Cloud Custodian 및 를 사용하여 Systems Manager에 대한 AWS 관리형 정책을 EC2 인스턴스 프로파일에 자동으로 연결 AWS CDK - AWS 권장 가이드
요약사전 조건 및 제한 사항아키텍처도구에픽관련 리소스첨부

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Cloud Custodian 및 를 사용하여 Systems Manager에 대한 AWS 관리형 정책을 EC2 인스턴스 프로파일에 자동으로 연결 AWS CDK

작성자: Ali Asfour(AWS) 및 Aaron Lennon(AWS)

환경: PoC 또는 파일럿

기술: DevOps; DevelopmentAndTesting; 관리 및 거버넌스; 보안, 자격 증명, 규정 준수; 인프라

워크로드: 오픈 소스

AWS 서비스: Amazon SNS, Amazon SQS, AWS CodeBuild, AWS CodePipeline, AWS Systems Manager, AWS CodeCommit

요약

Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 AWS Systems Manager와 통합하여 운영 작업을 자동화하고 더 많은 가시성과 제어를 제공할 수 있습니다. Systems Manager와 통합하려면 EC2 인스턴스에 설치된 AWS Systems Manager 에이전트(SSM 에이전트)와 인스턴스 프로필에 연결된 AmazonSSMManagedInstanceCore AWS Identity and Access Management(IAM) 정책이 있어야 합니다. 

그러나 모든 EC2 인스턴스 프로파일에 AmazonSSMManagedInstanceCore 정책이 연결되어 있는지 확인하려면 인스턴스 프로파일이 없거나 EC2 인스턴스 프로파일이 있지만 AmazonSSMManagedInstanceCore 정책이 없는 새 EC2 인스턴스를 업데이트하는 데 어려움을 겪을 수 있습니다. 여러 Amazon Web Services(AWS) 계정 및 AWS 리전에 이 정책을 추가하는 것도 어려울 수 있습니다.

이 패턴은 AWS 계정에 세 가지 Cloud Custodian 정책을 배포하여 이러한 문제를 해결하는 데 도움이 됩니다.

  • 첫 번째 Cloud Custodian 정책은 EC2 인스턴스 프로파일이 있지만 AmazonSSMManagedInstanceCore 정책이 없는 기존 인스턴스를 확인합니다. 그러면 AmazonSSMManagedInstanceCore 정책이 첨부됩니다. 

  • 두 번째 Cloud Custodian 정책은 EC2 인스턴스 프로파일이 없는 기존 인스턴스를 확인하고 AmazonSSMManagedInstanceCore 정책이 연결된 기본 인스턴스 프로파일을 추가합니다.

  • 세 번째 Cloud Custodian 정책은 계정에 AWS Lambda 함수를 생성하여 EC2 인스턴스 및 인스턴스 프로파일 생성을 모니터링합니다. 이렇게 하면 EC2 인스턴스가 생성될 때 AmazonSSMManagedInstanceCore 정책이 자동으로 연결됩니다.

이 패턴은 AWS DevOps 도구를 사용하여 별도의 컴퓨팅 환경을 프로비저닝하지 않고도 다중 계정 환경에 Cloud Custodian 정책을 지속적으로 대규모로 배포합니다. 

사전 조건 및 제한 사항

사전 조건 

  • 두 개 이상의 활성 AWS 계정. 한 계정은 보안 계정이고 다른 계정은 멤버 계정입니다.

  • 보안 계정에서 AWS 리소스를 프로비저닝할 수 있는 권한입니다. 이 패턴은 관리자 권한을 사용하지만 조직의 요구 사항 및 정책에 따라 권한을 부여해야 합니다.

  • 보안 계정에서 멤버 계정으로 IAM 역할을 수임하고 필요한 IAM 역할을 생성하는 기능입니다. 이에 대한 자세한 내용은 IAM 설명서의 IAM 역할을 사용하여 AWS 계정 간 액세스 위임을 참조하세요.

  • AWS 명령줄 인터페이스(AWS CLI), 설치 및 구성됨. 테스트 목적으로 aws configure 명령을 사용하거나 환경 변수를 설정AWSCLI하여 를 구성할 수 있습니다. 중요: 프로덕션 환경에서는 권장되지 않으므로 이 계정에는 최소 권한 액세스 권한만 부여하는 것이 좋습니다. 이에 대한 자세한 내용은 IAM 설명서의 최소 권한 부여를 참조하세요.

