApp의 인기 있는 ONTAP 파일 시스템을 기반으로 구축된 매우 안정적이고 확장 가능하며 성능이 뛰어나고 기능이 풍부한 파일 스토리지를 제공하는 완전관리형 서비스입니다. NetApp 파일 시스템의 친숙한 기능, 성능, 기능 및 APIs에 완전 관리형의 민첩성, 확장성 및 단순성을 제공합니다 AWS 서비스.

Amazon FSx for NetApp ONTAP은 AWS 또는 온프레미스에서 실행되는 Linux, Windows 및 macOS 컴퓨팅 인스턴스에서 광범위하게 액세스할 수 있는 기능이 풍부하고 빠르고 유연한 공유 파일 스토리지를 제공합니다. FSx for ONTAP은 밀리초 미만의 지연 시간으로 고성능 SSD 스토리지를 제공하며 버튼 클릭만으로 파일을 스냅샷 처리, 복제 및 복제할 수 있으므로 데이터를 빠르고 쉽게 관리할 수 있습니다. 또한 데이터를 저비용의 탄력적 스토리지로 자동으로 계층화하므로 용량을 프로비저닝하거나 관리할 필요가 없으며 소량의 데이터에 대해서만 SSD 스토리지 비용을 지불하면서 워크로드에 대한 SSD 수준의 성능을 달성할 수 있습니다. 완전 관리형 백업과 교차 리전 재해 복구 지원을 통해 가용성과 내구성이 뛰어난 스토리지를 제공하고 널리 사용되는 데이터 보안 및 바이러스 백신 애플리케이션을 지원하여 데이터를 훨씬 더 쉽게 보호하고 보호할 수 있습니다. 온프레미스에서 NetApp ONTAP을 사용하는 고객의 경우 FSx for ONTAP은 애플리케이션 코드 또는 데이터 관리 방법을 변경할 필요 AWS 없이 파일 기반 애플리케이션을 온프레미스에서 로 마이그레이션, 백업 또는 버스트하는 데 이상적인 솔루션입니다.

완전 관리형 서비스인 Amazon FSx for NetApp ONTAP을 사용하면 클라우드에서 안정적이고 성능이 뛰어나며 안전한 공유 파일 스토리지를 간단하게 시작하고 확장할 수 있습니다. Amazon FSx for NetApp ONTAP을 사용하면 파일 서버 및 스토리지 볼륨 설정 및 프로비저닝, 데이터 복제, 파일 서버 소프트웨어 설치 및 패치, 하드웨어 장애 감지 및 해결, 장애 조치 및 장애 복구 관리, 백업 수동 수행에 대해 더 이상 걱정할 필요가 없습니다. 또한 AWS Identity and Access Management Amazon WorkSpaces AWS Key Management Service및와 AWS 서비스같은 다른와 풍부한 통합을 제공합니다 AWS CloudTrail.

Amazon FSx는 Windows 기반 애플리케이션용 Amazon FSx for Windows File Server와 컴퓨팅 집약적인 워크로드용 Amazon FSx for Lustre라는 두 가지 파일 시스템 중에서 선택할 수 있습니다. 자세한 내용은 [Amazon FSx](https://aws.amazon.com/fsx/)를 참조하세요.

## AWS Managed Services FAQ의 Amazon FSx for NetApp ONTAP
<a name="set-amz-fsx-netapp-ontap-faqs"></a>

**Q: AMS 계정에서 Amazon FSx for NetApp ONTAP에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여 Amazon FSx for NetApp ONTAP에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_fsx_ontap_admin_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon FSx for NetApp ONTAP을 사용할 때 제한 사항은 무엇인가요?**

Amazon FSx for NetApp ONTAP 탄력적 네트워크 인터페이스(ENIs)의 보안 그룹을 교체하려면 보안 그룹이 AMS 환경의 중요한 경계이므로 관리 \$1 기타 \$1 기타 \$1 RFCs 업데이트를 제출해야 합니다. 이것이 유일한 제한입니다.

**Q: AMS 계정에서 Amazon FSx for NetApp ONTAP을 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

사전 조건은 없습니다. 그러나가 [AMS SSP를 사용하여 AMS 계정에서 Amazon FSx 프로비저닝](amz-fsx.md) 설치되어 있어야 합니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon Inspector Classic 프로비저닝
<a name="inspector"></a>

**참고**  
지원 종료 공지: 2026년 5월 20일에 AWS 는 Amazon Inspector Classic에 대한 지원을 종료합니다. 2026년 5월 20일 이후에는 Amazon Inspector Classic 콘솔 또는 Amazon Inspector Classic 리소스에 더 이상 액세스할 수 없습니다. Amazon Inspector Classic은 더 이상 새 계정과 지난 6개월 동안 평가를 완료하지 않은 계정에서 사용할 수 없습니다. 다른 모든 계정의 경우 액세스는 2026년 5월 20일까지 유효하며, 그 이후에는 Amazon Inspector Classic 콘솔 또는 Amazon Inspector Classic 리소스에 더 이상 액세스할 수 없습니다. 자세한 내용은 [Amazon Inspector Classic 지원 종료를 참조하세요](https://docs.aws.amazon.com/inspector/v1/userguide/inspector-migration.html).

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon Inspector Classic 기능에 직접 액세스할 수 있습니다. Amazon Inspector Classic은 배포된 애플리케이션의 보안 및 규정 준수를 개선하는 데 도움이 되는 자동화된 보안 평가 서비스입니다 AWS. Amazon Inspector Classic은 애플리케이션의 노출, 취약성 및 모범 사례와의 편차를 자동으로 평가합니다. 평가를 수행한 후 Amazon Inspector Classic은 심각도 수준에 따라 우선순위가 지정된 보안 조사 결과의 세부 목록을 생성합니다. 이러한 결과는 직접 검토하거나 Amazon Inspector Classic 콘솔 또는 API를 통해 사용할 수 있는 세부 평가 보고서의 일부로 검토할 수 있습니다. 자세한 내용은 [Amazon Inspector Classic](https://docs.aws.amazon.com/inspector/v1/userguide/inspector_introduction.html)을 참조하세요.

## AWS Managed Services FAQ의 Amazon Inspector
<a name="set-inspector-faqs"></a>

**Q: AMS 계정에서 Amazon Inspector Classic에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여 Amazon Inspector Classic에 대한 액세스를 요청합니다. 이 RFC는 계정에 `customer_inspector_admin_role` IAM 역할을 프로비저닝합니다. 역할에는 AWS관리형 AmazonInspectorFullAccess 정책이 포함됩니다. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon Inspector Classic을 사용할 때 제한 사항은 무엇인가요?**

제한은 없습니다. Amazon Inspector Classic의 전체 기능은 AMS 계정에서 사용할 수 있습니다.

**Q: AMS 계정에서 Amazon Inspector Classic을 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

AMS 계정에서 Amazon Inspector Classic을 사용하기 위한 사전 조건이나 종속성은 없습니다.

## AMS에서 새 Amazon Inspector 사용
<a name="inspector-v2-ams"></a>

이제 AMS 계정에서 새 Amazon Inspector를 사용할 수 있습니다.

Amazon Inspector Classic의 경우 `customer-inspector-admin-role-ssm-inspector-agent-policy` 및가 필요`AmazonInspectorFullAccess`했습니다. 그러나 `customer-inspector-admin-role`이제 추가를 포함하는 SSPS 역할가 업데이트되었습니다`policyAmazonInspector2FullAccess`. 이 새 정책은 새 버전의 Amazon Inspector에 대한 API 권한을 허용합니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon Kendra 프로비저닝
<a name="kendra"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon Kendra 기능에 직접 액세스할 수 있습니다. Amazon Kendra는 자연어 처리 및 고급 기계 학습 알고리즘을 사용하여 데이터의 검색 질문에 대한 특정 답변을 반환하는 지능형 검색 서비스입니다. 기존 키워드 기반 검색과 달리 Amazon Kendra는 시맨틱 및 컨텍스트 이해 기능을 사용하여 문서가 검색 쿼리와 관련이 있는지 확인합니다. Amazon Kendra는 질문에 대한 구체적인 답변을 반환하므로 경험이 인간 전문가와의 상호 작용에 가깝습니다. Amazon Kendra는 확장성이 뛰어나고 성능 요구 사항을 충족할 수 있으며, Amazon S3 및 Amazon Lex와 같은 다른 AWS 서비스와 긴밀하게 통합되고, 엔터프라이즈급 보안을 제공합니다. 자세한 내용은 [Amazon Kendra;](https://docs.aws.amazon.com/kendra/latest/dg/what-is-kendra.html)를 참조하세요.

## AWS Managed Services FAQ의 Amazon Kendra
<a name="set-kendra-faqs"></a>

**Q: AMS 계정에서 Amazon Kendra에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

Amazon Inspector Classic에 대한 액세스를 요청하려면 관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(ct-3qe6io8t6jtny) 변경 유형을 사용하여 RFC를 제출합니다. 이 RFC는 계정에 `customer_kendra_console_role` IAM 역할을 프로비저닝합니다. 계정에 프로비저닝한 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon Kendra를 사용할 때 제한 사항은 무엇인가요?**

제한은 없습니다. Amazon Kendra의 전체 기능은 AMS 계정에서 사용할 수 있습니다.

**Q: AMS 계정에서 Amazon Kendra를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

Amazon Kendra를 시작하기 위한 사전 조건이나 종속성은 없습니다. 그러나 특정 사용 사례에 따라 다른 AWS 서비스에 대한 액세스가 필요할 수 있습니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon Kinesis Data Streams 프로비저닝
<a name="kds"></a>

AMS 자체 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon Kinesis Data Streams(KDS) 기능에 직접 액세스할 수 있습니다. Amazon Kinesis Data Streams는 확장성과 내구성이 뛰어난 실시간 데이터 스트리밍 서비스입니다. KDS는 웹 사이트 클릭스트림, 데이터베이스 이벤트 스트림, 금융 거래, 소셜 미디어 피드, IT 로그, 위치 추적 이벤트와 같은 수십만 개의 소스에서 초당 기가바이트의 데이터를 지속적으로 캡처할 수 있습니다. 수집된 데이터는 밀리초 단위로 실시간 대시보드, 실시간 이상 탐지, 동적 요금 등과 같은 실시간 분석 사용 사례를 가능하게 합니다. 자세한 내용은 [Amazon Kinesis Data Streams를](https://aws.amazon.com/kinesis/data-streams/) 참조하세요.

## AWS Managed Services FAQ의 Kinesis Data Streams
<a name="set-kds-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에서 Amazon Kinesis Data Streams에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 변경 유형 추가(ct-1w8z66n899dct)를 사용하여 RFC를 제출하여 Amazon Kinesis Data Streams에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_kinesis_data_streaming_user_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션에서 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon Kinesis Data Streams를 사용할 때 제한 사항은 무엇인가요?**

제한은 없습니다. Amazon Kinesis Data Streams의 전체 기능은 AMS 계정에서 사용할 수 있습니다.

**Q: AMS 계정에서 Amazon Kinesis Data Streams를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

AMS 계정에서 Amazon Kinesis Data Streams를 사용하기 위한 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon Kinesis Video Streams 프로비저닝
<a name="kvs"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 Amazon Kinesis Video Streams(KVS) 기능에 액세스할 수 있습니다. Amazon Kinesis Video Streams를 사용하면 분석, 기계 학습(ML), 재생 및 기타 처리를 AWS 위해 연결된 디바이스에서 로 비디오를 안전하게 스트리밍할 수 있습니다. Kinesis Video Streams는 수백만 개의 디바이스에서 스트리밍 비디오 데이터를 수집하는 데 필요한 모든 인프라를 자동으로 프로비저닝하고 탄력적으로 확장합니다. 또한 스트림에 비디오 데이터를 안정적으로 저장, 암호화 및 인덱싱하고 easy-to-use APIs를 통해 데이터에 액세스할 수 있습니다. Kinesis Video Streams를 사용하면 라이브 및 온디맨드 보기를 위해 비디오를 재생하고 Amazon Rekognition Video와의 통합을 통해 컴퓨터 비전 및 비디오 분석을 활용하는 애플리케이션과 Apache MxNet, TensorFlow, OpenCV와 같은 ML 프레임워크용 라이브러리를 빠르게 구축할 수 있습니다. 자세한 내용은 [Amazon Kinesis Video Streams](https://aws.amazon.com/kinesis/video-streams/) 참조하세요.

## AWS Managed Services FAQ의 Amazon Kinesis Video Streams
<a name="set-kvs-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에서 Amazon Kinesis Video Streams해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 변경 유형 추가(ct-1w8z66n899dct)를 사용하여 RFC를 제출하여 Amazon Kinesis Video Streams에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_kinesis_video_streaming_user_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon Kinesis Video Streams를 사용할 때 제한 사항은 무엇인가요?**

제한은 없습니다. Amazon Kinesis Video Streams의 전체 기능은 AMS 계정에서 사용할 수 있습니다.

**Q: AMS 계정에서 Amazon Kinesis Video Streams를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

AMS 계정에서 Amazon Kinesis Video Streams를 사용하기 위한 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon Lex 프로비저닝
<a name="amz-lex"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon Lex 기능에 직접 액세스할 수 있습니다. Amazon Lex는 음성과 텍스트를 사용하여 모든 애플리케이션에 대화형 인터페이스를 구축하는 서비스입니다. Amazon Lex는 음성을 텍스트로 변환하기 위한 자동 음성 인식(ASR)과 텍스트의 의도를 인식하기 위한 자연어 이해(NLU)의 고급 딥 러닝 기능을 제공하여 매우 매력적인 사용자 경험과 생생한 대화형 상호 작용으로 애플리케이션을 구축할 수 있습니다. Amazon Lex를 사용하면 이제 모든 개발자가 Amazon Alexa를 지원하는 것과 동일한 딥 러닝 기술을 사용할 수 있으므로 정교한 자연어, 대화형 봇 또는 챗봇을 빠르고 쉽게 구축할 수 있습니다. 자세한 내용은 [Amazon Lex](https://aws.amazon.com/lex/)를 참조하세요.

## AWS Managed Services의 Amazon Lex FAQ
<a name="set-amz-lex-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에서 Amazon Lex에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 변경 유형 추가(ct-1w8z66n899dct)를 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_lex_author_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon Lex를 사용할 때 제한 사항은 무엇인가요?**

Amazon Lex와 Lambda의 통합은 AMS 인프라의 수정을 방지하기 위해 "AMS-" 접두사가 없는 Lambda 함수로 제한됩니다.

**Q: AMS 계정에서 Amazon Lex를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

AMS 계정에서 Amazon Lex를 사용하기 위한 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon MQ 프로비저닝
<a name="mq-comp"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon MQ 기능에 직접 액세스할 수 있습니다. Amazon MQ는 클라우드에서 메시지 브로커를 설정하고 운영하는 데 도움이 되는 Apache ActiveMQ용 관리형 메시지 브로커 서비스입니다. 메시지 브로커를 사용하면 서로 다른 소프트웨어 시스템이 서로 다른 프로그래밍 언어를 사용하고 플랫폼에서 정보를 통신하고 교환할 수 있습니다. Amazon MQ는 인기 있는 오픈 소스 메시지 브로커인 ActiveMQ의 프로비저닝, 설정 및 유지 관리를 관리하여 운영 부하를 줄입니다. 현재 애플리케이션을 Amazon MQ에 연결하면 JMS, NMS, AMQP, STOMP, MQTT 및 WebSocket을 포함한 메시징에 업계 표준 APIs 및 프로토콜이 사용됩니다. 표준을 사용하면 대부분의 경우 로 마이그레이션할 때 메시징 코드를 다시 작성할 필요가 없습니다 AWS. 자세한 내용은 [ Amazon MQ란 무엇입니까?](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/welcome.html)를 참조하세요.

## AWS Managed Services의 Amazon MQ FAQ
<a name="set-mq-comp-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에서 Amazon MQ에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

AMS 계정에서 Amazon MQ를 사용하는 과정은 2단계로 이루어집니다.

1. Amazon MQ 브로커를 프로비저닝합니다. 이렇게 하려면 Amazon MQ 브로커가 포함된 CFN 템플릿을 배포 \$1 수집 \$1 CloudFormation 템플릿의 스택 \$1 변경 유형 생성(ct-36cn2avfrrj9v)이 있는 RFC를 통해 제출하거나, 관리 \$1 기타 \$1 기타 \$1 변경 유형 생성(ct-1e1xtak34nx76)이 있는 RFC를 제출하여 Amazon MQ 브로커가 계정에 프로비저닝되도록 요청합니다.

1. Amazon MQ 콘솔에 액세스합니다. Amazon MQ 브로커가 프로비저닝된 후 관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 변경 유형 추가(ct-1w8z66n899dct)를 사용하여 RFC를 제출하여 Amazon MQ 콘솔에 액세스할 수 있습니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_mq_console_role`.

계정에 역할이 프로비저닝된 후 페더레이션 솔루션에 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon MQ를 사용하는 데 따르는 제한 사항은 무엇인가요?**

Amazon MQ의 전체 기능은 AMS 계정에서 사용할 수 있지만, 필요한 승격된 권한으로 인해 정책을 통해 Amazon MQ 브로커를 프로비저닝할 수 없습니다. 계정에서 Amazon MQ 브로커를 프로비저닝하는 방법에 대한 자세한 내용은 위의 섹션을 참조하세요.

**Q: AMS 계정에서 Amazon MQ를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

AMS 계정에서 Amazon MQ를 사용하기 위한 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon Managed Service for Apache Flink 프로비저닝
<a name="kda"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 Amazon Managed Service for Apache Flink 기능에 액세스할 수 있습니다. Managed Service for Apache Flink는 스트리밍 데이터를 분석하고, 실행 가능한 인사이트를 얻고, 비즈니스 및 고객 요구 사항에 실시간으로 대응하는 가장 쉬운 방법입니다. Amazon Managed Service for Apache Flink는 스트리밍 애플리케이션을 빌드, 관리 및 다른 AWS 서비스와 통합하는 복잡성을 줄여줍니다. SQL 사용자는 템플릿과 대화형 SQL 편집기를 사용하여 스트리밍 데이터를 쉽게 쿼리하거나 전체 스트리밍 애플리케이션을 구축할 수 있습니다. Java 개발자는 오픈 소스 Java 라이브러리 및 AWS 통합을 사용하여 정교한 스트리밍 애플리케이션을 빠르게 구축하여 데이터를 실시간으로 변환하고 분석할 수 있습니다. Amazon Managed Service for Apache Flink는 실시간 애플리케이션을 지속적으로 실행하는 데 필요한 모든 것을 처리하고 수신 데이터의 볼륨과 처리량에 맞게 자동으로 확장합니다. Amazon Managed Service for Apache Flink를 사용하면 스트리밍 애플리케이션이 사용하는 리소스에 대해서만 비용을 지불하면 됩니다. 최소 요금이나 설정 비용은 없습니다. 자세한 내용은 [Amazon Managed Service for Apache Flink](https://aws.amazon.com/kinesis/data-analytics/)를 참조하세요.

## AWS Managed Services FAQ의 Managed Service for Apache Flink
<a name="set-kda-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에서 Amazon Managed Service for Apache Flink에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_kinesis_analytics_application_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon Managed Service for Apache Flink를 사용할 때 적용되는 제한 사항은 무엇인가요?**
+ 구성은 AMS 인프라 수정을 방지하기 위해 'AMS-' 또는 'MC-' 접두사가 없는 리소스로 제한됩니다.
+ 새 Kinesis Data Streams 또는 Firehose를 삭제하거나 생성할 수 있는 권한이 정책에서 제거되었습니다. 이를 허용하는 또 다른 정책이 있습니다.

**Q: AMS 계정에서 Amazon Kinesis Data Streams를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

몇 가지 종속성이 있습니다.
+ Amazon Managed Service for Apache Flink를 사용하려면 Managed Service for Apache Flink로 애플리케이션을 구성하기 전에 Kinesis Data Streams 또는 Firehose를 생성해야 합니다.
+ 리소스 기반 정책 권한은 특정 입력 데이터 소스를 나타내야 합니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon Managed Streaming for Apache Kafka 프로비저닝
<a name="msk"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 Amazon Managed Streaming for Apache Kafka(Amazon MSK) 기능에 액세스할 수 있습니다. Amazon Managed Streaming for Apache Kafka는 완전 관리형 AWS 스트리밍 데이터 서비스이므로 Apache Kafka 클러스터 운영 전문가가 될 필요 없이 Apache Kafka를 사용하여 스트리밍 데이터를 처리하는 애플리케이션을 쉽게 구축하고 실행할 수 있습니다. Amazon MSK는 Apache Kafka 클러스터 및 Apache ZooKeeper 노드의 프로비저닝, 구성 및 유지 관리를 관리합니다. Amazon MSK는 AWS 콘솔에 주요 Apache Kafka 성능 지표도 표시합니다.

Amazon MSK는 VPC 네트워크 격리, 컨트롤 플레인 API 권한 부여를 위한 AWS IAM, 저장 데이터 암호화, 전송 중 TLS 암호화, TLS 기반 인증서 인증,에서 보호되는 SASL/SCRAM 인증 등 Apache Kafka 클러스터에 대한 여러 수준의 보안을 제공합니다 AWS Secrets Manager. 자세한 내용은 [Amazon MSK](https://aws.amazon.com/msk/)를 참조하세요.

## AWS Managed Services의 Amazon MSK FAQ
<a name="set-msk-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에서 Amazon MSK에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 정책 및 역할을 프로비저닝합니다.
+ `customer-msk-admin-policy.json`
+ `AmazonMSKFullAccess`
+ `customer-msk-admin-role.json`

계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: Amazon MSK 사용에 대한 제한 사항은 무엇입니까?**

Amazon MSK가 구성한 대상으로 브로커 로그를 전송하려면 `AmazonMSKFullAccess` 정책이 IAM 역할에 연결되어 있는지 확인합니다. 따라서 전체 액세스 권한이 이미 있습니다.

**Q: Amazon MSK를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

MSK 클러스터를 생성하기 전에 해당 VPC 내에 VPC와 서브넷이 있어야 합니다. 기본적으로 AMS는 기본 [AMS VPC 생성](https://docs.aws.amazon.com/msk/latest/developerguide/msk-create-cluster.html)의 일부로 이를 다룹니다.

Amazon MSK의 제한에 대해 알아보려면 [Amazon MSK 제한을 참조하세요](https://docs.aws.amazon.com/msk/latest/developerguide/limits.html).

# AMS SSP를 사용하여 AMS 계정에서 Amazon Managed Service for Prometheus 프로비저닝
<a name="pro"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon Managed Service for Prometheus(AMP) 기능에 직접 액세스할 수 있습니다. Amazon Managed Service for Prometheus는 컨테이너 지표에 대한 서버리스, Prometheus 호환 모니터링 서비스로 컨테이너 환경을 대규모로 더 쉽고 안전하게 모니터링할 수 있도록 합니다. Amazon Managed Service for Prometheus를 사용하면 컨테이너화된 워크로드의 성능을 모니터링하는 데 현재 사용하는 것과 동일한 오픈 소스 Prometheus 데이터 모델과 쿼리 언어를 사용할 수 있으며, 기본 인프라를 관리할 필요 없이 향상된 확장성, 가용성 및 보안도 누릴 수 있습니다.

Amazon Managed Service for Prometheus는 워크로드가 확장 및 축소됨에 따라 운영 지표의 수집, 스토리지 및 쿼리를 자동으로 확장합니다. 보안 AWS 서비스와 통합되어 데이터에 빠르고 안전하게 액세스할 수 있습니다. 자세한 내용은 [Amazon Managed Service for Prometheus란 무엇입니까?](https://docs.aws.amazon.com/prometheus/latest/userguide/what-is-Amazon-Managed-Service-Prometheus.html)를 참조하세요.

## AWS Managed Services FAQ의 AWS Managed Services for Prometheus
<a name="set-pro-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에서 Amazon Managed Service for Prometheus에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer-prometheus-console-role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 `customer-prometheus-console-role` 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon Managed Service for Prometheus를 사용할 때 적용되는 제한 사항은 무엇인가요?**

모든 기능이 지원됩니다.

**Q: AMS 계정에서 Amazon Managed Service for Prometheus를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

Amazon Managed Service for Prometheus를 시작하기 위한 사전 조건이나 종속성은 없습니다. 그러나 특정 사용 사례에 따라 다른 AWS 서비스에 대한 액세스가 필요할 수 있습니다.

# AMS SSP를 사용하여 AMS 계정에서 Personalize 프로비저닝
<a name="personalize"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 Personalize 기능에 액세스합니다. Personalize는 개발자가 애플리케이션을 사용하는 고객을 위한 개별화된 추천을 쉽게 생성할 수 있는 기계 학습 서비스입니다.

기계 학습은 맞춤형 제품 및 콘텐츠 추천, 맞춤형 검색 결과, 대상 마케팅 프로모션을 강화하여 고객 참여를 개선하는 데 점점 더 많이 사용되고 있습니다. 그러나 이러한 정교한 권장 시스템을 만드는 데 필요한 기계 학습 기능을 개발하는 것은 복잡성으로 인해 오늘날 대부분의 조직의 범위를 벗어났습니다. Personalize를 사용하면 이전 기계 학습 경험이 없는 개발자가 Amazon.com 다년간 사용해 온 기계 학습 기술을 사용하여 애플리케이션에 정교한 개인화 기능을 쉽게 구축할 수 있습니다.

Personalize를 사용하면 클릭, 페이지 보기, 가입, 구매 등 애플리케이션의 활동 스트림과 기사, 제품, 비디오 또는 음악과 같이 추천하려는 항목의 인벤토리를 제공할 수 있습니다. Amazon Personalize에 연령 또는 지리적 위치와 같은 사용자의 추가 인구 통계 정보를 제공하도록 선택할 수도 있습니다. Personalize는 데이터를 처리 및 검사하고, 의미 있는 것을 식별하고, 올바른 알고리즘을 선택하고, 데이터에 맞게 사용자 지정된 개인화 모델을 훈련 및 최적화합니다. Amazon Personalize에서 분석한 모든 데이터는 비공개로 안전하게 유지되며 사용자 지정 권장 사항에만 사용됩니다. 간단한 API 직접 호출을 통해 맞춤형 추천 제공을 시작할 수 있습니다. 사용한 만큼만 비용을 지불하고 최소 요금 및 사전 약정이 없습니다.

