기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
다른 AWS 계정에 애플리케이션 배포
조직에는 일반적으로 다양한 용도로 사용하는 여러 AWS 계정이 있습니다. 예를 들어, 하나는 시스템 관리 작업용이고 다른 하나는 개발, 테스트 및 프로덕션 작업용 또는 개발 및 테스트 환경과 관련된 계정이고 다른 하나는 프로덕션 환경과 관련된 계정입니다.
서로 다른 계정에서 관련 작업을 수행할 수도 있지만 CodeDeploy 배포 그룹 및 배포 그룹이 배포하는 Amazon EC2 인스턴스는 해당 그룹이 생성된 계정과 엄격하게 연결됩니다. 예를 들어 한 계정에서 시작한 인스턴스를 다른 계정의 배포 그룹에 추가할 수 없습니다.
개발 계정과 프로덕션 AWS 계정이라는 두 개의 계정이 있다고 가정해 보겠습니다. 주로 개발 계정에서 작업하지만, 전체 자격 증명 세트 없이 또는 개발 계정에서 로그아웃하여 프로덕션 계정에 로그인하지 않고도 프로덕션 계정에서 배포를 시작할 수 있기를 원합니다.
교차 계정 구성 단계를 수행한 후에는 조직의 다른 계정에 대한 전체 자격 증명 세트 없이 해당 계정에 속한 배포를 시작할 수 있습니다. 부분적으로 해당 계정에 대한 임시 액세스 권한을 부여하는 AWS Security Token Service (AWS STS)에서 제공하는 기능을 사용하여 이 작업을 수행합니다.
1단계: 두 계정 중 하나에 S3 버킷 생성
개발 계정 또는 프로덕션 계정에서 다음을 수행합니다.
-
아직 생성하지 않은 경우 프로덕션 계정에 대한 애플리케이션 개정 버전이 저장될 Amazon S3 버킷을 생성합니다. 자세한 정보는 Amazon S3에서 버킷 생성을 참조하세요. 두 계정 모두에 동일한 버킷 및 애플리케이션 개정 버전을 사용하여 개발 계정에서 테스트하고 확인한 동일한 파일을 프로덕션 환경에 배포할 수도 있습니다.
2단계: Amazon S3 버킷에 프로덕션 계정의 IAM 인스턴스 프로필에 대한 권한 부여
1단계에서 생성한 Amazon S3 버킷이 프로덕션 계정에 있는 경우 이 단계가 필요하지 않습니다. 나중에 수임하는 역할은 프로덕션 계정에도 있기 때문에 이미 이 버킷에 액세스할 수 있습니다.
개발 계정에서 Amazon S3 버킷을 생성한 경우 다음을 수행합니다.
-
프로덕션 계정에서 IAM 인스턴스 프로파일을 생성합니다. 자세한 내용은 4단계: Amazon IAM 인스턴스의 EC2 인스턴스 프로파일 생성을 참조하세요.
참고
이 IAM 인스턴스 프로파일의 ARN을 기록해 둡니다. 다음에 생성하는 교차 버킷 정책에 추가해야 합니다.
-
개발 계정에서 개발 계정으로 생성한 Amazon S3 버킷에 대한 액세스 권한을 프로덕션 계정에서 방금 생성한 IAM 인스턴스 프로파일에 부여합니다. 자세한 내용은 예제 2: 버킷 소유자가 교차 계정 버킷 권한 부여를 참조하세요.
교차 계정 버킷 권한 부여 프로세스를 완료할 때 다음 사항에 유의하세요.
-
예제 연습에서 계정 A는 개발 계정을 나타내고 계정 B는 프로덕션 계정을 나타냅니다.
-
계정 A(개발 계정) 작업에서 다음 버킷 정책을 수정하여 연습에 제공된 정책 예제를 사용하는 대신 교차 계정 권한을 부여하도록 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Cross-account permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
account-id
:role/role-name
" }, "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::bucket-name
/*" ] } ] }account-id
는 방금 IAM 인스턴스 프로파일을 생성한 프로덕션 계정의 계정 번호를 나타냅니다.role-name
은 방금 생성한 IAM 인스턴스 프로파일의 이름을 나타냅니다.bucket-name
은 1단계에서 생성한 버킷의 이름을 나타냅니다. 버킷 내의 각 파일에 대한 액세스를 제공할 수 있도록 버킷 이름 뒤에/*
을(를) 포함해야 합니다.
