기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 다중 계정 실험을 위한 사전 조건
다중 계정 실험에 중지 조건을 사용하려면 먼저 교차 계정 경보를 구성해야 합니다. IAM 역할은 다중 계정 실험 템플릿을 만들 때 정의됩니다. 템플릿을 생성하기 전에 필요한 IAM 역할을 생성할 수 있습니다.
**Topics**
+ [다중 계정 실험에 대한 권한](#permissions)
+ [다중 계정 실험의 중지 조건(선택 사항)](#alarms-and-monitoring)
+ [다중 계정 실험에 대한 안전 레버(선택 사항)](#safety-levers-for-multi-accounts)
## 다중 계정 실험에 대한 권한
멀티-계정 실험은 IAM **역할 체인을 사용하여 대상 계정의 리소스에 대한 작업을 수행할 수 있는 권한을 AWS FIS 에 부여합니다. 다중 계정 실험의 경우, 각 대상 계정과 오케스트레이터 계정에서 IAM 역할을 설정합니다. 이러한 IAM 역할을 사용하려면 대상 계정과 오케스트레이터 계정 및 오케스트레이터 계정과 AWS FIS간의 신뢰 관계가 필요합니다.
대상 계정의 IAM 역할에는 리소스에 대한 작업을 수행하는 데 필요한 권한이 포함되어 있으며, 대상 계정 구성을 추가하여 실험 템플릿에 대해 생성됩니다. 대상 계정의 역할을 맡을 수 있는 권한이 있는 오케스트레이터 계정에 대한 IAM 역할을 생성하고 AWS FIS와 신뢰 관계를 설정합니다. 이 IAM 역할은 실험 템플릿의 `roleArn`으로 사용됩니다.
역할 체인에 대해 자세히 알아보려면 [IAM 사용 설명서에서 역할 용어 및 개념](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html)을 참조하세요.
다음 예에서는 오케스트레이터 계정 A가 대상 계정 B에서 `aws:ebs:pause-volume-io`로 실험을 실행할 수 있도록 권한을 설정합니다.
1. 계정 B에서 작업을 실행하는 데 필요한 권한이 있는 IAM 역할을 만듭니다. 각 작업에 필요한 권한은 [AWS FIS 작업 참조](fis-actions-reference.md)를 참조하세요. 다음 예는 EBS 볼륨 IO 일시 중지 작업 [aws:ebs:pause-volume-io](fis-actions-reference.md#pause-volume-io)를 실행하기 위해 대상 계정에서 부여하는 권한을 보여줍니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVolumes"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:PauseVolumeIO"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:volume/*"
},
{
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
}
]
}
```
------
1. 다음으로 계정 A와 신뢰 관계를 만드는 신뢰 정책을 계정 B에 추가합니다. 3단계에서 만들 계정 A에 대한 IAM 역할의 이름을 선택합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "AccountIdA"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringLike": {
"sts:ExternalId": "arn:aws:fis:region:accountIdA:experiment/*"
},
"ArnEquals": {
"aws:PrincipalArn": "arn:aws:iam::111122223333:role/role_name"
}
}
}
]
}
```
------
1. 계정 A에서 IAM 역할을 생성합니다. 이 역할 이름은 2단계의 신뢰 정책에서 지정한 역할과 일치해야 합니다. 여러 계정을 타겟팅하려면 오케스트레이터에게 각 역할을 맡을 수 있는 권한을 부여합니다. 다음 예는 계정 A가 계정 B를 가정할 수 있는 권한을 보여 줍니다. 대상 계정이 더 있는 경우 이 정책에 역할 ARN을 추가합니다. 대상 계정당 하나의 역할 ARN만 가질 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::111122223333:role/role_name"
]
}
]
}
```
------
1. 계정 A에 대한 이 IAM 역할은 실험 템플릿의 `roleArn`으로 사용됩니다. 다음 예제에서는 오케스트레이터 계정인 계정 A를 수임할 수 있는 AWS FIS 권한을 부여하는 IAM 역할에 필요한 신뢰 정책을 보여줍니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"fis.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Stacksets를 사용하여 한 번에 여러 IAM 역할을 프로비저닝할 수도 있습니다. CloudFormation StackSets를 사용하려면 AWS 계정에서 필요한 StackSet 권한을 설정해야 합니다. 자세한 내용은 [AWS CloudFormation StackSets 사용](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)을 참조하세요.
## 다중 계정 실험의 중지 조건(선택 사항)
*중지 조건*은 경보로 정의한 임계값에 도달할 경우 실험을 중지하는 메커니즘입니다. 다중 계정 실험에 대한 중지 조건을 설정하려면 교차 계정 경보를 사용할 수 있습니다. 오케스트레이터 계정에서 읽기 전용 권한을 사용하여 경보를 사용할 수 있도록 하려면 각 대상 계정에서 공유를 활성화해야 합니다. 공유가 완료되면 지표 수식을 사용하여 서로 다른 대상 계정의 지표를 결합할 수 있습니다. 그런 다음 이 경보를 실험의 중지 조건으로 추가할 수 있습니다.
교차 계정 대시보드에 대해 자세히 알아보려면 [CloudWatch에서 교차 계정 기능 활성화](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html)를 참조하세요.
## 다중 계정 실험에 대한 안전 레버(선택 사항)
안전 레버는 실행 중인 모든 실험을 중지하고 새 실험이 시작되지 않도록 방지하는 데 사용됩니다. 안전 레버를 사용하여 특정 기간 동안이나 애플리케이션 상태 경보에 대응하여 FIS 실험을 방지할 수 있습니다. 모든 AWS 계정에는 당 안전 레버가 있습니다 AWS 리전. 안전 레버가 작동하면 안전 레버와 동일한 계정 및 리전에서 실행되는 모든 실험에 영향을 미칩니다. 다중 계정 실험을 중지 및 방지하려면 실험이 실행 중인 계정과 리전에서 안전 레버를 작동해야 합니다.