자세한 내용은 [Personalize](https://aws.amazon.com/personalize/)를 참조하세요.

## AWS Managed Services Amazon Personalize FAQ
<a name="personalize-faqs"></a>

**Q: AMS 계정에서 Personalize에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (managed automation) (ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청하고 AWS Personalize에서 권장 사항을 생성하는 데 사용할 데이터가 포함된 S3 버킷을 지정해야 합니다. 이 RFC는 계정에 및 IAM 역할을 프로비저닝합니다`customer_personalize_console_role``customer_personalize_service_role`.
+ `customer_personalize_console_role`가 계정에 프로비저닝되면 페더레이션 솔루션의 역할을 온보딩해야 합니다. 이외의 다른 기존 역할에 `customer_personalize_console_policy`를 연결할 수도 있습니다`Customer_ReadOnly_Role`.
+ `customer_personalize_service_role`가 계정에 제공되면 새 데이터 세트 그룹을 생성할 때 해당 ARN을 참조할 수 있습니다.

현재 AMS Operations는 계정에이 서비스 역할인 도 배포합니다`aws_code_pipeline_service_role_policy`.

**Q: AMS 계정에서 Personalize를 사용할 때 적용되는 제한 사항은 무엇인가요?**

Personalize 구성은 AMS 인프라의 수정을 방지하기 위해 'ams-' 또는 'mc-' 접두사가 없는 리소스로 제한됩니다.

**Q: AMS 계정에서 Personalize를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**
+ 데이터가 저장되는 S3 버킷이 암호화된 경우 Personalize에서 사용하는 역할이 버킷을 해독하도록 허용할 수 있도록 KMS 키 ID를 제공해야 합니다.

  Personalize는 기본 KMS S3 키를 지원하지 않습니다. KMS를 사용해야 하는 경우 사용자 지정 키를 생성하고 변경 유형 KMS 키 \$1 생성(관리형 자동화)이 있는 RFC를 열어 다음 정책을 추가합니다.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Id": "key-consolepolicy-3",
      "Statement": [
          {
              "Sid": "Enable IAM User Permissions",
              "Effect": "Allow",
              "Principal": {
                  "Service": "personalize.amazonaws.com"
              },
              "Action": "kms:*",
              "Resource": "*"
          }
      ]
  }
  ```

------
+ S3 버킷은 다음 버킷 정책을 사용하여 생성해야 합니다. 변경 유형 S3 스토리지 \$1 정책 생성이 포함된 RFC를 제출하여이 작업을 수행합니다. 이 정책은 Personalize가 데이터에 액세스할 수 있도록 허용합니다. 해당 버킷에는 Personalize에서 사용할 데이터가 포함됩니다.

------
#### [ JSON ]

****  