  • devops-cdk-cloudcustodian.zip 파일(첨부)이 로컬 컴퓨터에 다운로드됩니다.

  • Python에 대해 숙지.

  • 필요한 도구(Node.js, AWS 클라우드 개발 키트(AWS CDK) 및 Git)가 설치 및 구성되었습니다. devops-cdk-cloudcustodian.zip 파일의 install-prerequisites.sh 파일을 사용하여 이러한 도구를 설치할 수 있습니다. 이 파일을 루트 권한으로 실행해야 합니다. 

제한 사항

  • 이 패턴은 프로덕션 환경에서 사용할 수 있지만 모든 IAM 역할 및 정책이 조직의 요구 사항 및 정책을 충족하는지 확인합니다. 

패키지 버전

  • Cloud Custodian 버전 0.9 이상

  • TypeScript 버전 3.9.7 이상

  • Node.js 버전 14.15.4 이상

  • npm 버전 7.6.1 이상

  • AWS CDK 버전 1.96.0 이상

아키텍처

AWS CodePipeline workflow with CodeCommit, CodeBuild, and deployment to member accounts.

이 다이어그램은 다음 워크플로를 보여줍니다.

  1. Cloud Custodian 정책은 보안 계정의 AWS CodeCommit 리포지토리로 푸시됩니다. Amazon CloudWatch Events 규칙은 AWS CodePipeline 파이프라인을 자동으로 시작합니다.

  2. 파이프라인은 에서 최신 코드를 가져 CodeCommit 와 에서 처리하는 지속적 통합 및 지속적 전달(CI/CD) 파이프라인의 지속적 통합 부분으로 보냅니다AWS CodeBuild.

  3. CodeBuild 는 Cloud Custodian 정책에 대한 정책 구문 검증을 비롯한 전체 DevSecOps 작업을 수행하고 이러한 정책을 --dryrun 모드에서 실행하여 식별된 리소스를 확인합니다.

  4. 오류가 없는 경우 다음 작업에서는 관리자에게 변경 사항을 검토하고 구성원 계정에 배포를 승인하도록 알립니다.

기술 스택

  • AWS CDK

  • CodeBuild

  • CodeCommit

  • CodePipeline

  • IAM

  • Cloud Custodian 

자동화 및 규모 조정

AWS CDK 파이프라인 모듈은 AWS CloudFormation 를 사용하여 소스 코드의 빌드 및 테스트를 로 오케스트레이션하는 CodePipeline 데 사용하는 CI/CD 파이프라인을 프로비저닝하고 CodeBuild스택이 있는 AWS 리소스를 배포합니다. 이 패턴은 조직의 모든 멤버 계정 및 리전에 사용할 수 있습니다. Roles creation 스택을 확장하여 멤버 계정에 다른 IAM 역할을 배포할 수도 있습니다. 

도구

  • AWS Cloud Development Kit(AWS CDK)는 코드에서 클라우드 인프라를 정의하고 를 통해 프로비저닝하기 위한 소프트웨어 개발 프레임워크입니다AWS CloudFormation.

  • AWS 명령줄 인터페이스(AWS CLI)는 명령줄 쉘의 명령을 사용하여 AWS 서비스와 상호 작용할 수 있는 오픈 소스 도구입니다.

  • AWS CodeBuild는 클라우드의 완전 관리형 빌드 서비스입니다.

  • AWS CodeCommit 는 자산을 비공개로 저장하고 관리하는 데 사용할 수 있는 버전 관리 서비스입니다.

  • AWS CodePipeline 는 소프트웨어 릴리스에 필요한 단계를 모델링, 시각화 및 자동화하는 데 사용할 수 있는 지속적인 전송 서비스입니다.

  • AWS Identity and Access Management는 AWS 리소스에 대한 액세스를 안전하게 제어하는 데 도움이 되는 웹 서비스입니다.

  • Cloud Custodian은 많은 조직이 퍼블릭 클라우드 계정을 관리하는 데 사용하는 도구와 스크립트를 하나의 오픈소스 도구로 통합합니다.

  • Node.js는 Google Chrome의 V8 JavaScript engine을 기반으로 구축된 JavaScript 런타임입니다.

code

이 패턴에 사용되는 모듈, 계정 함수, 파일, 배포 명령의 자세한 목록은 devops-cdk-cloudcustodian.zip 파일(첨부)의 README 파일을 참조하십시오.

에픽

작업설명필요한 기술

CodeCommit 리포지토리를 설정합니다.

