기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Identity and Access Management(IAM) \| 개체 또는 정책 생성(읽기-쓰기 권한)
읽기-쓰기 권한을 사용하여 Identity and Access Management(IAM) 역할 또는 정책을 생성합니다. 이 요청을 제출하기 전에 변경 유형 ct-1706xvvk6j9hf로이 기능을 활성화해야 합니다. 읽기-쓰기 권한이 있는 자동화된 IAM 프로비저닝은 200개 이상의 검증을 실행하여 성공적인 결과를 보장합니다.
**전체 분류:** 배포 \| 고급 스택 구성 요소 \| Identity and Access Management(IAM) \| 개체 또는 정책 생성(읽기-쓰기 권한)
## 변경 유형 세부 정보
****
| | |
| --- |--- |
| 유형 ID 변경 | ct-1n9gfnog5x7fl |
| 현재 버전 | 1.0 |
| 예상 실행 기간 | 60분 |
| AWS 승인 | 필수 |
| 고객 승인 | 제출자인 경우 필요하지 않음 |
| 실행 모드 | 자동 |
## 추가 정보
### IAM 엔터티 또는 정책 생성
#### 콘솔을 사용하여 IAM 엔터티 또는 정책 생성
작동 방식:
1. **RFC 생성** 페이지로 이동합니다. AMS 콘솔의 왼쪽 탐색 창에서 **RFCs** 클릭하여 RFCs 목록 페이지를 연 다음 **RFC 생성을** 클릭합니다.
1. 기본 변경 유형 **찾아보기 보기에서 널리 사용되는 변경 유형**(CT)을 선택하거나 **범주별 선택** 보기에서 CT를 선택합니다.
+ **변경 유형별 찾아보**기: **빠른 생성** 영역에서 인기 있는 CT를 클릭하여 **RFC 실행** 페이지를 즉시 열 수 있습니다. 빠른 생성으로 이전 CT 버전을 선택할 수 없습니다.
CTs 정렬하려면 **카드** 또는 **테이블** 보기에서 **모든 변경 유형** 영역을 사용합니다. 어느 보기에서든 CT를 선택한 다음 **RFC 생성을** 클릭하여 **RFC 실행** 페이지를 엽니다. 해당하는 경우 RFC **생성 버튼 옆에 이전 버전으로** 생성 옵션이 나타납니다. ****
+ **범주별 선택**: 범주, 하위 범주, 항목 및 작업을 선택하면 해당하는 경우 **이전 버전으로 생성** 옵션이 있는 CT 세부 정보 상자가 열립니다. **RFC 생성을** 클릭하여 **RFC 실행** 페이지를 엽니다.
1. **RFC 실행** 페이지에서 CT 이름 영역을 열어 CT 세부 정보 상자를 확인합니다. **제목**은 필수입니다(**변경 유형 찾아보**기 보기에서 CT를 선택하면 입력됨). **추가 구성** 영역을 열어 RFC에 대한 정보를 추가합니다.
**실행 구성** 영역에서 사용 가능한 드롭다운 목록을 사용하거나 필요한 파라미터의 값을 입력합니다. 선택적 실행 파라미터를 구성하려면 **추가 구성** 영역을 엽니다.
1. 완료되면 **실행**을 클릭합니다. 오류가 없는 경우 **성공적으로 생성된 RFC** 페이지에 제출된 RFC 세부 정보와 초기 **실행 출력**이 표시됩니다.
1. **실행 파라미터** 영역을 열어 제출한 구성을 확인합니다. 페이지를 새로 고쳐 RFC 실행 상태를 업데이트합니다. 선택적으로 RFC를 취소하거나 페이지 상단의 옵션을 사용하여 RFC 사본을 생성합니다.
#### CLI를 사용하여 IAM 엔터티 또는 정책 생성
작동 방식:
1. 인라인 생성(모든 RFC 및 실행 파라미터가 포함된 `create-rfc` 명령을 실행) 또는 템플릿 생성(RFC 파라미터용 및 실행 파라미터용 JSON 파일 2개 생성)을 사용하고 두 파일을 입력으로 사용하여 `create-rfc` 명령을 실행합니다. 두 방법 모두 여기에 설명되어 있습니다.
