기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 필요한 역할 일반적으로 역할 및 정책은 AWS에서 Identity and Access Management(IAM)의 일부입니다. 자세한 내용은 [https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html)를 참조하세요. AFT는 AFT 관리 및 AWS Control Tower 관리 계정에 여러 IAM 역할 및 정책을 생성하여 AFT 파이프라인의 운영을 지원합니다. 이러한 역할은 최소 권한 액세스 모델을 기반으로 생성되며, 이는 각 역할 및 정책에 필요한 최소 작업 및 리소스 세트로 권한을 제한합니다. 이러한 역할 및 정책에는 식별을 ` managed_by:AFT` 위해 AWS 태그 `key:value` 페어가 할당됩니다. 이러한 IAM 역할 외에도 AFT는 세 가지 필수 역할을 생성합니다. + `AWSAFTAdmin` 역할 + `AWSAFTExecution` 역할 + `AWSAFTService` 역할 이러한 역할에 대해서는 다음 섹션에서 설명합니다. **AWSAFTAdmin 역할 설명** AFT를 배포하면 AFT 관리 계정에 `AWSAFTAdmin` 역할이 생성됩니다. 이 역할을 통해 AFT 파이프라인은 AWS Control Tower 및 AFT 프로비저닝 계정의 `AWSAFTExecution` 역할을 수임하여 계정 프로비저닝 및 사용자 지정과 관련된 작업을 수행할 수 있습니다. `AWSAFTAdmin` 역할에 연결된 인라인 정책(JSON 아티팩트)은 다음과 같습니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/AWSAFTExecution", "arn:aws:iam::*:role/AWSAFTService" ] } ] } ``` ------ 다음 JSON 아티팩트는 `AWSAFTAdmin` 역할에 대한 신뢰 관계를 보여줍니다. 자리 표시자 번호 `012345678901`은 AFT 관리 계정 ID 번호로 대체됩니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:root" }, "Action": "sts:AssumeRole" } ] } ``` ------ **AWSAFTExecution 역할 설명** AFT를 배포하면 AFT 관리 및 AWS Control Tower 관리 계정에 `AWSAFTExecution` 역할이 생성됩니다. 나중에 AFT 파이프라인은 AFT 계정 프로비저닝 단계에서 각 AFT로 프로비저닝된 계정에 `AWSAFTExecution` 역할을 생성합니다. AFT는 처음에 `AWSControlTowerExecution` 역할을 활용하여 지정된 계정에서 `AWSAFTExecution` 역할을 생성합니다. 이 `AWSAFTExecution` 역할을 통해 AFT 파이프라인은 AFT 프레임워크의 프로비저닝 및 프로비저닝 사용자 지정 단계, AFT 프로비저닝 계정 및 공유 계정에서 수행되는 단계를 실행할 수 있습니다. **고유 역할은 범위를 제한하는 데 도움이 됩니다.** 사용자 지정 권한은 리소스의 초기 배포 중에 허용되는 권한과 분리하는 것이 가장 좋습니다. `AWSAFTService` 역할은 계정 프로비저닝을 위한 것이며 `AWSAFTExecution` 역할은 계정 사용자 지정을 위한 것임을 기억해야 합니다. 이러한 구분은 파이프라인의 각 단계에서 허용되는 권한 범위를 제한합니다. AWS Control Tower 공유 계정을 사용자 지정하는 경우 공유 계정에 결제 세부 정보 또는 사용자 정보와 같은 민감한 정보가 포함될 수 있으므로 이러한 구분이 특히 중요합니다. `AWSAFTExecution` 역할에 대한 권한: **AdministratorAccess** – AWS 관리형 정책 다음 JSON 아티팩트는 `AWSAFTExecution` 역할에 연결된 IAM 정책(신뢰 관계)을 보여줍니다. 자리 표시자 번호 `012345678901`은 AFT 관리 계정 ID 번호로 대체됩니다. `AWSAFTExecution`에 대한 신뢰 정책 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin" }, "Action": "sts:AssumeRole" } ] } ``` ------ **AWSAFTService 역할 설명** `AWSAFTService` 역할은 공유 계정 및 관리 계정을 포함하여 등록된 모든 관리 계정에 AFT 리소스를 배포합니다. 이전에 리소스는 `AWSAFTExecution` 역할에 의해서만 배포되었습니다. `AWSAFTService` 역할은 서비스 인프라에서 프로비저닝 단계 중에 리소스를 배포하는 데 사용되며, `AWSAFTExecution` 역할은 사용자 지정 배포에만 사용됩니다. 이러한 방식으로 역할을 수임하면 각 단계에서 보다 세분화된 액세스 제어를 유지할 수 있습니다. `AWSAFTService` 역할에 대한 권한: **AdministratorAccess** – AWS 관리형 정책 다음 JSON 아티팩트는 `AWSAFTService` 역할에 연결된 IAM 정책(신뢰 관계)을 보여줍니다. 자리 표시자 번호 `012345678901`은 AFT 관리 계정 ID 번호로 대체됩니다. `AWSAFTService`에 대한 신뢰 정책 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin" }, "Action": "sts:AssumeRole" } ] } ``` ------