계정 및 지역 전반에 걸쳐 기본 정책을 활성화합니다. - 아마존 EBS

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

계정 및 지역 전반에 걸쳐 기본 정책을 활성화합니다.

를 사용하면 AWS CloudFormation StackSets 한 번의 작업으로 여러 계정 및 AWS 지역에서 Amazon Data Lifecycle Manager 기본 정책을 활성화할 수 있습니다.

다음 방법 중 하나로 스택 세트를 사용하여 기본 정책을 활성화할 수 있습니다.

  • AWS 조직 전체 — 전체 AWS 조직 또는 조직의 특정 조직 단위에서 기본 정책을 일관되게 사용하고 구성할 수 있도록 합니다. 이는 서비스 관리 권한을 사용하여 수행됩니다. AWS CloudFormation StackSets 사용자를 대신하여 필요한 IAM 역할을 생성합니다.

  • 특정 AWS 계정 전체 — 기본 정책이 특정 대상 계정에서 일관되게 활성화되고 구성되도록 합니다. 이를 위해서는 자체 관리 권한이 필요합니다. 스택 세트 관리자 계정과 대상 계정 간의 신뢰 관계를 설정하는 데 필요한 IAM 역할을 생성합니다.

자세한 내용은 사용 설명서의AWS CloudFormation 스택 세트에 대한 권한 모델을 참조하십시오.

다음 절차를 사용하여 전체 AWS 조직, 특정 OU 또는 특정 대상 계정에서 Amazon Data Lifecycle Manager 기본 정책을 활성화할 수 있습니다.

필수 조건

기본 정책을 활성화하는 방법에 따라 다음 중 하나를 수행하십시오.

Console
AWS 조직 전체 또는 특정 대상 계정 전반에 걸쳐 기본 정책을 활성화하려면

  1. https://console.aws.amazon.com/cloudformation 에서 AWS CloudFormation 콘솔을 엽니다.

  2. 탐색 창에서 선택한 StackSets다음 [Create] 를 선택합니다 StackSet.

  3. 기본 정책을 사용하는 방법에 따라 [권한] 에서 다음 중 하나를 수행하십시오.

    • ( AWS 조직 전체) 서비스 관리 권한을 선택합니다.

    • (특정 대상 계정에서) 셀프 서비스 권한을 선택합니다. 그런 다음 IAM 관리자 역할 ARN의 경우 관리자 계정에 대해 생성한 IAM 서비스 역할을 선택하고, IAM 실행 역할 이름에는 대상 계정에서 생성한 IAM 서비스 역할의 이름을 입력합니다.

  4. 템플릿 준비에서 샘플 템플릿 사용을 선택합니다.

  5. 샘플 템플릿의 경우 다음 중 하나를 수행하십시오.

    • (EBS 스냅샷의 기본 정책) EBS 스냅샷에 대한 Amazon Data Lifecycle Manager 기본 정책 생성을 선택합니다.

    • (EBS 지원 AMI의 기본 정책) EBS 기반 AMI에 대한 Amazon Data Lifecycle Manager 기본 정책 생성을 선택합니다.

  6. 다음을 선택합니다.

  7. StackSet 이름StackSet 설명에는 설명이 포함된 이름과 간략한 설명을 입력합니다.

  8. 매개변수 섹션에서 필요에 따라 기본 정책 설정을 구성합니다.

    참고

    중요한 워크로드의 경우 1일 CreateInterval 및 RetainInterval 7일을 권장합니다.

  9. 다음을 선택합니다.

  10. (선택 사항) 태그의 경우 리소스를 StackSet 식별하고 스택하는 데 도움이 되는 태그를 지정합니다.

  11. 관리형 실행의 경우 활성을 선택합니다.

  12. 다음을 선택합니다.

  13. Add stacks to stack set(스택 세트에 스택 추가)에서 Deploy new stacks(새 스택 배포)를 선택합니다.

  14. 기본 정책을 활성화하는 방법에 따라 다음 중 하나를 수행하십시오.

    • ( AWS 조직 전체) 배포 대상의 경우 다음 옵션 중 하나를 선택합니다.

      • 조직 전체에 배포하려면 AWS 조직에 배포를 선택합니다.

      • 특정 조직 단위 (OU) 에 배포하려면 조직 단위에 배포를 선택한 다음 OU ID에 OU ID를 입력합니다. OU를 더 추가하려면 다른 OU 추가를 선택합니다.

    • (특정 대상 계정 전체) 계정의 경우 다음 중 하나를 수행하십시오.

