• AWS Systems Manager CloudWatch 대시보드는 2026년 4월 30일 이후에는 더 이상 사용할 수 없습니다. 고객은 Amazon CloudWatch 콘솔을 계속 사용하여 현재와 마찬가지로 Amazon CloudWatch 대시보드를 보고, 생성하고, 관리할 수 있습니다. 자세한 내용은 [Amazon CloudWatch 대시보드 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)를 참조하세요.
# 설정Change Manager
**Change Manager 가용성 변경**
AWS Systems Manager Change Manager는 2025년 11월 7일부터 신규 고객에게 더 이상 공개되지 않습니다. Change Manager를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [AWS Systems Manager Change Manager 가용성 변경](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)을 참조하세요.
AWS Systems Manager의 도구인 Change Manager를 사용하여 AWS Organizations에 구성된 전체 조직 또는 단일 AWS 계정에 대한 변경 사항을 관리할 수 있습니다.
조직에서 Change Manager를 사용하는 경우 주제 [조직용 Change Manager 설정(관리 계정)](change-manager-organization-setup.md)으로 시작한 다음 [Change Manager 옵션 및 모범 사례 구성](change-manager-account-setup.md)으로 진행합니다.
하나의 계정으로 Change Manager를 사용하는 경우 바로 [Change Manager 옵션 및 모범 사례 구성](change-manager-account-setup.md)으로 진행합니다.
**참고**
단일 계정으로 Change Manager를 사용하기 시작했지만 나중에 해당 계정이 Change Manager가 허용되는 조직 단위에 추가되면 단일 계정 설정이 무시됩니다.
**Topics**
+ [
# 조직용 Change Manager 설정(관리 계정)
](change-manager-organization-setup.md)
+ [
# Change Manager 옵션 및 모범 사례 구성
](change-manager-account-setup.md)
+ [
# Change Manager에 대한 역할 및 권한 구성
](change-manager-permissions.md)
+ [
# 자동 승인 실행서 워크플로에 대한 액세스 제어
](change-manager-auto-approval-access.md)
# 조직용 Change Manager 설정(관리 계정)
**Change Manager 가용성 변경**
AWS Systems Manager Change Manager는 2025년 11월 7일부터 신규 고객에게 더 이상 공개되지 않습니다. Change Manager를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [AWS Systems Manager Change Manager 가용성 변경](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)을 참조하세요.
이 항목의 태스크는 AWS Organizations에 설정된 조직과 함께 AWS Systems Manager의 도구인 Change Manager를 사용하는 경우에 적용됩니다. 단일 AWS 계정로만 Change Manager를 사용하려면 주제 [Change Manager 옵션 및 모범 사례 구성](change-manager-account-setup.md)으로 건너뜁니다.
Organizations에서 *관리 계정* 역할을 하는 AWS 계정로 이 섹션의 태스크를 수행합니다. 관리 계정 및 기타 Organizations 개념에 대한 자세한 내용은 [AWS Organizations 용어 및 개념](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)을 참조하세요.
계속하기 전에 Organizations를 설정하고 계정을 관리 계정으로 지정해야 하는 경우 *AWS Organizations User Guide*의 [Creating and managing an organization](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)을 참조하세요.
**참고**
이 설정 프로세스는 다음 AWS 리전에서 수행할 수 없습니다.
유럽(밀라노)(eu-south-1)
중동(바레인)(me-south-1)
아프리카(케이프타운)(af-south-1)
아시아 태평양(홍콩)(ap-east-1)
이 절차를 수행하려면 관리 계정의 다른 리전에서 작업하고 있는지 확인합니다.
설치 절차를 진행하는 동안 AWS Systems Manager의 도구인 Quick Setup에서 다음과 같은 주요 태스크를 수행합니다.
+ **태스크 1 - 조직을 위해 위임된 관리자 계정 등록**
Change Manager를 사용하여 수행되는 변경 관련 태스크는 *위임된 관리자 계정*으로 지정한 멤버 계정 중 하나에서 관리됩니다. Change Manager에 등록한 위임된 관리자 계정은 모든 Systems Manager 작업에 대한 위임된 관리자 계정이 됩니다. (다른 AWS 서비스에 대한 관리자 계정을 위임했을 수 있습니다.) 관리 계정과 다른 Change Manager에 대한 위임된 관리자 계정은 변경 템플릿, 변경 요청 및 각각에 대한 승인을 포함하여 조직 전체의 변경 활동을 관리합니다. 위임된 관리자 계정에서 Change Manager 작업에 대한 다른 구성 옵션도 지정합니다.