  ```
  {
  "Version":"2012-10-17",		 	 	 
  "Id": "PersonalizeS3BucketAccessPolicy",
  "Statement": [
  {
  "Sid": "PersonalizeS3BucketAccessPolicy",
  "Effect": "Allow",
  "Principal": {
  "Service": "personalize.amazonaws.com"
  },
  "Action": [
  "s3:GetObject",
  "s3:ListBucket"
  ],
  "Resource": [
  "arn:aws:s3:::bucket-name",
  "arn:aws:s3:::bucket-name/*"
  ]
  }
  ]
  }
  ```

------

# AMS SSP를 사용하여 AMS 계정에서 Amazon Quick 프로비저닝
<a name="quicksight"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 빠른 기능에 액세스할 수 있습니다. Quick은 조직의 모든 사람에게 인사이트를 제공하는 빠른 클라우드 기반 비즈니스 인텔리전스 서비스입니다. 완전 관리형 서비스인 Quick을 사용하면 기계 학습(ML) 인사이트가 포함된 대화형 대시보드를 쉽게 생성하고 게시할 수 있습니다. 자세한 내용은 [Amazon Quick](https://aws.amazon.com/quicksight/)을 참조하세요.

## AWS Managed Services FAQ의 빠른 정보
<a name="set-quicksight-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에서 Quick에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 변경 유형 추가(ct-1w8z66n899dct)를 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_quicksight_console_admin_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Quick을 사용할 때 제한 사항은 무엇인가요?**
+ AWS IAM 정책 종속성으로 인해 Quick의 리소스 설정에 액세스할 수 없습니다. 그러나 AMS 팀은 서비스 활성화 요청에 대한 응답으로 각 리소스를 활성화합니다.
+ 개별 사용자 및 그룹에 대한 리소스 액세스는이 모델에서 지원되지 않습니다.이 기능을 사용하면 사용자가 AMS 인프라를 손상시킬 수 있는 IAM 권한을 변경할 수 있기 때문입니다.
+ QuickSight 내에서 IAM 자격 증명을 초대하는 기능은 IAM 객체 변경과 관련된 위험으로 인해 지원되지 않습니다.
+ 빠른 서비스는 Enterprise와 Standard라는 두 가지 에디션을 제공합니다. 둘 다 AMS에서 지원되는 SSO(Single Sign-On) 옵션을 제공합니다. 그러나 Enterprise Edition에는 Quick을 Active Directory(AD)와 통합하는 옵션이 있습니다. Quick on AMS는 AMS 계정 구조와 빠른 신뢰 요구 사항 간의 비호환성으로 인해 AD와의 통합을 지원하지 않습니다.

**Q: AMS 계정에서 Quick을 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**
+ AMS가 Quick을 추가하기 위해이 RFC를 수신하면 추가 정보에 대한 서비스 요청이 전송됩니다. 다음을 제공합니다.
  + 빠른 계정 이름(예: `CustomerName-quicksight`
  + Quick Edition(Standard 및 Enterprise)
  + 빠른 서비스를 활성화할 AWS 리전입니다(기본값은 AMS AWS 리전).
  + 빠른 계정의 알림 이메일 주소입니다.
  + (선택 사항) 분석할 데이터 파일이 있는 S3 버킷입니다.
  + Quick에 연결하는 VPC 및 서브넷 IDs는 빠른 연결과 계정 내 리소스 간의 프라이빗 연결을 지원하는 VPC 연결을 추가하는 기능을 지원합니다.

AMS 운영자는 사용자를 대신하여 가입 프로세스를 수행하고 두 가지 QuickSight 기능을 구성합니다.
+  데이터 소스에 대한 [자동 검색](https://docs.aws.amazon.com/quicksight/latest/user/autodiscover-aws-data-sources.html).
+  [VPC 연결](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html).

**참고**  
로그인 프로세스 중에 승격된 IAM 및 VPC 권한이 필요하므로 AMS 운영자가 이러한 작업을 수행해야 합니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon Rekognition 프로비저닝
<a name="rekognition"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon Rekognition 기능에 직접 액세스할 수 있습니다. Amazon Rekognition을 사용하면 기계 학습 전문 지식이 필요 없는 확장성이 뛰어난 검증된 딥 러닝 기술을 사용하여 애플리케이션에 이미지 및 비디오 분석을 쉽게 추가할 수 있습니다. Amazon Rekognition을 사용하면 이미지 및 비디오에서 객체, 사람, 텍스트, 장면 및 활동을 식별하고 부적절한 콘텐츠를 감지할 수 있습니다. 또한 Amazon Rekognition은 다양한 사용자 확인, 인원 계산 및 공공 안전 사용 사례를 위해 얼굴을 감지, 분석 및 비교하는 데 사용할 수 있는 매우 정확한 얼굴 분석 및 얼굴 검색 기능을 제공합니다.

Amazon Rekognition Custom Labels를 사용하면 비즈니스 요구 사항에 맞는 이미지에서 객체와 장면을 식별할 수 있습니다. 예를 들어 조립 라인에서 특정 기계 부품을 분류하거나 비정상 공장을 감지하는 모델을 구축할 수 있습니다. Amazon Rekognition Custom Labels는 모델 개발의 과중한 작업을 처리하므로 기계 학습 경험이 필요하지 않습니다. 식별하려는 객체 또는 장면의 이미지를 제공하면 서비스가 나머지를 처리합니다.

자세한 내용은 [Amazon Rekognition](https://aws.amazon.com/rekognition/)을 참조하세요.

## AWS Managed Services FAQ의 Amazon Rekognition
<a name="set-rekognition-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에서 Amazon Rekognition에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_rekognition_console_role & customer_rekognition_service_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon Rekognition을 사용할 때 제한 사항은 무엇인가요?**

Amazon Rekognition의 전체 기능은 Amazon Rekognition 자체 프로비저닝된 서비스 역할에서 사용할 수 있습니다.

**Q: AMS 계정에서 Amazon Rekognition을 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

Amazon Rekognition Video 스트림 프로세서 또는 데이터 스트림에 대한 소스 스트리밍 비디오를 Kinesis Data Streams에 데이터를 쓸 대상으로 제공하는 Kinesis Video Streams를 사용하는 경우 RFC를 생성할 `kinesisStreamName` 때 AMS에를 제공합니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon SageMaker AI 프로비저닝
<a name="sagemaker"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 Amazon SageMaker AI 기능에 액세스할 수 있습니다. SageMaker AI는 모든 개발자와 데이터 과학자에게 기계 학습 모델을 신속하게 구축, 훈련 및 배포할 수 있는 기능을 제공합니다. Amazon SageMaker AI는 데이터에 레이블을 지정하고 준비하며, 알고리즘을 선택하고, 모델을 훈련하고, 배포를 위해 조정하고 최적화하고, 예측하고, 조치를 취하는 전체 기계 학습 워크플로를 포괄하는 완전관리형 서비스입니다. 모델은 훨씬 적은 노력과 비용으로 더 빠르게 프로덕션에 도달할 수 있습니다. 자세한 내용은 [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/)를 참조하세요.

## AWS Managed Services의 SageMaker AI FAQ
<a name="set-sagemaker-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에서 SageMaker AI에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 (ct-1w8z66n899dct) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 및 `customer_sagemaker_admin_role` 서비스 역할을 프로비저닝합니다`AmazonSageMaker-ExecutionRole-Admin`. 계정에 SageMaker AI가 프로비저닝된 후 페더레이션 솔루션에서 `customer_sagemaker_admin_role` 역할을 온보딩해야 합니다. 서비스 역할은 사용자가 직접 액세스할 수 없습니다. SageMaker AI 서비스는 [역할 전달](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-pass-role)에 설명된 대로 다양한 작업을 수행하는 동안 이를 사용합니다.

**Q: AMS 계정에서 SageMaker AI를 사용할 때 제한 사항은 무엇인가요?**
+ 다음 사용 사례는 AMS Amazon SageMaker AI IAM 역할에서 지원되지 않습니다.
  + SageMaker AI Studio는 현재 지원되지 않습니다.
  + 프라이빗 작업 인력을 관리하기 위한 SageMaker AI Ground Truth는 지원되지 않습니다.이 기능을 사용하려면 Amazon Cognito 리소스에 대한 지나치게 허용적인 액세스가 필요하기 때문입니다. 프라이빗 작업 인력을 관리해야 하는 경우 SageMaker AI 및 Amazon Cognito 권한이 결합된 사용자 지정 IAM 역할을 요청할 수 있습니다. 그렇지 않으면 데이터 레이블 지정에 퍼블릭 작업 인력(Amazon Mechanical Turk 지원) 또는 AWS Marketplace 서비스 공급자를 사용하는 것이 좋습니다.
+ SageMaker AI 서비스(aws.sagemaker.\$1region\$1.notebook, com.amazonaws.\$1region\$1.sagemaker.api & com.amazonaws.\$1region\$1.sagemaker.runtime)에 대한 API 호출을 지원하는 VPC 엔드포인트 생성은 SageMaker AI 관련 서비스로만 권한 범위를 지정할 수 없으므로 지원되지 않습니다. 이 사용 사례를 지원하려면 관리 \$1 기타 \$1 기타 RFC를 제출하여 관련 VPC 엔드포인트를 생성합니다.
+ SageMaker AI에는 모든 ("\$1") 리소스에 대한 `DeleteAlarm` 권한이 필요하므로 SageMaker AI 엔드포인트 Auto Scaling은 지원되지 않습니다. 엔드포인트 Auto Scaling을 지원하려면 Management \$1 Other \$1 Other RFC를 제출하여 SageMaker AI 엔드포인트에 대한 Auto Scaling을 설정합니다.

**Q: AMS 계정에서 SageMaker AI를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**
+ 다음 사용 사례에서는 사용 전에 특별한 구성이 필요합니다.
  + S3 버킷을 사용하여 모델 아티팩트와 데이터를 저장하는 경우 배포 \$1 고급 스택 구성 요소 \$1 S3 스토리지 \$1 RFC 생성과 함께 필수 키워드("SageMaker", "Sagemaker", "sagemaker" 또는 "aws-glue")가 포함된 라는 S3 버킷을 요청해야 합니다.
  + EFS(Elastic File Store)를 사용할 경우 EFS 스토리지를 동일한 서브넷에 구성하고 보안 그룹에서 허용해야 합니다.
  + 다른 리소스가 SageMaker AI 서비스(노트북, API, 런타임 등)에 직접 액세스해야 하는 경우 다음을 통해 구성을 요청해야 합니다.
    + RFC를 제출하여 엔드포인트에 대한 보안 그룹 생성(배포 \$1 고급 스택 구성 요소 \$1 보안 그룹 \$1 생성(자동)).
    + 관리 제출 \$1 기타 \$1 기타 \$1 RFC를 생성하여 관련 VPC 엔드포인트를 설정합니다.

**Q:가 직접 액세스할 `customer_sagemaker_admin_role` 수 있는 리소스에 대해 지원되는 이름 지정 규칙은 무엇입니까?** (다음은 업데이트 및 삭제 권한을 위한 것입니다. 리소스에 지원되는 추가 명명 규칙이 필요한 경우 AMS Cloud Architect에 문의하여 상담을 받으세요.)
+ 리소스: `AmazonSageMaker-ExecutionRole-*` 역할 전달
  + 권한: SageMaker AI 자체 프로비저닝된 서비스 역할은 AWS Glue AWS RoboMaker및와 함께 SageMaker AI 서비스 역할(`AmazonSageMaker-ExecutionRole-*`) 사용을 지원합니다 AWS Step Functions.
+ 리소스: Secrets Manager의 AWS 보안 암호
  + 권한: `AmazonSageMaker-*` 접두사를 사용하여 보안 암호를 설명, 생성, 가져오기, 업데이트합니다.
  + 권한: `SageMaker` 리소스 태그가 로 설정된 경우 설명, 보안 암호 가져오기`true`.
+ 리소스:의 리포지토리 AWS CodeCommit
  + 권한: `AmazonSageMaker-*` 접두사가 있는 리포지토리를 생성/삭제합니다.
  + 권한: 접두사 , `*sagemaker*`, `*SageMaker*`가 있는 리포지토리의 Git Pull/Push`*Sagemaker*`.
+ 리소스: Amazon ECR(Amazon Elastic Container Registry) 리포지토리
  + 권한: 권한: 다음 리소스 이름 지정 규칙인를 사용할 때 리포지토리 정책을 설정, 삭제 및 컨테이너 이미지를 업로드합니다`*sagemaker*`.
+ 리소스: Amazon S3 버킷
  + 권한: 리소스에 , `*Sagemaker*` `*sagemaker*` 및 접두사가 있는 경우 객체 가져오기, 넣기`*SageMaker*`, 삭제, 멀티파트 업로드 S3 객체 중단`aws-glue`.
  + 권한: `SageMaker` 태그가 로 설정된 경우 S3 객체를 가져옵니다`true`.
+ 리소스: Amazon CloudWatch 로그 그룹
  + 권한: 로그 그룹 또는 스트림 생성, 로그 이벤트 넣기, 나열, 업데이트, 생성, 접두사가 있는 로그 전송 삭제`/aws/sagemaker/*`.
+ 리소스: Amazon CloudWatch 지표
  + 권한: , `AWS/SageMaker`, , `AWS/SageMaker/`, `aws/SageMaker`, 및 접두사가 사용되는 경우 지표 데이터를 넣습니다`aws/SageMaker/``aws/sagemaker``aws/sagemaker/``/aws/sagemaker/.`.
+ 리소스: Amazon CloudWatch Dashboard
  + 권한: 접두사가 사용될 때 대시보드를 생성/삭제합니다`customer_*`.
+ 리소스: Amazon SNS(Simple Notification Service) 주제
  + 권한: `*sagemaker*`, `*SageMaker*`및 접두사가 사용되는 경우 주제를 구독/생성합니다`*Sagemaker*`.

**Q: `AmazonSageMakerFullAccess`와의 차이점은 무엇인가요`customer_sagemaker_admin_role`?**

를 `customer_sagemaker_admin_role` 사용하는는 다음을 제외하고 AmazonSageMakerFullAccess와 거의 동일한 권한을 `customer_sagemaker_admin_policy` 제공합니다.
+  AWS RoboMaker에 연결할 수 있는 권한, Amazon Cognito 및 AWS Glue 리소스.
+ SageMaker AI 엔드포인트 자동 크기 조정. Autoscaling에는 CloudWatch 서비스에 대한 허용적 액세스가 필요하므로 관리 \$1 고급 스택 구성 요소 \$1 Identity and Access Management(IAM) \$1 엔터티 또는 정책 업데이트(관리형 자동화) 변경 유형(ct-27tuth19k52b4)을 사용하여 RFC를 제출하여 Autoscaling 권한을 임시 또는 영구적으로 승격해야 합니다.

**Q: 유휴 데이터 암호화에 AWS KMS 고객 관리형 키를 채택하려면 어떻게 해야 하나요?**

관련 IAM 사용자 또는 역할이 키를 사용할 수 있도록 고객 관리형 키에 키 정책이 올바르게 설정되었는지 확인해야 합니다. 자세한 내용은 [AWS KMS 키 정책 문서를](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users) 참조하세요.

# AMS SSP를 사용하여 AMS 계정에서 Amazon Simple Email Service 프로비저닝
<a name="amz-ses"></a>

AMS 자체 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon Simple Email Service(Amazon SES) 기능에 직접 액세스할 수 있습니다. Amazon Simple Email Service는 디지털 마케터와 애플리케이션 개발자가 마케팅, 알림 및 트랜잭션 이메일을 보낼 수 있도록 설계된 클라우드 기반 이메일 전송 서비스입니다.

SMTP 인터페이스 또는 AWS SDKs 중 하나를 사용하여 Amazon SES를 기존 애플리케이션에 직접 통합할 수 있습니다. 또한 Amazon SES의 이메일 전송 기능을 티켓팅 시스템 및 이메일 클라이언트와 같이 이미 사용 중인 소프트웨어에 통합할 수 있습니다.

자세한 내용은 [Amazon Simple Email Service](https://aws.amazon.com/ses/)를 참조하세요.

## AWS Managed Services의 Amazon SES FAQ
<a name="set-amz-ses-faqs"></a>

**Q: AMS 계정에서 Amazon SES에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여 Amazon SES에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_ses_admin_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon SES를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**
+ Amazon SES가 버킷에 이벤트를 게시할 수 있도록 S3 버킷 정책을 구성해야 합니다.
+ Amazon AWS SES가 계정에 속한 Amazon S3, Amazon SES)을 사용하거나 CMK 키를 구성해야 합니다. Amazon SNS

**Q: AMS 계정에서 Amazon SES를 사용할 때 제한 사항은 무엇인가요?**

다음 리소스를 생성하려면 RFCs를 생성해야 합니다.
+ Kinesis Firehose 스트림에 대한 PutEvents 권한이 있는 SMTP 사용자 및 IAM 서비스 역할입니다.
+ Amazon SES 규칙 및 구성 세트의 대상이 해당 AWS 리소스와 함께 작동하려면 AMS 변경 유형을 사용하여 S3 버킷, Firehose 스트림, SNS 주제와 같은 새 리소스를 생성해야 합니다.
+ SMTP 자격 증명. 새 SMTP 자격 증명을 요청하려면 변경 유형(관리 \$1 기타 \$1 기타 \$1 생성)을 사용합니다. AMS는 자격 증명을 생성하여 Secrets Manager에 추가합니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon Simple Workflow Service 프로비저닝
<a name="workflow"></a>

AMS 자체 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon Simple Workflow Service(Amazon SWF) 기능에 직접 액세스할 수 있습니다. Amazon Simple Workflow Service는 개발자가 병렬 또는 순차적 단계가 있는 백그라운드 작업을 빌드, 실행 및 확장하는 데 도움이 됩니다. Amazon SWF를 클라우드에서 완전 관리형 상태 트래커 및 작업 코디네이터로 생각할 수 있습니다. 애플리케이션의 단계를 완료하는 데 500밀리초 이상 걸리거나 처리 상태를 추적해야 하거나 작업이 실패할 경우 복구 또는 재시도해야 하는 경우 Amazon SWF가 도와드릴 수 있습니다. 자세한 내용은 [Amazon Simple Workflow Service](https://aws.amazon.com/swf/)를 참조하세요.

## AWS Managed Services의 Amazon SWF FAQ
<a name="set-workflow-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에서 Amazon SWF에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 변경 유형 추가(ct-1w8z66n899dct)를 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_swf_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon SWF를 사용할 때 제한 사항은 무엇인가요?**

Lambda `InvokeFunction` 권한은이 서비스에 포함되어 있지만 모든 AMS 고객 역할에 추가된 AMS`customer_deny_policy`는 AMS Lambda 함수 및 AMS 소유 리소스에 대한 액세스를 명시적으로 거부합니다. Amazon SWF 내에서 리소스에 태그를 지정하거나 태그를 해제하려면 관리 \$1 기타 \$1 기타 변경 유형을 제출합니다.

**Q: AMS 계정에서 Amazon SWF를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

Amazon SWF는 AWS Lambda 서비스에 종속되므로이 역할의 일부로 Lambda를 호출할 수 있는 권한이 제공되었으며 Amazon SWF에서 Lambda를 호출하는 데 추가 권한이 필요하지 않습니다. 그렇지 않으면 Amazon SWF를 사용하기 위한 사전 조건이 없습니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon Textract 프로비저닝
<a name="textract"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon Textract 기능에 직접 액세스할 수 있습니다. Amazon Textract는 간단한 광학 문자 인식(OCR)을 넘어 양식 및 테이블에서 데이터를 식별, 이해 및 추출하는 스캔한 문서에서 인쇄된 텍스트, 필기 및 기타 데이터를 자동으로 추출하는 완전관리형 기계 학습 서비스입니다. 자세한 내용은 [Amazon Textract](https://aws.amazon.com/textract/)를 참조하세요.

## AWS Managed Services FAQ의 Amazon Textract
<a name="set-textract-faqs"></a>

일반적인 질문과 답변:

**Q: Amazon Textract를 AMS 계정에 설정하도록 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 `customer_textract_console_role`, `customer_textract_human_review_execution_role`및 IAM 역할을 프로비저닝합니다`customer_ec2_textract_instance_profile`. 계정에 프로비저닝된 후에는 페더레이션 솔루션`customer_textract_console_role`의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon Textract를 사용할 때 제한 사항은 무엇인가요?**

AMS 계정에서 Amazon Textract를 사용하는 데는 제한이 없습니다.

**Q: AMS 계정에서 Amazon Textract를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

RFC 배포 \$1 고급 스택 구성 요소 \$1S3 스토리지 \$1 생성(ct-1a68ck03fn98r)을 제출하여 S3 버킷 생성을 요청해야 합니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon Transcribe 프로비저닝
<a name="transcribe"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Amazon Transcribe 기능에 직접 액세스할 수 있습니다. Amazon Transcribe는 오디오 파일에서 타임스탬프가 지정된 텍스트 트랜스크립트를 자동으로 생성하는 완전 관리형이며 지속적으로 훈련된 자동 음성 인식 서비스입니다. Amazon Transcribe를 사용하면 개발자가 애플리케이션에 speech-to-text 변환 기능을 쉽게 추가할 수 있습니다. 컴퓨터가 오디오 데이터를 검색하고 분석하는 것은 사실상 불가능합니다. 따라서 애플리케이션에서 사용하기 전에 녹음된 음성을 텍스트로 변환해야 합니다. 과거에는 고객이 값비싼 계약에 서명해야 하고이 작업을 수행하기 위해 기술 스택에 통합하기 어려운 트랜스크립션 공급자와 협력해야 했습니다. 이러한 공급자 중 다수는 콜센터에서 흔히 사용되는 저충실도 전화 오디오와 같은 다양한 시나리오에 잘 적응하지 못하는 오래된 기술을 사용하므로 정확도가 떨어집니다.

Amazon Transcribe는 자동 음성 인식(ASR)이라는 딥 러닝 프로세스를 사용하여 음성을 텍스트로 빠르고 정확하게 변환합니다. Amazon Transcribe를 사용하여 고객 서비스 호출을 트랜스크립션하고, 자막 및 자막을 자동화하고, 미디어 자산에 대한 메타데이터를 생성하여 완전히 검색 가능한 아카이브를 생성할 수 있습니다. Amazon Transcribe Medical을 사용하여 임상 문서 애플리케이션에 의료 speech-to-text 기능을 추가할 수 있습니다. 자세한 내용은 [Amazon Transcribe](https://aws.amazon.com/transcribe/)를 참조하세요.

## AWS Managed Services FAQ의 Amazon Transcribe
<a name="set-transcribe-faqs"></a>

일반적인 질문과 답변:

**Q: Amazon Transcribe를 AMS 계정에 설정하도록 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_transcribe_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Amazon Transcribe를 사용할 때 제한 사항은 무엇인가요?**

RA 및에서 달리 지정하지 않는 한 트랜스크립션 작업 시 버킷의 접두사로 'customer-transcribe\$1'를 사용해야 합니다.

Amazon 트랜스크립션 내에서 IAM 역할을 생성할 수 없습니다.

기본 SSPS의 출력 데이터에 서비스 관리형 S3 버킷을 사용할 수 없습니다(필요한 경우 계정 CA에 문의).

AMS 네임스페이스에 속하지 않는 고객 관리형 KMS 키를 사용하려면 위험 승인을 제출해야 합니다.

**Q: AMS 계정에서 Amazon Transcribe를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

S3에는 이름이 'customer-transcribe\$1'인 버킷에 대한 액세스 권한이 있어야 합니다. S3 버킷이 KMS 키로 암호화된 경우 Amazon Transcribe를 사용하려면 KMS가 필요합니다. 버킷을 암호화할 필요가 없는 경우 "KMStranscribeAllow"를 제거할 수 있습니다.

# AMS SSP를 사용하여 AMS 계정에서 Amazon WorkSpaces 프로비저닝
<a name="workspaces"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 WorkSpaces 기능에 직접 액세스할 수 있습니다. WorkSpaces를 사용하면 사용자를 위해 WorkSpaces라고 하는 가상 클라우드 기반 Microsoft Windows 또는 Amazon Linux 데스크톱을 프로비저닝할 수 있습니다. WorkSpaces를 사용하면 하드웨어를 구매하고 배포하거나 복잡한 소프트웨어를 설치할 필요가 없습니다. 필요에 따라 신속하게 사용자를 추가 또는 제거할 수 있습니다. 사용자는 지원되는 디바이스의 클라이언트 애플리케이션을 사용하거나 Windows WorkSpaces의 경우 웹 브라우저를 사용하여 WorkSpaces에 액세스하고 기존 온프레미스 Active Directory(AD) 자격 증명을 사용하여 로그인합니다.

자세한 내용은 [Amazon WorkSpaces](https://aws.amazon.com/workspaces/) 참조하세요.

## AWS Managed Services FAQ의 WorkSpaces
<a name="set-workspaces-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에서 WorkSpaces에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_workspaces_console_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 WorkSpaces 사용에 대한 제한 사항은 무엇인가요?**

Workspaces의 전체 기능은 Amazon WorkSpaces 자체 프로비저닝된 서비스 역할에서 사용할 수 있습니다.

**Q: AMS 계정에서 WorkSpaces를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**
+ WorkSpaces는 AWS 리전별로 제한되므로 WorkSpaces 인스턴스가 호스팅되는 리전과 동일한 AWS 리전에서 AD 커넥터를 구성해야 합니다.

  고객은 다음 두 가지 방법 중 하나를 사용하여 WorkSpaces를 고객 AD에 연결할 수 있습니다.

  1. AD 커넥터를 사용하여 온프레미스 Active Directory 서비스에 대한 인증 프록시(선호):

     WorkSpaces 인스턴스를 온프레미스 디렉터리 서비스와 통합하기 전에 AMS 계정에서 Active Directory(AD) 커넥터를 구성합니다. AD 커넥터는 기존 AD 사용자(도메인)가 기존 온프레미스 AD 자격 증명을 사용하여 WorkSpaces에 연결할 수 있도록 프록시 역할을 합니다. 이는 WorkSpaces가 리소스 포리스트와 사용자 포리스트 역할을 하는 고객의 온프레미스 도메인에 직접 조인되어 고객 측에서 더 많은 제어가 이루어지기 때문에 선호됩니다.

     자세한 내용은 [ Amazon WorkSpaces 배포 모범 사례(시나리오 1)](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/scenario-1-using-ad-connector-to-proxy-authentication-to-on-premises-active-directory-service.html)를 참조하세요.

  1.  AWS Microsoft AD, 공유 서비스 VPC 및 온프레미스에 대한 단방향 신뢰와 함께 AD Connector 사용:

     또한 먼저 AMS 관리형 AD에서 온프레미스 AD로의 단방향 발신 신뢰를 구축하여 온프레미스 디렉터리로 사용자를 인증할 수 있습니다. WorkSpaces는 AD 커넥터를 사용하여 AMS 관리형 AD를 조인합니다. 그러면 온프레미스 환경과 양방향 신뢰를 설정할 필요 없이 AMS 관리형 AD를 통해 WorkSpaces 액세스 권한이 WorkSpaces 인스턴스에 위임됩니다. 이 시나리오에서 사용자 포리스트는 고객 AD에 있고 리소스 포리스트는 AMS 관리형 AD에 있습니다(AMS 관리형 AD에 대한 변경 사항은 RFC를 통해 요청할 수 있음). WorkSpaces VPC와 AMS 관리형 AD를 실행하는 MALZ 공유 서비스 VPC 간의 연결은 Transit Gateway를 통해 설정됩니다.

     자세한 내용은 [ Amazon WorkSpaces 배포 모범 사례(시나리오 6)](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/scenario-6-aws-microsoft-ad-shared-services-vpc-and-a-one-way-trust-to-on-premises.html)를 참조하세요.
**참고**  
AD 커넥터는 사전 필수 AD 구성 세부 정보가 포함된 관리 \$1 기타 \$1 기타 \$1 변경 유형 생성 RFC를 제출하여 구성할 수 있습니다. 자세한 내용은 [AD 커넥터 생성을 참조하세요](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_ad_connector.html). 메서드 2를 사용하여 AMS 관리형 AD에서 리소스 포리스트를 생성하는 경우 AMS 관리형 AD를 실행하여 AMS 공유 서비스 계정에서 다른 관리 \$1 기타 \$1 기타 \$1 변경 유형 RFC를 제출하세요.

# AMS SSP를 사용하여 AMS 계정에서 AMS 코드 서비스 프로비저닝
<a name="code-services"></a>

AMS 자체 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AMS 코드 서비스 기능에 액세스할 수 있습니다. AMS 코드 서비스는 다음에 자세히 설명된 AWS 코드 관리 서비스의 독점 번들링입니다. AMS Code 서비스와 함께 AMS에 모든 서비스를 배포하도록 선택하거나 AMS에 개별적으로 배포할 수 있습니다.

AMS 코드 서비스에는 다음 서비스가 포함됩니다.
+ AWS CodeCommit: 보안 Git 기반 리포지토리를 호스팅하는 완전 관리형 [소스 제어](https://aws.amazon.com/devops/source-control) 서비스입니다. 이를 통해 팀은 안전하고 확장성이 뛰어난 에코시스템에서 코드에 대해 협업할 수 있습니다. CodeCommit을 사용하면 자체 소스 제어 시스템을 운영하거나 인프라 규모 조정에 대해 걱정할 필요가 없습니다. CodeCommit을 사용하여 소스 코드에서 바이너리에 이르기까지 모든 것을 안전하게 저장할 수 있으며 기존 Git 도구와 원활하게 작동합니다. 자세한 내용은 [AWS CodeCommit](https://aws.amazon.com/codecommit/) 섹션을 참조하세요.

  AMS Code 서비스와 독립적으로 AMS 계정에 이를 배포하려면 섹션을 참조하세요[AMS SSP를 사용하여 AMS 계정 AWS CodeCommit 에서 프로비저닝](codecommit.md).
+ AWS CodeBuild: 소스 코드를 컴파일하고, 테스트를 실행하고, 배포할 준비가 된 소프트웨어 패키지를 생성하는 완전 관리형 지속적 통합 서비스입니다. CodeBuild를 사용하면 자체 빌드 서버를 프로비저닝, 관리 및 조정할 필요가 없습니다. CodeBuild는 지속적으로 규모가 조정되며 여러 빌드를 동시에 처리하기 때문에 빌드가 대기열에서 대기하지 않고 바로 처리됩니다. 사전 패키징된 빌드 환경을 사용하면 신속하게 시작할 수 있으며 혹은 자체 빌드 도구를 사용하는 사용자 지정 빌드 환경을 만들 수 있습니다. CodeBuild를 사용하면 컴퓨팅 리소스에 대한 분당 사용 요금이 청구됩니다. 자세한 내용은 [AWS CodeBuild](https://aws.amazon.com/codebuild/) 섹션을 참조하세요.

  AMS Code 서비스와 독립적으로 AMS 계정에 이를 배포하려면 섹션을 참조하세요[AMS SSP를 사용하여 AMS 계정 AWS CodeBuild 에서 프로비저닝](code-build.md).
+ AWS CodeDeploy: Amazon EC2 및 온프레미스 서버와 같은 다양한 컴퓨팅 서비스에 대한 소프트웨어 배포를 자동화하는 완전 관리형 배포 서비스입니다. AWS CodeDeploy 를 사용하면 새 기능을 신속하게 릴리스하고, 애플리케이션 배포 중에 가동 중지를 방지하고, 애플리케이션 업데이트의 복잡성을 처리할 수 있습니다. AWS CodeDeploy 를 사용하여 소프트웨어 배포를 자동화할 수 있으므로 오류가 발생하기 쉬운 수동 작업이 필요하지 않습니다. 서비스는 배포 요구 사항에 맞게 확장됩니다. 자세한 내용은 [AWS CodeDeploy](https://aws.amazon.com/codedeploy/) 섹션을 참조하세요.

  AMS Code 서비스와 독립적으로 AMS 계정에 이를 배포하려면 섹션을 참조하세요[AMS SSP를 사용하여 AMS 계정 AWS CodeDeploy 에서 프로비저닝](code-deploy.md).
+ AWS CodePipeline: 빠르고 안정적인 애플리케이션 및 인프라 업데이트를 위해 릴리스 파이프라인을 자동화하는 데 도움이 되는 완전 관리형 [지속적 제공](https://aws.amazon.com/devops/continuous-delivery/) 서비스입니다. CodePipeline은 정의한 릴리스 모델을 기반으로 코드 변경이 있을 때마다 릴리스 프로세스의 구축, 테스트 및 배포 단계를 자동화합니다. 이를 통해 기능과 업데이트를 신속하고 안정적으로 제공할 수 있습니다. GitHub AWS CodePipeline 와 같은 타사 서비스 또는 자체 사용자 지정 플러그인과 쉽게 통합할 수 있습니다. AWS CodePipeline를 사용하면 사용한 만큼만 비용을 지불합니다. 선수금이나 장기 약정을 적용하지 않습니다. 자세한 내용은 [AWS CodePipeline](https://aws.amazon.com/codepipeline/) 섹션을 참조하세요.

  AMS Code 서비스와 독립적으로 AMS 계정에 이를 배포하려면 섹션을 참조하세요[AMS SSP를 사용하여 AMS 계정 AWS CodePipeline 에서 프로비저닝](code-pipeline.md).

## AWS Managed Services FAQ의 AMS 코드 서비스
<a name="set-code-services-faqs"></a>

**Q: 내 AMS 계정의 AMS 코드 서비스에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_code_suite_console_role`. 계정에 프로비저닝한 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다. 현재 AMS Operations는 CodeBuild`customer_codebuild_service_role`, CodeDeploy 및 CodePipeline `customer_codedeploy_service_role` `aws_code_pipeline_service_role` 서비스에 대한 계정에 , , 서비스 역할도 배포합니다. CodeBuild 에 대한 추가 IAM 권한이 `customer_codebuild_service_role` 필요한 경우 AMS 서비스 요청을 제출합니다.

**참고**  
이러한 서비스를 별도로 추가할 수도 있습니다. 자세한 내용은 [AMS SSP를 사용하여 AMS 계정 AWS CodePipeline 에서 프로비저닝](code-pipeline.md)각각 [AMS SSP를 사용하여 AMS 계정 AWS CodeBuild 에서 프로비저닝](code-build.md), [AMS SSP를 사용하여 AMS 계정 AWS CodeDeploy 에서 프로비저닝](code-deploy.md)및 단원을 참조하십시오.

**Q: AMS 계정에서 AMS 코드 서비스를 사용할 때 제한 사항은 무엇인가요?**
+ AWS CodeCommit: SNS 주제를 생성할 수 있는 관련 권한이 주어지면 CodeCommit의 트리거 기능이 비활성화됩니다. CodeCommit에 대한 직접 인증은 제한되므로 사용자는 자격 증명 헬퍼로 인증해야 합니다. kms:Encrypt, kms:Decrypt, kms:ReEncrypt, kms:GenereteDataKey, kms:GenerateDataKeyWithoutPlaintext, kms:DescribeKey 등의 일부 KMS 명령도 제한됩니다.
+ CodeBuild: AWS CodeBuild 콘솔 관리자 액세스의 경우 리소스 수준에서 권한이 제한됩니다. 예를 들어 CloudWatch 작업은 특정 리소스로 제한되고 `iam:PassRole` 권한은 제어됩니다.
+ CodeDeploy: 현재 CodeDeploy는 Amazon EC2/온프레미스에서만 배포를 지원합니다. CodeDeploy를 통한 ECS 및 Lambda에서의 배포는 지원되지 않습니다.
+ CodePipeline: CodePipeline 기능, 단계 및 공급자는 다음으로 제한됩니다.
  + 배포 단계: Amazon S3 및 AWS CodeDeploy
  + 소스 단계: Amazon S3, AWS CodeCommit, 비트 버킷 및 GitHub
  + 빌드 단계: AWS CodeBuild 및 Jenkins
  + 승인 단계: Amazon SNS
  + 테스트 단계: AWS CodeBuild, Jenkins, BlazeMeter, Ghost Inspector UI Testing, Micro Focus StormRunner Load, Runscope API Monitoring
  + 호출 단계: Step Functions 및 Lambda
**참고**  
AMS Operations는 계정에 `customer_code_pipeline_lambda_policy`를 배포합니다. 이는 Lambda 간접 호출 단계에 대한 Lambda 실행 역할에 연결되어야 합니다. 이 정책을 추가할 Lambda 서비스/실행 역할 이름을 입력합니다. 사용자 지정 Lambda 서비스/실행 역할이 없는 경우 AMS는와 ` customer_lambda_basic_execution_role` 함께의 사본`customer_code_pipeline_lambda_execution_role`인 라는 새 역할을 생성합니다`customer_code_pipeline_lambda_policy`.

**Q: AMS 계정에서 AMS 코드 서비스를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**
+ CodeCommit: S3 버킷이 AWS KMS 키로 암호화된 경우 S3 AWS KMS 를 사용해야 합니다 AWS CodeCommit.
+ CodeBuild: 정의된 AWS CodeBuild 서비스 역할에 추가 IAM 권한이 필요한 경우 AMS 서비스 요청을 통해 요청합니다.
+ CodeDeploy: 없음.
+ CodePipeline: None. AWS supported services—AWS CodeCommit, AWS CodeBuild, AWS CodeDeploy—는 CodePipeline 시작 전 또는 이와 함께 시작해야 합니다. 그러나 이는 AMS 엔지니어가 수행합니다.

# AMS SSP를 사용하여 AMS 계정 AWS Amplify 에서 프로비저닝
<a name="amplify"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 AWS Amplify 기능에 직접 액세스할 수 있습니다. AWS Amplify 는 프런트엔드 웹 및 모바일 개발자가 풀스택 애플리케이션을 쉽게 빌드, 연결 및 호스팅할 수 있는 완벽한 솔루션입니다. Amplify는 사용 사례가 발전함에 따라 다양한 AWS 서비스를 활용할 수 있는 유연성을 제공합니다. Amplify는 풀스택 iOS, Android, Flutter, Web 및 React Native 앱을 빌드하는 제품을 제공합니다. 자세한 내용은 [AWS Amplify](https://docs.amplify.aws/console)를 참조하세요.

## AWS Amplify AWS Managed Services FAQ의
<a name="set-amplify-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에 설정 AWS Amplify 하도록 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_amplify_console_role`. 계정에 프로비저닝한 후에는 페더레이션 솔루션에서 역할을 온보딩해야 합니다.

또한 에는 인프라 변경 권한이 있으므로 위험 수락 AWS Amplify 을 제공해야 합니다. 이렇게 하려면 Cloud Service Delivery Manager(CSDM)로 작업하세요.

**Q: AMS 계정 AWS Amplify 에서 사용에 대한 제한 사항은 무엇인가요?**

RA 및에서 달리 지정하지 않는 한 Amplify로 작업할 때는를 버킷의 접두사`'amplify*'`로 사용해야 합니다.

**Q: AMS 계정 AWS Amplify 에서를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

AMS 계정 AWS Amplify 에서를 사용하기 위한 사전 조건은 없습니다.

**Malz 환경만 해당**: Amplify의 기본 온보딩 역할은 "customer\$1amplify\$1console\$1role"입니다. 사용자 지정 역할을 사용하려면 먼저 IAM 엔터티를 배포합니다. 그런 다음 추가 RFC를 생성하여 애플리케이션 계정에 대한 서비스 제어 정책 허용 목록에 사용자 지정 역할을 추가합니다.

# AMS SSP를 사용하여 프로비저닝 AWS AppSync
<a name="app-sync"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS AppSync 기능에 액세스할 수 있습니다.는 유연한 API를 생성하여 하나 이상의 데이터 소스에서 데이터에 안전하게 액세스, 조작 및 결합할 수 있도록 함으로써 애플리케이션 개발을 간소화 AWS AppSync 합니다. AWS AppSync 는 애플리케이션이 필요한 데이터를 정확히 가져올 수 있도록 GraphQL을 사용하는 관리형 서비스입니다.

 AWS AppSync를 사용하면 NoSQL 데이터 스토어, 관계형 데이터베이스, HTTP APIs 및 사용자 지정 데이터 소스와 같은 다양한 데이터 소스에서 실시간 업데이트가 필요한 애플리케이션을 포함하여 확장 가능한 애플리케이션을 구축할 수 있습니다 AWS Lambda. 모바일 및 웹 앱의 경우는 디바이스가 오프라인 상태가 되면 로컬 데이터 액세스를 제공하고, 다시 온라인 상태가 되면 사용자 지정 가능한 충돌 해결을 통한 데이터 동기화를 AWS AppSync 제공합니다. 자세한 내용은 [AWS AppSync](https://aws.amazon.com/appsync/)를 참조하세요.

## AWS AppSync AWS Managed Services FAQ의
<a name="set-app-sync-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정 AWS AppSync 에서 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 변경 유형 추가(ct-1w8z66n899dct)를 제출하여 액세스를 요청합니다. 이 RFC는 계정에 및 IAM 역할을 프로비저닝합니다`customer_appsync_service_role``customer_appsync_author_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션`customer_appsync_author_role`에서를 온보딩해야 합니다.

**Q: 사용에 대한 제한 사항은 무엇입니까 AWS AppSync?**
+ AppSync에서 데이터 소스를 생성할 때 고객은 이전에 생성한 서비스 역할을 지정해야 하며, 새 역할 생성은 허용되지 않으므로 액세스 거부를 반환합니다.
+ AppSync 역할은 AMS 인프라에 대한 수정을 방지하기 위해 'AMS-' 또는 'MC-' 접두사를 포함하는 리소스로 권한을 제한하도록 구성됩니다.

**Q:를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까 AWS AppSync?**

서비스는 여러 다른 서비스를 데이터 소스로 사용할 수 있도록 허용합니다. 이러한 서비스를 사용할 수 있는 기본 권한은 서비스 역할(`customer_appsync_service_role`)에 포함되지만 서비스를 사용할 때는 서비스 역할을 수동으로 선택해야 합니다.

# AMS SSP를 사용하여 AMS 계정 AWS App Mesh 에서 프로비저닝
<a name="app-mesh"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS App Mesh 기능에 액세스할 수 있습니다.는 애플리케이션 수준 네트워킹을 AWS App Mesh 제공하여 서비스가 여러 유형의 컴퓨팅 인프라에서 서로 쉽게 통신할 수 있도록 합니다. App Mesh는 서비스가 통신하는 방식을 표준화하여 end-to-end 가시성을 제공하고 애플리케이션의 고가용성을 보장합니다.

AWS App Mesh 를 사용하면 여러 유형의 컴퓨팅 인프라에 구축된 서비스에 대한 일관된 가시성과 네트워크 트래픽 제어를 제공하여 서비스를 쉽게 실행할 수 있습니다. App Mesh를 사용하면 애플리케이션 코드를 업데이트하여 모니터링 데이터가 수집되거나 서비스 간에 트래픽이 라우팅되는 방식을 변경할 필요가 없습니다. App Mesh는 모니터링 데이터를 내보내도록 각 서비스를 구성하고 애플리케이션 전체에서 일관된 통신 제어 로직을 구현합니다. 따라서 오류의 정확한 위치를 빠르게 파악하고 장애가 발생하거나 코드 변경을 배포해야 할 때 네트워크 트래픽을 자동으로 다시 라우팅할 수 있습니다. 자세한 내용은 [AWS App Mesh](https://aws.amazon.com/app-mesh/)를 참조하세요.

## AWS App Mesh AWS Managed Services FAQ의
<a name="set-app-mesh-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정 AWS App Mesh 에서 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 변경 유형 추가(ct-1w8z66n899dct)를 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_app_mesh_console_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: 사용에 대한 제한 사항은 무엇입니까 AWS App Mesh?**

의 전체 기능은 AMS 계정에서 AWS App Mesh 사용할 수 있습니다.

**Q:를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까 AWS App Mesh?**

AMS 계정 AWS App Mesh 에서 사용할 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정 AWS Audit Manager 에서 프로비저닝
<a name="audit-mgr"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 Audit Manager 기능에 액세스합니다. Audit Manager를 사용하면 AWS 사용량을 지속적으로 감사하여 위험과 규정 및 업계 표준 준수를 평가하는 방법을 간소화할 수 있습니다. Audit Manager는 증거 수집을 자동화하여 정책, 절차 및 활동이 효과적으로 운영되는지 더욱 쉽게 평가할 수 있도록 합니다. 감사 시기가 되면 Audit Manager는 제어에 대한 이해관계자 검토를 관리하고 수동 작업을 크게 줄이면서 감사 준비 보고서를 작성하는 데 도움이 됩니다. 자세한 내용은 [Audit Manager](https://aws.amazon.com/audit-manager/)를 참조하세요.

## AWS Audit Manager AWS Managed Services FAQ의
<a name="set-audit-mgr-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정 AWS Audit Manager 에서에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

 AWS 서비스 RFC 관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 제출을 통해 액세스를 요청할 수 있습니다. 이 RFC는 계정에서 다음 IAM 역할을 프로비저닝합니다`customer-audit-manager-admin-Role`. 계정에 프로비저닝한 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: 사용에 대한 제한 사항은 무엇입니까 AWS Audit Manager?**

AMS 계정 AWS Audit Manager 에서를 사용하는 데는 제한이 없습니다. 에 대한 전체 기능이 AWS Audit Manager 제공됩니다.

**Q:를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까 AWS Audit Manager?**

1. 보고서/평가가 상주할 s3 버킷을 AMS에 제공해야 합니다.

1. 서비스로 암호화하려면 사용할 KMS CMK ARN을 AMS에 제공해야 합니다.

1. 주제에 SNS 알림을 보내려면 주제 또는 arn의 이름을 제공해야 합니다.

1. **(선택 사항)** Audit Manager에서 다중 계정 랜딩 존의 일부로 Organizations를 활성화하고 위임된 관리자 계정을 원하는 경우 추가 사전 요구 사항이 있습니다. RFC(관리 \$1 AWS 서비스 \$1 호환 서비스\$1 추가)에 대한 설명 필드에서 위임된 관리자 계정을 Audit Manager 설정의 일부로 사용하고 아래 세부 정보를 제공하려고 한다고 언급합니다.
   + KMS CMK ARN(처음에 Audit Manager를 설정하는 데 사용됨)
   + Audit Manager가이 다중 계정 랜딩 존의 일부로 사용할 수 있는 위임된 관리자 계정 ID(MALZ 애플리케이션 계정일 수 있음)

# AMS SSP를 사용하여 AMS 계정 AWS Batch 에서 프로비저닝
<a name="batch"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS Batch 기능에 액세스할 수 있습니다. 개발자, 과학자 및 엔지니어가 수십만 개의 배치 컴퓨팅 작업을 쉽고 효율적으로 실행할 수 AWS Batch 있습니다 AWS.는 제출된 배치 작업의 볼륨 및 특정 리소스 요구 사항에 따라 최적의 수량과 유형의 컴퓨팅 리소스(예: CPU 또는 메모리 최적화 인스턴스)를 AWS Batch 동적으로 프로비저닝합니다. 를 사용하면 작업을 실행하는 데 사용하는 배치 컴퓨팅 소프트웨어 또는 서버 클러스터를 설치하고 관리할 AWS Batch필요가 없으므로 결과를 분석하고 문제를 해결하는 데 집중할 수 있습니다. 자세한 내용은 [AWS Batch](https://aws.amazon.com/batch/)를 참조하세요.

## AWS Batch AWS Managed Services FAQ의
<a name="set-batch-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정 AWS Batch 에서에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

1. 액세스를 요청하려면 RFC 관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 추가(ct-1w8z66n899dct)를 AWS Batch제출합니다. 이 RFC는 계정에서 다음과 같은 IAM 역할 및 정책을 프로비저닝합니다.

IAM 역할:
+ `customer_batch_console_role`
+ `customer_batch_ecs_instance_role`
+ `customer_batch_events_service_role`
+ `customer_batch_service_role`
+ `customer_batch_ecs_task_role`

정책:
+ `customer_batch_console_role_policy`
+ `customer_batch_service_role_policy`
+ `customer_batch_events_service_role_policy`

2. 계정에 프로비저닝한 후에는 페더레이션 솔루션`customer_batch_console_role`의 역할을 온보딩해야 합니다.

**Q: 사용에 대한 제한 사항은 무엇입니까 AWS Batch?**

컴퓨팅 환경을 생성할 때 EC2 인스턴스에 "customer\$1batch" 또는 "customer-batch"로 태그를 지정해야 합니다. 인스턴스에 태그가 지정되지 않은 경우 작업이 완료되면 인스턴스가 일괄적으로 종료되지 않습니다.

**Q:를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까 AWS Batch?**

AMS 계정 AWS Batch 에서 사용할 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정 AWS Certificate Manager 에서 프로비저닝
<a name="acm"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS Certificate Manager (ACM) 기능에 액세스합니다. AWS Certificate Manager 는 서비스 및 내부 연결 리소스와 함께 사용할 퍼블릭 및 프라이빗 SSL/TLS(Secure Sockets Layer/Transport Layer Security) 인증서를 프로비저닝, 관리 및 배포할 수 있는 AWS 서비스입니다. SSL/TLS 인증서는 네트워크 통신을 보호하고 인터넷을 통한 웹 사이트 및 프라이빗 네트워크의 리소스의 ID를 설정하는 데 사용됩니다. SSL/TLS 인증서를 구매, 업로드 및 갱신하는 데 시간이 많이 걸리는 수동 프로세스를 AWS Certificate Manager 제거합니다.

를 사용하면 인증서를 요청하고, Elastic Load Balancer, Amazon CloudFront 배포 및 APIs Gateway의 API와 같은 ACM 통합 AWS 리소스에 배포하고,가 인증서 갱신을 AWS Certificate Manager 처리하도록 AWS Certificate Manager할 수 있습니다. 또한 내부 리소스에 대한 프라이빗 인증서를 생성하고 인증서 수명 주기를 중앙에서 관리할 수 있도록 합니다. ACM 통합 서비스와 함께 사용하기 AWS Certificate Manager 위해를 통해 프로비저닝된 퍼블릭 및 프라이빗 인증서는 무료입니다. 애플리케이션을 실행하기 위해 생성한 AWS 리소스에 대해서만 비용을 지불합니다. 를 사용하면의 작업 AWS Private CA 과 발급한 프라이빗 인증서에 대해 매월 [AWS Private Certificate Authority](https://aws.amazon.com/certificate-manager/private-certificate-authority/)요금을 지불합니다. 자세한 내용은 [AWS Certificate Manager - AWS 문서를 참조하세요](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html).

## AWS Managed Services FAQ의 ACM
<a name="set-acm-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정 AWS Certificate Manager 에서에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 변경 유형 추가(ct-1w8z66n899dct)를 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_acm_create_role`. 이 역할을 사용하여 ACM 인증서를 생성하고 관리할 수 있습니다. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

`customer_acm_create_role` IAM 역할을 추가하지 않은 경우에도 다음 변경 유형을 사용하여 ACM 인증서를 생성할 수 있습니다.
+  [ ACM \$1 퍼블릭 인증서 생성](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-create-public-certificate.html)
+  [ ACM \$1 프라이빗 인증서 생성](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-create-private-certificate.html)
+  [ 추가 SANs 포함된 ACM 인증서 \$1 생성](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-certificate-with-additional-sans-create.html)

**Q: 사용에 대한 제한 사항은 무엇입니까 AWS Certificate Manager?**

기존 인증서를 삭제하거나 수정하려면 변경 요청(RFC)을 AMS에 제출해야 합니다. 이러한 작업을 수행하려면 전체 관리자 액세스가 필요합니다(관리 \$1 고급 스택 구성 요소 \$1 ACM \$1 인증서 변경 유형 삭제(ct-1q8q56cmwqj9m) 사용). IAM 정책은 태그 이름(mc\$1, ams\$1 등)을 기반으로 권한을 제외할 수 없습니다. 인증서에는 비용이 발생하지 않으므로 사용하지 않는 인증서를 삭제하는 것은 시간에 민감하지 않습니다.

**Q: Certificate Manager를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

기존 퍼블릭 DNS 이름 및 DNS CNAME 레코드를 생성하기 위한 액세스 권한은 관리형 계정에서 호스팅할 필요가 없습니다.

# AMS SSP를 사용하여 AMS 계정 AWS Private Certificate Authority 에서 프로비저닝
<a name="acm-priv-ca"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 AWS Private Certificate Authority 기능에 직접 액세스할 수 있습니다. 프라이빗 인증서는 서버, 모바일, IoT 디바이스 및 애플리케이션과 같은 프라이빗 네트워크에서 연결된 리소스 간의 통신을 식별하고 보호하는 데 사용됩니다. AWS Private CA 는 프라이빗 인증서의 수명 주기를 쉽고 안전하게 관리하는 데 도움이 되는 관리형 프라이빗 CA 서비스입니다.는 프라이빗 CA 운영에 대한 선결제 투자 및 지속적인 유지 관리 비용 없이 가용성이 높은 프라이빗 CA 서비스를 AWS Private CA 제공합니다.는 ACM의 인증서 관리 기능을 프라이빗 인증서로 AWS Private CA 확장하여 퍼블릭 및 프라이빗 인증서를 중앙에서 생성하고 관리할 수 있습니다. AWS 관리 콘솔 또는 ACM API를 사용하여 AWS 리소스에 대한 프라이빗 인증서를 쉽게 생성하고 배포할 수 있습니다. EC2 인스턴스, 컨테이너, IoT 디바이스 및 온프레미스 리소스의 경우 프라이빗 인증서를 쉽게 생성 및 추적하고 자체 클라이언트 측 자동화 코드를 사용하여 배포할 수 있습니다. 또한 사용자 지정 인증서 수명, 키 알고리즘 또는 리소스 이름이 필요한 애플리케이션에 대해 프라이빗 인증서를 생성하고 직접 관리할 수 있는 유연성이 있습니다. 자세한 내용은 섹션을 참조하세요[AWS Private CA](https://aws.amazon.com/certificate-manager/private-certificate-authority/).

## AWS Private CA AWS Managed Services FAQ의
<a name="set-app-sync-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정 AWS Private CA 에서 액세스를 요청하려면 어떻게 해야 하나요?**

 AWS 서비스 RFC(관리 \$1 AWS 서비스 \$1 호환 서비스) 제출을 통해 액세스를 요청합니다. 이 RFC를 통해 계정에 다음 IAM 역할이 프로비저닝됩니다`customer_acm_pca_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: 사용에 대한 제한 사항은 무엇입니까 AWS Private CA?**

현재 AWS Resource Access Manager (AWS RAM)는 교차 계정을 공유하는 데 사용할 수 AWS Private CA 없습니다.

**Q:를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까 AWS Private CA?**

1. CRL을 생성하려는 경우 저장할 S3 버킷이 필요합니다. AWS Private CA 는 지정한 Amazon S3 버킷에 CRL을 자동으로 저장하고 주기적으로 업데이트합니다. CRL을 설정하려면 먼저 S3 버킷에 아래 버킷 정책이 있어야 합니다. 이 요청을 진행하려면 다음과 같이 ct-0fpjlxa808sh2(관리 \$1 고급 스택 구성 요소 \$1 S3 스토리지 \$1 정책 업데이트)를 사용하여 RFC를 생성합니다.
+ S3 버킷 이름 또는 ARN을 입력합니다.
+ 아래 정책을 RFC에 복사하고를 원하는 S3 버킷 이름으로 `bucket-name` 바꿉니다.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
         ],
         "Resource":[
            "arn:aws:s3:::bucket-name/*",
            "arn:aws:s3:::bucket-name"
         ]
      }
   ]
}
```

