AWS CloudFormation을 사용하여 Automation을 위한 서비스 역할 생성
AWS CloudFormation 템플릿에서 AWS Systems Manager의 기능인 Automation을 위한 서비스 역할을 생성할 수 있습니다. 서비스 역할을 생성한 후에는 파라미터 AutomationAssumeRole
을 사용하여 실행서에 서비스 역할을 지정할 수 있습니다.
AWS CloudFormation을 사용하여 서비스 역할 생성
다음 절차를 따라 AWS CloudFormation을 사용하여 Systems Manager Automation에 필요한 AWS Identity and Access Management(IAM) 역할을 생성합니다.
필요한 IAM 역할을 생성하려면
-
AWS-SystemsManager-AutomationServiceRole.zip
파일을 다운로드하고 압축을 해제합니다. 이 파일에는AWS-SystemsManager-AutomationServiceRole.yaml
AWS CloudFormation 템플릿 파일이 들어 있습니다. AWS CloudFormation 콘솔(https://console.aws.amazon.com/cloudformation
)을 엽니다. -
스택 생성을 선택합니다.
-
템플릿 지정(Specify template) 섹션에서 템플릿 파일 업로드를 선택합니다.
-
찾아보기를 선택한 다음
AWS-SystemsManager-AutomationServiceRole.yaml
AWS CloudFormation 템플릿 파일을 선택합니다. -
Next(다음)를 선택합니다.
-
스택 세부 정보 지정(Specify stack details) 페이지의 스택 이름 필드에 이름을 입력합니다.
-
스택 옵션 구성(Configure stack options) 페이지에서는 아무 것도 선택할 필요가 없습니다. Next(다음)를 선택합니다.
-
검토 페이지에서 아래로 스크롤하여 AWS CloudFormation이 IAM 리소스를 생성할 수 있다는 것을 알고 있음 옵션을 선택합니다.
-
생성(Create)을 선택합니다.
CloudFormation에 약 3분간 CREATE_IN_PROGRESS 상태가 표시됩니다. 스택이 생성되어 역할을 사용할 준비가 되면 상태가 CREATE_COMPLETE로 바뀝니다.
중요
AWS Identity and Access Management(IAM) 서비스 역할을 사용하여 다른 서비스를 호출하는 자동화 워크플로를 실행하는 경우 해당 서비스 역할이 다른 서비스를 호출할 권한이 있도록 구성되어야 합니다. 이 요구 사항은 AWS-ConfigureS3BucketLogging
, AWS-CreateDynamoDBBackup
, AWS-RestartEC2Instance
실행서 등의 모든 AWS Automation 실행서(AWS-*
실행서)에 적용됩니다. 또한 다른 서비스를 호출하는 작업을 사용하여 다른 AWS 서비스을(를) 호출하는 사용자 정의 Automation 실행서를 생성하는 경우에도 이 요구 사항이 항상 적용됩니다. 예를 들어 aws:executeAwsApi
, aws:createStack
또는 aws:copyImage
작업을 사용하는 경우 이러한 서비스를 호출할 수 있는 권한을 포함하여 서비스 역할을 구성합니다. 역할에 IAM 인라인 정책을 추가하여 다른 AWS 서비스에 대한 권한을 부여할 수 있습니다. 자세한 내용은 (선택 사항) 다른 AWS 서비스를 간접적으로 호출할 Automation 인라인 정책과 고객 관리형 정책 추가 단원을 참조하십시오.
Automation을 위한 역할 정보 복사
다음 절차를 따라 AWS CloudFormation 콘솔에서 자동화 서비스 역할에 대한 정보를 복사합니다. 실행서를 사용할 때 이러한 역할을 지정해야 합니다.
참고
AWS-UpdateLinuxAmi
또는 AWS-UpdateWindowsAmi
실행서를 실행하는 경우 이 절차를 사용하여 역할 정보를 복사할 필요가 없습니다. 이러한 실행서에는 이미 기본값으로 지정된 필수 역할이 있습니다. 이 실행서에 지정된 역할은 IAM 관리형 정책을 사용합니다.
역할 이름을 복사하려면
AWS CloudFormation 콘솔(https://console.aws.amazon.com/cloudformation
)을 엽니다. -
이전 절차에서 생성한 자동화 스택 이름을 선택합니다.
-
리소스 탭을 선택합니다.
-
AutomationServiceRole에 대한 물리적 ID(Physical ID)를 선택합니다. IAM 콘솔이 열리고 Automation 서비스 역할의 요약 정보가 표시됩니다.
-
역할 ARN 옆에 있는 Amazon 리소스 이름(ARN)을 복사합니다. ARN은
arn:aws:iam::12345678:role/AutomationServiceRole
과 비슷합니다. -
나중에 사용할 수 있도록 ARN을 텍스트 파일에 붙여 넣습니다.
이렇게 해서 자동화에 필요한 서비스 역할 구성을 마쳤습니다. 이제 실행서에 Automation 서비스 역할의 ARN을 사용할 수 있습니다.