포트폴리오 공유 - AWS Service Catalog
ccount-to-account 공유AWS Organizations와 공유포트폴리오 공유 TagOptions 시 공유포트폴리오를 공유할 때 주체 이름 공유

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

포트폴리오 공유

다른 AWS 계정의 AWS Service Catalog 관리자가 제품을 최종 사용자에게 배포할 수 있도록 하려면 공유 또는 를 사용하여 AWS Service Catalog 포트폴리오를 account-to-account 공유하십시오AWS Organizations.

account-to-account 공유 또는 Organizations를 사용하여 포트폴리오를 공유하면 해당 포트폴리오의 참조가 공유됩니다. 가져온 포트폴리오의 제품과 제약 조건은 공유한 원래 포트폴리오인 공유 포트폴리오에 적용하는 변경 사항과 동기화됩니다.

수신자는 제품 또는 제약 조건을 변경할 수 없지만 최종 사용자에 대한 AWS Identity and Access Management 액세스 권한을 추가할 수 있습니다.

참고

공유 리소스는 공유할 수 없습니다. 여기에는 공유 제품이 포함된 포트폴리오가 포함됩니다.

ccount-to-account 공유

이러한 단계를 완료하려면 대상 AWS 계정의 AWS 계정 ID를 획득해야 합니다. 대상 계정의 AWS Management Console의 내 계정 페이지에서 ID는 찾을 수 있습니다.

AWS 계정과 포트폴리오를 공유하려면

  1. Service Quotas 콘솔(https://console.aws.amazon.com/servicecatalog/)을 엽니다.

  2. 왼쪽 탐색 메뉴에서 포트폴리오를 선택한 다음 공유하려는 포트폴리오를 선택합니다. 작업 메뉴에서 공유를 선택합니다.

  3. 계정 ID 입력에 공유 중인 AWS 계정의 계정 ID를 입력합니다. (선택 사항) TagOption 공유를 선택합니다. 그런 다음 공유를 선택합니다.

  4. 이 URL을 대상 계정의 AWS Service Catalog 관리자에게 보냅니다. 이 URL에서 자동으로 제공되는 공유 포트폴리오의 ARN이 있는 포트폴리오 가져오기 페이지가 열립니다.

포트폴리오 가져오기

다른 AWS 계정의 AWS Service Catalog 관리자와 포트폴리오를 공유하는 경우, 제품을 최종 사용자에게 배포할 수 있도록 해당 포트폴리오를 내 계정으로 가져옵니다.

포트폴리오가 AWS Organizations를 통해 공유된 경우에는 포트폴리오를 가져올 필요가 없습니다.

포트폴리오를 가져오려면 관리자의 포트폴리오 가져오기 URL이 필요합니다.

가져온 포트폴리오를 모두 보려면 https://console.aws.amazon.com/servicecatalog/에서 AWS Service Catalog 콘솔을 엽니다. 포트폴리오 페이지에서 가져온 항목 탭을 선택합니다. 가져온 포트폴리오 테이블을 검토합니다.

AWS Organizations와 공유

AWS Organizations를 사용하여 AWS Service Catalog 포트폴리오를 공유할 수 있습니다.

먼저 마스터 계정에서 공유할지 아니면 위임 관리자 계정에서 공유할지 여부를 결정해야 합니다. 마스터 계정에서 공유하지 않으려면 위임 관리자 계정을 등록하여 공유에 사용합니다. 자세한 내용을 알아보려면 AWS CloudFormation 사용 설명서위임된 관리자 등록을 참조하세요.

다음으로, 공유할 대상을 결정해야 합니다. 다음 엔터티와 공유할 수 있습니다.

  • 조직 계정.

  • 조직 단위(OU).

  • 조직 자체. (이 계정은 조직의 모든 계정과 공유됩니다.)

관리 계정에서 공유하기

조직 구조를 사용하거나 조직 노드의 ID를 입력하면 조직과 포트폴리오를 공유할 수 있습니다.