------

2. 위의 S3 버킷이 암호화된 경우 서비스 보안 주체 acm-pca.amazonaws.com 복호화 권한이 필요합니다. 이 요청을 진행하려면 다음과 같이 ct-3ovo7px2vsa6n(관리 \$1 고급 스택 구성 요소 \$1 KMS 키 \$1 업데이트)을 사용하여 RFC를 생성합니다.
+ 정책을 업데이트해야 하는 KMS 키 ARN을 제공합니다.
+ 아래 정책을 RFC에 복사하고를 원하는 S3 버킷 이름으로 `bucket-name` 바꿉니다.

```
{
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":[
            "arn:aws:s3:::bucket_name/acm-pca-permission-test-key",
            "arn:aws:s3:::bucket_name/acm-pca-permission-test-key-private",
            "arn:aws:s3:::bucket_name/audit-report/*",
            "arn:aws:s3:::bucket_name/crl/*"
         ]
      }
   }
}
```

3. AWS Private CA CRLs S3 설정 "새 ACLs)을 통해 부여된 버킷 및 객체에 대한 퍼블릭 액세스 차단"을 지원하지 않습니다. 가 ACM Private CA용 CRLs을 안전하게 생성 및 저장하는 방법에 설명된 대로 CRL을 AWS Private CA 작성하도록 허용하려면 S3 계정 및 버킷에서이 설정을 비활성화해야 합니다. 비활성화하려면 ct-0xdawir96cy7k(관리 \$1 기타 \$1 기타 \$1 업데이트)를 사용하여 새 RFC를 생성하고 위험 수락을 연결합니다. [https://aws.amazon.com/blogs/security/how-to-securely-create-and-store-your-crl-for-acm-private-ca/](https://aws.amazon.com/blogs/security/how-to-securely-create-and-store-your-crl-for-acm-private-ca/) 위험 수락에 대한 질문이 있는 경우 클라우드 아키텍트에 문의하세요.

# AMS SSP를 사용하여 AMS 계정에서 AWS CloudEndure 프로비저닝
<a name="cloud-endure"></a>

**참고**  
가 성공적으로 출시되면 이제 모든 AWS 리전에서 AWS Application Migration Service CloudEndure 마이그레이션 서비스의 수명이 종료됩니다. GovCloud 리전 및 상용 리전으로 AWS Application Migration Service 의 리프트 앤 시프트 마이그레이션에는를 사용하는 것이 좋습니다. 자세한 내용은 [란 무엇입니까 AWS Application Migration Service?를 참조하세요](https://docs.aws.amazon.com/mgn/latest/ug/what-is-application-migration-service.html).  
를 사용하려면 CA에 AWS Application Migration Service문의하여 안내를 받으세요.

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS CloudEndure 기능에 액세스합니다. AWS CloudEndure 마이그레이션은 물리적, 가상 및 클라우드 기반 인프라에서 로 대규모 마이그레이션을 간소화, 가속화 및 자동화합니다 AWS. CloudEndure 재해 복구(DR)는 랜섬웨어 및 서버 손상을 포함한 모든 위협으로부터 가동 중지 시간과 데이터 손실을 방지합니다.

## AWS Managed Services FAQ의AWS CloudEndure
<a name="cloud-endure-faqs"></a>

**Q: AMS 계정에서 CloudEndure에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 사용자를 프로비저닝합니다`customer_cloud_endure_user`. 계정에 프로비저닝된 후에는 사용자의 액세스 키와 보안 키가 AWS Secrets Manager에서 공유됩니다.

이러한 정책은 및 계정에도 프로비저닝됩니다`customer_cloud_endure_policy``customer_cloud_endure_deny_policy`.

또한 애플리케이션 통합을 위한 CloudEndure DR 솔루션에는 인프라 변경 권한이 있으므로 위험 수락을 제공해야 합니다. 이렇게 하려면 클라우드 서비스 제공 관리자(CSDM)와 협력하세요.

**Q: AMS 계정에서 CloudEndure를 사용하는 데 따르는 제한 사항은 무엇인가요?**

Cloud Endure 복제 및 변환 인스턴스는 지정한 서브넷에서만 시작할 수 있습니다.

**Q: AMS 계정에서 CloudEndure를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?** RFC 양방향 서신을 통해 다음을 공유합니다.
+ 시작할 복제 및 변환 인스턴스에 대한 VPC 서브넷 세부 정보입니다.
+ EBS 볼륨이 암호화된 경우 KMS 키 Amazon 리소스 이름(ARN)입니다.

# AMS SSP를 사용하여 AMS 계정 AWS CloudHSM 에서 프로비저닝
<a name="cloud-hsm"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 AWS CloudHSM 기능에 직접 액세스할 AWS CloudHSM 수 있습니다. 기업, 계약, 및 AWS 클라우드 내에서 전용 하드웨어 보안 모듈(HSM) 인스턴스를 사용하여 데이터 보안을 위한 규정 준수 요구 사항을 충족합니다. AWS및 AWS Marketplace 파트너, 는 AWS 플랫폼 내에서 민감한 데이터를 보호하기 위한 다양한 솔루션을 제공합니다. 그러나 암호화 키 관리를 위한 계약 또는 규제 명령이 적용되는 일부 애플리케이션 및 데이터의 경우 추가 보호가 필요할 수 있습니다.는 기존 데이터 보호 솔루션을 AWS CloudHSM 보완하고 보안 키 관리를 위해 정부 표준에 따라 설계되고 검증된 HSMs 내에서 암호화 키를 보호할 수 있습니다.를 AWS CloudHSM 사용하면를 안전하게 생성하고, 스토어, 및는 사용자만 키에 액세스할 수 있는 방식으로 데이터 암호화에 사용되는 암호화 키를 관리합니다. 자세한 내용은 [AWS CloudHSM](https://aws.amazon.com/cloudhsm/)를 참조하세요.

## AWS CloudHSM AWS Managed Services FAQ의
<a name="set-cloud-hsm-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정 AWS CloudHSM 에서에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

AMS 계정에서를 사용하는 과정은 2단계로 이루어집니다.

1.  AWS CloudHSM 클러스터를 요청합니다. 관리 \$1 기타 \$1 기타 \$1 생성(ct-1e1xtak34nx76) 변경 유형을 사용하여 RFC를 제출하여이 작업을 수행합니다. 다음 세부 정보를 포함합니다.
   + AWS 리전.
   + VPC ID/ARN. 제출하는 RFC와 동일한 계정에 있는 VPC ID/VPC ARN을 제공합니다.
   + 클러스터에 대해 최소 두 개의 가용 영역을 지정합니다.
   + HSM 클러스터에 연결할 Amazon EC2 인스턴스 ID입니다.

1.  AWS CloudHSM 콘솔에 액세스합니다. 관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 추가(ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여이 작업을 수행합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_cloudhsm_console_role`.

계정에 역할이 프로비저닝된 후 페더레이션 솔루션에 온보딩해야 합니다.

**Q: AMS 계정 AWS CloudHSM 에서 사용에 대한 제한 사항은 무엇인가요?**

 AWS CloudHSM 콘솔에 대한 액세스로는 클러스터를 생성, 종료 또는 복원할 수 없습니다. 이러한 작업을 수행하려면 관리 \$1 기타 \$1 기타 \$1 변경 유형 생성(ct-1e1xtak34nx76) 변경 유형을 제출합니다.

**Q: AMS 계정 AWS CloudHSM 에서를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

VPC 내의 클라이언트 Amazon EC2 인스턴스를 통해 포트 2225를 사용하는 TCP 트래픽을 허용하거나 HSM 클러스터에 액세스하려는 온프레미스 서버에 Direct Connect VPN을 사용해야 합니다. AWS CloudHSM 는 보안 그룹 및 네트워크 인터페이스에 Amazon EC2를 사용합니다. 로그 모니터링 또는 감사를 위해 HSM은 모든 로컬 HSM 디바이스 활동에 CloudTrail(AWS API 작업) 및 CloudWatch Logs를 사용합니다.

**Q: AWS CloudHSM 클라이언트 및 관련 소프트웨어 라이브러리에는 누가 업데이트를 적용하나요?**

라이브러리 및 클라이언트 업데이트를 적용할 책임은 사용자에게 있습니다. [CloudHSM 버전 기록](https://docs.aws.amazon.com/cloudhsm/latest/userguide/client-history.html) 페이지에서 릴리스를 모니터링한 다음 [CloudHSM 클라이언트 업그레이드를](https://docs.aws.amazon.com/cloudhsm/latest/userguide/client-upgrade.html) 사용하여 업데이트를 적용해야 합니다.

**참고**  
HSM 어플라이언스용 소프트웨어 패치는 항상 서비스에서 AWS CloudHSM 자동으로 적용됩니다.

# AMS SSP를 사용하여 AMS 계정 AWS CodeBuild 에서 프로비저닝
<a name="code-build"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS CodeBuild 기능에 액세스할 수 있습니다. AWS CodeBuild 는 소스 코드를 컴파일하고, 테스트를 실행하고, 배포할 준비가 된 소프트웨어 패키지를 생성하는 완전 관리형 지속적 통합 서비스입니다. CodeBuild를 사용하면 자체 빌드 서버를 프로비저닝, 관리 및 조정할 필요가 없습니다. CodeBuild는 지속적으로 규모가 조정되며 여러 빌드를 동시에 처리하기 때문에 빌드가 대기열에서 대기하지 않고 바로 처리됩니다. 사전 패키징된 빌드 환경을 사용하면 신속하게 시작할 수 있으며 혹은 자체 빌드 도구를 사용하는 사용자 지정 빌드 환경을 만들 수 있습니다. CodeBuild를 사용하면 컴퓨팅 리소스에 대한 분당 사용 요금이 청구됩니다. 자세한 내용은 [AWS CodeBuild](https://aws.amazon.com/codebuild/)를 참조하세요.

**참고**  
단일 RFC로 CodeCommit, CodeBuild, CodeDeploy 및 CodePipeline을 온보딩하려면 관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하고 CodeBuild, CodeDeploy 및 CodePipeline의 세 가지 서비스를 요청합니다. 그런 다음 , `customer_codebuild_service_role` `customer_codedeploy_service_role`및 세 가지 역할이 모두 계정에 프로비저닝`aws_code_pipeline_service_role`됩니다. 계정에서 프로비저닝한 후 페더레이션 솔루션의 역할을 온보딩해야 합니다.

## AWS Managed Services FAQ의 CodeBuild
<a name="set-code-build-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정 AWS CodeBuild 에서에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

AMS 계정 AWS CodeBuild 에서를 사용하는 과정은 2단계로 이루어집니다.

1. S3 버킷, Amazon CloudWatch 및 로그 그룹과 AWS 조정하도록 빌드 프로세스를 `CodeBuild Service Role` 위한 프로비저닝

1. CodeBuild 콘솔에 대한 액세스 요청

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 변경 유형 추가(ct-1w8z66n899dct)를 사용하여 RFC를 제출하여 AMS 계정에 둘 다 설정하도록 요청할 수 있습니다. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정 AWS CodeBuild 에서 사용에 대한 제한 사항은 무엇인가요?**

 AWS CodeBuild 콘솔 관리자 액세스의 경우 리소스 수준에서 권한이 제한됩니다. 예를 들어 CloudWatch 작업은 특정 리소스로 제한되고 `iam:PassRole` 권한은 제어됩니다.

**Q: AMS 계정에서 CodeBuild를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

정의된 AWS CodeBuild 서비스 역할에 추가 IAM 권한이 필요한 경우 AMS 서비스 요청을 통해 요청합니다.

# AMS SSP를 사용하여 AMS 계정 AWS CodeCommit 에서 프로비저닝
<a name="codecommit"></a>

**참고**  
AWS 는 2024년 7월 25 AWS CodeCommit일부터 새로운 고객 액세스를 종료했습니다. AWS CodeCommit 기존 고객은 서비스를 정상적으로 계속 사용할 수 있습니다. AWS 는에 대한 보안, 가용성 및 성능 개선에 계속 투자 AWS CodeCommit하지만 새로운 기능을 도입할 계획은 없습니다.  
AWS CodeCommit Git 리포지토리를 다른 Git 공급자로 마이그레이션하려면 클라우드 아키텍트(CA)에 문의하여 지침을 받으세요. Git 리포지토리 마이그레이션에 대한 자세한 내용은 [ AWS CodeCommit 리포지토리를 다른 Git 공급자로 마이그레이션하는 방법을 참조하세요](https://aws.amazon.com/blogs/devops/how-to-migrate-your-aws-codecommit-repository-to-another-git-provider/).

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS CodeCommit 기능에 액세스할 수 있습니다. AWS CodeCommit 는 보안 Git 기반 리포지토리를 호스팅하는 완전 관리형 [소스 제어](https://aws.amazon.com/devops/source-control/) 서비스입니다. 이를 통해 팀은 안전하고 확장성이 뛰어난 에코시스템에서 코드에 대해 협업할 수 있습니다. CodeCommit을 사용하면 자체 소스 제어 시스템을 운영하거나 인프라 규모 조정에 대해 걱정할 필요가 없습니다. CodeCommit을 사용하여 소스 코드에서 바이너리에 이르기까지 모든 것을 안전하게 저장할 수 있으며 기존 Git 도구와 원활하게 작동합니다. 자세한 내용은 [AWS CodeCommit](https://aws.amazon.com/codecommit/)를 참조하세요.

**참고**  
단일 RFC로 CodeCommit, CodeBuild, CodeDeploy 및 CodePipeline을 온보딩하려면 관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하고 CodeBuild, CodeDeploy 및 CodePipeline의 세 가지 서비스를 요청합니다. 그런 다음 , `customer_codebuild_service_role` `customer_codedeploy_service_role`및 세 가지 역할이 모두 계정에 프로비저닝`aws_code_pipeline_service_role`됩니다. 계정에서 프로비저닝한 후 페더레이션 솔루션의 역할을 온보딩해야 합니다.

## AWS Managed Services FAQ의 CodeCommit
<a name="set-codecommit-faqs"></a>

**Q: AMS 계정에서 CodeCommit에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

AWS CodeCommit 콘솔 및 데이터 액세스 역할은 두 개의 AWS 서비스 RFCs
+ Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 AWS CodeCommit 제출하여에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_codecommit_console_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

  데이터 액세스(예: 훈련 및 개체 목록)에는 S3 데이터 소스(필수), 출력 버킷(필수) 및 KMS(선택 사항)를 지정하는 각 데이터 소스에 대해 별도의 CTs가 필요합니다. 모든 데이터 소스에 액세스 역할이 부여된 한 AWS CodeCommit 작업 생성에는 제한이 없습니다. 데이터 액세스를 요청하려면 관리 \$1 기타 \$1 기타 \$1 생성(ct-1e1xtak34nx76)을 사용하여 RFC를 제출합니다.

**Q: AMS 계정 AWS CodeCommit 에서 사용에 대한 제한 사항은 무엇인가요?**

CodeCommit의 트리거 기능은 SNS 주제를 생성할 수 있는 관련 권한으로 인해 비활성화됩니다. CodeCommit에 대한 직접 인증은 제한되므로 사용자는 자격 증명 헬퍼로 인증해야 합니다. `kms:Encrypt`, , , `kms:Decrypt`, `kms:ReEncrypt`, `kms:GenereteDataKey` `kms:GenerateDataKeyWithoutPlaintext`등의 일부 KMS 명령도 제한됩니다`kms:DescribeKey`.

**Q: AMS 계정 AWS CodeCommit 에서를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

S3 버킷이 KMS 키로 암호화된 경우를 사용하려면 S3 및 KMS가 필요합니다 AWS CodeCommit.

# AMS SSP를 사용하여 AMS 계정 AWS CodeDeploy 에서 프로비저닝
<a name="code-deploy"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS CodeDeploy 기능에 액세스할 수 있습니다. AWS CodeDeploy 는 Amazon EC2 AWS Fargate AWS Lambda및 온프레미스 서버와 같은 다양한 컴퓨팅 서비스에 대한 소프트웨어 배포를 자동화하는 완전 관리형 배포 서비스입니다. AWS CodeDeploy 는 새 기능을 신속하게 릴리스하고, 애플리케이션 배포 중 가동 중지 시간을 방지하고, 애플리케이션 업데이트의 복잡성을 처리할 수 있도록 지원합니다. AWS CodeDeploy 를 사용하여 소프트웨어 배포를 자동화할 수 있으므로 오류가 발생하기 쉬운 수동 작업이 필요하지 않습니다. 서비스는 배포 요구 사항에 맞게 확장됩니다. 자세한 내용은 [AWS CodeDeploy](https://aws.amazon.com/codedeploy/)를 참조하세요.

**참고**  
단일 RFC로 CodeCommit, CodeBuild, CodeDeploy 및 CodePipeline을 온보딩하려면 관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하고 CodeBuild, CodeDeploy 및 CodePipeline의 세 가지 서비스를 요청합니다. 그런 다음 , `customer_codebuild_service_role` `customer_codedeploy_service_role`및 세 가지 역할이 모두 계정에 프로비저닝`aws_code_pipeline_service_role`됩니다. 계정에서 프로비저닝한 후 페더레이션 솔루션의 역할을 온보딩해야 합니다.

## AWS Managed Services FAQ의 CodeDeploy
<a name="set-code-deploy-faqs"></a>

**Q: AMS 계정에서 CodeDeploy에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 추가(ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여 CodeDeploy에 대한 액세스를 요청합니다. 이 RFC는 계정에 및 IAM 역할을 프로비저닝합니다`customer_codedeploy_console_role``customer_codedeploy_service_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 `customer_codedeploy_console_role` 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 CodeDeploy를 사용할 때 제한 사항은 무엇인가요?**

현재 컴퓨팅 플랫폼은 Amazon EC2/온프레미스로만 지원됩니다. 블루/그린 배포는 지원되지 않습니다.

**Q: AMS 계정에서 CodeDeploy를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

AMS 계정에서 CodeDeploy를 사용하기 위한 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정 AWS CodePipeline 에서 프로비저닝
<a name="code-pipeline"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS CodePipeline 기능에 액세스할 수 있습니다. AWS CodePipeline 는 빠르고 안정적인 애플리케이션 및 인프라 업데이트를 위해 릴리스 파이프라인을 자동화하는 데 도움이 되는 완전 관리형 [지속적 전송](https://aws.amazon.com/devops/continuous-delivery/) 서비스입니다. CodePipeline은 정의한 릴리스 모델을 기반으로 코드 변경이 있을 때마다 릴리스 프로세스의 구축, 테스트 및 배포 단계를 자동화합니다. 이를 통해 기능과 업데이트를 신속하고 안정적으로 제공할 수 있습니다. GitHub AWS CodePipeline 와 같은 타사 서비스 또는 자체 사용자 지정 플러그인과 쉽게 통합할 수 있습니다. AWS CodePipeline를 사용하면 사용한 만큼만 비용을 지불합니다. 선수금이나 장기 약정을 적용하지 않습니다. 자세한 내용은 [AWS CodePipeline](https://aws.amazon.com/codepipeline/)를 참조하세요.

**참고**  
단일 RFC로 CodeCommit, CodeBuild, CodeDeploy 및 CodePipeline을 온보딩하려면 관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하고 CodeBuild, CodeDeploy 및 CodePipeline의 세 가지 서비스를 요청합니다. 그런 다음 , `customer_codebuild_service_role` `customer_codedeploy_service_role`및 세 가지 역할이 모두 계정에 프로비저닝`aws_code_pipeline_service_role`됩니다. 계정에서 프로비저닝한 후 페더레이션 솔루션의 역할을 온보딩해야 합니다.  
AMS의 CodePipeline은 최소 권한 모델 및 AMS 변경 관리 프로세스를 우회하는 서비스 역할 및 정책을 생성하기 위해 승격된 권한이 필요하기 때문에 소스 단계에 대한 "Amazon CloudWatch Events"를 지원하지 않습니다.