**중요**
위임된 관리자 계정은 Organizations에서 할당된 조직 단위(OU)의 유일한 멤버여야 합니다.
+ **태스크 2: Change Manager 작업에 사용할 변경 요청자 역할 또는 사용자 정의 직무에 대한 실행서 액세스 정책 정의 및 지정**
Change Manager에서 변경 요청을 생성하려면 멤버 계정의 사용자에게 AWS Identity and Access Management(IAM) 권한이 부여되어 사용자가 사용할 수 있도록 선택한 Automation 실행서와 변경 템플릿에만 액세스할 수 있어야 합니다.
**참고**
사용자가 변경 요청을 생성할 때 먼저 변경 템플릿을 선택합니다. 이 변경 템플릿을 사용하면 여러 실행서를 사용할 수 있지만 사용자는 각 변경 요청에 대해 하나의 실행서만 선택할 수 있습니다. 사용자가 요청에 사용 가능한 실행서를 포함하도록 변경 템플릿을 구성할 수도 있습니다.
Change Manager는 필요한 권한을 부여하기 위해 IAM에서도 사용되는 *직무* 개념을 사용합니다. 그러나 IAM의 [직무에 대한 AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)과 달리 Change Manager 직무의 이름과 해당 직무에 대한 IAM 권한을 모두 지정합니다.
직무를 구성할 때 사용자 정의 정책을 생성하고 변경 관리 태스크를 수행하는 데 필요한 권한만 제공하는 것이 좋습니다. 예를 들어, 정의한 *직무*를 기반으로 특정 런북 집합으로 사용자를 제한하는 권한을 지정할 수 있습니다.
예를 들어 이름이 `DBAdmin`인 직무를 생성할 수 있습니다. 이 직무의 경우 `AWS-CreateDynamoDbBackup` 및 `AWSConfigRemediation-DeleteDynamoDbTable`과 같은 Amazon DynamoDB 데이터베이스와 관련된 실행서에 필요한 권한만 부여할 수 있습니다.
또 다른 예로 `AWS-ConfigureS3BucketLogging` 및 `AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock`과 같은 Amazon Simple Storage Service(Amazon S3) 버킷과 관련된 실행서 작업에 필요한 권한만 일부 사용자에게 부여할 수 있습니다.
Change Manager에 대한 Quick Setup의 구성 프로세스에서는 생성한 관리 역할에 적용할 수 있는 전체 Systems Manager 관리 권한 집합도 만듭니다.
배포하는 각 Change Manager Quick Setup 구성은 선택한 조직 단위에서 Change Manager 템플릿 및 Automation 실행서를 실행할 수 있는 권한이 있는 위임된 관리자 계정에 직무를 생성합니다. Change Manager에 대해 최대 15개의 Quick Setup 구성을 생성할 수 있습니다.
+ **작업 3: 조직에서 Change Manager에 사용할 멤버 계정 선택**
Organizations에 설정된 모든 조직 단위의 모든 멤버 계정과 해당 조직이 운영하는 모든 AWS 리전에 Change Manager를 사용할 수 있습니다. 원하는 경우 일부 조직 단위에만 Change Manager를 사용할 수 있습니다.
**중요**
이 절차를 시작하기 전에 해당 단계를 읽고 구성 선택 사항과 부여할 권한을 이해하는 것이 좋습니다. 특히 생성할 사용자 정의 직무와 각 직무에 할당할 권한을 계획합니다. 이렇게 하면 나중에 생성한 직무 정책을 개별 사용자, 사용자 그룹 또는 IAM 역할에 연결할 때 원하는 권한만 부여됩니다.
가장 좋은 방법은 AWS 계정 관리자 로그인을 사용하여 위임된 관리자 계정을 설정하는 것부터 시작하는 것입니다. 그런 다음 변경 템플릿을 생성하고 각 템플릿에서 사용하는 실행서를 식별한 후 직무와 해당 권한을 구성합니다.
