Quick Setup 시작
이 주제의 정보를 사용하면 Quick Setup 사용을 준비하는 데 도움이 됩니다.
Quick Setup 온보딩을 위한 IAM 역할 및 권한
Quick Setup은 새로운 콘솔 환경과 새 API를 출시했습니다. 이제 콘솔, AWS CLI, AWS CloudFormation 및 SDK를 사용하여 이 API와 상호 작용할 수 있습니다. 새 환경에 옵트인하면 기존 구성이 새 API를 사용하여 다시 생성됩니다. 이 프로세스는 계정에 포함된 기존 구성 수에 따라 몇 분이 걸릴 수 있습니다.
새 Quick Setup 콘솔을 사용하려면 다음 작업에 대한 권한이 있어야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm-quicksetup:*", "cloudformation:DescribeStackSetOperation", "cloudformation:ListStacks", "cloudformation:DescribeStacks", "cloudformation:DescribeStackResources", "cloudformation:ListStackSetOperations", "cloudformation:ListStackInstances", "cloudformation:DescribeStackSet", "cloudformation:ListStackSets", "cloudformation:DescribeStackInstance", "cloudformation:DescribeOrganizationsAccess", "cloudformation:ActivateOrganizationsAccess", "cloudformation:GetTemplate", "cloudformation:ListStackSetOperationResults", "cloudformation:DescribeStackEvents", "cloudformation:UntagResource", "ec2:DescribeInstances", "ssm:DescribeAutomationExecutions", "ssm:GetAutomationExecution", "ssm:ListAssociations", "ssm:DescribeAssociation", "ssm:GetDocument", "ssm:ListDocuments", "ssm:DescribeDocument", "ssm:ListResourceDataSync", "ssm:DescribePatchBaselines", "ssm:GetPatchBaseline", "ssm:DescribeMaintenanceWindows", "ssm:DescribeMaintenanceWindowTasks", "ssm:GetOpsSummary", "organizations:DeregisterDelegatedAdministrator", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListDelegatedAdministrators", "organizations:ListRoots", "organizations:ListParents", "organizations:ListOrganizationalUnitsForParent", "organizations:DescribeOrganizationalUnit", "organizations:ListAWSServiceAccessForOrganization", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:ListBucket", "resource-groups:ListGroups", "iam:ListRoles", "iam:ListRolePolicies", "iam:GetRole", "iam:CreatePolicy", "organizations:RegisterDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "cloudformation:TagResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudformation:RollbackStack", "cloudformation:CreateStack", "cloudformation:UpdateStack", "cloudformation:DeleteStack" ], "Resource": [ "arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:type/resource/*", "arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup" ] }, { "Effect": "Allow", "Action": [ "cloudformation:CreateStackSet", "cloudformation:UpdateStackSet", "cloudformation:DeleteStackSet", "cloudformation:DeleteStackInstances", "cloudformation:CreateStackInstances", "cloudformation:StopStackSetOperation" ], "Resource": [ "arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:stackset/SSMQuickSetup", "arn:aws:cloudformation:*:*:type/resource/*", "arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*" ] }, { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:DeleteRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:GetRolePolicy", "iam:PassRole", "iam:PutRolePolicy" ], "Resource": [ "arn:aws:iam::*:role/AWS-QuickSetup-*", "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*" ] }, { "Effect": "Allow", "Action": [ "ssm:DeleteAssociation", "ssm:CreateAssociation", "ssm:StartAssociationsOnce" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:StartAutomationExecution", "Resource": "arn:aws:ssm:*:*:automation-definition/AWS-EnableExplorer:*" }, { "Effect": "Allow", "Action": [ "ssm:GetOpsSummary", "ssm:CreateResourceDataSync", "ssm:UpdateResourceDataSync" ], "Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Condition": { "StringEquals": { "iam:AWSServiceName": [ "accountdiscovery.ssm.amazonaws.com", "ssm.amazonaws.com", "ssm-quicksetup.amazonaws.com", "stacksets.cloudformation.amazonaws.com" ] } }, "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin" } ] }
사용자를 읽기 전용 권한으로 제한하려면 Quick Setup API에 대해 ssm-quicksetup:List* 및 ssm-quicksetup:Get* 작업만 허용하세요.