## AWS Managed Services FAQ의 CodePipeline
<a name="set-code-pipeline-faqs"></a>

**Q: AMS 계정에서 CodePipeline에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관련 계정`customer_code_pipeline_console_role`에서에 대한 서비스 요청을 제출하여 CodePipeline에 대한 액세스를 요청합니다. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

현재 AMS Operations는 계정에이 서비스 역할인 도 배포합니다`aws_code_pipeline_service_role_policy`.

**Q: AMS 계정에서 CodePipeline을 사용할 때 제한 사항은 무엇인가요?**

예. CodePipeline 기능, 단계 및 공급자는 다음으로 제한됩니다.

1. 배포 단계: Amazon S3로 제한 및 AWS CodeDeploy

1. 소스 단계: Amazon S3, AWS CodeCommit BitBucket 및 GitHub로 제한됨

1. 빌드 단계: AWS CodeBuild및 Jenkins로 제한됨

1. 승인 단계: Amazon SNS로 제한됨

1. 테스트 단계: 제한 대상 AWS CodeBuild, Jenkins, BlazeMeter, Ghost Inspector UI Testing, Micro Focus StormRunner Load 및 Runscope API Monitoring

1. 호출 단계: Step Functions 및 Lambda로 제한됨
**참고**  
AMS 작업은 `customer_code_pipeline_lambda_policy` 계정에 배포되며 Lambda 간접 호출 단계에 대한 Lambda 실행 역할에 연결되어야 합니다. 이 정책을 추가할 Lambda 서비스/실행 역할 이름을 제공하세요. 사용자 지정 Lambda 서비스/실행 역할이 없는 경우 AMS는 라는 새 역할을 생성합니다. `customer_code_pipeline_lambda_execution_role`이 역할은와 `customer_lambda_basic_execution_role` 함께의 사본이 됩니다`customer_code_pipeline_lambda_policy`.

**Q: AMS 계정에서 CodePipeline을 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

AWS 지원되는 서비스는 CodePipeline 시작 전 또는 이와 함께 시작해야 AWS CodeCommit AWS CodeBuild AWS CodeDeploy 합니다.

# AMS SSP를 사용하여 AMS 계정 AWS Compute Optimizer 에서 프로비저닝
<a name="compute-optimizer"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS Compute Optimizer 기능에 액세스할 수 있습니다. AWS Compute Optimizer 는 기계 학습을 사용하여 과거 사용률 지표를 분석하여 비용을 절감하고 성능을 개선하기 위해 워크로드에 최적의 AWS 컴퓨팅 리소스를 권장합니다. 컴퓨팅(Amazon EC2 및 ASGs)을 과도하게 프로비저닝하면 불필요한 인프라 비용이 발생하고 컴퓨팅을 과소 프로비저닝하면 애플리케이션 성능이 저하될 수 있습니다. Compute Optimizer를 사용하면 사용률 데이터를 기반으로 Amazon EC2 Auto Scaling 그룹에 속하는 인스턴스 유형을 포함하여 최적의 Amazon EC2 인스턴스 유형을 선택할 수 있습니다. 자세한 내용은 [AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/)를 참조하세요.

## AWS Managed Services FAQ의 Compute Optimizer
<a name="set-compute-optimizer-faqs"></a>

**Q: AMS 계정에서 Compute Optimizer에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_compute_optimizer_readonly_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Compute Optimizer를 사용할 때 제한 사항은 무엇인가요?**

제한은 없습니다. AMS 계정에서 AWS Compute Optimizer 의 전체 기능을 사용할 수 있습니다.

**Q: AMS 계정에서 Compute Optimizer를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**
+ 계정에서 서비스를 활성화하려면 AMS Ops에 권한을 부여하는 RFC(관리 \$1 기타 \$1 기타 \$1 업데이트)를 제출해야 합니다. 배포 중에 지표 수집 및 보고서 생성을 허용하는 서비스 연결 역할(SLR)이 생성됩니다. SLR에는 “AWSServiceRoleForComputeOptimizer” 레이블이 지정되어 있습니다. 자세한 내용은 [에 대한 서비스 연결 역할 사용을 참조하세요. AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/using-service-linked-roles.html)
+ 다음 지표에 대해 CloudWatch 지표를 활성화해야 합니다.
  + **CPU 사용률**: 인스턴스에서 사용 중인 할당된 Amazon EC2 컴퓨팅 유닛의 백분율입니다. 이 지표는 선택한 인스턴스에서 애플리케이션을 실행하는 데 필요한 처리 능력을 식별합니다.
  + **메모리 사용률**: 샘플 기간 동안 어떤 식으로든 사용된 메모리의 양입니다. 이 지표는 선택한 인스턴스에서 애플리케이션을 실행하는 데 필요한 메모리를 식별합니다. 메모리 사용률은 통합된 CloudWatch 에이전트가 설치된 리소스에 대해서만 분석됩니다. 자세한 내용은 CloudWatch 에이전트를 사용하여 메모리 사용률 활성화(10페이지)를 참조하세요.
  + **네트워크 입력**: 인스턴스가 모든 네트워크 인터페이스에서 수신한 바이트 수입니다. 이 지표는 단일 인스턴스로 들어오는 네트워크 트래픽의 볼륨을 식별합니다.
  + **네트워크 출력**: 인스턴스가 모든 네트워크 인터페이스에서 보낸 바이트 수입니다. 이 지표는 단일 인스턴스에서 나가는 네트워크 트래픽의 볼륨을 식별합니다.
  + **로컬 디스크 입/출력(I/O)**: 로컬 디스크의 입/출력 작업 수입니다. 이 지표는 인스턴스의 루트 볼륨 성능을 식별합니다.

# AMS SSP를 사용하여 AMS 계정 AWS DataSync 에서 프로비저닝
<a name="data-sync"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정의 AWS DataSync 기능에 직접 액세스할 수 있습니다.는 온프레미스 스토리지와 Amazon S3, Amazon Elastic File System(Amazon Elastic File System) 또는 Amazon FSx 간에 대량의 데이터를 온라인으로 AWS DataSync 이동합니다. 데이터 전송과 관련된 수동 작업은 마이그레이션 속도를 늦추고 IT 운영에 부담을 줄 수 있습니다. DataSync는 복사 작업 스크립팅, 전송 예약 및 모니터링, 데이터 검증, 네트워크 사용률 최적화 등 이러한 많은 작업을 제거하거나 자동으로 처리합니다. DataSync 소프트웨어 에이전트는 NFS(Network File System) 및 SMB(Server Message Block) 스토리지에 연결되므로 애플리케이션을 수정할 필요가 없습니다. DataSync는 인터넷 또는 AWS Direct Connect 링크를 통해 오픈 소스 도구보다 최대 10배 빠른 속도로 수백 테라바이트와 수백만 개의 파일을 전송할 수 있습니다. DataSync를 사용하여 활성 데이터 세트 또는 아카이브를 로 마이그레이션하거나 AWS, 시기 적절한 분석 및 처리를 위해 클라우드로 데이터를 전송하거나, 비즈니스 연속성 AWS 을 위해에 데이터를 복제할 수 있습니다.

자세한 내용은 [AWS DataSync](https://aws.amazon.com/datasync/)를 참조하세요.

## AWS Managed Services DataSync FAQ
<a name="data-sync-faqs"></a>

**Q: AMS 계정에서 DataSync에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_datasync_console_role`.

계정에 프로비저닝한 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

작업 로그를 스트리밍하는 데 사용할 CloudWatch 로그 그룹은 "/aws/datasync"입니다.

**Q: AMS 계정에서 DataSync를 사용할 때 제한 사항은 무엇인가요?**

AMS 계정에서 AWS DataSync 의 전체 기능을 사용할 수 있습니다.

**Q: AMS 계정에서 DataSync를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**
+ DataSync 서비스 역할를 사용하여 수행할 DataSync 작업과 연결된 모든 S3 버킷에는 Amazon S3 ARNs(Amazon 리소스 이름)이 필요합니다`customer_datasync_service_role`. DataSync 
+ DataSync 에이전트의 VPC 엔드포인트 및 보안 그룹은 VPC 엔드포인트를 사용하기 전에 관리 \$1 기타 \$1 기타 \$1 생성(ct-1e1xtak34nx76) 변경 유형이 있는 RFC로 요청해야 합니다.
+ AWS DataSync 에이전트는 AMS에서 어플라이언스로 실행됩니다. AWS DataSync 에이전트는 서비스에 의해 패치되고 업데이트됩니다. 자세한 내용은 [AWS DataSync FAQ](https://aws.amazon.com/datasync/faqs/)를 참조하세요.
+  AWS DataSync 에이전트를 시작하려면 관리 \$1 기타 \$1 기타 \$1 생성(ct-1e1xtak34nx76) 변경 유형을 사용하여 RFC를 제출하여 에이전트 배포를 요청합니다. AWS DataSync Amazon EC2 AMI ID, 인스턴스 유형, 서브넷, 보안 그룹을 제공하고 기존 Amazon EC2 키 페어를 참조하거나 새 키 페어 생성을 요청합니다.
**참고**  
AMS는 고객을 대신하여 AWS DataSync 에이전트를 수동으로 프로비저닝하며 AWS DataSync Amazon EC2 AMI에서 WIGS 수집 프로세스가 필요하지 않습니다.

# AMS SSP를 사용하여 AMS 계정 AWS Device Farm 에서 프로비저닝
<a name="device-farm"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하면 AMS 관리형 계정에서 직접 AWS Device Farm 기능에 액세스할 수 있습니다. AWS Device Farm 는 테스트 인프라를 프로비저닝하고 관리할 필요 없이 광범위한 데스크톱 브라우저와 실제 모바일 디바이스에서 웹 및 모바일 앱을 테스트하여 웹 및 모바일 앱의 품질을 개선할 수 있는 애플리케이션 테스트 서비스입니다. 이 서비스를 사용하면 여러 데스크톱 브라우저 또는 실제 디바이스에서 동시에 테스트를 실행하여 테스트 제품군 실행 속도를 높이고 비디오와 로그를 생성하여 앱 문제를 빠르게 식별할 수 있습니다.

자세한 내용은 [AWS Device Farm](https://aws.amazon.com/device-farm/)를 참조하세요.

## AWS Device Farm AWS Managed Services FAQ의
<a name="device-farm-faqs"></a>

**Q: AMS 계정 AWS Device Farm 에서에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_devicefarm_role`.

계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정 AWS Device Farm 에서 사용에 대한 제한 사항은 무엇인가요?**

'Name' 태그에서 AMS 네임스페이스를 사용하는 경우를 제외하고 AWS Device Farm 서비스에 대한 전체 액세스 권한이 제공됩니다.

**Q: AMS 계정 AWS Device Farm 에서를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

없음.

# AMS SSP를 사용하여 AMS 계정 AWS Elastic Disaster Recovery 에서 프로비저닝
<a name="elastic-disaster-recovery"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하면 AMS 관리형 계정에서 직접 AWS Elastic Disaster Recovery 기능에 액세스할 수 있습니다.는 저렴한 스토리지, 최소 컴퓨팅 및 point-in-time으로 복구를 사용하여 온프레미스 및 클라우드 기반 애플리케이션을 빠르고 안정적으로 복구하여 가동 중지 시간과 데이터 손실을 AWS Elastic Disaster Recovery 최소화합니다. AWS Elastic Disaster Recovery 를 사용하여 지원되는 운영 체제에서 실행되는 온프레미스 또는 클라우드 기반 애플리케이션을 복제할 때 IT 복원력을 높일 수 있습니다. AWS Management Console 를 사용하여 복제 및 시작 설정을 구성하고, 데이터 복제를 모니터링하고, 드릴 또는 복구를 위해 인스턴스를 시작합니다.

자세한 내용은 [AWS Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/)를 참조하세요.

## AWS Elastic Disaster Recovery AWS Managed Services FAQ의
<a name="elastic-disaster-recovery-faqs"></a>

**Q: AMS 계정 AWS Elastic Disaster Recovery 에서에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_drs_console_role`.

계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정 AWS Elastic Disaster Recovery 에서 사용에 대한 제한 사항은 무엇인가요?**

AMS 계정 AWS Elastic Disaster Recovery 에서 사용할 수 있는 제한은 없습니다.

**Q: AMS 계정 AWS Elastic Disaster Recovery 에서를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**
+ 콘솔 역할에 액세스한 후에는 Elastic Disaster Recovery 서비스를 초기화하여 계정 내에서 필요한 IAM 역할을 생성해야 합니다.
  + 인스턴스 프로파일의 복제본을 생성하고 `AWSElasticDisasterRecoveryEc2InstancePolicy` 정책을 `customer-mc-ec2-instance-profile` 연결하려면 변경 유형 관리 \$1 애플리케이션 \$1 IAM 인스턴스 프로파일 \$1 생성(관리형 자동화) 변경 유형 ct-0ixp4ch2tiu04 RFC를 제출해야 합니다. 새 정책을 연결할 시스템을 지정해야 합니다.
  + 인스턴스가 기본 인스턴스 프로파일을 사용하지 않는 경우 AMS는 자동화를 `AWSElasticDisasterRecoveryEc2InstancePolicy` 통해 연결할 수 있습니다.
+ 교차 계정 복구에는 고객 소유 KMS 키를 사용해야 합니다. 대상 계정 액세스를 허용하려면 정책에 따라 소스 계정의 KMS 키를 업데이트해야 합니다. 자세한 내용은 [대상 계정과 EBS 암호화 키 공유를 참조하세요](https://docs.aws.amazon.com/drs/latest/userguide/multi-account.html#multi-account-ebs).
+ 볼 역할을 전환하지 않으려면 허용에서 정책을 `customer_drs_console_role` 볼 수 있도록 KMS 키 정책을 업데이트해야 합니다.
+ 교차 계정, 교차 리전 재해 복구의 경우 AMS는 소스 및 대상 계정을 신뢰할 수 있는 계정으로 설정하고 [장애 복구 및AWS 오른쪽 크기 조정 역할을](https://docs.aws.amazon.com/drs/latest/userguide/trusted-accounts-failback-role.html)를 통해 배포해야 합니다 CloudFormation.

# AMS SSP를 사용하여 AMS 계정 AWS Elemental MediaConvert 에서 프로비저닝
<a name="amz-elemental-media-convert"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS Elemental MediaConvert 기능에 액세스할 수 있습니다. AWS Elemental MediaConvert 는 브로드캐스트 등급 기능이 있는 파일 기반 비디오 트랜스코딩 서비스입니다. 이를 통해 대규모로 브로드캐스트 및 멀티스크린 전송을 위한 video-on-demand(VOD) 콘텐츠를 생성할 수 있습니다. 이 서비스는 고급 비디오 및 오디오 기능을 간단한 웹 서비스 인터페이스 및 종량제 요금과 결합합니다. 를 사용하면 자체 비디오 처리 인프라를 구축하고 운영하는 복잡성에 대해 걱정할 필요 없이 매력적인 미디어 경험을 제공하는 데 집중할 AWS Elemental MediaConvert수 있습니다.

자세한 내용은 [AWS Elemental MediaConvert](https://aws.amazon.com/mediaconvert/)를 참조하세요.

## AWS Managed Services FAQ의 MediaConvert
<a name="set-amz-ecs-faqs"></a>

**Q: AMS 계정에서 MediaConvert에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_mediaconvert_author_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

소스 S3 버킷에서 읽고 대상 S3 버킷에 출력을 쓰S3고 디지털 권한 관리(DRM)`customer_MediaConvert_Default_Role`가 필요한 경우 API 게이트웨이를 호출하기 위해 MediaConvert에서 사용하는 두 번째 역할인이 제공됩니다.

**Q: AMS 계정에서 MediaConvert를 사용할 때 제한 사항은 무엇인가요?**

AMS에서 MediaConvert를 사용하는 데는 제한이 없습니다.

**Q: AMS 계정에서 MediaConvert를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

AMS 계정에서 MediaConvert를 사용하기 위한 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정 AWS Elemental MediaLive 에서 프로비저닝
<a name="elemental-media-live"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS Elemental MediaLive 기능에 액세스할 수 있습니다. AWS Elemental MediaLive 는 브로드캐스트급 라이브 비디오 처리 서비스입니다. 이를 통해 TV 방송 및 연결된 TV, 태블릿, 스마트폰, 셋톱 박스와 같은 인터넷 연결 멀티스크린 디바이스로 전송하기 위한 고품질 비디오 스트림을 생성할 수 TVs. 이 서비스는 라이브 비디오 스트림을 실시간으로 인코딩하고, 더 큰 크기의 라이브 비디오 소스를 가져와 뷰어에게 배포할 수 있도록 더 작은 버전으로 압축하는 방식으로 작동합니다. AWS Elemental MediaLive를 사용하면 고급 방송 기능, 고가용성 및 pay-as-you-go 요금을 사용하여 라이브 이벤트와 24x7 채널 모두에 대한 스트림을 쉽게 설정할 수 있습니다. AWS Elemental MediaLive 를 사용하면 방송 등급 비디오 처리 인프라를 구축하고 운영하는 복잡성 없이 시청자에게 매력적인 라이브 비디오 경험을 만드는 데 집중할 수 있습니다.

자세한 내용은 [AWS Elemental MediaLive](https://aws.amazon.com/medialive/)를 참조하세요.

## AWS Managed Services FAQ의 MediaLive
<a name="elemental-media-live-faqs"></a>

**Q: AMS 계정에서 MediaLive에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_medialive_author_role`.

이 RFC의 일부로 두 번째 역할이 계정에 배포됩니다. `customer_medialive_service_role` 역할은 Media Live 채널 및 입력에 할당되어 Amazon S3, MediaStore 및 CloudWatch Logs와 같은 다른 서비스와 상호 작용할 수 있습니다.

계정에 역할이 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 MediaLive를 사용할 때 제한 사항은 무엇인가요?**

AMS에서 MediaLive를 사용하는 데는 제한이 없습니다.

**Q: AMS 계정에서 MediaLive를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

AMS 계정에서 MediaLive를 사용하기 위한 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정 AWS Elemental MediaPackage 에서 프로비저닝
<a name="amz-elemental-media-package"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS Elemental MediaPackage 기능에 액세스할 수 있습니다.는 인터넷을 통한 전송을 위해 비디오를 AWS Elemental MediaPackage 안정적으로 준비하고 보호합니다. AWS Elemental MediaPackage 는 단일 비디오 입력으로 연결된 TV, 컴퓨터, 태블릿 및 게임 콘솔에서 재생할 수 있는 형식의 비디오 스트림을 생성합니다. 이를 통해 DVRs에서 일반적으로 볼 수 있는 것과 같이 뷰어에게 인기 있는 비디오 기능(시작, 일시 중지, 되감기 등)을 쉽게 구현할 수 있습니다. AWS Elemental MediaPackage 는 디지털 권한 관리(DRM)를 사용하여 콘텐츠를 보호할 수도 있습니다.는 로드에 따라 자동으로 AWS Elemental MediaPackage 규모를 조정하므로 뷰어는 필요한 용량을 미리 정확하게 예측하지 않고도 항상 훌륭한 경험을 할 수 있습니다.

자세한 내용은 [AWS Elemental MediaPackage](https://aws.amazon.com/mediapackage/)를 참조하세요.

## AWS Managed Services MediaPackage FAQ
<a name="set-amz-elemental-media-package-faqs"></a>

**Q: AMS 계정 AWS Elemental MediaPackage 에서에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_mediapackage_author_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

S3 및 Secrets Manager와 같은 다른 서비스와 상호 작용하기 위해 Media Live 채널 및 입력에 할당할 수 있는 두 번째 역할 `customer_mediapackage_service_role`가 제공됩니다.

**Q: AMS 계정에서 MediaPackage를 사용할 때 제한 사항은 무엇인가요?**

AMS에서 MediaPackage를 사용하는 데는 제한이 없습니다.

**Q: AMS 계정에서 MediaPackage를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

AMS 계정에서 MediaPackage를 사용하기 위한 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정 AWS Elemental MediaStore 에서 프로비저닝
<a name="elemental-media-store"></a>

**참고**  
신중한 고려 후 AWS 는 2025년 11월 13일부터 MediaStore를 중단하기로 결정했습니다. MediaStore의 활성 고객인 경우 서비스 지원이 종료되는 2025년 11월 13일까지 MediaStore를 정상적으로 사용할 수 있습니다. 이 날짜 이후에는 MediaStore 또는이 서비스에서 제공하는 기능을 더 이상 사용할 수 없습니다.

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS Elemental MediaStore 기능에 액세스할 수 있습니다. AWS Elemental MediaStore 는 미디어에 최적화된 AWS 스토리지 서비스입니다. 라이브 스트리밍 비디오 content. AWS Elemental MediaStore acts를 비디오 워크플로의 오리진 스토어로 제공하는 데 필요한 성능, 일관성 및 짧은 지연 시간을 제공합니다. 고성능 기능은 장기적이고 비용 효율적인 스토리지와 함께 가장 까다로운 미디어 전송 워크로드의 요구 사항을 충족합니다. 자세한 내용은 [AWS Elemental MediaStore](https://aws.amazon.com/mediastore/)를 참조하세요.

## AWS Managed Services FAQ의 MediaStore
<a name="elemental-media-store-faqs"></a>

**Q: AMS 계정에서 MediaStore에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여 MediaStore에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_mediastore_author_role`. 이 RFC의 일부로 두 번째 역할이 계정에 배포됩니다.이 역할은 해당 기능을 활성화하도록 선택한 경우 MediaStore 서비스가 CloudWatch에서 활동을 로깅하는 데 사용하는 `MediaStoreAccessLogs` 역할입니다. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

현재 AMS Operations는 계정에이 서비스 역할인 도 배포합니다`aws_code_pipeline_service_role_policy`.

**Q: AMS 계정에서 MediaStore를 사용할 때 제한 사항은 무엇인가요?**

AMS에서 MediaStore를 사용하는 데는 제한이 없습니다.

**Q: AMS 계정에서 MediaStore를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

AMS 계정에서 MediaStore를 사용하기 위한 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정 AWS Elemental MediaTailor 에서 프로비저닝
<a name="amz-elemental-media-tailor"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하면 AMS 관리형 계정에서 직접 AWS Elemental MediaTailor 기능에 액세스할 수 있습니다. AWS Elemental MediaTailor lets 비디오 공급자는 브로드캐스트 수준 quality-of-service 저하시키지 않고 비디오 스트림에 개별 대상 광고를 삽입합니다. 를 사용하면 라이브 또는 온디맨드 비디오의 AWS Elemental MediaTailor시청자는 콘텐츠를 맞춤형 광고와 결합하는 스트림을 수신합니다. 그러나 다른 개인 맞춤형 광고 솔루션과 달리 AWS Elemental MediaTailor 전체 스트림, 즉 비디오 및 광고는 시청자의 경험을 개선하기 위해 브로드캐스트 등급 비디오 품질로 제공됩니다.는 클라이언트 및 서버 측 광고 전송 지표를 모두 기반으로 자동 보고를 AWS Elemental MediaTailor 제공하여 광고 노출 및 시청자 동작을 정확하게 측정합니다. 를 사용하면 선결제 비용 없이 예상치 못한 고수요 시청 이벤트를 쉽게 수익화할 수 있습니다 AWS Elemental MediaTailor. 또한 광고 전송률을 개선하여 모든 비디오에서 더 많은 비용을 절감할 수 있으며 다양한 콘텐츠 전송 네트워크, 광고 결정 서버 및 클라이언트 디바이스에서 작동합니다.

자세한 내용은 [AWS Elemental MediaTailor](https://aws.amazon.com/mediatailor/)를 참조하세요.

## AWS Managed Services FAQ의 MediaTailor
<a name="set-amz-elemental-media-tailor-faqs"></a>

**Q: AMS 계정에서 MediaTailor에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여 MediaTailor에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer-mediatailor-role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 MediaTailor를 사용할 때 적용되는 제한 사항은 무엇인가요?**

AMS에서 MediaTailor를 사용하는 데는 제한이 없습니다.

**Q: AMS 계정에서 MediaTailor를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

AMS 계정에서 MediaTailor를 사용하기 위한 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정 AWS Global Accelerator 에서 프로비저닝
<a name="global-acc"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 Global Accelerator 기능에 액세스할 수 있습니다. Global Accelerator는 글로벌 고객이 사용하는 인터넷 애플리케이션의 가용성과 성능을 개선하기 위해 액셀러레이터를 생성하는 네트워크 계층 서비스입니다. 자세한 내용은 [Global Accelerator](https://aws.amazon.com/global-accelerator/)를 참조하세요.

## AWS Managed Services FAQ의 Global Accelerator
<a name="set-global-acc-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에 Global Accelerator를 설정하도록 요청하려면 어떻게 해야 하나요?**

 AWS 서비스 RFC(관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스) 제출을 통해 액세스를 요청합니다. 이 RFC를 통해 계정에 다음 IAM 역할이 프로비저닝됩니다`customer_global_accelerator_console_role`. 계정에 프로비저닝한 후에는 페더레이션 솔루션에서 콘솔 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Global Accelerator를 사용하는 데 따르는 제한 사항은 무엇인가요?**

Global Accelerator는 리전 [AWS 테이블에](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) 나열된 여러 AWS 리전의 엔드포인트를 지원하는 글로벌 서비스입니다.

**Q: AMS 계정에서 Global Accelerator를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

Global Accelerator를 사용하여 액셀러레이터를 설정할 때 정적 IP 주소를 하나 이상의 AWS 리전의 리전 엔드포인트에 연결합니다. 표준 액셀러레이터의 경우, 엔드포인트는 Network Load Balancer, Application Load Balancer, Amazon EC2 인스턴스 또는 탄력적 IP 주소입니다. 사용자 지정 라우팅 액셀러레이터의 경우 엔드포인트는 하나 이상의 EC2 인스턴스가 있는 Virtual Private Cloud(VPC) 서브넷입니다.

