AWS Service Catalog 서비스 작업 - AWS Service Catalog
사전 조건1단계: 최종 사용자 권한 구성2단계: 서비스 작업 생성3단계: 서비스 작업을 제품 버전과 연결4단계: 최종 사용자 환경 테스트 5단계: AWS CloudFormation로 서비스 작업 관리6단계: 문제 해결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Service Catalog 서비스 작업

참고

AWS Service Catalog는 Terraform Open Source 또는 Terraform Cloud 제품에 대한 서비스 작업을 지원하지 않습니다.

AWS Service Catalog를 사용하면 유지 관리 작업을 줄이고, 규정 준수 및 보안 정책을 준수하는 동시에 최종 사용자 학습을 최소화할 수 있습니다. 관리자는 서비스 작업을 사용하여, 최종 사용자가 AWS Service Catalog에서 운영 작업을 수행하거나, 문제를 해결하거나, 승인된 명령을 실행하거나, 권한을 요청하도록 허용할 수 있습니다. 서비스 작업을 정의하려면 AWS Systems Manager 문서를 참조하십시오. AWS Systems Manager 문서는 AWS 중지 및 재부팅 등과 같은 작업을 Amazon EC2 모범 사례에 따라 사전 정의한 작업을 액세스하는 방법을 제공하며, 사용자 지정 작업을 정의할 수도 있습니다.

이 자습서에서는 최종 사용자에게 Amazon EC2 인스턴스를 다시 시작하는 기능을 제공합니다. 필요한 권한을 추가하고, 서비스 작업을 정의하고, 서비스 작업을 제품과 연결하고, 프로비저닝된 제품에 대한 작업을 사용하여 최종 사용자 환경을 테스트합니다.

사전 조건

이 자습서는 관리자가 AWS 관리자 전체 권한을 가지고 있고, AWS Service Catalog에 익숙하며, 기본 제품, 포트폴리오, 사용자가 이미 설정되어 있다는 전제하에 설명을 제공합니다. AWS Service Catalog에 대해 잘 모를 경우 이 자습서를 사용하기 전에 설정시작하기 작업을 완료하십시오.

1단계: 최종 사용자 권한 구성

최종 사용자 계정은 특정 서비스 작업을 보고 수행하는 데 필요한 권한이 있어야 합니다. 예를 들어 최종 사용자는 AWS Service Catalog 서비스 작업 기능을 액세스하고, 를 다시 시작할 수 있는 권한이 필요합니다 Amazon EC2.

권한을 업데이트하는 방법

  1. https://console.aws.amazon.com/iam/에서 AWS Identity and Access Management(IAM) 콘솔을 엽니다.

  2. 메뉴에서 사용자 그룹을 찾습니다.

  3. 최종 사용자가 AWS Service Catalog 리소스에 액세스하는 데 사용할 그룹을 선택합니다. 이 예에서는 최종 사용자 그룹을 선택합니다. 실제 작업에서는, 해당 최종 사용자가 사용하는 그룹을 선택하십시오.

  4. 그룹 세부 정보 페이지의 권한 탭에서 새 정책을 만들거나, 기존 정책을 편집합니다. 이 예에서는 그룹의 AWS Service Catalog 프로비저닝 및 종료 권한을 위해 생성된 사용자 지정 정책을 선택하여 기존 정책에 권한을 추가합니다.

  5. 정책 페이지에서, 정책 편집을 선택하여 필요한 권한을 추가합니다. 시각적 편집기 또는 JSON 편집기를 사용하여 정책을 편집할 수 있습니다. 이 예제에서는 JSON 편집기를 사용하여 권한을 추가합니다. 이 자습서에서는 정책에 다음 권한을 추가합니다.

    
{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "Stmt1536341175150",
			"Action": [
				"servicecatalog:ListServiceActionsForProvisioningArtifact",
				"servicecatalog:ExecuteprovisionedProductServiceAction",
				"ssm:DescribeDocument",
				"ssm:GetAutomationExecution",
				"ssm:StartAutomationExecution",
				"ssm:StopAutomationExecution",
				"cloudformation:ListStackResources",
				"ec2:DescribeInstanceStatus",
				"ec2:StartInstances",
				"ec2:StopInstances"
			],
			"Effect": "Allow",
			"Resource": "*"
		}
	]
}

  6. 정책을 편집한 후 정책에 대한 변경 사항을 검토하고 승인합니다. 최종 사용자 그룹의 사용자는 이제 AWS Service Catalog에서 Amazon EC2를 다시 시작하는 데 필요한 권한을 갖게 됩니다.

