Application Auto Scaling에서 IAM을 사용하는 방식
참고
2017년 12월에 Application Auto Scaling 통합 서비스에 여러 서비스 연결 역할을 사용할 수 있도록 하는 Application Auto Scaling 업데이트가 있었습니다. 사용자가 조정을 구성할 수 있도록 특정 IAM 권한 및 Application Auto Scaling 서비스 연결 역할(또는 Amazon EMR 자동 크기 조정의 서비스 역할)이 필요합니다.
IAM을 사용하여 Application Auto Scaling에 대한 액세스를 관리하려면 먼저 어떤 IAM 기능을 Application Auto Scaling에 사용할 수 있는지를 학습하세요.
| IAM 특성 | Application Auto Scaling 지원 |
|---|---|
|
예 |
|
|
예 |
|
|
예 |
|
|
예 |
|
|
아니요 |
|
|
아니요 |
|
|
부분 |
|
|
예 |
|
|
예 |
|
|
예 |
Application Auto Scaling 및 기타 AWS 서비스에서 대부분의 IAM 기능을 사용하는 방식을 개괄적으로 알아보려면 IAM 사용 설명서의 IAM으로 작업하는 AWS 서비스을(를) 참조하세요.
Application Auto Scaling 자격 증명 기반 정책
ID 기반 정책 지원: 예
ID 기반 정책은 IAM 사용자, 사용자 그룹 또는 역할과 같은 ID에 연결할 수 있는 JSON 권한 정책 문서입니다. 이러한 정책은 사용자와 역할이 어떤 리소스와 어떤 조건에서 어떤 작업을 수행할 수 있는지를 제어합니다. 자격 증명 기반 정책을 만드는 방법을 알아보려면 IAM 사용 설명서의 고객 관리형 정책으로 사용자 지정 IAM 권한 정의를 참조하세요.
IAM ID 기반 정책을 사용하면 허용되거나 거부되는 작업과 리소스뿐 아니라 작업이 허용되거나 거부되는 조건을 지정할 수 있습니다. 보안 인증 기반 정책에서는 보안 주체가 연결된 사용자 또는 역할에 적용되므로 보안 주체를 지정할 수 없습니다. JSON 정책에서 사용하는 모든 요소에 대해 알아보려면 IAM 사용 설명서의 IAM JSON 정책 요소 참조를 참조하십시오.
Application Auto Scaling의 자격 증명 기반 정책 예제
Application Auto Scaling 자격 증명 기반 정책 예제를 보려면 Application Auto Scaling 자격 증명 기반 정책 예제 섹션을 참조하세요.
작업
정책 작업 지원: 예
IAM 정책 구문에는 IAM을 지원하는 모든 서비스의 모든 API 작업을 지정할 수 있습니다. Application Auto Scaling의 경우 접두사와 함께 API 작업 이름 application-autoscaling:을(를) 사용합니다. 예를 들어, application-autoscaling:RegisterScalableTarget, application-autoscaling:PutScalingPolicy 및 application-autoscaling:DeregisterScalableTarget입니다.
단일 명령문에서 여러 작업을 지정하려면 다음 예시와 같이 쉼표로 구분합니다.
"Action": [ "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities"
와일드카드(*)를 사용하여 여러 작업을 지정할 수 있습니다. 예를 들어, Describe라는 단어로 시작하는 모든 작업을 지정하려면 다음 작업을 포함합니다.
"Action": "application-autoscaling:Describe*"
Application Auto Scaling 작업의 목록을 확인하려면 서비스 승인 참조의 AWS Application Auto Scaling에서 정의한 작업을 참조하세요.
리소스
정책 리소스 지원: 예
IAM 정책 구문에서 Resource 요소는 명령문이 다루는 하나 이상의 객체를 지정합니다. Application Auto Scaling의 경우 Amazon 리소스 이름(ARN)을 사용하여 지정한 확장 가능 대상에 각 IAM 정책 구문이 적용됩니다.