# AMS SSP를 사용하여 AMS 계정 AWS Glue 에서 프로비저닝
<a name="glue"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS Glue 기능에 액세스할 수 있습니다. AWS Glue 는 분석을 위해 데이터를 준비하고 로드하는 데 도움이 되는 완전 관리형 추출, 변환 및 로드(ETL) 서비스입니다. 에서 몇 번의 클릭으로 ETL 작업을 생성하고 실행할 수 있습니다 AWS Management Console. 에 저장된 데이터를 AWS Glue 가리키면 AWS가 데이터를 AWS Glue 검색하고 관련 메타데이터(예: 테이블 정의 및 스키마)를에 저장합니다 AWS Glue Data Catalog. 카탈로그가 작성되면 데이터를 즉시 검색하고 쿼리할 수 있으며 ETL 작업에 사용할 수 있습니다. 자세한 내용은 [AWS Glue](https://aws.amazon.com/glue/)를 참조하세요.

## AWS Glue AWS Managed Services FAQ의
<a name="set-glue-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에 설정 AWS Glue 하도록 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 변경 유형 추가(ct-1w8z66n899dct)를 사용하여 RFC를 AWS Glue 제출하여에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다.
+ `customer_glue_console_role`
+ `customer_glue_service_role`

앞의 역할에는 다음과 같은 연결된 정책이 포함됩니다.
+ `customer_glue_secrets_manager_policy`
+ `customer_glue_deny_policy`

 계정에 역할이 프로비저닝된 후에는 페더레이션 솔루션에서 역할을 온보딩해야 합니다.

크롤러, 작업 및 개발 엔드포인트(특정 사용 사례에 필요한 역할)에 액세스하려면 배포 \$1 고급 스택 구성 요소 \$1 Identity and Access Management(IAM) \$1 개체 또는 정책 생성(ct-3dpd8mdd9jn1r)을 사용하여 RFC를 제출합니다.

**Q: AMS 계정 AWS Glue 에서 사용에 대한 제한 사항은 무엇인가요?**

제한은 없습니다. 의 전체 기능은 AMS 계정에서 AWS Glue 사용할 수 있습니다. ETL 스크립트를 작성하고 테스트할 수 있는 대화형 환경의 경우 AWS Glue Studio에서 노트북을 사용합니다. AWS Glue 대화형 세션 및 작업 노트북은에서 사용할 AWS Glue 수 AWS Glue 있고 AWS Glue 서비스 역할을 사용하는의 서버리스 기능입니다.

**AWS Glue 2.0 이전:** AWS Glue Notebooks는 계정에서 Amazon EC2 인스턴스를 시작하는 비관리형 리소스입니다. 자체 Amazon EC2 인스턴스를 시작하고 노트북 환경 및 개발을 지원하는 데 필요한 소프트웨어를 설치하는 것이 모범 사례입니다. 자세한 내용은 [자습서: ETL 스크립트를 테스트 및 디버깅하기 위한 로컬 Apache Zeppelin 노트북 설정](https://docs.aws.amazon.com/glue/latest/dg/dev-endpoint-tutorial-local-notebook.html) 및 스크립트 [ 개발을 위한 개발 엔드포인트 사용을 참조하세요](https://docs.aws.amazon.com/glue/latest/dg/dev-endpoint.html).

**Q: AMS 계정 AWS Glue 에서를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

AWS Glue 에는 Amazon S3, CloudWatch 및 CloudWatch Logs에 대한 종속성이 있습니다. 전이적 종속성은 데이터 소스에 따라 다르며, 다른 AWS Glue 서비스 기능은와 상호 작용할 수 있습니다(예: Amazon Redshift, Amazon RDS, Athena).

# AMS SSP를 사용하여 AMS 계정 AWS Lake Formation 에서 프로비저닝
<a name="lake-formation"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS Lake Formation 기능에 액세스할 수 있습니다. AWS Lake Formation 는 며칠 내에 보안 데이터 레이크를 쉽게 설정할 수 있는 서비스입니다. 데이터 레이크는 모든 데이터를 원래 형식과 분석을 위한 형식 모두로 저장하는 큐레이팅된 중앙 집중식 보안 리포지토리입니다. 데이터 레이크를 사용하면 데이터 사일로를 분해하고 다양한 유형의 분석을 결합하여 인사이트를 얻고 더 나은 비즈니스 결정을 내릴 수 있습니다.

Lake Formation을 사용하여 데이터 레이크를 생성하는 작업은 아주 간단해서, 데이터 소스와 적용할 데이터 액세스 및 보안 정책을 정의하면 됩니다. 그런 다음 Lake Formation을 사용하여 데이터베이스 및 객체 스토리지에서 데이터를 수집하여 카탈로그화하고, 데이터를 새로운 Amazon S3 데이터 레이크로 이동하고, Machine Learning 알고리즘을 사용하여 데이터를 정리 및 분류하고, 중요한 데이터에 안전하게 액세스할 수 있습니다. 사용자는 사용 가능한 데이터 세트와 적절한 사용을 설명하는 중앙 집중식 데이터 카탈로그(자세한 내용은 [AWS Glue FAQ](https://aws.amazon.com/glue/faqs/#AWS_Glue_Data_Catalog/) 참조)에 액세스할 수 있습니다. 그런 다음 사용자는 Amazon [Redshift, Amazon](https://aws.amazon.com/redshift/) [Amazon Athena](https://aws.amazon.com/athena/) 및 (베타) [Amazon EMR](https://aws.amazon.com/emr/) for Apache Spark와 같은 다양한 분석 및 기계 학습 서비스와 함께 이러한 데이터 세트를 활용합니다. Lake Formation은에서 사용할 수 있는 기능을 기반으로 합니다[AWS Glue](https://aws.amazon.com/glue/).

자세한 내용은 [AWS Lake Formation](https://aws.amazon.com/lake-formation/)를 참조하세요.

## AWS Managed Services FAQ의 Lake Formation
<a name="set-lake-formation-faqs"></a>

**Q: AMS 계정 AWS Lake Formation 에서에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_lakeformation_data_analyst_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

또한 다음 두 가지 역할은 선택 사항입니다.
+ `customer_lakeformation_admin_role`
+ `customer_lakeformation_workflow_role`

관리자 권한의 경우 동일한 SSPS 변경 유형(ct-3qe6io8t6jtny)의 `customer_lakeformation_admin_role` 일부로 역할을 온보딩하도록 선택할 수 있습니다.

 AWS Lake Formation 콘솔에서 블루프린트를 생성하려면 관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하고 명시적으로를 추가하여를 배포해야 합니다`customer_lakeformation_workflow_role`. RFC에서 블루프린트가 생성될 때 버킷이 소스인 경우 S3 버킷 이름을 제공해야 합니다. S3 버킷은 블루프린트 유형이 AWS CloudTrail Classic Load Balancer Logs 또는 Application Load Balancer Logs인 경우에 적용됩니다.

**Q: AMS 계정 AWS Lake Formation 에서 사용에 대한 제한 사항은 무엇인가요?**

Lake Formation의 전체 기능은 AMS에서 사용할 수 있습니다.

**Q: AMS 계정 AWS Lake Formation 에서를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

Lake Formation은 AWS Glue 서비스와 통합되므로 AWS Glue 사용자는 Lake Formation 권한이 있는 데이터베이스 및 테이블에만 액세스할 수 있습니다. 또한 AWS Athena 및 Amazon Redshift 사용자는 Lake Formation 권한이 있는 AWS Glue 데이터베이스와 테이블만 쿼리할 수 있습니다.

# AMS SSP를 사용하여 AMS 계정 AWS Lambda 에서 프로비저닝
<a name="lambda"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS Lambda 기능에 액세스합니다. 서버를 프로비저닝하거나 관리하지 않고 코드를 실행할 수 AWS Lambda 있습니다. 사용한 컴퓨팅 시간에 대해서만 비용을 지불하면 코드가 실행되지 않을 때 요금이 부과되지 않습니다. Lambda를 사용하면 사실상 모든 유형의 애플리케이션 또는 백엔드 서비스에 대한 코드를 제로 관리로 실행할 수 있습니다. 코드를 업로드하면 Lambda가 고가용성으로 코드를 실행하고 확장하는 데 필요한 모든 것을 처리합니다. 코드를 설정하여 다른 AWS 서비스에서 자동으로 트리거하거나 웹 또는 모바일 앱에서 직접 호출할 수 있습니다. 자세한 내용은 [AWS Lambda](https://aws.amazon.com/lambda/)를 참조하세요.

## AWS Managed Services FAQ의 Lambda
<a name="set-lambda-faqs"></a>

**Q: AMS 계정 AWS Lambda 에서에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 및 IAM 역할을 프로비저닝합니다`customer_lambda_admin_role``customer_lambda_basic_execution_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정 AWS Lambda 에서 사용에 대한 제한 사항은 무엇인가요?**
+ Lambda 함수는 이벤트 소스에서 호출하도록 설계되었습니다. Lambda 이벤트 소스로 사용할 수 있는 서비스 목록은 [다른 서비스와 AWS Lambda 함께 사용을](https://docs.aws.amazon.com/lambda/latest/dg/lambda-services.html) 참조하세요. 현재 AMS 계정에서 이러한 서비스를 모두 사용할 수 있는 것은 아닙니다. 사용할 수 없는 서비스가 필요한 경우 AMS CSDM과 협력하여 예외를 제출합니다.
+ 기본적으로 AMS는 `AWSLambdaBasicExecutionRole` 및 `AWSXrayWriteOnlyAccess` 권한이 포함된 기본 Lambda 시작 역할을 제공합니다. 자세한 내용은 [AWS Lambda 시작 역할을 참조하세요](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html). AMS VPC 내에서 Lambda 함수를 프로비저닝하는 기능과 같은 추가 권한이 필요한 경우 관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 사용하여 RFC를 제출합니다.

**Q: AMS 계정 AWS Lambda 에서를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

시작하기 위한 사전 조건이나 종속성은 없지만 AWS Lambda특정 사용 사례에 따라 이벤트 소스를 생성하기 위해 다른 AWS 서비스에 액세스해야 하거나 함수가 다양한 작업을 수행할 수 있는 추가 권한이 필요할 수 있습니다. 추가 권한이 필요한 경우 관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화) 변경 유형(ct-3qe6io8t6jtny)을 사용하여 RFC를 제출합니다.

**Q: 내 계정에서 Lambda 함수를 실행하려면 어떻게 해야 하나요?**

코어 계정에 Lambda 함수를 배포하려면 다음 지침을 사용합니다.
+ 에 대한 SSPS AWS Lambda 가 온보딩되었는지 확인합니다.
+ AMS 리소스가 보호되고 규정을 준수하는 한 AMS 책임에 따라이 배포를 금지하는 구체적인 제한은 없습니다.
+ AMS가 Lambda 함수를 생성하도록 하려면 먼저 제공된 SSPS 역할을 사용해야 합니다 AWS Lambda. 그런 다음 AMS 지원이 함수를 배포하거나 지원하도록 하려면 CA에 문의하여 범위 외(OOS) 프로세스를 시작합니다.

# AMS SSP를 사용하여 AMS 계정 AWS License Manager 에서 프로비저닝
<a name="license-manager"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하면 AMS 관리형 계정에서 직접 AWS License Manager 기능에 액세스할 수 있습니다.는 AWS 서비스와 AWS License Manager 통합되어 단일 AWS 계정을 통해 여러 AWS 계정, IT 카탈로그 및 온프레미스에서 라이선스 관리를 간소화합니다.를 AWS License Manager 사용하면 관리자가 라이선스 계약 조건을 에뮬레이션하는 사용자 지정 라이선스 규칙을 생성한 다음 Amazon EC2 인스턴스가 시작될 때 이러한 규칙을 적용할 수 있습니다. 의 규칙을 AWS License Manager 사용하면 인스턴스 시작을 물리적으로 중지하거나 관리자에게 위반 사실을 알림으로써 라이선스 위반을 제한할 수 있습니다. 자세한 내용은 [AWS License Manager](https://aws.amazon.com/license-manager/)를 참조하세요.

## AWS Managed Services FAQ의 License Manager
<a name="set-license-manager-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에 설정 AWS License Manager 하도록 요청하려면 어떻게 해야 하나요?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 AWS License Manager 제출하여에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_license_manager_role`. License Manager IAM 역할이 계정에 프로비저닝되면 페더레이션 솔루션에서 역할을 온보딩해야 합니다.

**Q: AMS 계정 AWS License Manager 에서 사용에 대한 제한 사항은 무엇인가요?**

소유한 AMI에 AWS License Manager 규칙을 연결할 수 있습니다("Owned by me"에서 필터링됨). AMIs AMI에 대한 제한 연결을 적용하고(예:이 AMI의 vCPU 100개만 지원 가능) 제한을 소진하도록 선택하면 해당 AMI를 사용한 향후 시작이 차단되고 "사용 가능한 라이선스 없음"이라는 오류가 반환됩니다. 이는이 서비스의 의도된 동작입니다(라이선스 소진을 허용하지 않음). 한도를 소진했지만 AMI를 다시 시작해야 하는 경우에 구성된 규칙을 수정해야 합니다 AWS License Manager.

**Q: AMS 계정 AWS License Manager 에서를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

AMS 계정 AWS License Manager 에서 사용할 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정 AWS Migration Hub 에서 프로비저닝
<a name="migration-hub"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS Migration Hub 기능에 액세스할 수 있습니다.는 여러 AWS 및 파트너 솔루션에서 애플리케이션 마이그레이션의 진행 상황을 추적할 수 있는 단일 위치를 AWS Migration Hub 제공합니다. Migration Hub를 사용하면 필요에 가장 적합한 AWS 및 파트너 마이그레이션 도구를 선택하는 동시에 애플리케이션 포트폴리오 전반의 마이그레이션 상태를 파악할 수 있습니다. 또한 Migration Hub는 마이그레이션에 사용되는 도구에 관계없이 개별 애플리케이션에 대한 주요 지표와 진행 상황을 제공합니다. 이를 통해 모든 마이그레이션에서 진행 상황을 빠르게 업데이트하고, 문제를 쉽게 식별 및 해결하며, 마이그레이션 프로젝트에 소요되는 전체 시간과 노력을 줄일 수 있습니다. 자세한 내용은 [AWS Migration Hub](https://aws.amazon.com/migration-hub/)를 참조하세요.

## AWS Managed Services FAQ의 Migration Hub
<a name="set-migration-hub-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에서 Migration Hub에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여 Migration Hub에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_migrationhub_author_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: Migration Hub의 제한 사항은 무엇인가요?**

없음.

**Q: Migration Hub를 활성화하기 위한 사전 조건은 무엇입니까?**

AMS 계정에서 Migration Hub 사용을 시작하기 위한 사전 조건은 없습니다. 그러나 서비스 관리 중에 서버 정보를 업로드하기 위해 Amazon S3에 권한을 쓰는 등 Migration Hub 외부의 권한이 필요할 수 있습니다.

# AMS SSP를 사용하여 AMS 계정 AWS Outposts 에서 프로비저닝
<a name="outposts"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS Outposts 기능에 액세스할 수 있습니다. AWS Outposts 는 인프라 AWS , AWS 서비스, APIs 및 도구를 사실상 모든 데이터 센터, 코로케이션 공간 또는 온프레미스 시설로 확장하여 일관된 하이브리드 환경을 제공하는 완전 관리형 서비스입니다. AWS Outposts 는 온프레미스 시스템, 로컬 데이터 처리 또는 로컬 데이터 스토리지에 대한 짧은 지연 시간 액세스가 필요한 워크로드에 적합합니다. 자세한 내용은 [AWS Outposts](https://aws.amazon.com/outposts/)를 참조하세요.

## AWS Outposts AWS Managed Services FAQ의
<a name="set-outposts-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에 설정 AWS Outposts 하도록 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 추가(ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 AWS Outposts 제출하여에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_outposts_role`. 계정에 역할이 프로비저닝되면 페더레이션 솔루션에 온보딩해야 합니다.

**Q: AMS 계정 AWS Outposts 에서 사용에 대한 제한 사항은 무엇입니까?**

AMS 계정 AWS Outposts 에서를 사용하는 데는 제한이 없습니다.

**Q: AMS 계정 AWS Outposts 에서를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

AMS 계정 AWS Outposts 에서 사용할 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정 AWS Resilience Hub 에서 프로비저닝
<a name="res-hub"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하면 AMS 관리형 계정에서 직접 AWS Resilience Hub 기능에 액세스할 수 있습니다.는 AWS 애플리케이션을 사전에 준비하고 중단으로부터 보호할 수 있도록 AWS Resilience Hub 지원합니다. Resilience Hub는 소프트웨어 개발 수명 주기에 통합되는 복원력 평가 및 검증을 제공하여 복원력 약점을 찾아냅니다. Resilience Hub는 애플리케이션이 Recovery Time Objective(RTO) 및 Recovery Point Objective(RPO) 목표를 충족할 수 있는지 여부를 추정하고 프로덕션으로 릴리스되기 전에 문제를 해결하는 데 도움이 됩니다. AWS 애플리케이션을 프로덕션에 배포한 후 Resilience Hub를 사용하여 애플리케이션의 복원력 상태를 계속 추적할 수 있습니다. 중단이 발생하면 Resilience Hub는 운영자에게 관련 복구 프로세스를 시작하라는 알림을 보냅니다.

## AWS Resilience Hub AWS Managed Services FAQ의
<a name="set-res-hub-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정 AWS Resilience Hub 에서에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여 Resilience Hub에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음과 같은 IAM 역할 및 정책을 프로비저닝합니다.

**IAM 역할**
+ `customer_resiliencehub_console_role`
+ `customer_resiliencehub_service_role`

**정책**
+ `customer_resiliencehub_console_policy`
+ `customer_resiliencehub_service_policy`

계정에 역할이 프로비저닝된 후 페더레이션 솔루션`customer_resiliencehub_console_role`에서 역할을 온보딩해야 합니다.

**Q: AMS 계정 AWS Resilience Hub 에서 사용에 대한 제한 사항은 무엇입니까?**

제한은 없습니다. Resilience Hub의 전체 기능은 AMS 계정에서 사용할 수 있습니다.

**Q: AMS 계정 AWS Resilience Hub 에서를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

AMS 계정에서 Resilience Hub를 사용하기 위한 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정 AWS Secrets Manager 에서 프로비저닝
<a name="secrets-manager"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS Secrets Manager 기능에 액세스할 수 있습니다. 애플리케이션, 서비스 및 IT 리소스에 액세스하는 데 필요한 보안 암호를 AWS Secrets Manager 보호할 수 있습니다. 서비스를 사용하면 수명 주기 동안 데이터베이스 자격 증명, API 키 및 기타 보안 암호를 쉽게 교체, 관리 및 검색할 수 있습니다. 사용자와 애플리케이션은 Secrets Manager APIs를 호출하여 보안 암호를 검색하므로 민감한 정보를 일반 텍스트로 하드코딩할 필요가 없습니다. Secrets Manager는 Amazon RDS, Amazon Redshift 및 Amazon DocumentDB에 대한 통합 기능이 내장된 보안 로테이션을 제공합니다. 또한 이 서비스는 API 키 및 OAuth 토큰을 비롯한 다른 유형의 보안 암호로 확장할 수 있습니다. 자세한 내용은 [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/)를 참조하세요.

**참고**  
기본적으로 AMS 운영자 AWS Secrets Manager 는 계정의 기본 AWS KMS 키(CMK)를 사용하여 암호화된의 보안 암호에 액세스할 수 있습니다. AMS 작업에 보안 암호에 액세스할 수 없도록 하려면 보안 암호에 저장된 데이터에 적합한 권한을 정의하는 AWS Key Management Service (AWS KMS) 키 정책과 함께 사용자 지정 CMK를 사용합니다.

## AWS Managed Services FAQ의 Secrets Manager
<a name="set-secrets-manager-faqs"></a>

**Q: AMS 계정 AWS Secrets Manager 에서에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(ct-3qe6io8t6jtny) 변경 유형을 사용하여 RFC를 제출하여 Secrets Manager에 대한 액세스를 요청합니다. 이 RFC는 계정에 및 IAM 역할을 프로비저닝합니다`customer_secrets_manager_console_role``customer-rotate-secrets-lambda-role`. `customer_secrets_manager_console_role`는 보안 암호를 프로비저닝하고 관리하는 관리자 역할로 사용되며 보안 암호를 교체하는 Lambda 함수의 Lambda 실행 역할로 `customer-rotate-secrets-lambda-role` 사용됩니다. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 `customer_secrets_manager_console_role` 역할을 온보딩해야 합니다.

**Q: AMS 계정 AWS Secrets Manager 에서 사용에 대한 제한 사항은 무엇인가요?**

의 전체 기능은 보안 암호의 자동 교체 기능과 함께 AMS 계정에서 AWS Secrets Manager 사용할 수 있습니다. 그러나 '교체 수행을 위한 새 Lambda 함수 생성'을 사용하여 교체를 설정하는 것은 지원되지 않습니다. 변경 관리 프로세스를 우회하는 CloudFormation 스택을 생성하려면 승격된 권한(IAM 역할 및 Lambda 함수 생성)이 필요하기 때문입니다. AMS Advanced는 Lambda SSPS 관리자 역할을 사용하여 보안 암호를 교체하는 Lambda 함수를 관리하는 '기존 AWS Lambda 함수를 사용하여 교체 수행'만 지원합니다. AMS Advanced는 보안 암호를 교체하기 위해 Lambda를 생성하거나 관리하지 않습니다.

**Q: AMS 계정 AWS Secrets Manager 에서를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

다음 네임스페이스는 AMS에서 사용하도록 예약되어 있으며 AWS Secrets Manager직접 액세스의 일부로 사용할 수 없습니다.
+ arn:aws:secretsmanager:\$1:\$1:secret:ams-shared/\$1
+ arn:aws:secretsmanager:\$1:\$1:secret:customer-shared/\$1
+ arn:aws:secretsmanager:\$1:\$1:secret:ams/\$1

## Secrets Manager(AMS SSPS)를 사용하여 키 공유
<a name="set-secrets-manager-sharing"></a>

RFC, 서비스 요청 또는 인시던트 보고서의 일반 텍스트로 AMS와 암호를 공유하면 정보 공개 인시던트가 발생하고 AMS는 사례에서 해당 정보를 수정하고 키를 재생성하는 요청을 수정합니다.

이 네임스페이스에서 [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/) (Secrets Manager)를 사용할 수 있습니다`customer-shared`.

![\[Secrets Manager 워크플로.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/images/secretsManager.png)


### Secrets Manager FAQ를 사용하여 키 공유
<a name="set-secrets-manager-sharing-faqs"></a>

**Q: Secrets Manager를 사용하여 공유해야 하는 보안 암호 유형은 무엇입니까?**

몇 가지 예는 VPN 생성을 위한 사전 공유 키, 인증 키(IAM, SSH), 라이선스 키 및 암호와 같은 기밀 키입니다.

**Q: Secrets Manager를 사용하여 AMS와 키를 공유하려면 어떻게 해야 합니까?**

1. 페더레이션 액세스 및 적절한 역할을 사용하여 AWS 관리 콘솔에 로그인합니다.

   SALZ의 경우 `Customer_ReadOnly_Role`

   MALZ의 경우 `AWSManagedServicesChangeManagementRole`.

1. [AWS Secrets Manager 콘솔](https://console.aws.amazon.com/secretsmanager/home)로 이동하여 **새 보안 암호 저장을** 클릭합니다.

1. **다른 유형의 보안 암호(Other type of secrets)**를 선택합니다.

1. 보안 암호 값을 일반 텍스트로 입력하고 기본 KMS 암호화를 사용합니다. **다음**을 클릭합니다.

1. 보안 암호 이름과 설명을 입력합니다. 이름은 항상 **customer-shared/**로 시작합니다. 예: **customer-shared/mykey2022**. **다음**을 클릭합니다.

1. 자동 교체를 비활성화한 상태로 두고 **다음을** 클릭합니다.

1. 검토 후 **저장**을 클릭하여 보안 암호를 저장합니다.

1. 보안 암호를 식별하고 검색할 수 있도록 서비스 요청, RFC 또는 인시던트 보고서를 통해 보안 암호 이름으로 회신합니다.

**Q: Secrets Manager를 사용하여 키를 공유하려면 어떤 권한이 필요합니까?**

**SALZ**: `customer_secrets_manager_shared_policy` 관리형 IAM 정책을 찾아 정책 문서가 아래 생성 단계에 연결된 것과 동일한지 확인합니다. 정책이 다음 IAM 역할에 연결되어 있는지 확인합니다`Customer_ReadOnly_Role`.

**MALZ**: `AMSSecretsManagerSharedPolicy`가 `ams-shared`네임스페이스에서 `GetSecretValue` 작업을 허용하는 `AWSManagedServicesChangeManagementRole` 역할에 연결되어 있는지 확인합니다.

예제:

```
{
 "Action": "secretsmanager:*",
 "Resource": [
 "arn:aws:secretsmanager:*:*:secret:ams-shared/*",
 "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
 ],
 "Effect": "Allow",
 "Sid": "AllowAccessToSharedNameSpaces"
 }
```

**참고**  
를 AWS Secrets Manager 셀프 서비스 프로비저닝된 서비스로 추가할 때 필요한 권한이 부여됩니다.

# AMS SSP를 사용하여 AMS 계정 AWS Security Hub CSPM 에서 프로비저닝
<a name="sec-hub"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS Security Hub CSPM 기능에 액세스할 수 있습니다.는 내의 보안 상태와 보안 업계 표준 및 모범 사례 AWS 준수에 대한 포괄적인 보기를 AWS Security Hub CSPM 제공합니다. Security Hub CSPM은 AWS 계정, 서비스 및 지원되는 타사 파트너의 보안 및 규정 준수 조사 결과를 중앙 집중화하고 우선순위를 지정하여 보안 추세를 분석하고 우선순위가 가장 높은 보안 문제를 식별하는 데 도움이 됩니다. 자세한 내용은 [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/)를 참조하세요.

## AWS Managed Services FAQ의 Security Hub CSPM
<a name="set-sec-hub-faqs"></a>

**Q: AMS 계정 AWS Security Hub CSPM 에서에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여 Security Hub CSPM에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_securityhub_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 Security Hub CSPM을 사용할 때 제한 사항은 무엇인가요?**

아카이빙 기능은 잠재적 보안 및 운영 위험으로 기록되었으며 자체 프로비저닝된 서비스 보안 역할의 일부로 제한되었습니다.

