사용자 역할 및 권한 올바른 AWS 계정 선택 IAM 권한 부여 역할 권한 이해 Single Sign-On에 대한 권한 세트 생성

사전 조건

다음 주제에서는 AWS Partner Central과 AWS 계정을 연결하는 데 필요한 사전 조건을 나열합니다. 나열된 순서대로 주제를 따르는 것이 좋습니다.

참고

사용자 인터페이스, 기능 및 성능 문제로 인해 계정 연결은 Firefox 추가 지원 릴리스(Firefox ESR)를 지원하지 않습니다. 일반 버전의 Firefox 또는 크롬 브라우저 중 하나를 사용하는 것이 좋습니다.

주제

사용자 역할 및 권한
올바른 AWS 계정 선택
IAM 권한 부여
역할 권한 이해
Single Sign-On에 대한 권한 세트 생성

사용자 역할 및 권한

AWS 계정을 AWS Partner Central 계정과 연결하려면 다음 역할의 사람이 필요합니다.

Identity and Access Management(IAM) 관리자: IAM를 통해 사용자 권한을 관리합니다. 일반적으로 IT 보안, 정보 보안, 전용 IAM 팀 또는 거버넌스 및 규정 준수 조직에서 작동합니다. IAM 정책 구현, SSO 솔루션 구성, 규정 준수 검토 처리, 역할 기반 액세스 제어 구조 유지 관리를 담당합니다.
AWS Partner Central Alliance 책임자 또는 클라우드 관리자: 회사의 기본 계정 관리자입니다. 이 사람은 AWS 파트너 네트워크 이용 약관을 수락할 수 있는 비즈니스 개발 또는 비즈니스 리더십 역할과 법적 권한이 있어야 합니다. Alliance Lead는 Cloud Admin 사용자 역할을 사용하여 Partner Central 사용자에 대한 계정 연결을 위임할 수 있습니다.

올바른 AWS 계정 선택

다음 표의 정보를 사용하여 Partner Central AWS 계정과 연결해야 하는 계정을 결정할 수 있습니다.

중요

AWS 계정을 선택할 때 다음 사항을 고려하세요.

AWS Partner Central에는 IAM 정책을 사용하여 액세스를 제어하는 AWS 계정이 필요합니다.
연결된 AWS 계정은 Partner Central APIs를 사용하여 APN 수수료 결제, 솔루션 및 APN 고객 참여(ACE) 기회 추적을 관리합니다.
AWS 파트너 네트워크 기능 및 APIs는 연결된 AWS 계정을 통해 사용할 수 있습니다.
AWS ACE 기회, 기회 기록 및 다중 파트너 기회 초대와 같은 리소스는 연결된 AWS 계정에 생성되며 다른 AWS 계정으로 이전할 수 없습니다.
연결하는 AWS 계정은 유료 AWS 계정 플랜에 있어야 합니다. AWS 계정에 가입할 때 유료 계정 플랜을 선택합니다. AWS 계정을 유료 AWS 계정 플랜으로 업그레이드하려면 AWS 결제 사용 설명서의 AWS 프리 티어 플랜 선택을 참조하세요.
AWS 에서는 다음 용도로 사용되지 않는 AWS 계정을 연결할 것을 권장합니다.
- 조직의 모든 계정에 대한 계정 정보와 메타데이터를 관리하는 관리 AWS 계정입니다.
- 사용자 및 데이터가 애플리케이션 및 서비스와 상호 작용하는 프로덕션 계정입니다.
- 개발자가 코드를 작성하는 개발자 또는 샌드박스 계정입니다.
- 개인이 개인 프로젝트를 학습, 실험 및 작업할 수 있는 개인 계정입니다.
- 제품을 조달하는 AWS Marketplace 구매자 계정입니다 AWS Marketplace.
연결된 계정을 AWS 파트너 네트워크 참여와 분리하면 다른 환경에 영향을 주지 않고 AWS Partner Central에 특정한 구성에 유연성을 확보할 수 있습니다. 이렇게 하면 재무 추적, 세금 보고 및 감사도 간소화됩니다.

