View a markdown version of this page

다중 계정 설정( AWS 조직 제외) - AWS 복원력 허브

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다중 계정 설정( AWS 조직 제외)

서비스의 리소스가 여러 AWS 계정에 걸쳐 있고 Organizations를 사용하지 AWS 않는 경우 호출자 역할 외에도 교차 계정 역할이 필요합니다.

1단계: 교차 계정 역할 생성

서비스에 대한 리소스가 포함된 각 계정에서 다음을 사용하여 역할을 생성합니다.

  • ReadOnlyAccess 정책이 연결되었습니다.

  • 호출자 역할이 이를 수임하도록 허용하는 신뢰 정책으로, ExternalId를 사용하여 혼동된 대리자 공격을 방지합니다. 서비스 및 계정 조합당 고유한 ExternalId 값을 사용합니다.

    {
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {
      "AWS": "arn:aws:iam::123456789012:role/AWSResilienceHubAssessmentRole"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "StringEquals": {
        "sts:ExternalId": "ngrh-my-service-111122223333"
      }
    }
  }]
}

2단계: 호출자 역할에 교차 계정 역할을 수임할 수 있는 권한 부여

간접 호출자 역할에 교차 계정 역할을 수임할 수 있는 인라인 정책을 추가합니다.

{
  "Effect": "Allow",
  "Action": "sts:AssumeRole",
  "Resource": [
    "arn:aws:iam::111122223333:role/NGRHResourceRole",
    "arn:aws:iam::444455556666:role/NGRHResourceRole"
  ]
}

3단계: 서비스에서 교차 계정 역할 구성

서비스를 생성할 때 교차 계정 역할 ARNs 및 외부 IDs를 지정합니다.

aws resiliencehubv2 create-service \
  --name "my-service" \
  --regions '["us-east-1"]' \
  --permission-model '{
    "invokerRoleName": "AWSResilienceHubAssessmentRole",
    "crossAccountRoles": [
      {
        "crossAccountRoleArn": "arn:aws:iam::111122223333:role/NGRHResourceRole",
        "externalId": "ngrh-my-service-111122223333"
      },
      {
        "crossAccountRoleArn": "arn:aws:iam::444455556666:role/NGRHResourceRole",
        "externalId": "ngrh-my-service-444455556666"
      }
    ]
  }'

서비스당 최대 5개의 교차 계정 역할 ARNs을 구성할 수 있습니다.