AWS RAM에서 고객 관리형 권한 생성 및 사용 - AWS Resource Access Manager
고객 관리형 정책 생성고객 관리형 권한의 새 버전 생성다른 버전을 고객 관리형 권한의 기본값으로 선택고객 관리형 권한 버전 삭제고객 관리형 권한 삭제

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS RAM에서 고객 관리형 권한 생성 및 사용

AWS Resource Access Manager(AWS RAM)는 공유 가능한 리소스 유형마다 적어도 하나의 AWS 관리형 권한을 제공합니다. 하지만 이러한 관리형 권한이 공유 사용 사례에 대한 최소 권한 액세스를 제공하지 않을 수도 있습니다. 제공된 AWS 관리형 권한 중 하나가 작동하지 않는 경우 고객 관리형 권한을 직접 생성할 수 있습니다.

고객 관리형 권한은 AWS RAM을 사용하여 공유되는 리소스에 대해 어떤 조건에서 어떤 작업을 수행할 수 있는지 정확하게 지정하여 작성하고 유지 관리하는 관리형 권한입니다. 예를 들어, 대규모로 IP 주소를 관리하는 데 도움이 되도록 Amazon VPC IP 주소 관리자(IPAM) 풀에 대한 읽기 액세스를 제한하려고 합니다. 개발자가 IP 주소를 할당할 수 있는 고객 관리형 권한을 생성할 수 있지만, 다른 개발자 계정이 할당하는 IP 주소 범위를 볼 수는 없습니다. 최소 권한 모범 사례에 따라 공유 리소스에 대한 작업을 수행하는 데 필요한 권한만 부여할 수 있습니다.

또한 필요에 따라 고객 관리형 권한을 업데이트하거나 삭제할 수 있습니다.

고객 관리형 정책 생성

고객 관리형 권한은 AWS 리전에만 적용됩니다. 해당 리전에서 이 고객 관리형 권한을 생성했는지 확인합니다.

Console
고객 관리형 정책을 생성하려면

  1. 다음 중 하나를 수행합니다.

  2. 고객 관리형 권한 세부 정보에 고객 관리형 권한 이름을 입력합니다.

  3. 이 관리형 권한이 적용되는 리소스 유형을 선택합니다.

  4. 정책 템플릿에서 해당 리소스 유형에 대해 수행할 수 있는 작업을 정의합니다.

    • 관리형 권한 가져오기를 선택하여 기존 관리형 권한의 작업을 사용할 수 있습니다.

    • 시각적 편집기에서 요구 사항에 맞는 액세스 수준 정보를 선택하거나 선택 취소합니다.

    • JSON 편집기를 사용하여 조건을 추가하거나 수정합니다.

  5. (선택 사항) 관리형 권한에 태그를 연결하려면 태그에 태그 키와 값을 입력합니다. 새 태그 추가를 선택하여 태그를 추가합니다. 필요에 따라 이 단계를 반복합니다.

  6. 완료했으면 고객 관리형 권한 생성을 선택합니다.

AWS CLI
고객 관리형 정책을 생성하려면

  • create-permission 명령을 실행하고 이름, 고객 관리형 권한이 적용될 리소스 유형, 정책 템플릿 본문 텍스트를 지정합니다.

    다음 예제 명령은 imagebuilder:Component 리소스 유형에 대한 관리형 권한을 생성합니다.

    $ aws ram create-permission \
    --name TestCMP \
    --resource-type imagebuilder:Component \
    --policy-template "{\"Effect\":\"Allow\",\"Action\":[\"imagebuilder:ListComponents\"]}"
{
    "permission": {
        "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
        "version": "1",
        "defaultVersion": true,
        "isResourceTypeDefault": false,
        "name": "TestCMP",
        "resourceType": "imagebuilder:Component",
        "status": "ATTACHABLE",
        "creationTime": 1680033769.401,
        "lastUpdatedTime": 1680033769.401
    }
}

고객 관리형 권한의 새 버전 생성

고객 관리형 권한의 사용 사례가 변경된 경우 관리형 권한의 새 버전을 생성할 수 있습니다. 이는 기존 리소스 공유에는 영향을 미치지 않으며, 이 고객 관리형 권한을 사용하는 향후 새 리소스 공유에만 영향을 미칩니다.

각 관리형 권한에는 최대 5개의 버전이 있을 수 있지만 기본 버전만 연결할 수 있습니다.

Console
고객 관리형 권한의 새 버전을 생성하려면

  1. 관리형 권한 라이브러리로 이동합니다.