AWS 파트너 시나리오	예시	AWS 계정 옵션	고려 사항
시나리오 1: 사용자가 타사에서 관리하는 AWS 계정(들)을 소유하고 AWS Marketplace 판매자로 등록되지 않은 경우	AWS AWS Distributor 파트너와 협력하는 파트너	옵션 1: 계정을 생성하고 AWS 해당 계정에 연결합니다. 옵션 2: 기존 AWS 계정에 연결	옵션 1: 이 계정에 APN 요금을 청구해도 됩니까? AWS 관리 계정은 계정이 AWS 조직에 있는 경우 요금을 지불할 수 있습니다. AWS 파트너 네트워크 기능 및 APIs에 액세스하려는 위치입니까? 옵션 2: 옵션 1과 동일한 고려 사항 AWS 관리, 프로덕션, 개발자 또는 개인 계정입니까? 외부 직원이 AWS Partner Central 계약을 관리하는 계정에 액세스하도록 허용할 수 있나요? 이 계정은 Partner Central 사용자 액세스를 관리하는 데 적합합니까?
시나리오 2: 계정을 소유하고 AWS Marketplace 판매자로 등록 AWS 되지 않음	AWS 를 통해 거래하지 않는 파트너 AWS Marketplace 또는 AWS Marketplace 를 사용할 수 없는 국가의 파트너	시나리오 1과 동일	시나리오 1과 동일
시나리오 3: 계정을 소유하고 단일 Marketplace AWS Marketplace 판매자 계정에 판매자로 등록된 AWS 경우	AWS 단일 국가에 통합 제품 목록이 있거나 전 세계적으로 운영되는 파트너	옵션 1: 새 AWS 계정 생성 및 링크 옵션 2: 기존 AWS 계정에 연결 옵션 3: AWS Marketplace 판매자 계정 링크	옵션 1: 연결된 Marketplace 판매자 계정이 필요한 AWS Marketplace 기능에 액세스해야 합니까? AWS ISV Accelerate 프로그램에 가입할 계획입니까? 프로그램 요구 사항을 참조하세요. 기회, 제안, 솔루션 및 제품 목록과 같은 AWS Partner Central 및 Marketplace 리소스를 공유해야 합니까? 제품 목록 또는 거래가 가장 많은 AWS Marketplace 판매자 계정을 기본 Marketplace 판매자 계정으로 지정하는 것이 더 나을까요? 이 계정에 APN 요금을 청구해도 됩니까? 옵션 2: 옵션 1과 동일한 고려 사항 AWS 관리, 프로덕션, 개발자 또는 개인 계정입니까? 이 계정은 Partner Central 사용자 액세스를 관리하는 데 적합합니까? 옵션 3: 옵션 1 및 2와 동일한 고려 사항 추가 AWS Marketplace 판매자 계정을 생성할 계획입니까? 그렇다면 현재 Marketplace 판매자 계정을 기본 Marketplace 판매자 계정으로 지정할 수 있습니까?
시나리오 4: 계정을 소유하고 있으며 여러 AWS Marketplace 판매자 AWS 계정이 있는 판매자로 등록되어 있음	AWS 서로 다른 사업부에 여러 제품 목록이 있거나 규제 및 규정 준수 요구 사항을 충족해야 하는 파트너	시나리오 3과 동일	시나리오 3과 동일

IAM 권한 부여

이 섹션에 나열된 IAM 정책은 AWS Partner Central 사용자에게 연결된 AWS 계정에 대한 제한된 액세스 권한을 부여합니다. 액세스 수준은 사용자에게 할당된 IAM 역할에 따라 달라집니다. 권한 수준에 대한 자세한 내용은이 주제 역할 권한 이해뒷부분의 섹션을 참조하세요.

정책을 생성하려면 환경을 담당하는 AWS IT 관리자여야 합니다. 완료되면 IAM 사용자 또는 역할에 정책을 할당해야 합니다.

이 섹션의 단계에서는 IAM 콘솔을 사용하여 정책을 생성하는 방법을 설명합니다.

참고

제휴 책임자 또는 클라우드 관리자이고 AWS 관리자 권한이 있는 IAM 사용자 또는 역할이 이미 있는 경우 로 건너뜁니다AWS Partner Central 및 AWS 계정 연결.

AWS Partner Central 역할에 대한 자세한 내용은이 가이드 AWS Partner Central 역할뒷부분의 섹션을 참조하세요.

정책 생성

IAM 콘솔에 로그인합니다.
액세스 관리(Access management)에서 정책(Policies)을 선택합니다.