조직에 사용하도록 Change Manager를 설정하려면 Systems Manager 콘솔의 Quick Setup 영역에서 다음 태스크를 수행합니다.
조직에 대해 생성하려는 직무마다 이 태스크를 반복합니다. 생성하는 각 직무는 서로 다른 조직 단위 집합에 대한 권한을 가질 수 있습니다.
**Organizations 관리 계정에서 Change Manager에 대한 조직을 설정하려면**
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)에서 AWS Systems Manager 콘솔을 엽니다.
1. 탐색 창에서 **Quick Setup**를 선택합니다.
1. **Change Manager** 카드에서 **Create**(생성)를 선택합니다.
1. **위임된 관리자 계정**의 경우 Change Manager에 변경 템플릿, 변경 요청 및 실행서 워크플로 관리에 사용할 AWS 계정의 ID를 입력합니다.
이전에 Systems Manager에 대해 위임된 관리자 계정을 지정한 경우 이 필드에 해당 ID가 이미 보고됩니다.
**중요**
위임된 관리자 계정은 Organizations에서 할당된 조직 단위(OU)의 유일한 멤버여야 합니다.
등록한 위임된 관리자 계정이 나중에 해당 역할에서 등록 취소되는 경우 시스템은 동시에 Systems Manager 작업을 관리할 수 있는 권한을 제거합니다. Quick Setup으로 돌아가서 다른 위임된 관리자 계정을 지정하고 모든 직무와 권한을 다시 지정해야 합니다.
조직 전체에서 Change Manager를 사용하는 경우 항상 위임된 관리자 계정에서 변경하는 것이 좋습니다. 조직의 다른 계정에서 변경할 수 있지만 이러한 변경 사항은 위임된 관리자 계정에서 보고되거나 볼 수 없습니다.
1. [**요청 및 변경 권한(Permissions to request and make changes)**] 섹션에서 다음을 수행합니다.
**참고**
생성하는 각 배포 구성은 하나의 직무에 대한 권한 정책을 제공합니다. 작업에 사용할 변경 템플릿을 만든 경우 나중에 Quick Setup으로 돌아가서 더 많은 직무를 생성할 수 있습니다.
**관리 역할을 생성하려면** - 모든 AWS 작업에 대한 IAM 권한이 있는 관리자 직무의 경우 다음을 수행합니다.
**중요**
사용자에게 전체 관리 권한을 부여하는 것은 사용자의 역할에 전체 Systems Manager 액세스가 필요한 경우에만 수행해야 합니다. Systems Manager 액세스의 보안 고려 사항에 대한 중요한 내용은 [AWS Systems Manager의 I자격 증명 및 액세스 관리](security-iam.md) 및 [Systems Manager의 보안 모범 사례](security-best-practices.md) 섹션을 참조하세요.
1. [**직무(Job function)**]에 이 역할과 권한을 식별하는 이름을 입력합니다(예: **MyAWSAdmin**).
1. [**역할 및 권한 옵션(Role and permissions option)**]에서 [**관리자 권한(Administrator permissions)**]을 선택합니다.
**다른 직무를 생성하려면** - 비관리 역할을 생성하려면 다음을 수행합니다.
1. [**직무(Job function)**]에 이 역할을 식별하고 해당 권한을 제안하는 이름을 입력합니다. 선택하는 이름은 권한을 제공할 실행서의 범위를 나타내야 합니다(예: `DBAdmin` 또는 `S3Admin`).
1. [**역할 및 권한 옵션(Role and permissions option)**]에서 [**사용자 정의 권한(Custom permissions)**]을 선택합니다.
1. [**권한 정책 편집기(Permissions policy editor)**]에 이 직무에 부여할 IAM 권한을 JSON 형식으로 입력합니다.
**작은 정보**
IAM 정책 편집기를 사용하여 정책을 구성한 다음 정책 JSON을 [**권한 정책(Permissions policy)**] 필드에 붙여넣는 것이 좋습니다.