조직 구조를 사용하여 포트폴리오를 조직과 공유하려면

  1. https://console.aws.amazon.com/servicecatalog/ 에서 AWS Service Catalog 콘솔을 엽니다.

  2. 포트폴리오 페이지에서 공유하려는 포트폴리오를 선택하고 탭을 선택합니다. 작업 메뉴에서 공유를 선택합니다.

  3. AWS Organizations를 선택하고 조직 구조로 필터링합니다.

    루트 노드를 선택하여 전체 조직, 상위 조직 단위(OU), 하위 OU 또는 조직 내 AWS 계정과 포트폴리오를 공유할 수 있습니다.

    상위 OU에 공유하면 포트폴리오가 해당 상위 OU 내의 모든 계정 및 하위 OU와 공유됩니다.

    AWS 계정 보기만 선택하면 조직 내 모든 AWS 계정 목록을 볼 수 있습니다.

조직 노드의 ID를 입력하여 조직과 포트폴리오를 공유하려면

  1. https://console.aws.amazon.com/servicecatalog/ 에서 AWS Service Catalog 콘솔을 엽니다.

  2. 포트폴리오 페이지에서 공유하려는 포트폴리오를 선택하고 탭을 선택합니다. 작업 메뉴에서 공유를 선택합니다.

  3. 조직 노드를 선택합니다.

    조직 전체, 조직 내 AWS 계정 또는 OU와 공유할지 여부를 선택합니다.

    선택한 조직 노드의 ID를 입력합니다.이 ID는 https://console.aws.amazon.com/organizations/의 AWS Organizations 콘솔 내에서 찾을 수 있습니다.

위임 관리자 계정에서 공유

조직의 마스터 계정은 조직의 위임 관리자로 다른 계정을 등록 및 등록 취소할 수 있습니다.

위임 관리자는 마스터 계정과 동일한 방식으로 조직의 AWS Service Catalog 리소스를 공유할 수 있습니다. 포트폴리오 등을 생성, 삭제 및 공유할 수 있는 권한이 부여됩니다.

위임 관리자를 등록하거나 등록 취소하려면 마스터 계정의 API 또는 CLI를 사용해야 합니다. 자세한 내용을 알아보려면 AWS Organizations API 참조RegisterDelegatedAdministratorDeregisterDelegatedAdministrator 섹션을 참조하세요.

참고

대리인을 지정하려면 먼저 관리자가 EnableAWSOrganizationsAccess를 호출해야 합니다.

위임 관리자 계정에서 포트폴리오를 공유하는 절차는 관리 계정에서 공유하기에서 설명한 것처럼 마스터 계정에서 공유하는 절차와 동일합니다.

멤버가 위임 관리자로 등록 취소된 경우 다음과 같은 상황이 발생합니다.

  • 해당 계정에서 생성된 포트폴리오 공유가 제거됩니다.

  • 더 이상 새로운 포트폴리오 공유를 생성할 수 없습니다.

참고

위임 관리자가 생성한 포트폴리오 및 공유가 위임 관리자의 등록 취소된 후 제거되지 않으면 위임 관리자를 다시 등록하고 등록 취소합니다. 이렇게 하면 해당 계정에서 생성한 포트폴리오 및 공유가 제거됩니다.

조직 내 계정 이동

조직 내에서 계정을 이동하는 경우 해당 계정과 공유하는 AWS Service Catalog 포트폴리오가 변경될 수 있습니다.

계정은 대상 조직 또는 조직 단위와 공유한 포트폴리오에만 액세스할 수 있습니다.

포트폴리오 공유 TagOptions 시 공유

관리자는 포함할 공유를 생성할 수 있습니다. TagOptions TagOptions 관리자는 키-값 쌍을 사용하여 다음을 수행할 수 있습니다.

  • 태그의 분류를 정의하고 적용합니다.

  • 태그 옵션을 정의하고 이를 제품 및 포트폴리오에 연결합니다.