**Q: AMS 계정 AWS Security Hub CSPM 에서를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

AMS 계정 AWS Security Hub CSPM 에서 사용할 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정 AWS Service Catalog AppRegistry 에서 프로비저닝
<a name="service-catalog-appregistry"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 AppRegistry 기능에 직접 액세스할 수 있습니다. AppRegistry를 사용하면 중앙 위치에서 애플리케이션 검색, 보고 및 관리 작업을 수행할 수 있습니다. 빌더는 단일 AWS 계정에서 애플리케이션을 거의 생성하지 않습니다. 일반적으로 개발, 테스트 및 프로덕션과 같은 수명 주기 단계별로 애플리케이션 리소스를 구분합니다. AppRegistry를 사용하면 정의한 AWS 계정에서 모든 리소스 컬렉션을 그룹화하고 볼 수 있습니다.

AppRegistry를 사용하면 AWS 애플리케이션, 애플리케이션과 연결된 리소스 모음 및 애플리케이션 속성 그룹을 저장할 수 있습니다. 자세한 내용은 [ AppRegistry란 무엇입니까](https://docs.aws.amazon.com/servicecatalog/latest/arguide/intro-app-registry.html)?를 참조하세요.

## AMS AWS Service Catalog AppRegistry 의 FAQ:
<a name="service-catalog-appregistry-faqs"></a>

**Q: AMS 계정 AWS Service Catalog AppRegistry 에서에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 추가(관리형 자동화)(ct-3qe6io8t6jtny) 변경 유형을 사용하여 RFC를 제출하여 AppRegistry에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer-appregistry-console-role`. 계정에 프로비저닝한 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정 AWS Service Catalog AppRegistry 에서 사용에 대한 제한 사항은 무엇인가요?**

`'Name'` 태그에서 AMS 네임스페이스를 사용하는 경우를 제외하고 AppRegistry 서비스에 대한 전체 액세스 권한이 제공됩니다.

**Q: AMS 계정 AWS Service Catalog AppRegistry 에서를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

AMS 계정에서 AppRegistry를 사용하기 위한 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정 AWS Shield Advanced 에서 프로비저닝
<a name="aws-shield"></a>

AMS 자체 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS Shield Advanced 기능에 액세스할 수 있습니다. AWS Shield Advanced 는에서 실행되는 애플리케이션을 보호하는 관리형 분산 서비스 거부(DDoS) 보호 서비스입니다 AWS. Shield Advanced는 애플리케이션 가동 중지 시간과 지연 시간을 최소화하는 상시 감지 및 자동 인라인 완화 기능을 제공하므로 DDoS 보호의 이점을 활용하기 위해 AWS Support를 참여시킬 필요가 없습니다. AWS Shield 표준과 고급이라는 두 가지 티어가 있으며, AMS는 Shield Advanced를 제공합니다. 자세한 내용은 [Shield Advanced](https://aws.amazon.com/shield/)를 참조하세요.

모든 AWS 고객은 추가 비용 없이 AWS Shield Standard의 자동 보호를 이용할 수 있습니다.는 웹 사이트 또는 애플리케이션을 대상으로 하는 가장 일반적이고 자주 발생하는 네트워크 및 전송 계층 DDoS 공격으로부터 AWS Shield Standard 보호합니다. Amazon CloudFront 및 Amazon Route 53과 AWS Shield Standard 함께를 사용하면 알려진 모든 인프라(계층 3 및 4) 공격에 대한 포괄적인 가용성 보호를 받을 수 있습니다.

Amazon Elastic Compute Cloud(Amazon EC2), Elastic Load Balancing(ELB), Amazon CloudFront AWS Global Accelerator및 Amazon Route 53 리소스에서 실행되는 애플리케이션을 대상으로 하는 공격에 대해 더 높은 수준의 보호를 받으려면를 구독하면 됩니다 AWS Shield Advanced.

와 함께 제공되는 네트워크 및 전송 계층 보호 외에도 AWS Shield Standard는 대규모의 정교한 DDoS 공격에 대한 추가 탐지 및 완화, 공격에 대한 실시간에 가까운 가시성, 웹 애플리케이션 방화벽과의 통합 AWS WAF을 AWS Shield Advanced 제공합니다. AWS Shield Advanced 또한는 Amazon Elastic Compute Cloud(Amazon EC2), Elastic Load Balancing(Elastic Load Balancing), Amazon CloudFront AWS Global Accelerator및 Amazon Route 53 요금의 DDoS 관련 스파이크에 대한 보호 및 AWS Shield 대응 팀(SRT)에 대한 연중무휴 액세스를 제공합니다.

## AWS Managed Services의 Shield Advanced FAQ
<a name="aws-shield-faqs"></a>

**Q: AMS 계정에서 Shield Advanced에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) 변경 유형을 사용하여 RFC를 제출하여 Shield Advanced에 대한 액세스를 요청합니다. 이 RFC는 계정에 및 IAM 역할을 프로비저닝합니다`customer_shield_role``aws_drt_shield_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

역할이 계정에 배포된 후 `customer_shield_role`를 사용하여 계정 AWS Shield Advanced 에서에 대한 구독을 확인할 수 있습니다.

**참고**  
의 사용과 관련된 월별 요금 및 1년 약정이 있습니다 AWS Shield Advanced. 또한 AMS AWS Shield Advanced 에서를 사용하면 AMS가 에스컬레이션된 분산 서비스 거부 AWS Shield (DDoS) 인시던트 중에 웹 애플리케이션 방화벽(AWS WAF) 규칙을 변경할 수 있는 (SRT)로 에스컬레이션할 수 있는 권한이 부여됩니다. 이러한 변경은 AMS와 협력하여 이루어집니다.

**Q: AMS 계정에서 Shield Advanced를 사용하는 데 따르는 제한 사항은 무엇인가요?**

제한은 아니지만 Shield Advanced를 사용하면가 배포`aws_drt_shield_role`되므로 에스컬레이션된 DDoS 인시던트 중에 AWS Shield 팀(SRT)이 AMS 계정 내부의 AWS WAF 규칙을 긴급하게 변경할 수 있습니다. 이는 DDoS 공격의 가장 빠른 문제 해결을 위해 AMS에서 권장하며, AMS가 SRT로 에스컬레이션한 후에 발생합니다.

**Q: AMS 계정에서 Shield Advanced를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

AMS 계정에서 Shield Advanced를 사용하기 위한 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정 AWS Snowball Edge 에서 프로비저닝
<a name="snowball"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 Snowball Edge 기능에 직접 액세스할 수 있습니다. Snowball Edge는 안전하게 설계된 디바이스를 사용하여 AWS 클라우드 안팎으로 대량의 데이터를 전송하는 페타바이트 규모의 데이터 전송 솔루션입니다. Snowball Edge는 높은 네트워크 비용, 긴 전송 시간 및 보안 문제를 포함하여 대규모 데이터 전송과 관련된 일반적인 문제를 해결합니다. Snowball Edge를 사용하여 분석 데이터, 게놈 데이터, 비디오 라이브러리, 이미지 리포지토리, 백업을 마이그레이션하고 데이터 센터 종료, 테이프 교체 또는 애플리케이션 마이그레이션 프로젝트의 일부를 보관할 수 있습니다. Snowball Edge를 사용한 데이터 전송은 간단하고 빠르고 안전하며 고속 인터넷을 통한 데이터 전송 비용의 1/5에 불과할 수 있습니다.

Snowball Edge를 사용하면 데이터를 전송하기 위해 코드를 작성하거나 하드웨어를 구매할 필요가 없습니다. 먼저 AWS 관리 콘솔을 사용하여 Snowball용 [가져오기 작업을 생성](https://docs.aws.amazon.com/snowball/latest/ug/create-import-job.html)하면 Snowball 디바이스가 자동으로 배송됩니다. 디바이스가 도착하면 로컬 네트워크에 디바이스를 연결하고 Snowball 클라이언트("클라이언트")를 다운로드하여 실행하여 연결을 설정한 다음 클라이언트를 사용하여 디바이스로 전송할 파일 디렉터리를 선택합니다. 그런 다음 클라이언트는 파일을 암호화하여 디바이스에 고속으로 전송합니다. 전송이 완료되고 디바이스를 반환할 준비가 되면 E Ink 배송 레이블이 자동으로 업데이트되고 Amazon Simple Notification Service(Amazon SNS), 문자 메시지 또는 콘솔에서 직접 작업 상태를 추적할 수 있습니다. 자세한 내용은 [AWS Snowball Edge](https://aws.amazon.com/snowball/)를 참조하세요.

## AWS Managed Services의 Snowball Edge FAQ
<a name="set-snowball-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정 AWS Snowball Edge 에서에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

AMS에서 Snowball Edge 구현은 2단계 프로세스입니다.

1. 관리 제출 \$1 기타 \$1 기타 \$1 (ct-1e1xtak34nx76) 변경 유형을 생성하고 AMS 계정의 Snowball Edge에 대한 서비스 역할을 요청합니다.

1. 관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 변경 유형 추가(ct-1w8z66n899dct)를 제출하여 사용자 액세스를 요청합니다. 이 RFC는 계정에 `customer_snowball_console_role`, `customer_snowball_export_role`및 IAM 역할을 프로비저닝합니다`customer_snowball_import_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정 AWS Snowball Edge 에서 사용에 대한 제한 사항은 무엇입니까?**

의 전체 기능은 AMS 계정에서 AWS Snowball Edge 사용할 수 있습니다.

**Q: AMS 계정 AWS Snowball Edge 에서를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

위에서 언급한 대로 서비스 역할 계정이 있어야 합니다.

# AMS SSP를 사용하여 AMS 계정 AWS Step Functions 에서 프로비저닝
<a name="step"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS Step Functions 기능에 액세스할 수 있습니다. AWS Step Functions 는 시각적 워크플로를 사용하여 분산 애플리케이션 및 마이크로서비스의 구성 요소를 조정할 수 있는 웹 서비스입니다. 각각 기능 또는 작업을 수행하는 개별 구성 요소를 사용하여 애플리케이션을 구축하면 애플리케이션을 빠르게 확장하거나 변경할 수 있습니다. Step Functions는 구성 요소를 조정하고 애플리케이션 기능을 단계별로 실행할 수 있는 안정적인 방법을 제공합니다. Step Functions는 애플리케이션의 구성 요소를 일련의 단계로 시각화하는 그래픽 콘솔을 제공합니다. 각 단계를 자동으로 트리거 및 추적하고 오류가 있을 때 재시도하므로 애플리케이션은 매번 예상대로 순서대로 실행됩니다. Step Functions는 각 단계의 상태를 기록합니다. 따라서 무언가 잘못된 경우 빠르게 문제를 진단하고 디버깅할 수 있습니다. 자세한 내용은 [AWS Step Functions](https://aws.amazon.com/step-functions/)를 참조하세요.

## AWS Managed Services Step Functions FAQ
<a name="set-step-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정 AWS Step Functions 에서에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 변경 유형 추가(ct-1w8z66n899dct)를 사용하여 RFC를 AWS Step Functions 제출하여에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_step_functions_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정 AWS Step Functions 에서 사용에 대한 제한 사항은 무엇인가요?**

의 전체 기능은 AMS 계정에서 AWS Step Functions 사용할 수 있습니다.

**Q: AMS 계정 AWS Step Functions 에서를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

런타임 시 Step Functions에서 사용하는 역할은 단계 함수에서 사용하는 서비스에 액세스할 수 있어야 합니다. 예를 들어 단계 함수는 Lambda 함수에 의존할 수 있습니다. 단계 함수를 작성하는 사람은 Lambda 함수를 동시에 생성할 가능성이 높으므로 해당 서비스에 대한 액세스도 요청해야 합니다.

# AMS SSP를 사용하여 AMS 계정에서 AWS Systems Manager 파라미터 스토어 프로비저닝
<a name="sys-man-param-store"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 AWS Systems Manager Parameter Store 기능에 직접 액세스할 수 있습니다. AWS Systems Manager Parameter Store는 구성 데이터 관리 및 보안 암호 관리를 위한 안전한 계층적 스토리지를 제공합니다. 암호, 데이터베이스 문자열, 라이선스 코드와 같은 데이터를 파라미터 값으로 저장할 수 있습니다. 값을 일반 텍스트 또는 암호화된 데이터로 저장할 수 있습니다. 그런 다음 파라미터를 생성할 때 지정한 고유한 이름을 사용하여 값을 참조할 수 있습니다. 확장성, 가용성 및 내구성이 뛰어난 Parameter Store는 AWS 클라우드를 기반으로 합니다. 자세한 내용은 [AWS Systems Manager 파라미터 스토어](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html)를 참조하세요.

**참고**  
수명 주기 관리가 포함된 전용 보안 암호 스토어를 원하는 경우 Parameter Store [AMS SSP를 사용하여 AMS 계정 AWS Secrets Manager 에서 프로비저닝](secrets-manager.md) 대신를 사용합니다. Secrets Manager를 사용하면 보안 암호를 자동으로 교체할 수 있으므로 보안 및 규정 준수 요구 사항을 충족할 수 있습니다. Secrets Manager는 Amazon RDS의 MySQL, PostgreSQL 및 Amazon Aurora에 대한 내장 통합을 제공하며, Lambda 함수를 사용자 지정하여 다른 유형의 보안 암호로 확장할 수 있습니다.

## AWS Systems Manager AWS Managed Services 파라미터 스토어 FAQ
<a name="set-sys-man-param-store-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에서 Systems Manager Parameter Store에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 변경 유형 추가(ct-1w8z66n899dct)를 사용하여 RFC를 제출하여 AWS Systems Manager 파라미터 스토어에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_systemsmanager_parameterstore_console_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 AWS Systems Manager 파라미터 스토어를 사용할 때 제한 사항은 무엇인가요?**

 AWS 관리형 키를 사용해야 합니다. 사용자 지정 KMS 키 생성은 액세스가 제한됩니다. 그러나 사용자 지정 키가 필요한 경우 RFC를 제출하여 `IAMPrincipalsRequiringDecryptPermissions` 및 `IAMPrincipalsRequiringEncryptPermissionsPrincipal` 파라미터의 값으로 배포 \$1 고급 스택 구성 요소 \$1 KMS 키 \$1이 IAM 역할을 사용하여 변경 유형 생성(ct-1d84keiri1jhg)`customer_systemsmanager_parameterstore_console_role`을 사용하여 고객 관리형 키(CMK)를 생성합니다. KMS 키가 생성된 후 이를 사용하여 보안 문자열을 생성할 수 있습니다.

**Q: AMS 계정에서 AWS Systems Manager Parameter Store를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

사전 조건은 없지만 SSM 파라미터 스토어는 KMS를 사용하여 보안 문자열을 생성하므로 파라미터 스토어에 저장된 값을 암호화하고 해독할 수 있습니다.

# AMS SSP를 사용하여 AMS 계정에서 AWS Systems Manager 자동화 프로비저닝
<a name="sys-man-runbook"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하면 AMS 관리형 계정에서 직접 AWS Systems Manager 자동화 기능에 액세스할 수 있습니다. AWS Systems Manager 자동화는 실행서, 작업 및 서비스 할당량을 사용하여 Amazon Elastic Compute Cloud 인스턴스 및 기타 AWS 리소스의 일반적인 유지 관리 및 배포 작업을 간소화합니다. 이를 통해 대규모로 자동화를 구축, 실행 및 모니터링할 수 있습니다. Systems Manager Automation은 Systems Manager가 관리형 인스턴스에서 수행하는 작업을 정의하는 Systems Manager 문서의 한 유형입니다. 관리형 인스턴스 내에서 명령 또는 자동화 스크립트 실행과 같은 일반적인 유지 관리 및 배포 작업을 수행하는 데 사용하는 실행서입니다. Systems Manager에는 Amazon Elastic Compute Cloud 태그를 사용하여 대규모 인스턴스 그룹을 대상으로 지정하는 데 도움이 되는 기능과 정의한 제한에 따라 변경 사항을 롤아웃하는 데 도움이 되는 속도 제어가 포함되어 있습니다. 실행서는 JavaScript Object Notation(JSON) 또는 YAML을 사용하여 작성됩니다. 그러나 Systems Manager Automation 콘솔에서 [문서 빌더(Document Builder)]를 사용하면 기본 JSON 또는 YAML로 작성하지 않고도 실행서를 생성할 수 있습니다. 또는 필요에 맞는 사전 정의된 단계가 있는 Systems Manager 제공 런북을 사용할 수 있습니다. 자세한 내용은 AWS Systems Manager 설명서의 [런북 작업을 참조하세요](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html).

**참고**  
Systems Manager Automation은 실행서에서 사용할 수 있는 20가지 작업 유형을 지원하지만, AMS Advanced 계정에서 사용할 실행서를 작성하는 동안 사용할 수 있는 작업 수는 제한적입니다. 마찬가지로 제한된 수의 Systems Manager 제공 런북을 직접 사용하거나 자체 런북 내에서 사용할 수 있습니다. 자세한 내용은 다음 FAQ의 제한 사항을 참조하세요.

## AWS Systems Manager AWS Managed Services의 자동화 FAQ
<a name="set-sys-man-runbook-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에서 Systems Manager Automation에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 변경 유형 추가(ct-1w8z66n899dct)를 사용하여 RFC를 제출하여 AWS Systems Manager 자동화에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_systemsmanager_automation_console_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정에서 AWS Systems Manager Automation을 사용할 때의 제한 사항은 무엇인가요?**

 관리형 인스턴스 내에서 명령 및/또는 스크립트만 실행하려면 자동화를 위해 제한된 Systems Manager 지원 작업 집합으로 실행서를 작성해야 합니다. 제한 사항과 함께 사용할 수 있는 작업은 다음과 같습니다.


**AWS Systems Manager 자동화 제한 사항**  

| 작업 | 설명 | 제한 사항 | 
| --- | --- | --- | 
| aws:assertAwsResourceProperty –  |  AWS 리소스 상태 또는 이벤트 상태 어설션 | EC2 인스턴스만 | 
| aws:aws:branch –  | 조건부 자동화 단계 실행 | 제한 없음 | 
| aws:createTags –  |  AWS 리소스에 대한 태그 생성 | 작성한 SSM 자동화 런북에만 해당  | 
| aws:executeAutomation –  | 다른 자동화 실행 | 작성한 자동화 실행서만  | 
| aws:executeScript –  | 스크립트 실행 | 서비스에 대한 API 호출을 수행하지 않는 스크립트만 해당 | 
| aws:pause – | 자동화 일시 중지 | 제한 없음 | 
| aws:runCommand –  | 관리형 인스턴스에서 명령 실행 | System Manager 제공 문서만 사용 - AWS-RunShellScript 및 AWS-RunPowerShellScript | 
| aws:sleep –  | 자동화 지연 | 제한 없음 | 
| aws:waitForAwsResourceProperty –  |  AWS 리소스 속성 대기 | EC2 인스턴스만 | 

Systems Manager 콘솔에서 'Run Command' 기능을 사용하여 Systems Manager 제공 실행서 AWS-RunShellScript 및 AWS-RunPowerShellScript로 직접 명령 또는 스크립트를 실행하도록 선택할 수도 있습니다. 추가 사전 및/또는 사후 검증 또는 복잡한 자동화 로직을 지원하는 이러한 런북을 런북 내에 중첩할 수도 있습니다.

역할은 최소 권한 원칙을 준수하며 관리형 인스턴스 내에서 명령 및/또는 스크립트를 실행하기 위한 실행서의 실행 세부 정보를 작성, 실행 및 검색하는 데 필요한 권한만 제공합니다. AWS Systems Manager 서비스에서 제공하는 다른 기능에 대한 권한은 제공하지 않습니다. 이 기능을 사용하면 자동화 런북을 작성할 수 있지만 런북 실행은 AMS 소유 리소스에 대해 대상으로 지정할 수 없습니다.

**Q: AMS 계정에서 AWS Systems Manager Automation을 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?**

사전 조건은 없지만 런북을 작성하는 동안 내부 프로세스 및/또는 규정 준수 제어를 준수해야 합니다. 또한 프로덕션 리소스에 대해 실행하기 전에 런북을 철저히 테스트하는 것이 좋습니다.

**Q: Systems Manager 정책을 다른 IAM 역할에 연결할 `customer_systemsmanager_automation_policy` 수 있나요?**

아니요. 다른 자체 프로비저닝 지원 서비스와 달리이 정책은 프로비저닝된 기본 역할 에만 할당할 수 있습니다`customer_systemsmanager_automation_console_role`.

 다른 SSPS 역할의 정책과 달리이 AMS 서비스는 관리형 인스턴스 내에서 명령 또는 자동화 스크립트를 실행하기 위한 것이므로이 SSM SSPS 정책은 다른 사용자 지정 IAM 역할과 공유할 수 없습니다. 이러한 권한을 다른 서비스에 대한 권한을 가진 다른 사용자 지정 IAM 역할에 연결할 수 있는 경우 허용된 작업 범위가 관리형 서비스로 확장되어 계정의 보안 태세가 저하될 수 있습니다.

AMS 기술 표준을 기준으로 변경 요청(RFCs)을 평가하려면 해당 클라우드 아키텍트 또는 서비스 제공 관리자와 협력하고 [RFC 보안 검토를](https://docs.aws.amazon.com/managedservices/latest/ctref/rfc-security.html) 참조하세요.

**참고**  
AWS Systems Manager 를 사용하면 계정과 공유되는 런북을 사용할 수 있습니다. 공유 런북을 사용할 때는 주의를 기울이고 실사 검사를 수행하고 콘텐츠를 검토하여 런북을 실행하기 전에 실행되는 명령/스크립트를 이해하는 것이 좋습니다. 자세한 내용은 [공유 SSM 문서의 모범 사례를 참조하세요](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-before-you-share.html).

# AMS SSP를 사용하여 AMS 계정 AWS Transfer Family 에서 프로비저닝
<a name="transfer-sftp"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS Transfer Family (Transfer Family) 기능에 액세스합니다. AWS Transfer Family 는 SFTP(Secure File Transfer Protocol)를 통해 Amazon Simple Storage Service(Amazon S3) 스토리지 안팎으로 파일을 전송할 수 있는 완전 관리형 AWS 서비스입니다. SFTP는 Secure Shell(SSH) File Transfer Protocol이라고도 합니다. SFTP는 금융 서비스, 의료, 광고, 소매를 비롯한 다양한 산업의 데이터 교환 워크플로우에서 활용됩니다.

SFTP를 사용하면 서버 인프라를 실행할 필요 AWS 없이 AWS 에서 SFTP 서버에 액세스할 수 있습니다. 이 서비스를 사용하여 최종 사용자의 클라이언트 및 구성을 그대로 AWS 유지하면서 SFTP 기반 워크플로를 로 마이그레이션할 수 있습니다. 먼저 호스트 이름을 SFTP 서버 엔드포인트와 연결한 다음 사용자를 추가하고 적절한 액세스 수준으로 프로비저닝합니다. 이렇게 하면 사용자의 전송 요청이 AWS SFTP 서버 엔드포인트에서 직접 처리됩니다. 자세한 내용은 단원과 SFTP 지원 서버 [AWS Transfer for SFTP](https://aws.amazon.com/aws-transfer-family)생성을 참조하십시오. [https://docs.aws.amazon.com/transfer/latest/userguide/create-server-sftp.html](https://docs.aws.amazon.com/transfer/latest/userguide/create-server-sftp.html) 

## AWS Transfer for SFTP AWS Managed Services FAQ의
<a name="set-transfer-sftp-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정 AWS Transfer for SFTP 에서에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 변경 유형 추가(ct-1w8z66n899dct)를 사용하여 RFC를 AWS Transfer for SFTP 제출하여에 대한 액세스를 요청합니다. 이 RFC를 통해 다음 IAM 역할과 정책이 계정에 프로비저닝됩니다.
+ `customer_transfer_author_role`. 이 역할은 콘솔을 통해 SFTP 서비스를 관리하도록 설계되었습니다.
+ `customer_transfer_sftp_server_logging_role`. 이 역할은 SFTP 서버에 연결되도록 설계되었습니다. 이를 통해 SFTP 서버가 CloudWatch로 로그를 가져올 수 있습니다.
+ `customer_transfer_sftp_user_role`. 이 역할은 SFTP 사용자에게 연결되도록 설계되었습니다. 이를 통해 SFTP 사용자는 S3 버킷과 상호 작용할 수 있습니다.
+ `policy customer_transfer_scope_down_policy`. 이 정책은 SFTP 사용자에게 적용하여 S3 버킷에 대한 액세스를 홈 폴더로 제한할 수 있는 범위 축소 정책입니다.
+ `customer_transfer_sftp_efs_user_role`. 이 역할은 SFTP 사용자에게 연결되도록 설계되었습니다. 이를 통해 SFTP 사용자는 EFS 파일 시스템과 상호 작용할 수 있습니다.

계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정 AWS Transfer for SFTP 에서 사용에 대한 제한 사항은 무엇인가요?**

AWS SFTP 구성을 위한 전송은 AMS 인프라에 대한 수정을 방지하기 위해 "AMS-" 또는 "MC-" 접두사가 없는 리소스로 제한됩니다.

**Q: AMS 계정 AWS Transfer for SFTP 에서를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**
+  AWS Transfer for SFTP 서버 및 사용자를 생성하기 전에 키워드 "전송"이 포함된 이름을 가진 Amazon S3 버킷이 있어야 합니다.
+ "고객 식별 공급자"를 사용하려면 API Gateway, Lambda 함수 및 사용자 리포지토리(AD, Secrets Manager 등)를 배포해야 합니다. 자세한 내용은 [AWS Transfer for SFTP 사용 및 자격 증명 공급자 작업에 대한 암호 인증 활성화 AWS Secrets Manager](https://aws.amazon.com/blogs/storage/enable-password-authentication-for-aws-transfer-for-sftp-using-aws-secrets-manager/)[를 참조하세요](https://docs.aws.amazon.com/transfer/latest/userguide/authenticating-users.html).

