• AWS Systems Manager CloudWatch 대시보드는 2026년 4월 30일 이후에는 더 이상 사용할 수 없습니다. 고객은 Amazon CloudWatch 콘솔을 계속 사용하여 현재와 마찬가지로 Amazon CloudWatch 대시보드를 보고, 생성하고, 관리할 수 있습니다. 자세한 내용은 [Amazon CloudWatch 대시보드 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)를 참조하세요.
# Systems Manager Explorer에 대한 역할 및 권한 구성
통합 설정은 AWS Systems Manager Explorer 및 AWS Systems Manager OpsCenter에 대한 AWS Identity and Access Management(IAM) 역할을 자동으로 생성하고 구성합니다. 통합 설정을 완료한 경우에는 Explorer에 대한 역할 및 사용 권한을 구성하기 위해 추가 작업을 수행할 필요가 없습니다. 그러나 이 항목의 뒷부분에 설명된 대로 OpsCenter에 대한 권한을 구성해야 합니다.
통합 설정은 Explorer 및 OpsCenter 작업을 위해 다음과 같은 역할을 생성 및 구성합니다.
+ `AWSServiceRoleForAmazonSSM`: Systems Manager에서 관리하거나 사용하는 AWS 리소스에 대한 액세스를 제공합니다.
+ `OpsItem-CWE-Role`: CloudWatch Events 및 EventBridge가 일반적인 이벤트에 대한 응답으로 OpsItems를 생성하도록 허용합니다.
+ `AWSServiceRoleForAmazonSSM_AccountDiscovery`: Systems Manager가 데이터를 동기화할 때 AWS 계정 정보를 검색하기 위해 다른 AWS 서비스을(를) 호출하도록 허용합니다. 이에 대한 자세한 내용은 [역할을 사용하여 OpsCenter 및 Explorer에 대한 AWS 계정 정보 수집](using-service-linked-roles-service-action-2.md) 섹션을 참조하세요.
+ `AmazonSSMExplorerExport`: Explorer가 OpsData를 쉼표로 구분된 값(CSV) 파일로 내보내도록 허용합니다.
AWS Organizations 및 리소스 데이터 동기화를 사용하여 여러 계정 및 리전의 데이터를 표시하도록 Explorer를 구성하면 Systems Manager가 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 서비스 연결 역할을 생성합니다. Systems Manager는 이 역할을 사용하여 AWS Organizations에서의 AWS 계정에 대한 정보를 얻습니다. 역할은 다음과 같은 권한 정책을 사용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListChildren",
"organizations:ListParents"
],
"Resource":"*"
}
]
}
```
------
`AWSServiceRoleForAmazonSSM_AccountDiscovery` 역할에 대한 자세한 내용은 [역할을 사용하여 OpsCenter 및 Explorer에 대한 AWS 계정 정보 수집](using-service-linked-roles-service-action-2.md) 섹션을 참조하세요.
## Systems Manager OpsCenter에 대한 권한 구성
통합 설정을 완료한 후에는 사용자가 OpsCenter에서 작업을 수행할 수 있도록 사용자, 그룹 또는 역할 권한을 구성해야 합니다.
**시작하기 전 준비 사항**
OpsCenter를 구성하여 단일 계정 또는 여러 계정에 대해 OpsItems를 생성하고 관리할 수 있습니다. OpsCenter를 여러 계정에 대해 OpsItems를 생성하고 관리하도록 구성한 경우 Systems Manager 위임된 관리자 계정 또는 AWS Organizations 관리 계정을 사용하여 다른 계정에서 OpsItems를 수동으로 생성하거나, 보거나, 편집할 수 있습니다. Systems Manager 위임된 관리자 계정에 대한 자세한 내용은 [Explorer를 위한 위임된 관리자 구성](Explorer-setup-delegated-administrator.md) 섹션을 참조하세요.
그러나 단일 계정에 대해 OpsCenter를 구성하는 경우 OpsItems가 생성된 계정에서만 OpsItems를 보거나 편집할 수 있습니다. AWS 계정에서 OpsItems를 공유하거나 전송할 수 없습니다. 그러므로 AWS 워크로드를 실행하는 데 사용되는 AWS 계정에서 OpsCenter에 대한 권한을 구성하는 것이 좋습니다. 그런 다음 해당 계정에서 사용자 또는 그룹을 생성할 수 있습니다. 이러한 방식으로 여러 운영 엔지니어 또는 IT 전문가가 동일한 AWS 계정에서 OpsItems를 생성하고, 보고, 편집할 수 있습니다.
