애플리케이션 기능: IAM 역할, 리소스 정책 및 중첩 애플리케이션 - AWS Serverless Application Repository

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

애플리케이션 기능: IAM 역할, 리소스 정책 및 중첩 애플리케이션

애플리케이션을 배포하기 전에 는 애플리케이션 템플릿에서 생성하도록 지정한 IAM 역할,AWS 리소스 정책 및 중첩된 애플리케이션이AWS Serverless Application Repository 있는지 확인합니다. 전체 액세스 권한이 있는 IAM 역할과 같은 IAM 리소스는AWS 계정의 모든 리소스에 수정할 수 있습니다. 따라서 에스컬레이션된 권한을 가진 리소스를 실수로 생성하는 일이 없도록 계속하기 전에 각 애플리케이션에 연결된 권한을 검토하는 것이 좋습니다. 모든 과정을 마쳤음을 확인하기 위해 애플리케이션에 기능이 포함되어 있음을 승인해야 AWS Serverless Application Repository에서 애플리케이션을 배포할 수 있습니다.

애플리케이션에는 CAPABILITY_IAM, CAPABILITY_NAMED_IAM, CAPABILITY_RESOURCE_POLICY, CAPABILITY_AUTO_EXPAND 등의 기능이 포함될 수 있습니다.

다음 리소스에서는CAPABILITY_IAM orCAPABILITY_NAMED_IAM AWS::IAM::Group, AWS::IAM::InstanceProfileAWS::IAM::Policy, 및 를 지정해야 AWS::IAM::Role합니다. 애플리케이션에 사용자 지정 이름을 가진 IAM 리소스가 포함되어 있는 경우 CAPABILITY_NAMED_IAM을 지정해야 합니다. 기능을 지정하는 방법에 대한 예제는 애플리케이션 기능 확인 및 승인(AWS CLI) 단원을 참조하십시오.

다음 리소스를 지정하려면 AWS::Lambda::LayerVersion권한, AWS::Events::EventBus정책 AWS::Lambda::Permission, AWSCAPABILITY_RESOURCE_POLICY: :IAM:정책,, AWS::ApplicationAutoScaling::ScalingPolicyAWS::S3::BucketPolicyAWS::SQS::QueuePolicy, 및 을 지정해야 AWS::SNS::TopicPolicy합니다.

중첩 애플리케이션을 한 개 이상 포함하는 애플리케이션은 CAPABILITY_AUTO_EXPAND를 지정해야 합니다. 중첩 애플리케이션에 대한 자세한 내용은 AWS Serverless Application Model개발자 안내서의 중첩 애플리케이션을 참조하십시오.

애플리케이션 기능 확인 및 승인(콘솔)

AWS Serverless Application Repository웹 사이트 또는 Lambda 콘솔 (AWS Serverless Application Repository탭 아래 함수 생성 페이지) 을 통해 사용 가능한 애플리케이션을 찾을 수 있습니다.AWS Serverless Application Repository

사용자 지정 IAM 역할이나 리소스 정책을 생성하기 위해 기능을 승인해야 하는 애플리케이션은 기본적으로 검색 결과에 표시되지 않습니다. 이러한 기능을 포함하는 애플리케이션을 검색하려면 Show apps that create custom IAM roles or resource policies(사용자 지정 IAM 역할 또는 리소스 정책을 생성하는 앱 표시) 확인란을 선택해야 합니다.

애플리케이션을 선택할 때 권한 탭에서 애플리케이션 기능을 검토할 수 있습니다. 애플리케이션을 배포하려면 I acknowledge this application creates custom IAM roles or resource polices(이 애플리케이션이 사용자 지정 IAM 역할이나 리소스 정책을 생성함을 승인함) 확인란을 선택해야 합니다. 이러한 기능을 승인하지 않으면 다음과 같은 오류 메시지가 표시됩니다. 승인 필요. 배포하려면 애플리케이션 매개변수 구성 섹션의 확인란을 선택합니다.

애플리케이션 기능 보기(AWS CLI)

AWS CLI를 사용하여 애플리케이션의 기능을 보려면 먼저 애플리케이션의 Amazon 리소스 이름(ARN)이 필요합니다. 그리고 다음 명령을 실행할 수 있습니다.

aws serverlessrepo get-application \ --application-id application-arn

requiredCapabilities 응답 속성에는 애플리케이션을 배포하려면 승인해야 하는 애플리케이션 기능 목록이 들어 있습니다. requiredCapabilities 속성이 비어 있으면 애플리케이션에 필요한 기능이 없습니다.