  2. 관리형 권한 목록을 고객 관리형으로 필터링하거나 변경하려는 고객 관리형 권한의 이름을 검색합니다.

  3. 관리형 권한 세부 정보 페이지의 관리형 권한 버전 섹션에서 버전 생성을 선택합니다.

  4. 정책 템플릿의에서 시각적 편집기 또는 JSON 편집기를 사용하여 작업 및 조건을 추가하거나 제거할 수 있습니다.

    관리형 권한 가져오기를 선택하여 기존 정책 템플릿을 사용할 수도 있습니다.

  5. 완료했으면 페이지 하단에 있는 버전 생성을 선택합니다.

AWS CLI
고객 관리형 권한의 새 버전을 생성하려면

  1. 새 버전을 생성할 관리형 권한의 Amazon 리소스 이름(ARN)을 찾습니다. 이 작업을 수행하려면 고객 관리형 권한만 포함하도록 list-permissions--permission-type CUSTOMER_MANAGED 파라미터와 함께 호출합니다.

    $ aws ram-cmp list-permissions --permission-type CUSTOMER_MANAGED
{
    "permissions": [
        {
            "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
            "version": "2",
            "defaultVersion": true,
            "isResourceTypeDefault": false,
            "name": "TestCMP",
            "permissionType": "CUSTOMER_MANAGED",
            "resourceType": "imagebuilder:Component",
            "status": "ATTACHABLE",
            "creationTime": 1680035597.346,
            "lastUpdatedTime": 1680035597.346
        }
    ]
}

  2. ARN을 확보한 후에는 create-permission-version 작업을 호출하고 업데이트된 정책 템플릿을 제공할 수 있습니다.

    $ aws ram create-permission-version \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
    --policy-template {"Effect":"Allow","Action":["imagebuilder:ListComponents"]}
{
    "permission": {
        "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
        "version": "2",
        "defaultVersion": true,
        "isResourceTypeDefault": false,
        "name": "TestCMP",
        "status": "ATTACHABLE",
        "resourceType": "imagebuilder:Component",
        "permission": "{\"Effect\":\"Allow\",\"Action\":[\"imagebuilder:ListComponents\"]}",
        "creationTime": 1680038973.79,
        "lastUpdatedTime": 1680038973.79
    }
}

    출력에 새 버전의 버전 번호가 포함됩니다.

다른 버전을 고객 관리형 권한의 기본값으로 선택

다른 고객 관리형 권한 버전을 새 기본 버전으로 설정할 수 있습니다.

Console
고객 관리형 권한의 새 기본 버전을 설정하려면

  1. 관리형 권한 라이브러리로 이동합니다.

  2. 관리형 권한 목록을 고객 관리형으로 필터링하거나 변경하려는 고객 관리형 권한의 이름을 검색합니다.

  3. 고객 관리형 권한 세부 정보 페이지의 관리형 권한 버전 섹션에서 드롭다운 목록을 사용하여 새 기본값으로 설정할 버전을 선택합니다.

  4. 기본 버전으로 설정을 선택합니다.

  5. 대화 상자가 나타나면 해당 고객 관리형 권한을 사용하는 모든 새 리소스 공유에 대해 이 버전을 기본 버전으로 설정할지 확인합니다. 동의하면 기본 버전으로 설정을 선택합니다.

AWS CLI
고객 관리형 권한의 새 기본 버전을 설정하려면

  1. list-permission-versions를 호출하여 기본 버전으로 설정할 버전 번호를 찾습니다.

    다음 예제 명령은 지정된 관리형 권한의 현재 버전을 검색합니다.

    $ aws ram list-permission-versions \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP
{
    "permissions": [
        {
            "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
            "version": "1",
            "defaultVersion": false,
            "isResourceTypeDefault": false,
            "name": "TestCMP",
            "permissionType": "CUSTOMER_MANAGED",
            "featureSet": "STANDARD",
            "resourceType": "imagebuilder:Component",
            "status": "UNATTACHABLE",
            "creationTime": 1680033769.401,
            "lastUpdatedTime": 1680035597.345
        },
        {
            "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
            "version": "2",
            "defaultVersion": true,
            "isResourceTypeDefault": false,
            "name": "TestCMP",
            "permissionType": "CUSTOMER_MANAGED",
            "featureSet": "STANDARD",
            "resourceType": "imagebuilder:Component",
            "status": "ATTACHABLE",
            "creationTime": 1680035597.346,
            "lastUpdatedTime": 1680035597.346
        }
    ]
}

  2. 기본값으로 설정할 버전 번호가 있으면 set-default-permision-version 작업을 호출할 수 있습니다.