Explorer와 OpsCenter는 다음 API 작업을 사용합니다. 사용자, 그룹 또는 역할이 이러한 작업에 대한 액세스 권한을 가지고 있는 경우 Explorer 및 OpsCenter의 모든 기능을 사용할 수 있습니다. 이 단원의 뒷부분에서 설명하는 것처럼 보다 제한적인 액세스를 만들 수도 있습니다.
+ [CreateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateOpsItem.html)
+ [CreateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateResourceDataSync.html)
+ [DescribeOpsItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeOpsItems.html)
+ [DeleteResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteResourceDataSync.html)
+ [GetOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsItem.html)
+ [GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html)
+ [ListResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceDataSync.html)
+ [UpdateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateOpsItem.html)
+ [UpdateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateResourceDataSync.html)
원하는 경우 계정, 그룹 또는 역할에 다음 인라인 정책을 추가하여 읽기 전용 권한을 지정할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:GetOpsSummary",
"ssm:DescribeOpsItems",
"ssm:GetServiceSetting",
"ssm:ListResourceDataSync"
],
"Resource": "*"
}
]
}
```
------
IAM 정책 생성 및 편집에 대한 자세한 내용은 *IAM User Guide*의 [Creating IAM Policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)를 참조하세요. 이 정책을 IAM 그룹에 할당하는 방법에 대한 자세한 내용은 [IAM 그룹에 정책 연결](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html) 섹션을 참조하세요.
다음을 사용하여 권한을 생성하고 사용자, 그룹 또는 역할에 추가합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:UpdateOpsItem",
"ssm:DescribeOpsItems",
"ssm:CreateOpsItem",
"ssm:CreateResourceDataSync",
"ssm:DeleteResourceDataSync",
"ssm:ListResourceDataSync",
"ssm:UpdateResourceDataSync"
],
"Resource": "*"
}
]
}
```
------
조직에서 사용 중인 ID 애플리케이션에 따라 다음 옵션 중 하나를 선택하여 사용자 액세스를 구성할 수 있습니다.
액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요.
+ AWS IAM Identity Center의 사용자 및 그룹:
권한 세트를 생성합니다. *AWS IAM Identity Center 사용자 안내서*에서 [권한 세트 생성](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)의 지침을 따릅니다.
+ ID 제공업체를 통해 IAM에서 관리되는 사용자:
ID 페더레이션을 위한 역할을 생성합니다. *IAM 사용자 설명서*의 [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)의 지침을 따릅니다.
+ IAM 사용자:
+ 사용자가 맡을 수 있는 역할을 생성합니다. *IAM 사용자 설명서*에서 [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)의 지침을 따릅니다.
+ (권장되지 않음) 정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. *IAM 사용 설명서*에서 [사용자(콘솔)에 권한 추가](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)의 지침을 따릅니다.
### 태그를 사용하여 OpsItems에 대한 액세스 제한
태그를 지정하는 인라인 IAM 정책을 사용하여 OpsItems에 대한 액세스를 제한할 수도 있습니다. 다음은 *Department*라는 태그 키와 *Finance*라는 태그 값을 지정하는 예제입니다. 이 정책을 사용하는 경우 사용자는 *GetOpsItem* API 작업을 호출하여 이전에 키=Department 및 값=Finance로 태그를 지정한 OpsItems만 볼 수 있습니다. 다른 OpsItems는 볼 수 없습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem"
],
"Resource": "*"
,
"Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } }
}
]
}
```
------
다음은 OpsItems를 보고 업데이트하기 위한 API 작업을 지정하는 예제입니다. 또한 이 정책은 Department-Finance와 Project-Unity의 두 가지 태그 키-값 페어를 지정합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ssm:GetOpsItem",
"ssm:UpdateOpsItem"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"ssm:resourceTag/Department":"Finance",
"ssm:resourceTag/Project":"Unity"
}
}
}
]
}
```
------
OpsItem에 태그를 추가하는 방법에 대한 자세한 내용은 [수동으로 OpsItems 만들기](OpsCenter-manually-create-OpsItems.md) 섹션을 참조하세요.