온보딩하는 동안 Quick Setup은 사용자를 대신할 다음의 AWS Identity and Access Management(IAM) 역할을 생성합니다.
-
AWS-QuickSetup-LocalExecutionRole– 패치 정책 템플릿을 제외한 모든 템플릿을 사용하고 필요한 리소스를 생성할 수 있는 AWS CloudFormation 권한을 부여합니다. -
AWS-QuickSetup-LocalAdministrationRole- AWS CloudFormation에AWS-QuickSetup-LocalExecutionRole을 수임하는 권한을 부여합니다. -
AWS-QuickSetup-PatchPolicy-LocalExecutionRole– AWS CloudFormation에 패치 정책 템플릿을 사용하고 필요한 리소스를 만들 수 있는 권한을 부여합니다. -
AWS-QuickSetup-PatchPolicy-LocalAdministrationRole- AWS CloudFormation에AWS-QuickSetup-PatchPolicy-LocalExecutionRole을 수임하는 권한을 부여합니다.
관리 계정(AWS Organizations에서 조직을 생성하는 데 사용하는 계정)을 온보딩하는 경우에는 다음과 같은 역할도 Quick Setup을 통해 자동으로 생성됩니다.
-
AWS-QuickSetup-SSM-RoleForEnablingExplorer-AWS-EnableExplorer자동화 실행서에 대한 권한을 부여합니다.AWS-EnableExplorer실행서는 Explorer, Systems Manager 기능을 구성해 여러 AWS 계정 및 AWS 리전에 대한 정보를 표시합니다. -
AWSServiceRoleForAmazonSSM- Systems Manager에서 관리 및 사용되는 AWS 리소스에 대한 액세스 권한을 부여하는 서비스 연결 역할입니다. -
AWSServiceRoleForAmazonSSM_AccountDiscovery- 데이터를 동기화할 때 Systems Manager가 AWS 계정 정보를 검색하는 AWS 서비스을(를) 호출할 수 있는 권한을 부여하는 서비스 연결 역할입니다. 자세한 내용은 역할을 사용하여 OpsCenter 및 Explorer에 대한 AWS 계정 정보 수집 단원을 참조하십시오.
관리 계정을 온보딩할 때 Quick Setup은 AWS Organizations와 CloudFormation 사이에 신뢰할 수 있는 액세스를 활성화하여 조직 전체에 Quick Setup 구성을 배포합니다. 신뢰할 수 있는 액세스를 사용하려면 관리 계정에 관리자 권한이 있어야 합니다. 온보딩 후에는 더 이상 관리자 권한이 필요하지 않습니다. 자세한 내용은 Organizations에서 신뢰할 수 있는 액세스 활성화를 참조하세요.
AWS Organizations 계정 유형에 대한 자세한 내용은 AWS Organizations 사용 설명서의 AWS Organizations용어 및 개념을 참조하세요.
참고
Quick Setup에서는 AWS CloudFormation StackSets를 사용하여 여러 AWS 계정 및 리전에 구성을 배포합니다. 대상 계정 수에 리전 수를 곱한 값이 10,000을 초과하면 구성이 배포되지 않습니다. 사용 사례를 검토하고 조직의 성장이 수용되도록 더 적은 수의 대상을 사용하는 구성을 생성하는 것이 좋습니다. 스택 인스턴스는 조직의 관리 계정에 배포되지 않습니다. 자세한 내용은 서비스 관리형 권한으로 스택 세트 생성 시 고려 사항을 참조하세요.
프로그래밍 방식으로 Quick Setup API를 사용하기 위한 수동 온보딩
콘솔을 사용하여 Quick Setup 작업을 수행하는 경우 서비스에서 온보딩 단계를 자동으로 처리합니다. SDK 또는 AWS CLI를 사용하여 Quick Setup API 작업을 수행하려는 경우에도 콘솔을 사용하여 온보딩 단계를 완료할 수 있으므로 수동으로 수행할 필요가 없습니다. 하지만 일부 고객은 콘솔과 상호 작용하지 않고 프로그래밍 방식으로 Quick Setup의 온보딩 단계를 완료해야 합니다. 이 방법이 사용 사례에 적합한 경우 다음 단계를 완료해야 합니다. 이 모든 단계는 AWS Organizations 관리 계정에서 완료해야 합니다.