  • 포트폴리오 및 제품과 관련된 태그 옵션을 다른 계정과 공유합니다.

기본 계정에서 태그 옵션을 추가하거나 제거하면 변경 내용이 수신자 계정에 자동으로 표시됩니다. 수신자 계정에서 최종 사용자는 제품을 프로비저닝할 때 프로비저닝된 TagOptions 제품의 태그가 되는 태그의 값을 선택해야 합니다.

수신자 계정에서 관리자는 가져온 TagOptions 포트폴리오에 로컬을 추가로 연결하여 해당 계정에만 적용되는 태그 지정 규칙을 적용할 수 있습니다.

참고

포트폴리오를 공유하려면 소비자의 AWS 계정 ID가 필요합니다. 콘솔의 내 계정에서 AWS 계정 ID를 찾을 수 있습니다.

참고

a에 단일 값이 TagOption 있는 경우 프로비전 프로세스 중에 해당 값을 AWS 자동으로 적용합니다.

포트폴리오를 공유할 TagOptions 때 공유하기

  1. 왼쪽 탐색 메뉴에서 포트폴리오를 선택합니다.

  2. 로컬 포트폴리오에서 포트폴리오를 선택하고 엽니다.

  3. 위 목록에서 공유를 선택한 다음 공유 버튼을 선택합니다.

  4. 다른 AWS 계정 또는 조직과 공유하도록 선택합니다.

  5. 12자리 계정 ID 번호를 입력하고 활성화를 선택한 다음 공유를 선택합니다.

    공유한 계정이 공유 대상 계정 섹션에 표시됩니다. TagOptions 활성화되었는지 여부를 나타냅니다.

포함하도록 포트폴리오 공유를 업데이트할 수도 TagOptions 있습니다. 이제 포트폴리오와 제품에 TagOptions 속하는 모든 항목이 이 계정으로 공유됩니다.

다음을 포함하도록 포트폴리오 공유를 업데이트하려면 TagOptions

  1. 왼쪽 탐색 메뉴에서 포트폴리오를 선택합니다.

  2. 로컬 포트폴리오에서 포트폴리오를 선택하고 엽니다.

  3. 위 목록에서 공유를 선택합니다.

  4. 공유 대상 계정에서 계정 ID를 선택한 다음 작업을 선택합니다.

  5. 공유 취소 업데이트 또는 공유 취소를 선택합니다.

    업데이트 공유 취소를 선택한 경우 활성화를 선택하여 공유를 시작합니다. TagOptions 공유한 계정이 공유 대상 계정 섹션에 표시됩니다.

    공유 취소를 선택한 경우 계정을 더 이상 공유하지 않을 것인지 확인하세요.

포트폴리오를 공유할 때 주체 이름 공유

관리자는 주체 이름이 포함된 포트폴리오 공유를 생성할 수 있습니다. 주체 이름은 관리자가 포트폴리오에서 지정한 다음 포트폴리오와 공유할 수 있는 그룹, 역할 및 사용자의 이름입니다. 포트폴리오를 공유할 때 AWS Service Catalog는 해당 주체 이름이 이미 존재하는지 확인합니다. 존재하는 경우, AWS Service Catalog는 일치하는 IAM 주체를 공유 포트폴리오와 자동으로 연결하여 사용자에게 액세스 권한을 부여합니다.

참고

보안 주체를 포트폴리오와 연결하면 해당 포트폴리오가 다른 계정과 공유될 때 잠재적인 권한 에스컬레이션 경로가 생길 수 있습니다. AWS Service Catalog 관리자는 아니지만 IAM 보안 주체(사용자/그룹/역할)를 생성할 수 있는 수신자 계정의 사용자의 경우 해당 사용자는 포트폴리오에 대한 보안 주체 이름 연결과 일치하는 역할을 생성할 수 있습니다. 이 사용자가 AWS Service Catalog를 통해 연결된 주체 이름을 모르더라도 사용자를 추측할 수 있습니다. 이 잠재적 에스컬레이션 경로가 우려되는 경우 AWS Service Catalog는 PrincipalTypeIAM으로 사용할 것을 권장합니다. 이 구성에서는 PrincipalARN이 연결되기 전에 수신자 계정에 이미 존재해야 합니다.

