기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 실행 블록 권한
다음 섹션에서는 리전 전환 계획에 추가하는 특정 실행 블록에 필요한 권한을 제공하는 샘플 IAM 정책을 설명합니다.
**Topics**
+ [EC2 Auto Scaling 실행 블록 샘플 정책](security_iam_region_switch_ec2_autoscaling.md)
+ [Amazon EKS 리소스 조정 실행 블록 샘플 정책](security_iam_region_switch_eks.md)
+ [Amazon ECS 서비스 조정 실행 블록 샘플 정책](security_iam_region_switch_ecs.md)
+ [ARC 라우팅 제어 실행 블록 샘플 정책](security_iam_region_switch_arc_routing.md)
+ [Aurora Global Database 실행 블록 샘플 정책](security_iam_region_switch_aurora.md)
+ [Amazon DocumentDB Global Cluster 실행 블록 샘플 정책](security_iam_region_switch_documentdb.md)
+ [Amazon RDS 실행 블록 샘플 정책](security_iam_region_switch_rds.md)
+ [수동 승인 실행 블록 샘플 정책](security_iam_region_switch_manual_approval.md)
+ [사용자 지정 작업 Lambda 실행 블록 샘플 정책](security_iam_region_switch_lambda.md)
+ [Route 53 상태 확인 실행 블록 샘플 정책](security_iam_region_switch_route53.md)
+ [리전 전환 계획 실행 블록 샘플 정책](security_iam_region_switch_plan_execution.md)
# EC2 Auto Scaling 실행 블록 샘플 정책
다음은 EC2 Auto Scaling 그룹의 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"autoscaling:UpdateAutoScalingGroup"
],
"Resource": [
"arn:aws:autoscaling:us-east-1:123456789012:autoScalingGroup:123d456e-123e-1111-abcd-EXAMPLE22222:autoScalingGroupName/app-asg-primary",
"arn:aws:autoscaling:us-west-2:123456789012:autoScalingGroup:1234a321-123e-1234-aabb-EXAMPLE33333:autoScalingGroupName/app-asg-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
]
}
```
------
# Amazon EKS 리소스 조정 실행 블록 샘플 정책
다음은 Amazon EKS 리소스 조정을 위한 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"eks:DescribeCluster"
],
"Resource": [
"arn:aws:eks:us-east-1:123456789012:cluster/app-eks-primary",
"arn:aws:eks:us-west-2:123456789012:cluster/app-eks-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"eks:ListAssociatedAccessPolicies"
],
"Resource": [
"arn:aws:eks:us-east-1:123456789012:access-entry/app-eks-primary/*",
"arn:aws:eks:us-west-2:123456789012:access-entry/app-eks-secondary/*"
]
}
]
}
```
------
참고:이 IAM 정책 외에도 `AmazonArcRegionSwitchScalingPolicy` 액세스 정책을 사용하여 Amazon EKS 클러스터의 액세스 항목에 계획 실행 역할을 추가해야 합니다. 자세한 내용은 [EKS 액세스 항목 권한 구성](eks-resource-scaling-block.md#eks-resource-scaling-block-permissions) 단원을 참조하십시오.
# Amazon ECS 서비스 조정 실행 블록 샘플 정책
다음은 Amazon ECS 서비스 조정에 대해 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeServices",
"ecs:UpdateService"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:service/app-cluster-primary/app-service",
"arn:aws:ecs:us-west-2:123456789012:service/app-cluster-secondary/app-service"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:DescribeClusters"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:cluster/app-cluster-primary",
"arn:aws:ecs:us-west-2:123456789012:cluster/app-cluster-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:ListServices"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
]
}
```
------
# ARC 라우팅 제어 실행 블록 샘플 정책
참고: Amazon ARC 라우팅 제어 실행 블록을 사용하려면 계획의 실행 역할에 적용된 모든 서비스 제어 정책(SCPs)이 이러한 서비스에 대해 다음 리전에 대한 액세스를 허용해야 합니다.