정책 생성을 선택하고 JSON을 선택한 다음 다음 정책을 추가합니다.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreatePartnerCentralRoles",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/PartnerCentralRoleForCloudAdmin*",
                "arn:aws:iam::*:role/PartnerCentralRoleForAce*",
                "arn:aws:iam::*:role/PartnerCentralRoleForAlliance*"
            ]
        },
        {
            "Sid": "AttachPolicyToPartnerCentralCloudAdminRole",
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForCloudAdmin*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/PartnerCentralAccountManagementUserRoleAssociation",
                        "arn:aws:iam::*:policy/AWSPartnerCentralFullAccess",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerFullAccess"
                    ]
                }
            }
        },
        {
            "Sid": "AttachPolicyToPartnerCentralAceRole",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForAce*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/AWSPartnerCentralOpportunityManagement",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerOfferManagement"
                    ]
                }
            }
        },
        {
            "Sid": "AttachPolicyToPartnerCentralAllianceRole",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForAlliance*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/AWSPartnerCentralFullAccess",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerFullAccess"
                    ]
                }
            }
        },
        {
            "Sid": "AssociatePartnerAccount",
            "Effect": "Allow",
            "Action": [
                "partnercentral-account-management:AssociatePartnerAccount"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SellerRegistration",
            "Effect": "Allow",
            "Action": [
                "aws-marketplace:ListChangeSets",
                "aws-marketplace:DescribeChangeSet",
                "aws-marketplace:StartChangeSet",
                "aws-marketplace:ListEntities",
                "aws-marketplace:DescribeEntity"
            ],
            "Resource": "*"
        }
    ]
}

다음을 선택합니다.
정책 세부 정보의 정책 이름 상자에 정책의 이름과 선택적 설명을 입력합니다.
정책 권한을 검토하고 필요에 따라 태그를 추가한 다음 정책 생성을 선택합니다.
IAM 사용자 또는 역할을 정책에 연결합니다. 연결에 대한 자세한 내용은 IAM 사용 설명서의 IAM 자격 증명 권한 추가(콘솔)를 참조하세요.

역할 권한 이해

IT 관리자가 이전 섹션의 단계를 완료하면 AWS Partner Central의 제휴 책임자 및 기타가 보안 정책을 할당하고 사용자 역할을 매핑할 수 있습니다. 다음 표에서는 계정 연결 중에 생성된 표준 역할과 각 역할에 사용할 수 있는 작업을 나열하고 설명합니다.

표준 IAM 역할	AWS 사용된 Partner Central 관리형 정책	할 수 있음	할 수 없음
클라우드 관리자	PartnerCentralAccountManagementUserRoleAssociation AWSPartnerCentralFullAccess: AWSMarketplaceSellerFullAccess:	AWS Partner Central 사용자에게 IAM 역할을 매핑하고 할당합니다. 제휴 및 ACE 팀과 동일한 작업을 완료합니다.
제휴 팀	AWSPartnerCentralFullAccess AWSMarketplaceSellerFullAccess	Management Portal을 AWS Marketplace포함하여의 모든 판매자 작업에 대한 AWS Marketplace 전체 액세스 권한. AMI 기반 제품에 사용되는 Amazon EC2 AMI를 관리할 수도 있습니다. AWS 고객 참여 기회를 AWS Marketplace 비공개 제안과 연결합니다. APN 솔루션을 AWS Marketplace 제품 목록과 연결합니다. 파트너 분석 대시보드에 액세스합니다.	AWS Partner Central 사용자에게 IAM 역할을 매핑하거나 할당합니다. 제휴 리드와 클라우드 관리자만 역할을 매핑하거나 할당합니다.
ACE 팀	AWSMarketplaceSellerOfferManagement AWSPartnerCentralOpportunityManagement	AWS Marketplace 비공개 제안을 생성합니다. AWS 고객 참여 기회를 AWS Marketplace 비공개 제안과 연결합니다.	AWS Partner Central 사용자에게 IAM 역할을 매핑하거나 할당합니다. 제휴 책임자와 클라우드 관리자만 역할을 매핑하거나 할당할 수 있습니다. 모든 AWS Marketplace 도구와 기능을 사용합니다. 파트너 분석 대시보드를 사용합니다.