1. 반환된 RFC ID로 RFC: `aws amscm submit-rfc --rfc-id {{ID}}` 명령을 제출합니다.
RFC: `aws amscm get-rfc --rfc-id {{ID}}` 명령을 모니터링합니다.
변경 유형 버전을 확인하려면 다음 명령을 사용합니다.
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value={{CT_ID}}
```
**참고**
변경 유형에 대한 스키마의 일부인지 여부에 관계없이 모든 `CreateRfc` 파라미터를 RFC와 함께 사용할 수 있습니다. 예를 들어 RFC 상태가 변경될 때 알림을 받으려면 요청의 `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"` RFC 파라미터 부분(실행 파라미터 아님)에이 줄을 추가합니다. 모든 CreateRfc 파라미터 목록은 [AMS Change Management API 참조](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)를 참조하세요.
*인라인 생성*:
인라인으로 제공된 실행 파라미터(실행 파라미터를 인라인으로 제공할 때 따옴표 이스케이프)로 RFC 생성 명령을 실행한 다음 반환된 RFC ID를 제출합니다. 예를 들어 콘텐츠를 다음과 같은 내용으로 바꿀 수 있습니다.
```
aws amscm create-rfc --change-type-id "ct-1n9gfnog5x7fl" --change-type-version "1.0" --title "{{Create role or policy}}" --execution-parameters '{"DocumentName":"AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin","Region":"{{us-east-1}}","Parameters":{"ValidateOnly":"{{No}}"},"RoleDetails":{"Roles":[{"RoleName":"{{RoleTest01}}","Description":"{{This is a test role}}","AssumeRolePolicyDocument":"{"Version": "2012-10-17", "Statement":{{[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::123456789012:root"},"Action":"sts:AssumeRole"}]}","ManagedPolicyArns":["arn:aws:iam::123456789012:policy/policy01","arn:aws:iam::123456789012:policy/policy02"],"Path":"/","MaxSessionDuration":"7200","PermissionsBoundary":"arn:aws:iam::123456789012:policy/permission_boundary01","InstanceProfile":"No"}]},"ManagedPolicyDetails":{"Policies":[{"ManagedPolicyName":"TestPolicy01","Description":"This is customer policy","Path":"/test/","PolicyDocument":"{"{{Version}}":"2012-10-17","Statement":[{"Sid":"AllQueueActions","Effect":"Allow","Action":"sqs:ListQueues","Resource":"*","Condition":{"ForAllValues:StringEquals":{"aws:tagKeys":["temporary"]}}}]}"}]}}}}'
```
*템플릿 생성*:
1. 이 변경 유형에 대한 실행 파라미터 JSON 스키마를 파일로 출력합니다. 예제 이름은 CreateIamResourceParams.json:.
```
aws amscm get-change-type-version --change-type-id "ct-1n9gfnog5x7fl" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateIamResourceParams.json
```
1. CreateIamResourceParams 파일을 수정하고 저장합니다. 예제에서는 정책 문서를 인라인으로 붙여넣은 IAM 역할을 생성합니다.
```
{
"DocumentName": "AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin",
"Region": "{{us-east-1}}",
"Parameters": {
"ValidateOnly": "{{No}}"
},
"RoleDetails": {
"Roles": [
{
"RoleName": "{{RoleTest01}}",
"Description": "{{This is a test role}}",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Effect": "{{Allow}}",
"Principal": {
"AWS": "{{arn:aws:iam::123456789012:root}}"
},
"Action": "{{sts:AssumeRole}}"
}
]
},
"ManagedPolicyArns": [
"{{arn:aws:iam::123456789012:policy/policy01}}",
"{{arn:aws:iam::123456789012:policy/policy02}}"
],
"Path": "/",
"MaxSessionDuration": "{{7200}}",
"PermissionsBoundary": "{{arn:aws:iam::123456789012:policy/permission_boundary01}}",
"InstanceProfile": "{{No}}"
}
]
},
"ManagedPolicyDetails": {
"Policies": [
{
"ManagedPolicyName": "{{TestPolicy01}}",
"Description": "{{This is customer policy}}",
"Path": "{{/test/}}",
"PolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "{{AllQueueActions}}",
"Effect": "{{Allow}}",
"Action": "{{sqs:ListQueues}}",
"Resource": "{{*}}",
"Condition": {
"{{ForAllValues:StringEquals}}": {
"{{aws:tagKeys}}": [
"{{temporary}}"
]
}
}
}
]
}
}
]