      • 특정 대상 계정에 배포하려면 계정에 스택 배포를 선택한 다음 계정 번호에 대상 계정의 ID를 입력합니다.

      • 특정 OU의 모든 계정에 배포하려면 조직 단위의 모든 계정에 스택 배포를 선택한 다음 조직 번호에 대상 OU의 ID를 입력합니다.

  15. 자동 배포의 경우 활성화를 선택합니다.

  16. 계정 삭제 동작의 경우 스택 유지를 선택합니다.

  17. 지역 지정에서 기본 정책을 활성화할 특정 지역을 선택하거나 모든 지역에서 기본 정책을 활성화하려면 모든 지역 추가를 선택합니다.

  18. 다음을 선택합니다.

  19. 스택 세트 설정을 검토하고 IAM 리소스를 생성할 AWS CloudFormation 수 있음을 확인합니다를 선택한 다음 제출을 선택합니다.

AWS CLI
조직 전체에 기본 정책을 활성화하려면 AWS

  1. 스택 세트를 생성합니다. 스택-세트 생성 명령을 사용합니다.

    --permission-model에서 SERVICE_MANAGED를 지정합니다.

    --template-url 경우 다음 템플릿 URL 중 하나를 지정하십시오.

    • (EBS 지원 AMI의 기본 정책) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml

    • (EBS 스냅샷의 기본 정책) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml

    의 경우--parameters, 기본 정책의 설정을 지정합니다. 지원되는 매개 변수, 매개 변수 설명 및 유효한 값을 보려면 URL을 사용하여 템플릿을 다운로드한 다음 텍스트 편집기를 사용하여 템플릿을 확인하십시오.

    --auto-deployment에서 Enabled=true, RetainStacksOnAccountRemoval=true를 지정합니다.

    $ aws cloudformation create-stack-set \
--stack-set-name stackset_name \
--permission-model SERVICE_MANAGED \
--template-url template_url \
--parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \
--auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"

  2. 스택 세트를 배포하십시오. 스택 인스턴스 생성 명령을 사용합니다.

    --stack-set-name 경우 이전 단계에서 만든 스택 세트의 이름을 지정합니다.

    --deployment-targets OrganizationalUnitIds 경우 전체 조직에 배포할 루트 OU의 ID 또는 조직의 특정 OU에 배포할 OU ID를 지정합니다.

    --regions 경우 기본 정책을 사용할 AWS 지역을 지정하십시오.

    $ aws cloudformation create-stack-instances \
--stack-set-name stackset_name \
--deployment-targets OrganizationalUnitIds='["root_ou_id"]' | '["ou_id_1", "ou_id_2]' \
--regions '["region_1", "region_2"]'
특정 대상 계정에서 기본 정책을 활성화하려면

  1. 스택 세트를 생성합니다. 스택-세트 생성 명령을 사용합니다.

    --template-url 경우 다음 템플릿 URL 중 하나를 지정하십시오.

    • (EBS 지원 AMI의 기본 정책) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml

    • (EBS 스냅샷의 기본 정책) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml

    --administration-role-arn 경우 이전에 스택 세트 관리자를 위해 생성한 IAM 서비스 역할의 ARN을 지정합니다.

    의 경우--execution-role-name, 대상 계정에서 생성한 IAM 서비스 역할의 이름을 지정합니다.

    --parameters 경우 기본 정책의 설정을 지정합니다. 지원되는 매개 변수, 매개 변수 설명 및 유효한 값을 보려면 URL을 사용하여 템플릿을 다운로드한 다음 텍스트 편집기를 사용하여 템플릿을 확인하십시오.

    --auto-deployment에서 Enabled=true, RetainStacksOnAccountRemoval=true를 지정합니다.

    $ aws cloudformation create-stack-set \
--stack-set-name stackset_name \
--template-url template_url \
--parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \
--administration-role-arn administrator_role_arn \
--execution-role-name target_account_role \									
--auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"

  2. 스택 세트를 배포하십시오. 스택 인스턴스 생성 명령을 사용합니다.

    --stack-set-name 경우 이전 단계에서 만든 스택 세트의 이름을 지정합니다.

    의 경우 --accounts 대상 AWS 계정의 ID를 지정합니다.

    --regions 경우 기본 정책을 사용할 AWS 지역을 지정하십시오.

    $ aws cloudformation create-stack-instances \
--stack-set-name stackset_name \
--accounts '["account_ID_1","account_ID_2"]' \
--regions '["region_1", "region_2"]'