확장 가능 대상을 위한 ARN 리소스 형식:
arn:aws:application-autoscaling:region:account-id:scalable-target/unique-identifier예를 들어 구문에서 다음과 같이 ARN을 사용하여 특정 확장 가능 대상을 나타낼 수 있습니다. 고유 ID(1234abcd56ab78cd901ef1234567890ab123)는 Application Auto Scaling을 통해 확장 가능 대상에 할당된 값입니다.
"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/1234abcd56ab78cd901ef1234567890ab123"다음과 같이 고유 식별자를 와일드카드(*)로 대체하여 특정 계정에 속하는 모든 인스턴스를 지정할 수 있습니다.
"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/*"모든 리소스를 지정하려 하거나 특정 API 작업이 ARN을 지원하지 않는 경우 다음과 같이 와일드카드(*)를 Resource 요소로 사용합니다.
"Resource": "*"자세한 내용은 서비스 인증 참조의 AWS Application Auto Scaling에서 정의한 리소스 유형을 참조하세요.
조건 키
서비스별 정책 조건 키 지원: 예
IAM 정책에 Application Auto Scaling 리소스에 대한 액세스를 제어하는 조건을 지정할 수 있습니다. 이 정책문은 조건이 true일 때만 유효합니다.
Application Auto Scaling은 자격 증명 기반 정책에서 Application Auto Scaling API 작업을 수행 가능한 사용자를 결정하는 데 사용할 수 있는 다음과 같은 서비스 정의 조건 키를 지원합니다.
-
application-autoscaling:scalable-dimension -
application-autoscaling:service-namespace
조건 키를 사용할 수 있는 Application Auto Scaling API 작업을 알아보려면 서비스 승인 참조의 AWS Application Auto Scaling에서 정의한 작업을 참조하세요. Application Auto Scaling 조건 키에 대한 자세한 내용을 알아보려면 AWS Application Auto Scaling에 사용되는 조건 키를 참조하세요.
모든 서비스에 사용할 수 있는 글로벌 조건 키를 보려면 IAM 사용 설명서의 AWS 글로벌 조건 컨텍스트 키를 참조하세요.
리소스 기반 정책
리소스 기반 정책 지원: 아니요
Amazon Simple Storage Service와 같은 다른 AWS 서비스도 리소스 기반 권한 정책을 지원합니다. 예를 들어, 권한 정책을 S3 버킷에 연결하여 해당 버킷에 대한 액세스 권한을 관리할 수 있습니다.
Application Auto Scaling은 리소스 기반 정책을 지원하지 않습니다.
액세스 제어 목록(ACL)
ACL 지원: 아니요
Application Auto Scaling은 액세스 제어 목록(ACL)을 지원하지 않습니다.
Application Auto Scaling 작업을 사용한 ABAC
ABAC 지원(정책의 태그): 부분적
ABAC(속성 기반 액세스 제어)는 속성에 근거하여 권한을 정의하는 권한 부여 전략입니다. AWS에서는 이러한 속성을 태그라고 합니다. IAM 엔터티(사용자 또는 역할) 및 많은 AWS리소스에 태그를 연결할 수 있습니다. ABAC의 첫 번째 단계로 개체 및 리소스에 태그를 지정합니다. 그런 다음 보안 주체의 태그가 액세스하려는 리소스의 태그와 일치할 때 작업을 허용하도록 ABAC 정책을 설계합니다.
ABAC는 빠르게 성장하는 환경에서 유용하며 정책 관리가 번거로운 상황에 도움이 됩니다.
태그에 근거하여 액세스를 제어하려면 aws:ResourceTag/, key-nameaws:RequestTag/ 또는 key-nameaws:TagKeys 조건 키를 사용하여 정책의 조건 요소에 태그 정보를 제공합니다.