+ `route53-recovery-control-config: us-west-2`
+ `route53-recovery-cluster: us-west-2, us-east-1, eu-west-1, ap-southeast-2, ap-northeast-1`
다음은 ARC 라우팅 제어에 대해 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53-recovery-control-config:DescribeControlPanel",
"route53-recovery-control-config:DescribeCluster"
],
"Resource": [
"arn:aws:route53-recovery-control::123456789012:controlpanel/abcd1234abcd1234abcd1234abcd1234",
"arn:aws:route53-recovery-control::123456789012:cluster/4b325d3b-0e28-4dcf-ba4a-EXAMPLE11111"
]
},
{
"Effect": "Allow",
"Action": [
"route53-recovery-cluster:GetRoutingControlState",
"route53-recovery-cluster:UpdateRoutingControlStates"
],
"Resource": [
"arn:aws:route53-recovery-control::123456789012:controlpanel/1234567890abcdef1234567890abcdef/routingcontrol/abcdef1234567890",
"arn:aws:route53-recovery-control::123456789012:controlpanel/1234567890abcdef1234567890abcdef/routingcontrol/1234567890abcdef"
]
}
]
}
```
------
CLI를 사용하여 라우팅 컨트롤 패널 ID와 클러스터 ID를 검색할 수 있습니다. 자세한 내용은 [라우팅 제어 구성 요소 설정](getting-started-cli-routing-config.md) 단원을 참조하십시오.
# Aurora Global Database 실행 블록 샘플 정책
다음은 Aurora 데이터베이스에 대해 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeGlobalClusters",
"rds:DescribeDBClusters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"rds:FailoverGlobalCluster",
"rds:SwitchoverGlobalCluster"
],
"Resource": [
"arn:aws:rds::123456789012:global-cluster:app-global-db",
"arn:aws:rds:us-east-1:123456789012:cluster:app-db-primary",
"arn:aws:rds:us-west-2:123456789012:cluster:app-db-secondary"
]
}
]
}
```
------
# Amazon DocumentDB Global Cluster 실행 블록 샘플 정책
다음은 Amazon DocumentDB 글로벌 클러스터의 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeGlobalClusters",
"rds:DescribeDBClusters",
"rds:FailoverGlobalCluster",
"rds:SwitchoverGlobalCluster"
],
"Resource": "*"
}
]
}
```
# Amazon RDS 실행 블록 샘플 정책
다음은 Amazon RDS 읽기 전용 복제본 승격 또는 리전 간 복제본 생성을 위한 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeDBInstances",
"rds:PromoteReadReplica",
"rds:CreateDBInstanceReadReplica",
"rds:ModifyDBInstance"
],
"Resource": "*"
}
]
}
```
# 수동 승인 실행 블록 샘플 정책
다음은 수동 승인에 대해 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:ApprovePlanExecutionStep"
],
"Resource": "arn:aws:arc-region-switch::123456789012:plan/sample-plan:0123abc"
}
]
}
```
------
# 사용자 지정 작업 Lambda 실행 블록 샘플 정책
다음은 Lambda 함수에 대해 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:us-east-1:123456789012:function:app-recovery-primary",
"arn:aws:lambda:us-west-2:123456789012:function:app-recovery-secondary"
]
}
]
}
```
------
# Route 53 상태 확인 실행 블록 샘플 정책
다음은 Route 53 상태 확인에 대해 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:ListResourceRecordSets"
],
"Resource": [
"arn:aws:route53:::hostedzone/Z1234567890ABCDEFGHIJ"
]
}
]
}
```
------
# 리전 전환 계획 실행 블록 샘플 정책
다음은 하위 계획을 실행하기 위해 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:StartPlanExecution",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:CancelPlanExecution",
"arc-region-switch:UpdatePlanExecution",
"arc-region-switch:ListPlanExecutions"
],
"Resource": [
"arn:aws:arc-region-switch::123456789012:plan/child-plan-1/abcde1",
"arn:aws:arc-region-switch::123456789012:plan/child-plan-2/fghij2"
]
}
]
}
```
------