2단계: 서비스 작업 생성

이어서 Amazon EC2 인스턴스를 다시 시작하는 서비스 작업을 생성합니다.

  1. https://console.aws.amazon.com/sc/ 에서 AWS Service Catalog 콘솔을 엽니다.

  2. 메뉴에서 서비스 작업을 선택합니다.

  3. service actions(서비스 작업) 페이지에서 Create new action(새 작업 생성)을 선택합니다.

  4. Action creation(작업 생성) 페이지에서 AWS Systems Manager 문서를 선택하여 서비스 작업을 정의합니다. 인스턴스 다시 시작 작업이 AWS Systems Manager 문서에 정의되고, 드롭다운 메뉴에서 기본 옵션인 Amazon 문서를 그대로 사용합니다.

  5. AWS-RestartEC2Instance 작업을 검색하고 선택합니다.

  6. 사용자의 환경과 팀에 맞게 작업 이름과 설명을 제공합니다. 최종 사용자에게 이 설명이 표시되므로 사용자가 어떤 작업을 수행하는지 이해할 수 있는 설명을 선택하십시오.

  7. 파라미터 및 대상 구성에서 작업의 대상이 될 문서 파라미터(예: 인스턴스 ID)를 선택하고 파라미터의 대상을 선택합니다. 추가 파라미터를 추가하려면 Add parameter(파라미터 추가)를 선택합니다.

  8. Permissions(권한)에서 역할을 선택합니다. 이 예제에서는 기본 권한을 사용하고 있습니다. 다른 권한 구성도 가능하며 이 페이지에서 정의합니다.

  9. 구성을 검토했으면 작업 생성을 선택합니다.

  10. 작업이 생성되고 사용할 수 있는 상태가 되면 다음 페이지에 확인 메시지가 표시됩니다.

3단계: 서비스 작업을 제품 버전과 연결

작업을 정의했으면 이 작업을 제품과 연결해야 합니다.

  1. service actions(서비스 작업) 페이지에서 AWSAWS-RestartEC2instance를 선택한 후 Associate action(작업 연결)을 선택합니다.

  2. Associate action(작업 연결) 페이지에서 최종 사용자가 서비스 작업을 수행하게 할 제품을 선택합니다. 이 예에서는 Linux Desktop을 선택합니다.

  3. 제품 버전을 선택합니다. 맨 위의 확인란을 사용하여 모든 버전을 선택할 수 있습니다.

  4. 작업 연결을 선택합니다.

  5. 다음 페이지에 확인 메시지가 나타납니다.

이제 AWS Service Catalog에 서비스 작업이 생성되었습니다. 이 자습서의 다음 단계는 최종 사용자로서 서비스 작업을 사용하는 것입니다.

4단계: 최종 사용자 환경 테스트

최종 사용자는 프로비저닝된 제품에 대해 서비스 작업을 수행할 수 있습니다. 이 자습서에서는 최종 사용자에게 최소 한 개 이상의 제품이 프로비저닝되어야 합니다. 프로비저닝된 제품은 이전 단계에서 서비스 작업과 연결한 제품 버전에서 실행해야 합니다.

최종 사용자로 서비스 작업에 액세스하려면

  1. 최종 사용자로 AWS Service Catalog 콘솔에 로그인합니다.

  2. AWS Service Catalog 대시보드의 탐색 창에서 프로비저닝된 제품 목록을 선택합니다. 목록에 최종 사용자의 계정에 프로비저닝된 제품이 표시됩니다.

  3. 프로비저닝된 제품 목록 페이지에서 프로비저닝된 인스턴스를 선택합니다.

  4. 프로비저닝된 제품 세부 정보 페이지의 상단 오른쪽에서 작업을 선택한 후 AWSAWS-RestartEC2instance 작업을 선택합니다.

  5. 사용자 지정 작업을 실행할 것인지 확인합니다. 작업이 전송되었다는 확인 메시지가 나타납니다.

5단계: AWS CloudFormation로 서비스 작업 관리

서비스 작업과 AWS CloudFormation 리소스와의 연결을 생성할 수 있습니다. 자세한 내용은 AWS CloudFormation User Guide의 다음 섹션을 참조하세요.