  1. 로컬 컴퓨터의 작업 디렉터리에 devops-cdk-cloudcustodian.zip 파일(첨부)을 압축 해제합니다.

  2. 보안 계정의 AWS 관리 콘솔에 로그인하고 CodeCommit 콘솔을 연 다음 새 devops-cdk-cloudcustodian리포지토리를 생성합니다.

  3. 프로젝트 디렉터리로 변경하고 CodeCommit 리포지토리를 오리진으로 설정하고 변경 사항을 커밋한 다음 다음 다음 명령을 실행하여 오리진 브랜치로 푸시합니다.

  • cd devops-cdk-cloudcustodian 

  • git init --initial-branch=main

  • git add . git commit -m 'initial commit' 

  • git remote add origin https://git-codecommit.us-east-1.amazonaws.com/v1/devops-cdk-cloudcustodian 

  • git push origin main

이에 대한 자세한 내용은 AWS CodeCommit 설명서의 CodeCommit 리포지토리 생성을 참조하세요.

개발자

필수 도구를 설치합니다.

install-prerequisites.sh 파일을 사용하여 Amazon Linux에 필요한 모든 도구를 설치할 수 있습니다. 사전 설치되어 AWS CLI 제공되므로 이에는 포함되지 않습니다.

이에 대한 자세한 내용은 AWS CDK 설명서의 시작하기의 사전 조건 섹션을 참조하세요. AWS CDK

개발자

필요한 AWS CDK 패키지를 설치합니다.

  1. 에서 다음 명령을 실행하여 가상 환경을 설정합니다AWSCLI. $ python3 -m venv .env

  2. AWS CLI에서 다음 $ source .env/bin/activate 명령을 실행하여 가상 환경을 활성화합니다.

  3. 가상 환경을 활성화한 후 다음 $ pip install -r requirements.txt 명령을 실행하여 필요한 종속성을 설치합니다.

  4. 추가 종속성(예: 다른 AWS CDK 라이브러리)을 추가하려면 requirements.txt 파일에 종속성을 추가한 다음 다음 명령을 실행합니다. pip install -r requirements.txt

다음 패키지는 에 필요하며 requirements.txt 파일에 AWS CDK 포함됩니다.

  • aws-cdk.aws-cloudwatch

  • aws-cdk.aws-codebuild

  • aws-cdk.aws-codecommit

  • aws-cdk.aws-codedeploy

  • aws-cdk.aws-codepipeline

  • aws-cdk.aws-codepipeline-actions

  • aws-cdk.aws-events

  • aws-cdk.aws-events-targets

  • aws-cdk.aws-iam

  • aws-cdk.aws-logs

  • aws-cdk.aws-s3

  • aws-cdk.aws-sns

  • aws-cdk.aws-sns-subscriptions

  • aws-cdk.aws-sqs

  • aws-cdk.core

개발자
작업설명필요한 기술

필수 변수를 업데이트하십시오.

CodeCommit 리포지토리의 루트 폴더에서 vars.py 파일을 열고 다음 변수를 업데이트합니다.

  •  파이프라인var_deploy_region = ‘us-east-1’을 배포할 AWS 리전으로 업데이트합니다.

  •  var_codecommit_repo_name = “cdk-cloudcustodian” 리 CodeCommit 포지토리 이름으로 업데이트합니다.

  •   CodeCommit 브랜치 var_codecommit_branch_name = “main” 이름으로 업데이트합니다.

  •  변경을 승인하는 관리자의 이메일 주소로 var_adminEmail=notifyadmin@email.com’을 업데이트합니다.

  • 변경 시 Cloud Custodian 알림을 보내는 데 사용되는 Slack 웹후크로 var_slackWebHookUrl = https://hooks.slack.com/services/T00000000/B00000000/XXXXXXXXXXXXXXXXXXXXXXXX를 업데이트합니다.

  •  조직 ID로 var_orgId = ‘o-yyyyyyyyyy’를 업데이트합니다.

  • 파이프라인security_account = ‘123456789011’이 배포된 AWS 계정의 계정 ID로 업데이트합니다.

  • AWS CDK 스택member_accounts = [‘111111111111’,’111111111112’,’111111111113’]을 부트스트랩하고 필요한 IAM 역할을 배포하려는 멤버 계정으로 업데이트합니다.