}
}
```
1. RFC 템플릿 JSON 파일을 CreateIamResourceRfc.json:이라는 파일로 출력합니다.
```
aws amscm create-rfc --generate-cli-skeleton > CreateIamResourceRfc.json
```
1. CreateIamResourceRfc.json 파일을 수정하고 저장합니다. 예를 들어 콘텐츠를 다음과 같은 내용으로 바꿀 수 있습니다.
```
{
"ChangeTypeVersion": "1.0",
"ChangeTypeId": "ct-1n9gfnog5x7fl",
"Title": "{{Create entity or policy (read-write permissions)}}"
}
```
1. CreateIamResourceRfc 파일과 CreateIamResourceParams 파일을 지정하여 RFC를 생성합니다.
```
aws amscm create-rfc --cli-input-json file://CreateIamResourceRfc.json --execution-parameters file://CreateIamResourceParams.json
```
응답에서 새 RFC의 ID를 수신하고 이를 사용하여 RFC를 제출하고 모니터링할 수 있습니다. 제출하기 전까지는 RFC가 편집 상태로 유지되고 시작되지 않습니다.
#### 팁
+ 계정에 IAM 역할이 프로비저닝된 후 역할에 연결하는 역할 및 정책 문서에 따라 페더레이션 솔루션에서 역할을 온보딩해야 할 수 있습니다.
+ 에 대한 자세한 AWS Identity and Access Management내용은 [AWS Identity and Access Management(IAM)](https://aws.amazon.com/iam/)를 참조하고 정책 정보는 [관리형 정책 및 인라인 정책을](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) 참조하세요. AMS 권한에 대한 자세한 내용은 [IAM 리소스 배포를 참조하세요](https://docs.aws.amazon.com/managedservices/latest/userguide/deploy-iam-resources.html).
## 실행 입력 파라미터
실행 입력 파라미터에 대한 자세한 내용은 섹션을 참조하세요[변경 유형 ct-1n9gfnog5x7fl 스키마](schemas.md#ct-1n9gfnog5x7fl-schema-section).
## 예: 필수 파라미터
```
{
"DocumentName": "AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin",
"Region": "us-east-1",
"Parameters": {
"ValidateOnly": "No"
},
"RoleDetails": {
"Roles": [
{
"RoleName": "RoleTest01",
"AssumeRolePolicyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:root\"},\"Action\":\"sts:AssumeRole\"}]}"
}
]
},
"ManagedPolicyDetails": {
"Policies": [
{
"ManagedPolicyName": "TestPolicy01",
"Description": "This is customer policy",
"Path": "/test/",
"PolicyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"AllQueueActions\",\"Effect\":\"Allow\",\"Action\":\"sqs:ListQueues\",\"Resource\":\"*\",\"Condition\":{\"ForAllValues:StringEquals\":{\"aws:tagKeys\":[\"temporary\"]}}}]}"
}
]
}
}
```
## 예: 모든 파라미터
```
{
"DocumentName": "AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin",
"Region": "us-east-1",
"Parameters": {
"ValidateOnly": "No"
},
"RoleDetails": {
"Roles": [
{
"RoleName": "RoleTest01",
"Description": "This is a test role",
"AssumeRolePolicyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:root\"},\"Action\":\"sts:AssumeRole\"}]}",
"ManagedPolicyArns": [
"arn:aws:iam::123456789012:policy/policy01",
"arn:aws:iam::123456789012:policy/policy02"
],
"Path": "/",
"MaxSessionDuration": "7200",
"PermissionsBoundary": "arn:aws:iam::123456789012:policy/permission_boundary01",
"InstanceProfile": "No"
}
]
},
"ManagedPolicyDetails": {
"Policies": [
{
"ManagedPolicyName": "TestPolicy01",
"Description": "This is customer policy",
"Path": "/test/",
"PolicyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"AllQueueActions\",\"Effect\":\"Allow\",\"Action\":\"sqs:ListQueues\",\"Resource\":\"*\",\"Condition\":{\"ForAllValues:StringEquals\":{\"aws:tagKeys\":[\"temporary\"]}}}]}"
}
]
}
}
```