AWS Outposts에 대한 서비스 연결 역할 - AWS Outposts
AWS Outposts 권한서비스 연결 역할 생성서비스 연결 역할 편집서비스 연결 역할 삭제지원되는 리전

AWS Outposts에 대한 서비스 연결 역할

AWS Outposts는 AWS Identity and Access Management(IAM) 서비스 연결 역할을 사용합니다. 서비스 연결 역할은 AWS Outposts에 직접 연결되는 서비스 역할의 유형입니다. AWS Outposts는 서비스 연결 역할을 정의하며, 사용자 대신 다른 AWS 서비스를 호출하기 위해 필요한 모든 권한을 포함하고 있습니다.

서비스 링크 역할을 통해 AWS Outposts 설정이 쉬워져 필요한 권한을 수동으로 추가할 필요가 없기 때문입니다. AWS Outposts에서 서비스 링크 역할 권한을 정의하므로, 달리 정의되지 않은 한 AWS Outposts에서만 해당 역할을 맡을 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며, 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.

먼저 관련 리소스를 삭제한 후에만 서비스 링크 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 부주의로 삭제할 수 없기 때문에 AWS Outposts 리소스가 보호됩니다.

AWS Outposts에 대한 서비스 링크 역할 권한

AWS Outposts는 AWSServiceRoleForOutposts_OutpostID라는 이름의 서비스 링크 역할을 사용합니다 – Outpost가 사용자를 대신하여 프라이빗 연결을 위한 AWS 리소스에 액세스할 수 있도록 합니다. 이 서비스 링크 역할은 프라이빗 연결 구성을 허용하고, 네트워크 인터페이스를 생성하고, 이를 서비스 링크 엔드포인트 인스턴스에 연결합니다.

AWSServiceRoleForOutposts_OutpostID 서비스 링크 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.

  • outposts.amazonaws.com

AWSServiceRoleForOutposts_OutpostID 서비스 링크 역할에는 다음과 같은 정책이 포함됩니다.

  • AWSOutpostsServiceRolePolicy

  • AWSOutpostsPrivateConnectivityPolicy_OutpostID

AWSOutpostsServiceRolePolicy 정책은 AWS Outposts에서 관리하는 AWS 리소스에 액세스할 수 있도록 하는 서비스 링크 역할 정책입니다.

이 정책은 AWS Outposts이(가) 지정된 리소스에서 다음 작업을 완료하도록 허용합니다.

  • 작업: all AWS resources에 대한 ec2:DescribeNetworkInterfaces

  • 작업: all AWS resources에 대한 ec2:DescribeSecurityGroups

  • 작업: all AWS resources에 대한 ec2:CreateSecurityGroup

  • 작업: all AWS resources에 대한 ec2:CreateNetworkInterface

AWSOutpostsPrivateConnectivityPolicy_OutpostID 정책을 사용하면 AWS Outposts(이)가 지정된 리소스에서 다음 작업을 완료할 수 있습니다.

  • 작업: all AWS resources that match the following Condition:에 대한 ec2:AuthorizeSecurityGroupIngress

    { "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}

  • 작업: all AWS resources that match the following Condition:에 대한 ec2:AuthorizeSecurityGroupEgress

    { "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}

  • 작업: all AWS resources that match the following Condition:에 대한 ec2:CreateNetworkInterfacePermission

    { "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}

  • 작업: all AWS resources that match the following Condition:에 대한 ec2:CreateTags

    { "StringLike" : { "aws:RequestTag/outposts:private-connectivity-resourceId" : "{{OutpostId}}*"}}

IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 링크 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 권한을 참조하십시오.

AWS Outposts용 서비스 연결 역할 생성

서비스 링크 역할은 수동으로 생성할 필요가 없습니다. AWS Management Console에서 Outpost에 대한 프라이빗 연결을 구성할 때, AWS Outposts은(는) 이 서비스 링크 역할을 생성합니다.

자세한 내용은 VPC를 사용한 서비스 링크 프라이빗 연결 단원을 참조하십시오.

AWS Outposts에 대한 서비스 연결 역할 편집

AWS Outposts은(는) AWSServiceRoleForOutposts_OutpostID 서비스 링크 역할의 편집을 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 업데이트를 참조하세요.

AWS Outposts에 대한 서비스 연결 역할 삭제

서비스 링크 역할이 필요한 기능이나 서비스가 더 이상 필요하지 않으면 그 역할을 삭제하는 것이 좋습니다. 이렇게 하면 적극적으로 모니터링되거나 유지 관리되지 않는 미사용 개체를 피할 수 있습니다. 단, 서비스 링크 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.

리소스를 삭제하려 할 때 AWS Outposts 서비스가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하십시오.

AWSServiceRoleForOutposts_OutpostID 서비스 링크 역할을 삭제하려면 먼저 Outpost를 삭제해야 합니다.

시작하기 전에 Outpost를 AWS Resource Access Manager(AWS RAM)를 사용하여 공유하지 않도록 하세요. 자세한 내용은 공유된 Outpost 리소스 공유 해제을(를) 참조하세요.

AWSServiceRoleForOutposts_OutpostID가 사용하는 AWS Outposts 리소스를 삭제하려면 다음과 같이 하세요.

Outpost를 삭제하려면 AWS 기업 지원팀에 문의하세요.

IAM을 사용하여 수동으로 서비스 링크 역할을 삭제하려면

자세한 내용은 IAM 사용 설명서서비스 연결 역할 삭제를 참조하세요.

AWS Outposts 서비스 링크 역할이 지원되는 리전

AWS Outposts에서는 서비스를 사용할 수 있는 모든 리전에서 서비스 링크 역할 사용을 지원합니다. 자세한 내용은 Outposts 랙Outposts 서버에 대한 FAQ를 참조하세요.