참고

AWS CloudFormation 리소스와의 서비스 작업 연결을 관리하는 경우 AWS Command Line Interface 또는 AWS Management Console을 통해 서비스 작업을 추가하거나 제거하지 마세요. 스택 업데이트를 수행하면 AWS CloudFormation 외부에서 이루어진 서비스 작업에 대한 모든 변경 사항이 교체됩니다.

6단계: 문제 해결

서비스 작업 실행이 실패할 경우 프로비저닝된 제품 페이지의 서비스 작업 실행 이벤트의 출력 섹션에서 오류 메시지를 찾을 수 있습니다. 아래에서 표시될 수 있는 일반적인 오류 메시지에 대한 설명을 볼 수 있습니다.

참고

오류 메시지의 정확한 텍스트는 변경될 수 있으므로 모든 종류의 자동화된 프로세스에서는 이를 사용하지 않아야 합니다.

내부 오류

AWS Service Catalog에 내부 오류가 발생했습니다. 나중에 다시 시도해 주십시오. 오류가 계속될 경우 고객 지원 센터에 문의하십시오.

StartAutomationExecution 오퍼레이션을 호출하는 동안 오류가 발생했습니다 (ThrottlingException).

과 같은 백엔드 서비스에 의해 서비스 작업 실행이 제한되었습니다.

역할 수임 중 액세스가 거부되었습니다

AWS Service Catalog가 서비스 작업 정의에서 지정된 역할 수임을 하지 못했습니다. servicecatalog.amazonaws.com 보안 주체 또는 servicecatalog.us-east-1.amazonaws.com와 같은 리전 보안 주체가 역할의 신뢰 정책에서 화이트리스트로 지정되었는지 확인합니다.

StartAutomationExecution 작업을 호출하는 중 오류가 발생했습니다 (AccessDeniedException). 사용자는 리소스에서 StartAutomationExecution ssm:을 수행할 권한이 없습니다.

서비스 작업 정의에 지정된 역할에는 ssm:을 호출할 권한이 없습니다. StartAutomationExecution 역할에 적절한 SSM 권한이 있는지 확인합니다.

프로비저닝된 TargetType제품에서 해당 유형의 리소스를 찾을 수 없습니다.

프로비저닝된 제품은 AWS::EC2::Instance처럼 AWS 문서에서 지정된 대상 유형과 일치하는 리소스를 포함하지 않습니다. 프로비저닝된 제품에 이러한 리소스가 있는지 확인하거나 문서가 올바른지 확인합니다.

해당 이름의 문서가 존재하지 않습니다

서비스 작업 정의에 지정된 문서가 존재하지 않습니다.

SSM 자동화 문서를 설명하지 못했습니다

AWS Service Catalog가 지정된 문서를 설명하던 중 에서 알 수 없는 예외가 발생했습니다.

역할의 자격 증명을 검색하지 못했습니다

AWS Service Catalog에서 지정된 역할을 수임하려다 알 수 없는 오류가 발생했습니다.

매개변수 값 InvalidValue"“이 (가) {ValidValue1}, {ValidValue2} 에 없습니다.

에 전달된 파라미터 값이 문서에 허용된 값 목록에 없습니다. 제공된 파라미터가 유효한지 확인하고 다시 시도합니다.

파라미터 유형 오류입니다. 에 ParameterName제공된 값이 유효한 문자열이 아닙니다.

SSM에 전달된 파라미터 값이 문서에 있는 유형에 유효하지 않습니다.

파라미터가 서비스 작업 정의에 정의되어 있지 않습니다

AWS Service Catalog에 전달된 파라미터가 서비스 작업 정의에 정의되어 있지 않습니다. 서비스 작업 정의에 정의된 파라미터만 사용할 수 있습니다.

작업 실행/취소 시 단계가 실패합니다. 오류 메시지. 자세한 진단 정보는 자동화 서비스 문제 해결 안내서를 참조하십시오.

SSM 자동화 문서에 있는 단계가 실패했습니다. 자세한 문제를 해결하려면 메시지의 오류를 참조하십시오.

다음 매개 변수 값은 프로비저닝된 제품에 없으므로 허용되지 않습니다. InvalidResourceId

사용자가 프로비저닝된 제품에 없는 리소스에 대해 작업을 요청했습니다.

TargetType SSM 자동화 문서에는 정의되지 않았습니다.

서비스 작업을 수행하려면 SSM 자동화 문서가 정의되어 있어야 합니다. TargetType SSM 자동화 문서를 확인합니다.