기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWSSupport-ShareEncryptedAMIOrEBSSnapshot
설명
이 실행서는 암호화된 또는 Amazon Elastic Block Store 스냅샷Amazon Machine Image을 다른 Amazon Web Services 계정과 공유하는 프로세스를 자동화합니다. 이 실행서는 AWS Key Management Service 키 정책 수정 및 리소스 권한 업데이트를 포함하여 암호화된 리소스의 교차 계정 공유에 대한 복잡한 요구 사항을 처리합니다.
이 자동화는 AWS 보안 블로그 문서 계정 간에 암호화된 AMI를 공유하여 암호화된 Amazon Elastic Compute Cloud 인스턴스를 시작하는 방법에
중요 고려 사항
이 실행서는 리소스를 수정합니다. 실행서는 AWS KMS 고객 관리형 키(CMK) 정책에 교차 계정 권한을 추가하고 대상 계정에 AMI 시작 권한 또는 Amazon EBS 스냅샷 생성 볼륨 권한을 부여합니다.
추가 비용 적용: 리소스(다른 리전 또는 AWS 관리형 키 암호화)를 복사할 때 새 AMI 또는 Amazon EBS 스냅샷 및 리전 간 데이터 전송에 대해 추가 비용이 발생합니다.
대상 계정 ID 확인:이 실행서는 계정 존재를 검증할 수 없으므로 대상 계정 ID를 다시 확인합니다.
수동 확인을 통한 자동 롤백:이 실행서는 실패 시 변경 사항을 자동으로 롤백하려고 시도합니다. 그러나 롤백 자체가 실패할 경우 계정에 추가 AMI/스냅샷 복사본이 남아 있지 않고, 리소스 LaunchPermission/CreateVolumePermission 속성에 의도하지 않은 계정이 포함되어 있지 않으며, AWS KMS 키 정책이 원래 상태인지 확인하십시오.
어떻게 작동하나요?
실행서는 다음과 같은 상위 수준 단계를 수행합니다.
입력 리소스 존재, 상태 및 암호화 구성을 검증합니다.
대상 계정과 현재 리소스 공유 권한을 확인합니다.
AWS KMS 키 정책을 분석하고 필요한 모든 변경 사항에 대한 포괄적인 미리 보기를 생성합니다.
변경을 수행하기 전에 지정된 보안 주체의 승인을 요청합니다.
리소스 복사(필요한 경우), 권한 업데이트 및 AWS KMS 키 정책 수정을 포함하여 승인된 변경 사항을 실행합니다.
필요한 경우 롤백 정보가 포함된 포괄적인 실행 보고서를 제공합니다.
필수 IAM 권한
실행서를 성공적으로 사용하려면 AutomationAssumeRole 파라미터에 다음 작업이 필요합니다.
AutomationAssumeRole 파라미터에는 다음 작업이 필요합니다.
ec2:DescribeImages
ec2:DescribeSnapshots
ec2:DescribeImageAttribute
ec2:DescribeSnapshotAttribute
ec2:ModifyImageAttribute
ec2:ModifySnapshotAttribute
ec2:CopyImage
ec2:CopySnapshot
ec2:DeregisterImage
ec2:DeleteSnapshot
kms:DescribeKey
kms:GetKeyPolicy
kms:PutKeyPolicy
kms:CreateGrant
kms:GenerateDataKey*
kms:ReEncrypt*
kms:Decrypt
accessanalyzer:CheckAccessNotGranted
지침
다음 단계에 따라 자동화를 구성합니다.
-
Systems Manager
AWSSupport-ShareEncryptedAMIOrEBSSnapshot의 문서로 이동합니다. -
Execute automation(자동화 실행)을 선택합니다.
-
입력 파라미터에 다음을 입력합니다.
-
AutomationAssumeRole(선택 사항):
Systems Manager Automation이 사용자를 대신하여 작업을 수행하도록 허용하는 AWS AWS Identity and Access Management 역할의 Amazon 리소스 이름입니다. 역할을 지정하지 않은 경우, Systems Manager Automation에서는 이 실행서를 시작하는 사용자의 권한을 사용합니다.
-
승인자(필수):
작업을 승인하거나 거부할 수 있는 AWS 인증된 보안 주체의 목록입니다. 최대 승인자자 수는 10명입니다. 사용자 이름, 사용자 ARN, IAM 역할 ARN 또는 IAM 수임 역할 ARN 형식 중 하나를 사용하여 보안 주체를 지정할 수 있습니다.
-
ResourceId(필수):
AMI 또는 공유할 Amazon EBS 스냅샷 ID(예: ami-123456789012 또는 snap-123456789012).
-
DestinationAccountId(필수):
리소스를 공유할 12자리 AWS 계정 ID입니다.
-
CustomerManagedKeyId(선택 사항):
AWS KMS 리소스를 다시 암호화하기 위한 CMK ID입니다. 리소스가 AWS 관리형 키로 암호화되거나 리전 간 복사를 위해 DestinationRegion이 지정된 경우 필요합니다. 리전 간 복사의 경우이 키가 대상 리전에 있어야 합니다.
-
DestinationRegion(선택 사항):
리소스를 복사할 AWS 리전입니다. 기본값은 현재 리전입니다. 다른 리전을 지정하면 CustomerManagedKeyId 파라미터에 지정된 AWS KMS CMK를 사용하여 리소스가 대상 리전으로 복사됩니다.
-
-
실행을 선택합니다.
-
자동화가 시작됩니다.
-
문서는 다음 단계를 수행합니다.
-
ValidateResources:입력 리소스 존재, 상태, 암호화 구성을 검증하고 공유에 필요한 변경 사항을 결정합니다.
-
BranchOnResourcePermission:리소스 공유 권한을 확인해야 하는지 여부에 따라 워크플로를 분기합니다.
-
CheckResourcePermission:대상 계정에 리소스에 대한 필수 공유 권한이 있는지 확인합니다.
-
AnalyzeChanges:AWS KMS 키 정책을 분석하고 필요한 모든 변경 사항에 대한 포괄적인 미리 보기를 생성합니다.
-
BranchOnChanges:변경 사항에 승인이 필요한지 여부에 따라 워크플로를 분기합니다.
-
GetApproval:지정된 AWS IAM 보안 주체의 승인이 필요한 변경을 진행할 때까지 기다립니다.
-
ExecuteChanges:실패 시 롤백과 함께 승인된 변경 사항을 실행합니다.
-
Results:암호화된 AMI 또는 스냅샷 공유 프로세스 중에 수행된 모든 작업을 요약하는 포괄적인 실행 보고서를 생성합니다.
-
-
완료 후에는 Outputs 섹션에서 실행의 세부 결과를 검토합니다.
대상 계정에 필요한 AWS AWS Identity and Access Management 정책
대상 계정의 IAM 역할 또는 사용자는 암호화된 공유에서 암호화된 Amazon EC2 인스턴스를 시작AMI하거나 암호화된 공유 Amazon EBS 스냅샷에서 볼륨을 생성하도록 다음 IAM 권한을 구성해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ReEncrypt*", "kms:CreateGrant", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:<region>:<account-id>:key/<key-id>" ] } ] }
참조
Systems Manager Automation