Quick Setup에 대한 수동 온보딩을 완료하려면 다음 단계를 따릅니다.
-
Organizations를 사용하여 AWS CloudFormation에 대한 신뢰할 수 있는 액세스를 활성화합니다. 이렇게 하면 관리 계정에 조직의 StackSets를 생성하고 관리하는 데 필요한 권한이 제공됩니다. AWS CloudFormation의
ActivateOrganizationsAccessAPI 작업을 사용하여 이 단계를 완료할 수 있습니다. 자세한 내용은 AWS CloudFormation API 참조의 ActivateOrganizationsAccess를 참조하세요. -
Organizations과 Systems Manager의 통합을 활성화합니다. 이렇게 하면 Systems Manager에서 조직의 모든 계정에서 서비스 연결 역할을 생성할 수 있습니다. 또한 이렇게 하면 Systems Manager가 조직 및 조직의 계정에서 사용자를 대신하여 작업을 수행할 수 있습니다. AWS Organizations의
EnableAWSServiceAccessAPI 작업을 사용하여 이 단계를 완료할 수 있습니다. Systems Manager의 서비스 보안 주체는ssm.amazonaws.com입니다. 자세한 내용은 AWS Organizations API 참조의 EnableAWSServiceAccess를 참조하세요. -
Explorer에 필요한 IAM 역할을 생성합니다. 이렇게 하면 Quick Setup을 통해 구성에 대한 대시보드를 생성하여 배포 및 연결 상태를 볼 수 있습니다. IAM 역할을 생성하고
AWSSystemsManagerEnableExplorerExecutionPolicy관리형 정책을 연결합니다. 역할에 대한 신뢰 정책을 다음과 일치하도록 수정합니다. 각account ID를 자신의 정보로 바꿉니다.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "ArnLike": { "aws:SourceArn": "arn:*:ssm:*:account ID:automation-execution/*" } } } ] } -
Explorer에 대한 Quick Setup 서비스 설정을 업데이트합니다. Quick Setup의
UpdateServiceSettingsAPI 작업을 사용하여 이 단계를 완료할 수 있습니다. 이전 단계에서ExplorerEnablingRoleArn요청 파라미터에 대해 생성한 IAM 역할에 대한 ARN을 지정합니다. 자세한 내용은 Quick Setup API 참조의 UpdateServiceSettings를 참조하세요. -
사용할 AWS CloudFormation StackSets에 필요한 IAM 역할을 생성합니다. 실행 역할 및 관리 역할을 생성해야 합니다.
-
실행 역할을 생성합니다. 실행 역할에는 하나 이상의
AWSQuickSetupDeploymentRolePolicy또는AWSQuickSetupPatchPolicyDeploymentRolePolicy관리형 정책이 연결되어 있어야 합니다. 패치 정책 구성만 생성하는 경우AWSQuickSetupPatchPolicyDeploymentRolePolicy관리형 정책을 사용할 수 있습니다. 다른 모든 구성에서는AWSQuickSetupDeploymentRolePolicy정책을 사용합니다. 역할에 대한 신뢰 정책을 다음과 일치하도록 수정합니다. 각account ID및administration role name을 자신의 정보로 바꿉니다.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account ID:role/administration role name" }, "Action": "sts:AssumeRole" } ] } -
관리 역할을 생성합니다. 권한 정책은 다음과 일치해야 합니다. 각
account ID및execution role name을 자신의 정보로 바꿉니다.{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": "arn:*:iam::account ID:role/execution role name", "Effect": "Allow" } ] }역할에 대한 신뢰 정책을 다음과 일치하도록 수정합니다. 각
account ID를 자신의 정보로 바꿉니다.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "StringLike": { "aws:SourceArn": "arn:aws:cloudformation:*:account ID:stackset/AWS-QuickSetup-*" } } } ] }
-
