기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS CloudFormation StackSets와 AWS Organizations
CloudFormation StackSets를 사용하면 단일 작업으로 여러 AWS 계정 및 AWS 리전에 대해 스택을 생성, 업데이트 또는 삭제할 수 있습니다. StackSets와 AWS Organizations의 통합으로 고객은 각 멤버 계정에서 관련 권한을 보유한 서비스 연결 역할을 사용하여 서비스 관리형 권한이 있는 스택 세트를 생성할 수 있습니다. 이를 통해 조직의 멤버 계정에 스택 인스턴스를 배포할 수 있습니다. StackSets가 사용자를 대신하여 각 멤버 계정에 IAM 역할을 생성하므로 필요한 AWS Identity and Access Management 역할을 생성할 필요가 없습니다.
나중에 조직에 추가되는 계정에 자동 배포를 활성화하기로 선택할 수도 있습니다. 자동 배포가 활성화되면 연결된 스택 세트 인스턴스의 역할 및 배포가 향후 해당 OU에 추가되는 모든 계정에 자동으로 추가됩니다.
StackSets와 Organizations 간의 신뢰할 수 있는 액세스가 활성화되면 관리 계정은 조직의 스택 세트를 생성하고 관리할 수 있는 권한을 보유하게 됩니다. 관리 계정은 최대 5개의 멤버 계정을 위임된 관리자로 등록할 수 있습니다. 신뢰할 수 있는 액세스를 활성화하면 위임된 관리자도 조직의 스택 세트를 생성하고 관리할 수 있는 권한을 갖습니다. 서비스 관리형 권한이 있는 스택 세트는 위임된 관리자가 생성한 스택 세트를 포함하여 관리 계정에 생성됩니다.
중요
위임된 관리자는 조직의 계정에 배포할 수 있는 모든 권한을 가집니다. 관리 계정은 위임된 관리자 권한을 특정 OU에 배포하는 권한 또는 특정 스택 세트 작업을 수행하는 권한으로 제한할 수 없습니다.
StackSets와 Organizations의 통합에 대한 자세한 내용은 AWS CloudFormation 사용 설명서의 AWS CloudFormation StackSets 사용을 참조하세요.
다음 정보는 AWS CloudFormation StackSets와 AWS Organizations를 통합하는 데 도움을 줍니다.
통합 활성화 시 서비스 연결 역할 생성
신뢰할 수 있는 액세스를 활성화하면 다음 서비스 연결 역할이 조직의 관리 계정에 자동으로 생성됩니다. 이 역할을 통해 CloudFormation Stacksets는 조직의 계정 내에서 지원되는 작업을 수행할 수 있습니다.
CloudFormation Stacksets와 Organizations 간의 신뢰할 수 있는 액세스를 비활성화하거나 조직에서 멤버 계정을 제거한 경우에만 이 역할을 삭제하거나 수정할 수 있습니다.
-
관리 계정:
AWSServiceRoleForCloudFormationStackSetsOrgAdmin
서비스 연결 역할 AWSServiceRoleForCloudFormationStackSetsOrgMember를 생성하려면 조직 내 멤버 계정의 경우 먼저 관리 계정에 스택 세트를 생성해야 합니다. 이렇게 하면 스택 세트 인스턴스가 생성되고, 멤버 계정에 역할이 생성됩니다.
-
멤버 계정:
AWSServiceRoleForCloudFormationStackSetsOrgMember
스택 세트 생성에 대한 자세한 내용은 AWS CloudFormation 사용 설명서의 AWS CloudFormation StackSets 사용을 참조하세요.
서비스 연결 역할이 사용하는 서비스 보안 주체
앞 부분에서 다룬 서비스 연결 역할은 역할에 대해 정의된 신뢰 관계에 의해 권한이 부여되는 서비스 보안 주체만 맡을 수 있습니다. CloudFormation Stacksets가 사용하는 서비스 연결 역할은 다음 서비스 보안 주체에 대한 액세스 권한을 부여합니다.
-
관리 계정:
stacksets---cloudformation.amazonaws.com.rproxy.govskope.caStackSets와 Organizations 간의 신뢰할 수 있는 액세스가 비활성화된 경우에만 이 역할을 수정하거나 삭제할 수 있습니다.
-
멤버 계정:
member---org---stacksets---cloudformation.amazonaws.com.rproxy.govskope.caStackSets와 Organizations 간의 신뢰할 수 있는 액세스를 먼저 비활성화하거나, 계정을 대상 조직 또는 조직 단위(OU)에서 먼저 제거한 경우에만 이 역할을 수정하거나 삭제할 수 있습니다.
CloudFormation Stacksets와 상호 신뢰할 수 있는 액세스 활성화
신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한 단원을 참조하세요.
Organizations 관리 계정의 관리자만 다른 AWS 서비스와 상호 신뢰할 수 있는 액세스를 활성화할 권한이 있습니다. CloudFormation 콘솔 또는 Organizations 콘솔을 사용하여 신뢰할 수 있는 액세스를 활성화할 수 있습니다.
신뢰할 수 있는 액세스는 AWS CloudFormation StackSets로만 활성화할 수 있습니다.
CloudFormation Stacksets 콘솔을 사용해 신뢰할 수 있는 액세스를 활성화하려면 AWS CloudFormation 사용 설명서에서 AWS Organizations와 상호 신뢰할 수 있는 액세스 활성화를 참조하세요.
CloudFormation Stacksets와 상호 신뢰할 수 있는 액세스 비활성화
신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한 단원을 참조하세요.
Organizations 관리 계정의 관리자만 다른 AWS 서비스와 상호 신뢰할 수 있는 액세스를 비활성화할 권한이 있습니다. 신뢰할 수 있는 액세스는 Organizations 콘솔로만 비활성화할 수 있습니다. StackSets를 사용하는 동안 Organizations와 상호 신뢰할 수 있는 액세스를 비활성화하면 이전에 생성된 모든 스택 인스턴스는 유지됩니다. 그러나 서비스 연결 역할의 권한을 사용하여 배포된 스택 세트는 더 이상 조직에서 관리하는 계정에 대한 배포를 수행할 수 없습니다.
CloudFormation 콘솔 또는 Organizations 콘솔을 사용하여 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.
중요
신뢰할 수 있는 액세스를 프로그래밍 방식으로 비활성화하면(예: AWS CLI 또는 API 사용) 권한이 제거된다는 점을 유의해야 합니다. CloudFormation 콘솔로 신뢰할 수 있는 액세스를 비활성화하는 것이 더 좋습니다.
AWS Organizations 콘솔을 사용하거나, Organizations AWS CLI 명령을 실행하거나, AWS SDK 중 하나에서 Organizations API 작업을 호출하여 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.
CloudFormation Stacksets에 대한 위임된 관리자 계정 활성화
멤버 계정을 조직의 위임된 관리자로 지정하면 해당 계정의 사용자 및 역할이 CloudFormation Stacksets에 대한 관리 작업을 수행할 수 있습니다. 그렇지 않은 경우 조직의 관리 계정에 속한 사용자 또는 역할만 관리 작업을 수행할 수 있습니다. 이는 CloudFormation Stacksets 관리와 조직 관리를 분리하는 데 도움을 줍니다.
조직에서 멤버 계정을 CloudFormation Stacksets의 위임된 관리자로 지정하는 방법에 관한 설명은 AWS CloudFormation 사용 설명서의 위임된 관리자 등록을 참조하세요.