Single Sign-On에 대한 권한 세트 생성

다음 단계에서는 IAM Identity Center를 사용하여 AWS Partner Central에 액세스하기 위한 Single Sign-On을 활성화하는 권한 세트를 생성하는 방법을 설명합니다.

권한 세트에 대한 자세한 내용은 AWS IAM Identity Center 사용 설명서의 권한 세트 생성을 참조하세요.

IAM Identity Center 콘솔에 로그인합니다.
다중 계정 권한 아래에서 권한 집합을 선택합니다.
권한 집합 생성을 선택합니다.
권한 세트 유형 선택 페이지의 권한 세트 유형에서 사용자 지정 권한 세트를 선택한 후 다음을 선택합니다.
다음을 수행합니다.
1. 정책 및 권한 경계 지정 페이지에서 권한 세트에 적용할 IAM 정책 유형을 선택합니다.
  
  기본적으로 권한 세트에 최대 10개의 AWS 관리형 정책과 고객 관리형 정책의 조합을 추가할 수 있습니다. IAM은이 할당량을 설정합니다. 이를 높이려면 권한 세트를 할당하려는 각 AWS 계정의 Service Quotas 콘솔에서 IAM 역할에 연결된 IAM 할당량 관리형 정책 증가를 요청합니다.
2. 인라인 정책을 확장하여 JSON 형식의 사용자 지정 정책 텍스트를 추가합니다. 인라인 정책이 기존 IAM 리소스와 일치하지 않습니다. 인라인 정책을 생성하려면 제공된 양식에 사용자 지정 정책 언어를 입력합니다. IAM Identity Center는 멤버 계정에서 생성하는 IAM 리소스에 정책을 추가합니다. 자세한 내용은 인라인 정책을 참조하세요.
3. AWS Partner Central 및 AWS 계정 연결 사전 요구 사항에서 JSON 정책을 복사하여 붙여넣습니다.
권한 집합 세부정보 지정 페이지에서 다음 작업을 수행합니다.
1. 권한 집합 이름 아래에 IAM Identity Center의 이 권한 집합을 식별하는 이름을 입력합니다. 이 권한 세트에 대해 지정하는 이름은 AWS 액세스 포털에 사용 가능한 역할로 표시됩니다. 사용자는 AWS 액세스 포털에 로그인하고 AWS 계정을 선택한 다음 역할을 선택합니다.
2. (선택 사항) 또한 설명을 추가할 수도 있습니다. 설명은 AWS 액세스 포털이 아닌 IAM Identity Center 콘솔에만 표시됩니다.
3. (선택 사항) 세션 기간 값을 지정합니다. 이 값은 콘솔이 세션에서 로그아웃하기 전에 사용자가 로그온할 수 있는 시간을 결정합니다. 자세한 내용은 AWS 계정에 대한 세션 기간 설정을 참조하세요.
4. (선택 사항) 릴레이 상태 값을 지정합니다. 이 값은 페더레이션 프로세스 중 계정 내에서 사용자를 리디렉션하는 데 사용됩니다. 자세한 내용은 AWS 관리 콘솔에 빠르게 액세스하려면 릴레이 상태 설정을 참조하세요.
  
  참고
  릴레이 상태에 AWS Management Console URL을 사용해야 합니다. 예: https://console.aws.amazon.com/ec2/
5. 태그(선택 사항)를 확장하고 태그 추가를 선택한 다음 키 및 값(선택 사항) 의 값을 지정합니다.
  
  태그에 대한 자세한 내용은 AWS IAM Identity Center 리소스 태그 지정을 참조하세요.
6. 다음을 선택합니다.
검토 및 생성 페이지에서 선택한 내용을 검토한 다음 생성을 선택합니다.

기본적으로 권한 세트를 생성하면 권한 세트가 프로비저닝되지 않습니다(어떤 AWS 계정에서도 사용됨). AWS 계정에서 권한 세트를 프로비저닝하려면 계정의 사용자 및 그룹에 IAM Identity Center 액세스 권한을 할당한 다음 해당 사용자 및 그룹에 권한 세트를 적용해야 합니다. 자세한 내용은 AWS IAM Identity Center 사용 설명서의 AWS 계정에 사용자 액세스 할당을 참조하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

AWS Partner Central 및 AWS 계정 연결

계정 연결