기본 계정에서 주체 이름을 추가하거나 제거하면 AWS Service Catalog가 수신자 계정에 해당 변경 사항을 자동으로 적용합니다. 그러면 수신자 계정의 사용자가 역할에 따라 작업을 수행할 수 있습니다.

  • 최종 사용자는 포트폴리오 제품을 프로비저닝, 업데이트 및 종료할 수 있습니다.

  • 관리자는 가져온 포트폴리오에 추가 IAM 보안 주체를 연결하여 해당 계정에 특정한 최종 사용자에게 액세스 권한을 부여할 수 있습니다.

참고

주체 이름 공유는 AWS Organizations에서만 사용할 수 있습니다.

포트폴리오를 공유할 때 주체 이름을 공유하려면

  1. 왼쪽 탐색 메뉴에서 포트폴리오를 선택합니다.

  2. 로컬 포트폴리오에서 공유하려는 포트폴리오를 선택합니다.

  3. 작업 메뉴에서 공유를 선택합니다.

  4. AWS Organizations에서 조직을 선택합니다.

  5. 전체 조직 루트, 조직 단위(OU) 또는 조직 멤버를 선택합니다.

  6. 공유 설정에서 주체 공유 옵션을 활성화합니다.

주체 이름 공유를 포함하도록 포트폴리오 공유를 업데이트할 수도 있습니다. 이렇게 하면 해당 포트폴리오에 속하는 모든 주체 이름이 수신자 계정과 공유됩니다.

주체 이름을 활성화 또는 비활성화하도록 포트폴리오 공유를 업데이트하려면

  1. 왼쪽 탐색 메뉴에서 포트폴리오를 선택합니다.

  2. 로컬 포트폴리오에서 업데이트하려는 포트폴리오를 선택합니다.

  3. 공유 탭을 선택합니다.

  4. 업데이트하려는 공유를 선택한 다음 공유를 선택합니다.

  5. 공유 업데이트를 선택한 다음 활성화를 선택하여 주 공유를 시작합니다. 그러 AWS Service Catalog가 수신자 계정에서 주체 이름을 공유합니다.

수신자 계정과의 주체 이름 공유를 중단하려면 주체 공유를 비활성화합니다.

사용자 이름 공유 시 와일드카드 사용

AWS Service Catalog는 ‘*’ 또는 ‘?’와 같은 와일드카드를 사용하여 IAM 주체(사용자, 그룹 또는 역할)이름에 포트폴리오 액세스 권한을 부여하는 것을 지원합니다. 와일드카드 패턴을 사용하면 한 번에 여러 IAM 사용자 이름을 포함할 수 있습니다. ARN 경로와 주체 이름에는 와일드카드 문자를 무제한으로 사용할 수 있습니다.

허용되는 와일드카드 ARN의 예:

  • arn:aws:iam:::role/ResourceName_*

  • arn:aws:iam:::role/*/ResourceName_?

허용되지 않는 와일드카드 ARN의 예:

  • arn:aws:iam:::*/ResourceName

IAM 주체 ARN 형식(arn:partition:iam:::resource-type/resource-path/resource-name)에서 유효한 값에는 user/, group/, 또는 role/이 포함됩니다. ‘?’ 및 ‘*’는 resource-id 세그먼트의 리소스 유형 이후에만 허용됩니다. resource-id 내 어디에나 특수 문자를 사용할 수 있습니다.

‘*’ 문자는 ‘/’ 문자와도 일치하므로 resource-id 내에 경로를 구성할 수 있습니다. 예:

arn:aws:iam:::role/*/ResourceName_?arn:aws:iam:::role/pathA/pathB/ResourceName_1arn:aws:iam:::role/pathA/ResourceName_1 둘 다와 일치합니다.