직접 변경 모드 시작하기 - AMS 고급 사용 설명서
직접 변경 모드 IAM 역할 및 정책

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

직접 변경 모드 시작하기

먼저 사전 조건을 확인한 다음 적격 AMS Advanced 계정에서 변경 요청(RFC)을 제출합니다.

  1. DCM과 함께 사용하려는 계정이 요구 사항을 충족하는지 확인합니다.

    • 계정은 AMS Advanced Plus 또는 Premium입니다.

    • 계정에 Service Catalog가 활성화되어 있지 않습니다. 현재 DCM과 Service Catalog 모두에 동시에 계정을 온보딩하는 것은 지원하지 않습니다. 이미 Service Catalog에 온보딩되어 있지만 DCM에 관심이 있는 경우 클라우드 서비스 제공 관리자(CSDM)와 요구 사항에 대해 논의하세요. Service Catalog에서 DCM으로 전환하기로 결정한 경우 Service Catalog를 오프보드하여 이를 수행하려면 아래 변경 요청에 요청을 포함하세요. AMS의 Service Catalog에 대한 자세한 내용은 AMS 및 Service Catalog를 참조하세요.

  2. 관리 | 관리형 계정 | 직접 변경 모드 | 변경 유형 활성화(ct-3rd4781c2nnhp)를 사용하여 변경 요청(RFC)을 제출합니다. 예제 연습은 직접 변경 모드 | 활성화를 참조하세요.

    CT가 처리되면 미리 정의된 IAM 역할 AWSManagedServicesCloudFormationAdminRoleAWSManagedServicesUpdateRole가 지정된 계정에 프로비저닝됩니다.

  3. 내부 페더레이션 프로세스를 사용하여 DCM 액세스가 필요한 사용자에게 적절한 역할을 할당합니다.

참고

원하는 수의 SAMLIdentityProviders, AWS Services 및 IAM 엔터티(역할, 사용자 등)를 지정하여 역할을 수임할 수 있습니다. SAMLIdentityProviderARNs, IAMEntityARNs또는 중 하나 이상을 제공해야 합니다AWSServicePrincipals. 자세한 내용은 회사의 IAM 부서 또는 AMS 클라우드 아키텍트(CA)에 문의하세요.

직접 변경 모드 IAM 역할 및 정책

계정에서 직접 변경 모드가 활성화되면 다음과 같은 새 IAM 엔터티가 배포됩니다.

AWSManagedServicesCloudFormationAdminRole:이 역할은 CloudFormation 콘솔에 대한 액세스 권한을 부여하고, CloudFormation 스택을 생성 및 업데이트하고, 드리프트 보고서를 보고, CloudFormation ChangeSets를 생성 및 실행합니다. 이 역할에 대한 액세스는 SAML 공급자를 통해 관리됩니다.

역할에AWSManagedServicesCloudFormationAdminRole 배포되고 연결된 관리형 정책은 다음과 같습니다.

  • AMS 고급 다중 계정 랜딩 존(MALZ) 애플리케이션 계정

    • AWSManagedServices_CloudFormationAdminPolicy1

    • AWSManagedServices_CloudFormationAdminPolicy2

      • 이 정책은에 부여된 권한을 나타냅니다AWSManagedServicesCloudFormationAdminRole. 사용자와 파트너는이 정책을 사용하여 계정의 기존 역할에 대한 액세스 권한을 부여하고 해당 역할이 계정의 CloudFormation 스택을 시작하고 업데이트하도록 허용합니다. 다른 IAM 엔터티가 CloudFormation 스택을 시작하도록 허용하려면 추가 AMS 서비스 제어 정책(SCP) 업데이트가 필요할 수 있습니다.

  • AMS 고급 단일 계정 랜딩 존(SALZ) 계정

    • AWSManagedServices_CloudFormationAdminPolicy1

    • AWSManagedServices_CloudFormationAdminPolicy2

    • cdk-legacy-mode-s3-access[인라인 정책]

    • AWS ReadOnlyAccess 정책

AWSManagedServicesUpdateRole:이 역할은 다운스트림 AWS 서비스 APIs에 대한 제한된 액세스 권한을 부여합니다. 역할은 변경 및 비변환 API 작업을 제공하는 관리형 정책과 함께 배포되지만, 일반적으로 IAM, KMS,GuardDuty, VPC, AMS 인프라 리소스 및 구성 등과 같은 특정 서비스에 대해 변경 작업(예: Create/Delete/PUT)을 제한합니다.이 역할에 대한 액세스는 SAML 공급자를 통해 관리됩니다.

역할에AWSManagedServicesUpdateRole 배포되고 연결된 관리형 정책은 다음과 같습니다.

  • AMS Advanced 다중 계정 랜딩 존 애플리케이션 계정

    • AWSManagedServicesUpdateBasePolicy 

    • AWSManagedServicesUpdateDenyPolicy 

    • AWSManagedServicesUpdateDenyProvisioningPolicy 

    • AWSManagedServicesUpdateEC2AndRDSPolicy 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy

  • AMS Advanced 단일 계정 랜딩 존 계정

    • AWSManagedServicesUpdateBasePolicy 

    • AWSManagedServicesUpdateDenyProvisioningPolicy 

    • AWSManagedServicesUpdateEC2AndRDSPolicy 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy1 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy2

이 외에도 관리형 정책AWSManagedServicesUpdateRole 역할에는 AWS 관리형 정책이 ViewOnlyAccess 연결되어 있습니다.