-
3단계: 프로덕션 계정에서 리소스 및 교차 계정 역할 생성
프로덕션 계정에서 다음을 수행합니다.
-
이 안내서의 지침에 따라 애플리케이션, 배포 그룹, 배포 구성, Amazon EC2 인스턴스, Amazon EC2 인스턴스 프로필, 서비스 역할 등의 CodeDeploy 리소스를 생성하십시오.
-
개발 계정의 사용자가 이 프로덕션 계정에서 CodeDeploy 작업을 수행하도록 위임할 수 있는 추가 역할인 교차 계정 IAM 역할을 생성하십시오.
안내를 활용하세요. IAM 역할을 사용하여 AWS 계정 간 액세스를 위임하면 교차 계정 역할을 생성하는 데 도움이 되는 가이드로 활용할 수 있습니다. 안내의 샘플 권한을 정책 문서에 추가하는 대신 최소한 다음 두 가지 제공된 정책을 역할에 연결해야 합니다. AWS
-
AmazonS3FullAccess
: S3 버킷이 개발 계정에 있는 경우에만 필요합니다. 위임된 프로덕션 계정 역할에 개정 버전이 저장된 개발 계정의 Amazon S3 서비스 및 리소스에 대한 전체 액세스 권한을 제공합니다. -
AWSCodeDeployDeployerAccess
: 사용자가 개정 버전을 등록 및 배포할 수 있도록 합니다.
배포를 시작하는 것만이 아니라 배포 그룹을 만들고 관리하려는 경우
AWSCodeDeployDeployerAccess
정책 대신AWSCodeDeployFullAccess
정책을 추가하세요. IAM 관리형 정책을 사용하여 CodeDeploy 작업에 권한을 부여하는 방법에 대한 자세한 내용은 을 참조하십시오. AWS 에 대한 관리형(사전 정의) 정책 CodeDeploy이 교차 계정 역할을 사용하는 동안 다른 AWS 서비스에서 작업을 수행하려는 경우 추가 정책을 연결할 수 있습니다.
-
중요
교차 계정 IAM 역할을 생성할 때 프로덕션 계정에 액세스하는 데 필요한 세부 정보를 기록해 둡니다.
를 사용하여 역할을 AWS Management Console 전환하려면 다음 중 하나를 제공해야 합니다.
-
위임된 역할의 자격 증명을 사용하여 프로덕션 계정에 액세스하기 위한 URL. 검토 페이지에서 이 URL을 찾을 수 있습니다. 이는 교차 계정 역할 생성 프로세스가 끝날 때 표시됩니다.
-
교차 계정 역할의 이름과 계정 ID 번호 또는 별칭.
를 사용하여 역할을 AWS CLI 전환하려면 다음을 제공해야 합니다.
-
위임할 교차 계정 역할의 ARN.
4단계: Amazon S3 버킷에 애플리케이션 개정 버전 업로드.
Amazon S3 버킷을 생성한 계정에서 다음을 수행합니다.
-
Amazon S3 버킷에 애플리케이션 개정 버전을 업로드합니다. 자세한 내용은 에 대한 개정을 Amazon S3 CodeDeploy 로 푸시(EC2/온프레미스 배포만 해당)을 참조하세요.
5단계: 교차 계정 역할을 위임하고 애플리케이션 배포
개발 계정에서는 AWS CLI 또는 를 사용하여 계정 간 역할을 맡고 프로덕션 계정에서 배포를 시작할 수 있습니다. AWS Management Console
를 사용하여 역할을 전환하고 AWS Management Console 배포를 시작하는 방법에 대한 지침은 역할로 전환 () 및 을 참조하십시오.AWS Management ConsoleEC2/온프레미스 컴퓨팅 플랫폼 배포 생성(콘솔)
를 사용하여 교차 계정 역할을 맡고 AWS CLI 배포를 시작하는 방법에 대한 지침은 IAM 역할로 전환 () 및 을 참조하십시오.AWS Command Line InterfaceEC2/온프레미스 컴퓨팅 플랫폼 배포 생성(CLI)
역할 수임에 대한 자세한 내용은 AWS Security Token Service 사용 설명서의 내용을 AWS STS, 명령 AssumeRole참조의 assume-role을 참조하십시오.AWS CLI
관련 주제: