IAM 관리형 정책을 사용하여 VSS 기반 스냅샷에 대한 권한 부여 - Amazon Elastic Compute Cloud
VSS 스냅샷 관리형 정책VSS 정책 연결

IAM 관리형 정책을 사용하여 VSS 기반 스냅샷에 대한 권한 부여

AWSEC2VssSnapshotPolicy 관리형 정책을 사용하면 Systems Manager가 Windows 인스턴스에서 다음 작업을 수행할 수 있습니다.

  • EBS 스냅샷 생성 및 태그 지정

  • Amazon Machine Image(AMI) 생성 및 태그 지정

  • 디바이스 ID와 같은 메타데이터를 VSS에서 생성하는 기본 스냅샷 태그에 연결합니다.

이 주제에서는 VSS 관리형 정책의 권한 세부 정보와 이를 EC2 인스턴스 프로파일 IAM 역할에 연결하는 방법을 다룹니다.

AWSEC2VssSnapshotPolicy 관리형 정책 세부 정보

AWS 관리형 정책은 AWS 고객을 위해 Amazon에서 제공하는 독립 실행형 정책입니다. AWS 관리형 정책은 일반 사용 사례에 대한 권한을 부여하도록 설계되었습니다. AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 하지만 정책을 복사하여 사용 사례에 특정한 고객 관리형 정책의 기준으로 사용할 수 있습니다.

AWS 관리형 정책에 대한 자세한 정보는 IAM 사용 설명서에서 AWS 관리형 정책을 참조하십시오.

AWSEC2VssSnapshotPolicy 관리형 정책을 사용하려면 EC2 Windows 인스턴스에 연결된 IAM 역할에 정책을 연결하면 됩니다. 이 정책을 통해 EC2 VSS 솔루션에서 Amazon Machine Image(AMI) 및 EBS 스탭샷을 생성하고 이에 태그를 지정할 수 있습니다. 정책을 연결하려면 인스턴스 프로파일 역할에 VSS 스냅샷 관리형 정책 연결 섹션을 참조하세요.

AWSEC2VssSnapshotPolicy으로 부여된 권한

AWSEC2VssSnapshotPolicy 정책에는 Amazon EC2가 사용자를 대신하여 VSS 스냅샷을 생성하고 관리할 수 있도록 하는 다음과 같은 Amazon EC2 권한이 포함되어 있습니다. EC2 Windows 인스턴스에서 사용할 IAM 인스턴스 프로파일 역할에 이 관리형 정책을 연결할 수 있습니다.

  • ec2:CreateTags – 리소스를 식별하고 분류하는 데 도움이 되도록 EBS 스냅샷 및 AMI에 태그를 추가합니다.

  • ec2:DescribeInstanceAttribute – 대상 인스턴스에 연결된 EBS 볼륨 및 해당 블록 디바이스 매핑을 검색합니다.

  • ec2:CreateSnapshots – EBS 볼륨의 스냅샷을 생성합니다.

  • ec2:CreateImage – 실행 중인 EC2 인스턴스에서 AMI를 생성합니다.

  • ec2:DescribeImages – EC2 AMI 및 스냅샷에 대한 정보를 검색합니다.

  • ec2:DescribeSnapshots – 스냅샷의 생성 시간과 상태를 결정하여 애플리케이션 일관성을 확인합니다.

참고

이 정책의 권한 세부 정보를 보려면 AWS 관리형 정책 참조의 AWSEC2VssSnapshotPolicy 섹션을 참조하세요.

특정 사용 사례에 대한 권한 간소화 - 고급

AWSEC2VssSnapshotPolicy 관리형 정책에는 VSS 기반 스냅샷을 생성할 수 있는 모든 방법에 대한 권한이 포함됩니다. 필요한 권한만 포함하는 사용자 지정 정책을 생성할 수 있습니다.

사용 사례: AMI 생성, 사용 사례: AWS Backup 서비스 사용

CreateAmi 옵션만 사용하거나 AWS Backup 서비스를 통해서만 VSS 기반 스냅샷을 생성하는 경우 다음과 같이 정책 설명을 간소화할 수 있습니다.

  • 다음 명령문 ID(SID)로 식별되는 정책 명령문을 생략합니다.

    • CreateSnapshotsWithTag

    • CreateSnapshotsAccessInstance

    • CreateSnapshotsAccessVolume

  • CreateTagsOnResourceCreation 문을 다음과 같이 조정합니다.

    • 리소스에서 arn:aws:ec2:*:*:snapshot/*을 제거합니다.

    • ec2:CreateAction 조건에서 CreateSnapshots를 제거합니다.

  • CreateTagsAfterResourceCreation 문을 조정하여 리소스에서 arn:aws:ec2:*:*:snapshot/*을 제거합니다.

  • DescribeImagesAndSnapshots 문을 조정하여 명령문 작업에서 ec2:DescribeSnapshots를 제거합니다.

사용 사례: 스냅샷만

CreateAmi 옵션을 사용하지 않는 경우 다음과 같이 정책 명령문을 간소화할 수 있습니다.

  • 다음 명령문 ID(SID)로 식별되는 정책 명령문을 생략합니다.

    • CreateImageAccessInstance

    • CreateImageWithTag

  • CreateTagsOnResourceCreation 문을 다음과 같이 조정합니다.

    • 리소스에서 arn:aws:ec2:*:*:image/*을 제거합니다.

    • ec2:CreateAction 조건에서 CreateImage를 제거합니다.

  • CreateTagsAfterResourceCreation 문을 조정하여 리소스에서 arn:aws:ec2:*:*:image/*을 제거합니다.

  • DescribeImagesAndSnapshots 문을 조정하여 명령문 작업에서 ec2:DescribeImages를 제거합니다.

참고

사용자 지정된 정책이 예상대로 작동하려면 정기적으로 관리형 정책을 검토하고 업데이트를 통합하는 것이 좋습니다.

인스턴스 프로파일 역할에 VSS 스냅샷 관리형 정책 연결

EC2 Windows 인스턴스에 VSS 기반 스냅샷에 대한 권한을 부여하려면 다음과 같이 AWSEC2VssSnapshotPolicy 관리형 정책을 인스턴스 프로파일 역할에 연결합니다. 인스턴스가 모든 시스템 요구 사항을 충족하는지 확인해야 합니다.

참고

관리형 정책을 사용하려면 인스턴스에 AwsVssComponents 패키지 버전 2.3.1 이상이 설치되어 있어야 합니다. 버전 기록은 AwsVssComponents 패키지 버전을(를) 참조하세요.

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 역할을 선택하여 액세스 권한이 있는 IAM 역할 목록을 표시합니다.

  3. 인스턴스에 연결된 역할의 역할 이름 링크를 선택합니다. 그러면 역할 세부 정보 페이지가 열립니다.

  4. 관리형 정책을 연결하려면 목록 패널의 오른쪽 상단에 있는 권한 추가를 선택합니다. 그리고 드롭다운 목록에서 정책 연결을 선택합니다.

  5. 결과를 간소화하기 위해 검색 창(AWSEC2VssSnapshotPolicy)에 정책 이름을 입력합니다.

  6. 연결할 정책 이름 옆의 확인란을 선택하고 권한 추가를 선택합니다.