  • 파이프라인이 를 멤버 계정으로 자동으로 부트스트랩AWSCDK하도록 True하려면 cdk_bootstrap_member_accounts = True 로 설정합니다.  True 이 로 설정하면 보안 계정에서 수임할 수 있는 멤버 계정의 기존 IAM 역할 이름도 필요합니다. 이 IAM 역할에는 AWS 를 부트스트랩하는 데 필요한 권한도 있어야 합니다CDK.

  • 보안 계정에서 수임할 수 있는 멤버 계정의 cdk_bootstrap_role = ‘AWSControlTowerExecution’ 기존 IAM 역할로 업데이트합니다. 이 역할은 AWS 를 부트스트랩할 수 있는 권한도 부여해야 합니다CDK. 참고: 이는 cdk_bootstrap_member_accountsTrue로 설정된 경우에만 적용됩니다.

개발자

account.yml 파일을 멤버 계정 정보로 업데이트하십시오.

여러 계정에 대해 c7n-org Cloud Custodian 도구를 실행하려면 accounts.yml 구성 파일을 리포지토리의 루트에 배치해야 합니다. 다음은 에 대한 샘플 Cloud Custodian 구성 파일입니다AWS.

accounts:
- account_id: '123123123123'
  name: account-1
  regions:
  - us-east-1
  - us-west-2
  role: arn:aws:iam::123123123123:role/CloudCustodian
  vars:
    charge_code: xyz
  tags:
  - type:prod
  - division:some division
  - partition:us
  - scope:pci
개발자
작업설명필요한 기술

보안 계정을 부트스트랩합니다.

다음 명령을 실행하여 cloudcustodian_stack 애플리케이션을 통해 deploy_account를 부트스트랩합니다.

cdk bootstrap -a 'python3 
cloudcustodian/cloudcustodian_stack.py
개발자

옵션 1 - 멤버 계정을 자동으로 부트스트랩합니다.

vars.py파일에서 cdk_bootstrap_member_accounts 변수를 True로 설정하면 member_accounts 변수에 지정된 계정이 파이프라인에 의해 자동으로 부트스트랩됩니다.

필요한 경우 보안 계정에서 수임할 수 있고 AWS 를 부트스트랩하는 데 필요한 권한이 있는 IAM 역할*cdk_bootstrap_role*로 업데이트할 수 있습니다CDK.

member_accounts  변수에 추가된 새 계정은 파이프라인에 의해 자동으로 부트스트랩되므로 필요한 역할을 배포할 수 있습니다.

개발자

옵션 2 - 멤버 계정을 수동으로 부트스트랩합니다.

이 방법을 사용하는 것은 권장되지 않지만 다음 명령을 실행하여 cdk_bootstrap_member_accounts 값을 False로 설정하고 이 단계를 수동으로 수행할 수 있습니다.

$ cdk bootstrap -a 'python3 cloudcustodian/member_account_roles_stack.py' \

--trust {security_account_id} \

--context assume-role-credentials:writeIamRoleName={role_name} \

--context assume-role-credentials:readIamRoleName={role_name} \

--mode=ForWriting \

--context bootstrap=true \

--cloudformation-execution-policies arn:aws:iam::aws:policy/AdministratorAccess

중요 : 보안 계정에서 수임할 수 있고 AWS 를 부트스트랩하는 데 필요한 권한이 있는 IAM 역할의 이름으로 {security_account_id}{role_name} 값을 업데이트해야 합니다CDK.

다른 접근 방식을 사용하여 를 사용하여 멤버 계정을 부트스트랩할 수도 있습니다AWS CloudFormation. 이에 대한 자세한 내용은 AWS CDK 설명서의 Bootstrapping을 참조하세요.

개발자
작업설명필요한 기술

멤버 계정에서 IAM 역할을 생성합니다.

다음 명령을 실행하여 member_account_roles_stack 스택을 배포하고 멤버 계정에서 IAM 역할을 생성합니다.

cdk deploy --all -a 'python3 cloudcustodian/member_account_roles_stack.py' --require-approval never
개발자

Cloud Custodian 파이프라인 스택을 배포하십시오.

다음 명령을 실행하여 보안 계정에 배포되는 Cloud Custodian cloudcustodian_stack.py 파이프라인을 생성합니다.

cdk deploy -a 'python3 cloudcustodian/cloudcustodian_stack.py'
개발자

관련 리소스

첨부

이 문서와 관련된 추가 콘텐츠에 액세스하려면 attachment.zip 파일의 압축을 풉니다.