태그를 지원하는 리소스에는 ABAC를 사용할 수 있지만 모든 리소스가 태그를 지원하는 것은 아닙니다. 예약된 작업 및 크기 조정 정책은 태그를 지원하지 않지만, 확장 가능 대상은 태그를 지원합니다. 자세한 내용은 Application Auto Scaling에 대한 태그 지정 지원 단원을 참조하십시오.
ABAC에 대한 자세한 정보는 IAM 사용 설명서의 ABAC란 무엇입니까?를 참조하십시오. ABAC 설정 단계가 포함된 자습서를 보려면 IAM 사용 설명서의 속성 기반 액세스 제어(ABAC) 사용을 참조하십시오.
Application Auto Scaling과 함께 임시 자격 증명 사용
임시 자격 증명 지원: 예
일부 AWS 서비스는 임시 보안 인증을 사용하여 로그인할 때 작동하지 않습니다. 임시 보안 인증으로 작동하는 AWS 서비스를 비롯한 추가 정보는 IAM 사용 설명서의 IAM으로 작업하는 AWS 서비스를 참조하십시오.
사용자 이름과 암호를 제외한 다른 방법을 사용하여 AWS Management Console에 로그인하면 임시 보안 인증을 사용하는 것입니다. 예컨대, 회사의 Single Sign-On(SSO) 링크를 사용하여 AWS에 액세스하면 해당 프로세스에서 자동으로 임시 자격 증명을 생성합니다. 또한 콘솔에 사용자로 로그인한 다음 역할을 전환할 때 임시 보안 인증을 자동으로 생성합니다. 역할 전환에 대한 자세한 내용은 IAM 사용 설명서의 사용자에서 IAM 역할로 전환(콘솔)을 참조하세요.
AWS CLI 또는 AWS API를 사용하여 임시 보안 인증을 수동으로 만들 수 있습니다 그런 다음 이러한 임시 보안 인증을 사용하여 AWS에 액세스할 수 있습니다. AWS에서는 장기 액세스 키를 사용하는 대신 임시 보안 인증을 동적으로 생성할 것을 권장합니다. 자세한 정보는 IAM의 임시 보안 자격 증명 섹션을 참조하십시오.
서비스 역할
서비스 역할 지원: 예
Amazon EMR 클러스터에서 자동 크기 조정을 사용하는 경우 이 기능을 사용하면 Application Auto Scaling이 사용자를 대신하여 서비스 역할을 수임할 수 있습니다. 서비스 연결 역할과 마찬가지로, 서비스 역할을 사용하면 서비스가 다른 서비스의 리소스에 액세스하고 사용자를 대신하여 작업을 완료할 수 있습니다. 서비스 역할은 IAM 계정에 나타나고, 해당 계정이 소유합니다. 즉, IAM 관리자가 이 역할에 대한 권한을 변경할 수 있습니다. 그러나 권한을 변경하면 서비스의 기능이 손상될 수 있습니다.
Application Auto Scaling은 Amazon EMR에 대해서만 서비스 역할을 지원합니다. EMR 서비스 역할에 대한 설명서는 Amazon EMR 관리 가이드의 인스턴스 그룹에 대한 사용자 지정 정책과 함께 자동 크기 조정 사용을 참조하세요.
참고
서비스 연결 역할이 도입됨에 따라 Amazon ECS 및 스팟 플릿과 같은 여러 레거시 서비스 역할이 더 이상 필요하지 않습니다.
서비스 연결 역할
서비스 링크 역할 지원: 예
서비스 연결 역할은 AWS 서비스에 연결된 서비스 역할의 한 유형입니다. 서비스는 사용자를 대신하여 작업을 수행하기 위해 역할을 수임할 수 있습니다. 서비스 링크 역할은 AWS 계정에 나타나고, 서비스가 소유합니다. IAM 관리자는 서비스 링크 역할의 권한을 볼 수 있지만 편집은 할 수 없습니다.
자세한 정보는 Application Auto Scaling 서비스 연결 역할에 대한 자세한 정보는 Application Auto Scaling에 대한 서비스 연결 역할을(를) 참조하세요.