# AMS SSP를 사용하여 AMS 계정 AWS Transit Gateway 에서 프로비저닝
<a name="transit-gateway"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS Transit Gateway 기능에 액세스할 수 있습니다. AWS Transit Gateway 는 Amazon Virtual Private Cloud(VPCs)와 온프레미스 네트워크를 단일 게이트웨이에 연결할 수 있는 서비스입니다. 에서 실행되는 워크로드 수가 증가함에 따라 여러 계정과 Amazon VPCs에서 네트워크를 확장하여 성장을 따라잡을 수 AWS있어야 합니다. 오늘날 피어링을 사용하여 Amazon VPCs 페어를 연결할 수 있습니다. 그러나 연결 정책을 중앙에서 관리할 수 없는 상태에서 많은 Amazon VPCs에서 point-to-point 연결을 관리하는 것은 운영 비용이 많이 들고 번거로울 수 있습니다. 온프레미스 연결을 위해 각 개별 Amazon VPC에 AWS VPN을 연결해야 합니다. 이 솔루션은 구축에 시간이 많이 걸리고 VPCs 수가 수백 개로 증가할 때 관리하기 어려울 수 있습니다. 자세한 내용은 [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)를 참조하세요.

## AWS Transit Gateway AWS Managed Services FAQ의
<a name="set-transit-gateway-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정 AWS Transit Gateway 에서에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 변경 유형 추가(ct-1w8z66n899dct)를 사용하여 RFC를 AWS Transit Gateway 제출하여에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_tgw_console_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

**Q: AMS 계정 AWS Transit Gateway 에서 사용에 대한 제한 사항은 무엇인가요?**

Transit Gateway 라우팅에 대한 라우팅 테이블 수정 AWS Transit Gateway 을 제외하고 AMS 단일 계정 랜딩 존 계정에서의 전체 기능을 사용할 수 있습니다. 관리 \$1 기타 \$1 기타 \$1 변경 유형 생성(ct-1e1xtak34nx76)을 제출하여 라우팅 테이블 변경을 요청합니다.

**참고**  
이 서비스는 다중 계정 랜딩 존(MALZ)이 아닌 단일 계정 랜딩 존(SALZ)에서만 지원됩니다.

**Q: AMS 계정 AWS Transit Gateway 에서를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

AMS 계정 AWS Transit Gateway 에서 사용할 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 프로비저닝 AWS WAF - AMS 계정에서 웹 애플리케이션 방화벽
<a name="set-waf"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS WAF 기능에 액세스합니다. AWS WAF 는 애플리케이션 가용성에 영향을 미치거나, 보안을 손상시키거나, 과도한 리소스를 소비할 수 있는 일반적인 웹 악용으로부터 웹 애플리케이션을 보호하는 데 도움이 되는 웹 애플리케이션 방화벽(AWS WAF)입니다. AWS WAF 는 사용자 지정 가능한 웹 보안 규칙을 정의하여 웹 애플리케이션에 허용하거나 차단할 트래픽을 제어합니다. AWS WAF 를 사용하여 SQL 삽입 또는 교차 사이트 스크립팅과 같은 일반적인 공격 패턴을 차단하는 사용자 지정 규칙과 특정 애플리케이션에 맞게 설계된 규칙을 생성할 수 있습니다.

자세한 내용은 [AWS WAF - 웹 애플리케이션 방화벽](https://aws.amazon.com/waf/)을 참조하세요.

AMS는에 대한 모니터링(CloudWatch 경보/이벤트/MMS 알림)을 지원하지 않습니다 AWS WAF. 의 특성으로 인해 애플리케이션에 대한 사용자 지정 규칙을 생성 AWS WAF해야 합니다. AMS는 애플리케이션의 컨텍스트 없이는 경보를 정량화하고 생성할 수 없습니다. 자세한 내용은 [AWS WAF - 웹 애플리케이션 방화벽](https://aws.amazon.com/waf/)을 참조하세요.

## AWS WAF AWS Managed Services FAQ의
<a name="set-waf-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에 설정 AWS WAF 하도록 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝된 서비스 \$1 변경 유형 추가(ct-1w8z66n899dct)를 사용하여 RFC를 AWS WAF 제출하여에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_waf_role`. 계정에 AWS WAF IAM 역할이 프로비저닝된 후 페더레이션 솔루션에서 역할을 온보딩해야 합니다.

**Q: 사용에 대한 제한 사항은 무엇입니까 AWS WAF?**

권한이 프로비저닝되면의 전체 기능을 사용할 수 있습니다 AWS WAF.

**Q:를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까 AWS WAF?**

AMS 계정 AWS WAF 에서 사용할 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정 AWS Well-Architected Tool 에서 프로비저닝
<a name="well-arch"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 AWS Well-Architected Tool 기능에 직접 액세스할 수 있습니다. 는 워크로드의 상태를 검토하고 이를 최신 AWS 아키텍처 모범 사례와 비교하는 데 AWS Well-Architected Tool 도움이 됩니다. 이 도구는 클라우드 [AWS 아키텍트가 안전하고 성능이 뛰어나며 복원력이 뛰어나고 효율적인 애플리케이션 인프라를 구축할 수 있도록 개발된 Well-Architected Framework](https://aws.amazon.com/architecture/well-architected/)를 기반으로 합니다. 이 프레임워크는 아키텍처를 평가하는 데 일관된 접근 방식을 제공하고, 솔루션 아키텍처 팀이 수행한 수만 개의 워크로드 검토에 사용되었으며, 시간이 지남에 따라 AWS 애플리케이션 요구 사항에 따라 확장되는 설계를 구현하는 데 도움이 되는 지침을 제공합니다. 자세한 내용은 [AWS Well-Architected Tool](https://aws.amazon.com/well-architected-tool/)를 참조하세요.

## AWS WA Tool AWS Managed Services FAQ의
<a name="set-well-arch-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정 AWS Well-Architected Tool 에서에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 변경 유형 추가(ct-1w8z66n899dct)를 사용하여 RFC를 AWS Well-Architected Tool 제출하여에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_well_architected_tool_console_admin_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션에서 역할을 온보딩해야 합니다.

**Q: AMS 계정 AWS Well-Architected Tool 에서 사용에 대한 제한 사항은 무엇인가요?**

의 전체 기능은 AMS 계정에서 AWS Well-Architected Tool 사용할 수 있습니다.

**Q: AMS 계정 AWS Well-Architected Tool 에서를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

AMS 계정 AWS Well-Architected Tool 에서 사용할 사전 조건이나 종속성은 없습니다.

# AMS SSP를 사용하여 AMS 계정 AWS X-Ray 에서 프로비저닝
<a name="comp-xray"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS X-Ray (X-Ray) 기능에 액세스합니다. 개발자 AWS X-Ray 는 마이크로서비스 아키텍처를 사용하여 구축된 것과 같은 프로덕션 분산 애플리케이션을 분석하고 디버깅할 수 있습니다. X-Ray를 사용하면 애플리케이션과 기본 서비스가 어떻게 수행되고 있는지 이해하여 성능 문제 및 오류의 근본 원인을 식별하고 해결할 수 있습니다. X-Ray는 애플리케이션을 통해 이동하는 요청에 대한 end-to-end 보기를 제공하고 애플리케이션의 기본 구성 요소 맵을 보여줍니다. X-Ray를 사용하여 간단한 3계층 애플리케이션에서 수천 개의 서비스로 구성된 복잡한 마이크로서비스 애플리케이션에 이르기까지 개발 중인 애플리케이션과 프로덕션 중인 애플리케이션을 모두 분석할 수 있습니다. 자세한 내용은 [AWS X-Ray](https://aws.amazon.com/xray/)를 참조하세요.

## AWS Managed Services FAQ의 X-Ray
<a name="xray-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정 AWS X-Ray 에서에 대한 액세스를 요청하려면 어떻게 해야 하나요?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다`customer_xray_console_role`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다. 또한 Amazon EC2 인스턴스에서 X-Ray로 데이터를 푸시`customer_xray_daemon_write_instance_profile`하려면가 있어야 합니다. 이 인스턴스 프로파일은를 수신할 때 생성됩니다`customer_xray_console_role`.

AMS Operations에 서비스 요청을 제출하여 기존 인스턴스 프로파일에 `customer_xray_daemon_write_policy`를 할당하거나 AMS Operations가 X-Ray를 활성화할 때 생성된 인스턴스 프로파일을 사용할 수 있습니다.

**Q: AMS 계정 AWS X-Ray 에서 사용에 대한 제한 사항은 무엇인가요?**

 AWS KMS 키(KMS 키)를 사용한 암호화를 제외하고 AMS 계정에서의 전체 기능을 사용할 수 있습니다. AWS X-Ray 는 기본적으로 모든 추적 데이터를 AWS X-Ray 암호화합니다. 기본적으로 X-Ray는 추적 및 관련 저장 데이터를 암호화합니다. 키로 저장 데이터를 암호화해야 하는 경우 AWS관리형 KMS 키(aws/xray) 또는 KMS 고객 관리형 키를 선택할 수 있습니다. X-Ray 암호화를 위한 KMS 고객 관리형 키의 경우 관리 \$1 기타 \$1 기타 \$1 변경 유형 생성(ct-1e1xtak34nx76)을 제출합니다.

**Q: AMS 계정 AWS X-Ray 에서를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**

AWS X-Ray 에는 AMS 계정에 이미 구현된 Amazon S3, CloudWatch 및 CloudWatch Logs에 대한 종속성이 있습니다. 전송 종속성은 데이터 소스 및 기능이 상호 작용할 수 AWS X-Ray 있는 기타 AWS 서비스(예: Amazon Redshift, Amazon RDS, Athena)에 따라 달라집니다.

# AMS SSP를 사용하여 AMS 계정에서 VM Import/Export 프로비저닝
<a name="vm-im-ex"></a>

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 VM 가져오기/내보내기 기능에 직접 액세스할 수 있습니다. VM Import/Export를 사용하면 기존 환경에서 Amazon EC2 인스턴스로 가상 머신 이미지를 쉽게 가져와 온프레미스 환경으로 다시 내보낼 수 있습니다. 이 제품을 사용하면 IT 보안, 구성 관리 및 규정 준수 요구 사항을 충족하도록 구축한 가상 머신에 대한 기존 투자를 즉시 ready-to-use 수 있는 인스턴스로 Amazon EC2로 가져와 활용할 수 있습니다. 가져온 인스턴스를 온프레미스 가상화 인프라로 다시 내보내 IT 인프라 전체에 워크로드를 배포할 수도 있습니다. 자세한 내용은 [VM Import/Export](https://aws.amazon.com/ec2/vm-import/)를 참조하세요.

## AWS Managed Services FAQ의 VM Import/Export
<a name="set-vm-im-ex-faqs"></a>

일반적인 질문과 답변:

**Q: AMS 계정에서 VM Import/Export에 대한 액세스를 요청하려면 어떻게 해야 합니까?**

관리 \$1 AWS 서비스 \$1 자체 프로비저닝 서비스 \$1 변경 유형 추가(ct-1w8z66n899dct)를 사용하여 RFC를 제출하여 VM Import/Export에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 정책을 프로비저닝합니다`customer_vmimport_policy`. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

서비스가 계정에서 작업을 수행하려면 추가 역할인 **VM Import/Export Service** 역할이 필요합니다.

**Q: AMS 계정에서 VM Import/Export를 사용할 때 제한 사항은 무엇인가요?**
+ 사용자 지정 머신 이미지와 데이터 볼륨을 가져오는 기능은 모두 AMS VM Import/Export에서 사용할 수 있습니다. 그러나 S3에 대한 권한은 계정 내 정보에 대한 액세스를 제한하기 `customer-vmimport-*` 위해 이름과 일치하는 버킷으로 작업을 제한하도록 범위가 축소되었습니다.
+ 이미지 및 스냅샷 가져오기는 AMS VM Import/Export에서 지원됩니다. 그러나 보안 조치로 인해 인스턴스 가져오기 및 인스턴스 내보내기 기능을 사용할 수 없습니다.
+ 또한 제한 및 민감한 데이터를 내보낼 위험을 완화하기 위해 내보내기 기능이 비활성화되었습니다.

**Q: AMS 계정에서 VM Import/Export를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까?**
+  AWS 환경으로 가져오려면 지원되는 디스크 이미지를 제공해야 합니다. 자세한 내용은 [VM Import/Export Requirements](https://docs.aws.amazon.com/vm-import/latest/userguide/vmie_prereqs.html)를 참조하세요.
+  AWS 콘솔을 통해 VM Import/Export에 액세스할 수 없습니다. AWS CLI AWS Tools for PowerShell또는 AWS SDKs를 통해이 서비스에 액세스해야 합니다. 또는 변경 유형 ct-117rmp64d5mvb: 배포 \$1 고급 스택 구성 요소 \$1 Identity and Access Management(IAM) \$1 EC2 인스턴스 프로파일 생성을 제출하여 인스턴스 프로파일을 요청할 수 있습니다. 이 인스턴스 프로파일을 사용하면 도구가 인스턴스에서 명령을 수행할 수 있습니다.

# 고객 관리형 모드
<a name="ams-modes-customer-section"></a>

AWS Managed Services(AMS) 고객 관리형 모드는 유연한 거버넌스 모델을 제공하며 요구 사항에 맞게 조정할 수 있습니다. 이는 AMS가 작동하지 않는 서비스 및 애플리케이션에 대한 대체 옵션으로 간주될 수 있습니다. AMS는이 모드에서 생성된 계정에서 호스팅되는 인프라를 운영하지 않습니다. 그러나이 모드에서 중앙 집중식 다중 계정 관리를 활용할 수 있습니다. 이 모드에서는 다음과 같은 다중 계정 랜딩 존 기능을 활용할 수 있습니다.
+ 자동 계정 배포
+ 네트워킹 계정의 Transit Gateway를 통한 연결
+ AMS Config 규칙 라이브러리
+ 로그 복사본을 로깅 계정에 저장
+ 보안 계정에 대한 고객 관리형 Guard Duty 알림 집계
+ 통합 결제
+ 사용자 지정 서비스 제어 정책 활성화.

예: AMS에서 관리하는 운영 체제가 아닌 Ubuntu Pro에서 워크로드를 실행하려는 경우 고객 관리형 계정을 사용하여 호스팅할 수 있습니다. 고객 관리형 계정을 통해 워크로드를 통합하여 AWS 조직 간 공유를 통해 사용할 수 있는 예약 인스턴스/공유 플랜에 대한 대량 할인을 활용할 수도 있습니다.

# 고객 관리형 모드 시작하기
<a name="cust-man-mode-get-start"></a>

AMS 고객 관리형 모드는 특수 다중 계정 랜딩 존 애플리케이션 계정을 통해 사용할 수 있습니다.

고객 관리형 애플리케이션 계정을 생성하는 방법을 비롯한 자세한 내용은 [고객 관리형 애플리케이션 계정을](https://docs.aws.amazon.com/managedservices/latest/userguide/application-account-cust-man.html) 참조하세요.

# AMS 및 AWS Service Catalog
<a name="ams-service-catalog-section"></a>

AWS Managed Services(AMS)의 Service Catalog를 사용하면 조직이 AWS IT(정보 기술) 서비스의 카탈로그를 생성 및 관리할 수 있으며, IT 관리자는 승인된 제품의 카탈로그를 생성 및 관리하고 계정의 최종 사용자에게 배포하여 맞춤형 서비스 포털에서 필요한 제품에 액세스할 수 있습니다. 관리자는 각 제품에 액세스할 수 있는 사용자를 제어하여 조직 비즈니스 정책을 준수할 수 있습니다. 관리자는 최종 사용자가 승인된 리소스를 배포하기 위해 Service Catalog에 대한 IAM 액세스만 요구하도록 역할을 설정할 수도 있습니다. Service Catalog를 사용하면 조직이 민첩성을 높이고 비용을 절감할 수 있습니다. 최종 사용자는 사용자가 제어하는 카탈로그에서 필요한 제품만 찾아 시작할 수 있기 때문입니다.

Service Catalog는 AMS 관리형 계정(들)에서 리소스를 프로비저닝하고 업데이트하기 위한 AMS 변경 요청(RFC) 프로세스의 대안을 제공합니다. AMS는 보안, 규정 준수, 프로비저닝, 가용성, 패치, 모니터링, 알림, 보고, 인시던트 대응, 비용 최적화를 포함하여 Service Catalog를 통해 프로비저닝된 모든 인프라 리소스에 대해 대규모로 AWS를 실행하는 데 필요한 모든 인프라 운영 작업을 관리합니다. AMS 관리형 계정에서 Service Catalog를 활용하면 일반적으로 배포되는 IT 서비스를 중앙에서 관리하고 일관된 거버넌스를 달성하는 동시에 사용자가 필요한 승인된 IT 서비스만 관리형 환경에 빠르게 배포할 수 있습니다.

# Service Catalog 시작하기
<a name="serv-cat-get-start"></a>

AMS에서 Service Catalog를 시작하려면 AMS 콘솔을 통해 서비스 요청을 제출하여 Service Catalog에 대한 액세스를 요청합니다. 요청을 제출하면 AMS(이전에 `Transform` 설명됨)를 호출하는 CloudFormation 매크로가 포함된 AMS 관리형 스택과 함께 세 개의 IAM 역할이 계정에 배포되어 시스템에 제품을 등록하고 Service Catalog를 통해 프로비저닝된 인프라에 대해 작업을 수행할 수 있습니다. 배포된 세 가지 IAM 역할에는 IT 관리자가 제품을 Service Catalog 관리자로 관리하는 역할, 애플리케이션 소유자와 최종 사용자가 제품을 구성, 시작 및 관리하는 역할, Service Catalog가 제품을 시작하거나 업데이트하는 동안 사용할 권한을 정의하는 시작 제약 조건으로 사용할 역할이 포함됩니다.

# 시작하기 전에 AMS의 Service Catalog
<a name="ams-service-catalog-section-faq"></a>

**Service Catalog가 기존 AMS 변경 요청(RFC) 프로세스를 대체하나요?**  
Service Catalog가 활성화된 계정에서는 사전 정의된 제품 카탈로그를 통해 AMS 계정에서 IT 서비스를 프로비저닝하고 업데이트하는 변경 관리 시스템 역할을 합니다. AMS는 기본 포트폴리오/제품 카탈로그를 제공하며 IT 관리자는 직접 생성하고 구성할 수 있습니다. Service Catalog는 Service Catalog를 통해 프로비저닝된 스택만 승인합니다. 마찬가지로 Service Catalog 외부에서 수정하면 승인된 제품 구성에서 스택이 드리프트되므로 Service Catalog를 통해 프로비저닝된 서비스는 AMS RFC 프로세스를 통해 수정할 수 없습니다.

**AMS 콘솔에서 서비스 카탈로그를 통해 프로비저닝된 스택을 볼 수 있나요?**  
예. AMS 콘솔에서 서비스 카탈로그를 통해 프로비저닝된 모든 스택을 볼 수 있습니다. 서비스 카탈로그를 통해 프로비저닝된 스택은 스택 ID "SC-"로 쉽게 식별할 수 있습니다. 스택은 AMS 콘솔에서 볼 수 있지만 AMS RFC 프로세스를 통해 업데이트할 수 없습니다. AMS 변경 관리 시스템(RFCs)에 대한 액세스는 액세스 요청, 패치 오케스트레이션 및 백업 RFCs로만 제한됩니다.

**Service Catalog를 통해 스택을 프로비저닝 및/또는 업데이트하면 AMS 콘솔에 해당 RFC가 있습니까?**  
AMS 콘솔에 표시되는 유일한 RFC는 스택이 처음 프로비저닝될 때 AMS에 스택을 등록하는 RFC입니다. 이 RFC는 Service Catalog를 통해 스택이 시작될 때 트리거되는 AMS 검증 프로세스에 의해 자동으로 제출됩니다. 다른 모든 프로비저닝 및 변경 사항은 Service Catalog에서 직접 추적되며 Service Catalog 콘솔에서 볼 수 있습니다. 또한 Service Catalog의 **프로비저닝된 제품 계획** 기능을 사용하여 제품을 프로비저닝하거나 업데이트하기 전에 리소스에 적용될 변경 사항 목록을 볼 수 있습니다.

**AMS 관리형 계정에서 제품을 프로비저닝할 때 특정 작업을 수행해야 합니까?**  
예. AMS 계정에 프로비저닝된 모든 Service Catalog 제품은 해당 제품을 정의하는 CFN 템플릿에 다음 JSON 행을 포함해야 합니다.  

```
"Transform":{"Name":"AmsStackTransform","Parameters":{"StackId":{"Ref":"AWS::StackId"}}}
```
이 CloudFormation 코드 조각은 AMS 관리형 계정에서 리소스를 프로비저닝하기 위해 필요한 AMS 검증을 트리거합니다. 이 코드 줄을 제품 정의의 일부로 포함하는 것은 사용자의 책임입니다. 포함되지 않은 경우 프로비저닝이 실패하고 "Failed to create product. 이 계정은 AMS에서 관리합니다. AMS 계정의 모든 제품은 템플릿에 AMS `Transform` 코드가 있어야 합니다.”

**시작 시 AMS 고객이 사용할 수 없거나 제한되는 Service Catalog 기능이 있나요?**  
예, 초기 시작 시 AMS 고객은 다음 SC 기능을 사용할 수 없습니다.  
+ Service Catalog를 통한 계정 생성
+ Service Catalog를 통해 AMS 관리형 계정으로 모든 AWS 서비스를 시작할 수 있습니다. AWS 서비스 가용성은 AMS 지원 서비스(관리형 및 자체 프로비저닝형)로 제한됩니다. AMS 지원 서비스에 대한 자세한 내용은 AMS 서비스 설명을 참조하세요.
+ Service Catalog IT 서비스 관리자(ITSM) 커넥터는 AMS 인시던트 보고서 및 서비스 요청과 통신하지 않습니다.
+ Service Catalog 빠른 시작을 활용하고 수정 없이 아키텍처를 참조할 수 있습니다. AMS 계정용 Service Catalog 제품에는 다음 JSON 코드 행이 포함되어야 합니다.

  ```
  "Transform":{"Name":"AmsStackTransform","Parameters":{"StackId":{"Ref":"AWS::StackId"}}}
  ```

  CNF 템플릿의 . 이 줄은 일반적인 AWS CloudFormation 템플릿의 일부가 *아니므로* 명시적으로 추가해야 합니다.
+ Terraform은 현재 Service Catalog 제품 프로비저닝을 위해 AMS에서 지원되지 않습니다.
+ AWS CFN 스택 세트는 AMS에서 지원되지 않습니다.
+ 사용자 지정 IAM 역할은 생성할 수 없습니다.
+ 서비스 작업은 다음으로 제한됩니다.
  + [ AWS-RebootRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-RebootRdsInstance/description?region=us-east-1)
  + [ AWS-RestartEC2Instance](https://console.aws.amazon.com/systems-manager/documents/AWS-RestartEC2Instance/description?region=us-east-1)
  + [ AWS-StartEC2Instance](https://console.aws.amazon.com/systems-manager/documents/AWS-StartEC2Instance/description?region=us-east-1)
  + [ AWS-StartRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-StartRdsInstance/description?region=us-east-1)
  + [ AWS-StopEC2Instance](https://console.aws.amazon.com/systems-manager/documents/AWS-StopEC2Instance/description?region=us-east-1)
  + [ AWS-StopRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-StopRdsInstance/description?region=us-east-1)
  + [ AWS-CreateImage](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateImage/description?region=us-east-1)
  + [ AWS-CreateRdsSnapshot](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateRdsSnapshot/description?region=us-east-1)
  + [ AWS-CreateSnapshot](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateSnapshot/description?region=us-east-1)
**참고**  
서비스 작업을 생성할 때 최종 사용자의 권한, 시작 역할 또는 선택한 사용자 지정 IAM 역할로 실행 역할을 구성할 수 있습니다. 선택한 실행 역할에는 서비스 작업을 수행할 수 있는 충분한 권한이 있어야 하며 서비스 카탈로그에서 수임할 수 있는 TrustPolicy가 있어야 합니다. 그렇지 않으면 실행 시 해당 서비스 작업이 실패합니다. 서비스 작업으로 사용할 올바른 권한과 신뢰 정책이 있는 AWSManagedServicesServiceCatalogLaunchRole을 사용하는 것이 좋습니다.

**AMS RFC 시스템을 계속 사용해야 하는 대상은 무엇입니까?**  
일반 가용성(GA)에서도 RFCS를 사용하여 다음 작업을 실행해야 합니다.  
+ 패치 오케스트레이터 구성
+ 백업 정책 구성
+ 인스턴스 액세스 요청
+ AMS 지침을 벗어나는 보안 그룹 생성 및 할당.
+ 워크로드 수집 수행(WIGS)
+ IAM 역할 생성

**Service Catalog CLI를 사용하여 AMS 관리형 계정의 Service Catalog에 액세스할 수 있나요?**  
예, Service Catalog APIs CLI를 통해 사용 및 활성화됩니다. 해당 아티팩트의 프로비저닝 및 종료를 통해 Service Catalog 아티팩트 관리의 작업을 사용할 수 있습니다. 자세한 내용은 [AWS Service Catalog 리소스를](https://aws.amazon.com/servicecatalog/resources/) 참조하거나 최신 AWS SDK 또는 CLI를 다운로드하세요.

**누가 고객의 승인된 제품 카탈로그를 생성, 관리 및 배포하나요?**  
고객의 카탈로그 관리자 및/또는 IT 관리자 또는 할당된 리소스는 서비스 카탈로그 카탈로그 및 승인된 제품의 관리를 담당합니다.

**AMS AMIs 사용할 수 있나요?**  
2020년 3월 이후에 판매된 AMS AMIs는 AWS Service Catalog를 통해 배포할 수 있습니다.

**Service Catalog를 사용하여 AMS로 마이그레이션하려면 어떻게 해야 하나요?**  
Service Catalog를 사용하여 워크로드를 AMS로 마이그레이션하려면 먼저 [워크로드 수집](https://docs.aws.amazon.com/managedservices/latest/appguide/ams-workload-ingest.html)(WIGs) 프로세스에 따라 AMS에서 AMI를 생성합니다. WIGS에서 생성한 AMI를 사용하여 Service Catalog에서 제품을 생성합니다. 이 작업을 수행하는 방법은 [AWS Service Catalog - 시작하기에 자세히 설명되어 있습니다](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/getstarted.html).