Amazon EC2 시작 템플릿을 사용하여 Amazon EC2 인스턴스 시작 제어 - Amazon Elastic Compute Cloud

Amazon EC2 시작 템플릿을 사용하여 Amazon EC2 인스턴스 시작 제어

사용자가 시작 템플릿을 사용하는 경우에만 인스턴스를 시작할 수 있고, 특정 시작 템플릿만 사용할 수 있도록 지정하여 Amazon EC2 인스턴스의 구성을 제어할 수 있습니다. 또한 시작 템플릿과 시작 템플릿 버전을 생성, 수정, 설명 및 삭제할 수 있는 사용자를 제어할 수 있습니다.

시작 템플릿을 사용하여 시작 파라미터 제어

시작 템플릿에는 시작 시 인스턴스를 구성하는 데 필요한 모든 파라미터 또는 일부파라미터가 포함될 수 있습니다. 그러나 시작 템플릿을 사용해 인스턴스를 시작할 때 시작 템플릿에 지정된 파라미터를 재정의할 수 있습니다. 또는 시작 템플릿에 없는 추가 파라미터를 지정할 수 있습니다.

참고

시작 중에는 시작 템플릿 파라미터를 제거할 수 없습니다(예를 들어 파라미터에 대해 null 값을 지정할 수 없습니다). 파라미터를 제거하려면 파라미터 없이 새로운 버전의 시작 템플릿을 생성하고 이 버전을 사용하여 인스턴스를 시작합니다.

인스턴스를 시작하려면 사용자에게 ec2:RunInstances 작업을 사용할 수 있는 권한이 있어야 합니다. 사용자는 또한 해당 인스턴스로 생성하거나 해당 인스턴스와 연관된 리소스를 생성 또는 사용할 권한이 있어야 합니다. ec2:RunInstances 작업에 대한 리소스 수준 권한을 사용하여 사용자가 지정할 수 있는 시작 파라미터를 제어할 수 있습니다. 또는 사용자에게 시작 템플릿을 사용하여 인스턴스를 시작할 권한을 부여할 수 있습니다. 이렇게 하면 IAM 정책이 아닌 시작 템플릿에서 시작 파라미터를 관리하고 시작 템플릿을 사용하여 인스턴스 시작을 위한 권한 부여 방법으로 시작 템플릿을 사용할 수 있습니다. 예를 들어 사용자가 시작 템플릿을 사용하여 인스턴스를 시작만 할 수 있고 특정한 시작 템플릿만 사용하도록 지정할 수 있습니다. 또한 사용자가 시작 템플릿에서 재정의할 수 있는 시작 파라미터를 제어할 수도 있습니다. 예시 정책은 시작 템플릿 섹션을 참조하세요.

시작 템플릿 사용 제어

기본적으로 사용자에게는 시작 템플릿 사용 권한이 없습니다. 사용자에게 시작 템플릿과 시작 템플릿 버전을 생성, 수정, 설명 및 삭제할 수 있는 권한을 부여하는 정책을 생성할 수 있습니다. 일부 시작 템플릿 작업에 리소스 수준 권한을 적용하여 이러한 작업에서 특정 리소스를 사용할 수 있는 권한을 제어할 수도 있습니다. 자세한 내용은 예: 시작 템플릿 작업 정책 예제를 참조하세요.

ec2:CreateLaunchTemplateec2:CreateLaunchTemplateVersion 작업을 사용할 수 있는 권한을 부여할 때는 신중해야 합니다. 리소스 수준 권한을 사용하여 사용자가 시작 템플릿에서 지정할 수 있는 리소스를 제어할 수 없습니다. 인스턴스를 시작하는 데 사용되는 리소스를 제한하려면 시작 템플릿과 시작 템플릿 버전을 생성할 수 있는 권한을 해당 관리자에게만 부여해야 합니다.

EC2 플릿 또는 스팟 플릿에서 시작 템플릿을 사용할 때의 중요한 보안 문제

시작 템플릿을 사용하려면 사용자에게 시작 템플릿과 시작 템플릿 버전을 생성, 수정, 설명, 삭제할 수 있는 권한을 부여해야 합니다. ec2:CreateLaunchTemplateec2:CreateLaunchTemplateVersion 작업에 대한 액세스를 제어하여 시작 템플릿 및 시작 템플릿 버전을 생성할 수 있는 사용자를 제어할 수 있습니다. 또한 ec2:ModifyLaunchTemplate 작업에 대한 액세스를 제어하여 시작 템플릿을 수정할 수 있는 사용자를 제어할 수 있습니다.

중요

EC2 플릿 또는 스팟 플릿이 최신 또는 기본 시작 템플릿 버전을 사용하도록 구성된 경우 플릿은 나중에 최신 또는 기본값이 다른 시작 템플릿 버전을 가리키도록 변경되었는지 여부를 인식하지 못합니다. 최신 또는 기본에 다른 시작 템플릿 버전이 사용되는 경우 Amazon EC2는 플릿의 목표 용량을 충족하기 위해 새 인스턴스를 시작할 때 완료해야 할 작업에 대한 권한을 다시 확인하지 않습니다. 이는 시작 템플릿 버전을 만들고 관리할 수 있는 사람에게 권한을 부여할 때 중요한 고려 사항이며, 특히 사용자에게 기본 시작 템플릿 버전 변경을 허용하는 ec2:ModifyLaunchTemplate 작업의 경우 더욱 그렇습니다.

사용자에게 시작 템플릿 API에 대한 EC2 작업을 사용할 수 있는 권한을 부여하면 사용자는 인스턴스 프로파일(IAM 역할에 대한 컨테이너)이 포함된 다른 시작 템플릿 버전을 가리키도록 EC2 플릿 또는 스팟 플릿을 생성하거나 업데이트하는 경우에도 사용자에게 사실상 iam:PassRole 권한이 부여됩니다. 따라서 사용자는 iam:PassRole 권한이 없더라도 잠재적으로 시작 템플릿을 업데이트하여 IAM 역할을 인스턴스에 전달할 수 있습니다. 자세한 정보와 IAM 정보 예시는 IAM 사용 설명서의 IAM 역할을 사용하여 Amazon EC2 인스턴스에서 실행되는 애플리케이션에 권한 부여를 참조하세요.

자세한 내용은 시작 템플릿 사용 제어예: 시작 템플릿 작업 단원을 참조하세요.