**샘플 정책: DynamoDB 데이터베이스 관리**
예를 들어 직무가 액세스해야 하는 Systems Manager 문서(SSM 문서) 작업에 대한 권한을 제공하는 정책 콘텐츠로 시작할 수 있습니다. 다음은 미국 동부(오하이오) 리전(`us-east-2`)의 샘플 AWS 계정 `123456789012`에서 생성된 2개의 변경 템플릿 및 DynamoDB 데이터베이스와 관련된 모든 AWS 관리형 Automation 실행서에 대한 액세스 권한을 부여하는 샘플 정책 콘텐츠입니다.
이 정책에는 Change Calendar에서 변경 요청을 생성하는 데 필요한 [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html) 작업에 대한 권한도 포함되어 있습니다.
**참고**
이 예는 포괄적이지 않습니다. 데이터베이스, 노드 등의 다른 AWS 리소스를 사용하려면 추가 권한이 필요할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:DescribeDocument",
"ssm:DescribeDocumentParameters",
"ssm:DescribeDocumentPermission",
"ssm:GetDocument",
"ssm:ListDocumentVersions",
"ssm:ModifyDocumentPermission",
"ssm:UpdateDocument",
"ssm:UpdateDocumentDefaultVersion"
],
"Resource": [
"arn:aws:ssm:us-east-1:*:document/AWS-CreateDynamoDbBackup",
"arn:aws:ssm:us-east-1:*:document/AWS-AWS-DeleteDynamoDbBackup",
"arn:aws:ssm:us-east-1:*:document/AWS-DeleteDynamoDbTableBackups",
"arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-DeleteDynamoDbTable",
"arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-EnableEncryptionOnDynamoDbTable",
"arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-EnablePITRForDynamoDbTable",
"arn:aws:ssm:us-east-1:111122223333:document/MyFirstDBChangeTemplate",
"arn:aws:ssm:us-east-1:111122223333:document/MySecondDBChangeTemplate"
]
},
{
"Effect": "Allow",
"Action": "ssm:ListDocuments",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ssm:StartChangeRequestExecution",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/*",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
}
]
}
```
------
IAM 정책에 대한 자세한 내용은 *IAM User Guide*의 [Access management for AWS resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) 및 [Creating IAM policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)를 참조하세요.
1. [**대상(Targets)**] 섹션에서 생성 중인 직무에 대한 권한을 전체 조직에 부여할지 아니면 일부 조직 단위에만 부여할지 선택합니다.
[**전체 조직(Entire organization)**]을 선택하는 경우 9단계로 진행합니다.
[**사용자 정의(Custom)**]를 선택하는 경우 8단계로 진행합니다.
1. [**대상 OU(Target OUs)**] 섹션에서 Change Manager에서 사용할 조직 단위의 확인란을 선택합니다.
1. **생성(Create)**을 선택합니다.
시스템이 조직에 대한 Change Manager 설정을 완료하면 배포 요약이 표시됩니다. 이 요약 정보에는 구성한 직무에 대해 생성된 역할의 이름이 포함됩니다. 예를 들어 `AWS-QuickSetup-SSMChangeMgr-DBAdminInvocationRole`입니다.
**참고**
Quick Setup은 AWS CloudFormation StackSets를 사용하여 구성을 배포합니다. CloudFormation 콘솔에서 완료된 배포 구성에 대한 정보를 볼 수도 있습니다. StackSets 대한 자세한 내용은 *AWS CloudFormation User Guide*의 [Working with AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)를 참조하세요.
다음 단계는 추가 Change Manager 옵션을 구성하는 것입니다. 위임된 관리자 계정 또는 Change Manager에 사용하도록 허용한 조직 단위의 모든 계정에서 이 태스크를 완료할 수 있습니다. 사용자 자격 증명 관리 옵션 선택, 변경 템플릿 및 변경 요청을 검토하고 승인 또는 거부할 수 있는 사용자 지정, 조직에 허용할 모범 사례 옵션 선택 등의 옵션을 구성합니다. 자세한 내용은 [Change Manager 옵션 및 모범 사례 구성](change-manager-account-setup.md) 섹션을 참조하세요.
