View a markdown version of this page

스택 정책 제한 및 요구 - AWS 권장 가이드
스택 정책을 연결할 권한 부여스택 정책 요구

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

스택 정책 제한 및 요구

최소 권한의 모범 사례로, IAM 위탁자에게 스택 정책을 할당하도록 요구하고 IAM 위탁자가 할당할 수 있는 스택 정책을 제한하는 방법을 고려합니다. 많은 IAM 위탁자에게 사용자 지정 스택 정책을 생성하고 자체 스택에 할당할 권한이 있어서는 안 됩니다.

스택 정책을 생성한 후 S3 버킷에 업로드하는 것이 좋습니다. 그런 다음 cloudformation:StackPolicyUrl 조건 키를 사용하고 S3 버킷에 스택 정책의 URL을 제공하여 이러한 스택 정책을 참조할 수 있습니다.

스택 정책을 연결할 권한 부여

최소 권한의 모범 사례로, IAM 위탁자가 CloudFormation 스택에 연결할 수 있는 스택 정책을 제한하는 방법을 고려합니다. IAM 위탁자에 대한 ID 기반 정책에서 IAM 위탁자가 할당할 권한이 있는 스택 정책을 지정할 수 있습니다. 그러면 IAM 위탁자가 스택 정책을 연결하지 못하므로 잘못된 구성의 위험을 줄일 수 있습니다.

예를 들어 조직에 요구 사항이 서로 다른 팀이 있을 수 있습니다. 따라서 각 팀은 팀별 CloudFormation 스택에 대한 스택 정책을 빌드합니다. 공유 환경에서 모든 팀이 스택 정책을 동일한 S3 버킷에 저장하는 경우 팀원이 사용 가능하지만 팀의 CloudFormation 스택에 대해 의도한 것이 아닌 스택 정책을 연결할 수 있습니다. 이 시나리오를 방지하려면 IAM 위탁자가 특정 스택 정책만 연결하도록 허용하는 정책 명령문을 정의할 수 있습니다.

다음 정책 샘플에서는 IAM 위탁자가 S3 버킷의 팀별 폴더에 저장된 스택 정책을 연결하도록 허용합니다. 이 버킷에 승인된 스택 정책을 저장할 수 있습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:SetStackPolicy"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "cloudformation:StackPolicyUrl": "<Bucket URL>/<Team folder>/*"
        }
      }
    }
  ]
}

이 정책 명령문에서는 IAM 위탁자가 모든 스택에 스택 정책을 할당할 필요가 없습니다. IAM 위탁자가 특정 스택 정책으로 스택을 생성할 권한이 있더라도 스택 정책이 없는 스택을 생성하도록 선택할 수 있습니다.

스택 정책 요구

모든 IAM 위탁자가 스택에 스택 정책을 할당하도록 하려면 서비스 제어 정책(SCP) 또는 권한 경계를 예방 가드레일로 정의할 수 있습니다.

다음 정책 샘플에서는 스택을 생성할 때 IAM 위탁자가 스택 정책을 할당해야 하는 SCP를 구성하는 방법을 보여줍니다. IAM 위탁자가 스택 정책을 연결하지 않으면 스택을 생성할 수 없습니다. 또한 이 정책은 스택 업데이트 권한이 있는 IAM 위탁자가 업데이트 중에 스택 정책을 제거하지 못하도록 합니다. 이 정책은 cloudformation:StackPolicyUrl 조건 키를 사용하여 cloudformation:UpdateStack 작업을 제한합니다.


          {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:UpdateStack"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "cloudformation:StackPolicyUrl": "true"
        }
      }
    }
  ]
}

권한 경계 대신 SCP에 이 정책 명령문을 포함하면 조직의 모든 계정에 가드레일을 적용할 수 있습니다. 이때 다음을 수행할 수 있습니다.

  1. 정책을 AWS 계정의 여러 IAM 위탁자에게 개별적으로 연결하는 노력을 줄입니다. 권한 경계는 IAM 위탁자에만 직접 연결할 수 있습니다.

  2. 서로 다른 AWS 계정에 대한 권한 경계의 여러 사본을 생성하고 관리하는 작업을 줄입니다. 그러면 여러 동일한 권한 경계에서 구성 오류가 발생할 위험이 줄어듭니다.

참고

SCP 및 권한 경계는 계정 또는 조직의 IAM 위탁자가 사용할 수 있는 최대 권한을 정의하는 권한 가드레일입니다. 이러한 정책은 IAM 위탁자에 권한을 부여하지 않습니다. 계정 또는 조직의 모든 IAM 위탁자가 스택 정책을 할당해야 하는 요구 사항을 표준화하려면 권한 가드레일과 ID 기반 정책을 모두 사용해야 합니다.