    $ aws ram-cmp set-default-permission-version \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
    --version 2

    성공해도 이 명령은 출력을 반환하지 않습니다. list-permission-versions를 다시 실행하면 선택한 버전의 defaultVersion 필드가 현재 true로 설정되어 있는지 확인할 수 있습니다.

고객 관리형 권한 버전 삭제

각 고객 관리형 권한의 버전은 최대 5개까지 보유할 수 있습니다. 더 이상 필요하지 않아 사용하지 않는 버전은 삭제할 수 있습니다. 고객 관리형 권한의 기본 버전은 삭제할 수 없습니다. 삭제된 버전은 완전히 제거되기 전까지 최대 2시간 동안 콘솔에 삭제됨 상태로 표시됩니다.

Console

고객 관리형 권한 버전을 삭제하려면

  1. 관리형 권한 라이브러리로 이동합니다.

  2. 관리형 권한 목록을 고객 관리형으로 필터링하거나 삭제하려는 버전이 있는 고객 관리형 권한의 이름을 검색합니다.

  3. 삭제하려는 버전이 현재 기본 버전이 아닌지 확인합니다.

  4. 페이지의 버전 섹션에서 연결된 리소스 공유 탭을 선택하여 이 버전을 사용하는 공유가 있는지 확인합니다.

    연결된 공유가 있는 경우 이 버전을 삭제하기 전에 고객 관리형 권한 버전을 변경해야 합니다.

  5. 버전 섹션 오른쪽에 있는 버전 삭제를 선택합니다.

  6. 확인 대화 상자에서 삭제를 선택하여 이 버전의 고객 관리형 권한을 삭제할지 확인합니다.

    이 버전의 고객 관리형 권한을 삭제하지 않으려면 취소를 선택합니다.

AWS CLI
고객 관리형 권한의 한 버전을 삭제하려면

  1. list-permission-versions 작업을 호출하여 사용 가능한 버전 번호를 검색합니다.

  2. 버전 번호를 확인한 후 delete-permission-version에 파라미터로 제공합니다.

    $ aws ram-cmp delete-permission-version \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
    --version 1

    성공해도 이 명령은 출력을 반환하지 않습니다. list-permission-versions를 다시 실행하면 해당 버전이 더 이상 출력에 포함되지 않는지 확인할 수 있습니다.

고객 관리형 권한 삭제

더 이상 필요하지 않아 사용하지 않는 고객 관리형 권한은 삭제할 수 있습니다. 리소스 공유와 연결된 고객 관리형 권한은 삭제할 수 없습니다. 삭제된 고객 관리형 권한은 2시간 후에 사라집니다. 그때까지 관리형 권한 라이브러리에 삭제됨 상태로 표시됩니다.

Console

고객 관리형 권한을 삭제하려면

  1. 관리형 권한 라이브러리로 이동합니다.

  2. 관리형 권한 목록을 고객 관리형으로 필터링하거나 삭제하려는 고객 관리형 권한의 이름을 검색합니다.

  3. 고객 관리형 권한을 선택하기 전에 관리형 권한 목록에서 연결된 공유가 0개인지 확인합니다.

    관리되는 권한과 연결된 리소스 공유가 아직 있는 경우, 계속 진행하기 전에 모든 리소스 공유에 다른 관리형 권한을 할당해야 합니다.

  4. 고객 관리형 권한 세부 정보 페이지의 오른쪽 상단에 있는 관리형 권한 삭제를 선택합니다.

  5. 확인 대화 상자가 나타나면 삭제를 선택하여 관리형 권한을 삭제합니다.

AWS CLI
고객 관리형 권한을 삭제하려면

  1. 고객 관리형 권한만 포함하도록 list-permissions--permission-type CUSTOMER_MANAGED 파라미터와 함께 호출하여 삭제하려는 관리형 권한의 ARN을 찾습니다.

    $ aws ram-cmp list-permissions --permission-type CUSTOMER_MANAGED
{
    "permissions": [
        {
            "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
            "version": "2",
            "defaultVersion": true,
            "isResourceTypeDefault": false,
            "name": "TestCMP",
            "permissionType": "CUSTOMER_MANAGED",
            "resourceType": "imagebuilder:Component",
            "status": "ATTACHABLE",
            "creationTime": 1680035597.346,
            "lastUpdatedTime": 1680035597.346
        }
    ]
}

  2. 삭제할 관리형 권한의 ARN을 확인한 후 delete-permission에 파라미터로 제공합니다.

    $ aws ram delete-permission \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP
{
    "returnValue": true,
    "permissionStatus": "DELETING"
}