# Change Manager 옵션 및 모범 사례 구성
**Change Manager 가용성 변경**
AWS Systems Manager Change Manager는 2025년 11월 7일부터 신규 고객에게 더 이상 공개되지 않습니다. Change Manager를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [AWS Systems Manager Change Manager 가용성 변경](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)을 참조하세요.
AWS Systems Manager의 도구인 Change Manager를 조직 전체에서 사용하는지 아니면 단일 AWS 계정에서 사용하는지에 따라 이 섹션의 태스크를 수행해야 합니다.
조직에 Change Manager를 사용하는 경우 위임된 관리자 계정 또는 Change Manager에 사용하도록 허용한 조직 단위의 모든 계정에서 다음 태스크를 수행할 수 있습니다.
**Topics**
+ [
## 태스크 1: Change Manager 사용자 자격 증명 관리 및 템플릿 검토자 구성
](#cm-configure-account-task-1)
+ [
## 태스크 2: Change Manager 변경 고정 이벤트 승인자 및 모범 사례 구성
](#cm-configure-account-task-2)
+ [
# Change Manager 알림에 대한 Amazon SNS 주제 구성
](change-manager-sns-setup.md)
## 태스크 1: Change Manager 사용자 자격 증명 관리 및 템플릿 검토자 구성
Change Manager에 처음 액세스할 때 이 절차의 태스크를 수행합니다. 나중에 Change Manager로 돌아가서 [**설정(Settings)**] 탭에서 [**편집(Edit)**]을 선택하여 이러한 구성 설정을 업데이트할 수 있습니다.
**Change Manager 사용자 자격 증명 관리 및 템플릿 검토자를 구성하려면**
1. AWS Management Console에 로그인합니다.
조직에 Change Manager를 사용하는 경우 위임된 관리자 계정의 자격 증명을 사용하여 로그인합니다. 사용자에게 Change Manager 설정을 업데이트하는 데 필요한 AWS Identity and Access Management(IAM) 권한이 있어야 합니다.
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)에서 AWS Systems Manager 콘솔을 엽니다.
1. 탐색 창에서 **Change Manager**를 선택합니다.
1. 서비스 홈 페이지에서 사용 가능한 옵션에 따라 다음 중 하나를 수행합니다.
+ AWS Organizations에 Change Manager를 사용하는 경우 **위임된 계정 설정(Set up delegated account)**을 선택합니다.
+ 단일 AWS 계정에 Change Manager를 사용하는 경우 **Change Manager 설정(Set up Change Manager)**을 선택합니다.
-또는-
**샘플 변경 요청 생성(Create sample change request)**, **건너뛰기(Skip)**를 선택한 다음 **설정(Settings)** 탭을 선택합니다.
1. **사용자 자격 증명 관리(User identity management)**에서 다음 중 하나를 선택합니다.
+ **AWS Identity and Access Management(IAM)** - 기존 사용자, 그룹 및 역할을 사용하여 Change Manager에서 요청, 요청 승인 및 기타 작업을 수행하는 사용자를 식별합니다.
+ **AWS IAM Identity Center(IAM Identity Center)** - [IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/)가 자격 증명을 생성 및 관리하도록 허용하거나 Change Manager에서 작업을 수행하는 사용자를 식별하기 위해 기존 자격 증명 소스에 연결합니다.
1. **Template reviewer notification(템플릿 검토자 알림)** 섹션에서 템플릿 검토자에게 새 변경 템플릿 또는 변경 템플릿 버전을 검토할 준비가 되었음을 알리는 데 사용할 Amazon Simple Notification Service(SNS) 주제를 지정합니다. 선택한 Amazon SNS 주제가 템플릿 검토자에게 알림을 보내도록 구성되어 있는지 확인합니다.
변경 템플릿 검토자 알림을 위한 Amazon SNS 주제 생성 및 구성에 대한 자세한 내용은 [Change Manager 알림에 대한 Amazon SNS 주제 구성](change-manager-sns-setup.md) 섹션을 참조하세요.
1. 템플릿 검토자 알림에 대한 Amazon SNS 주제를 지정하려면 다음 중 하나를 선택합니다.
+ **SNS Amazon 리소스 이름(ARN) 입력(Enter an SNS Amazon Resource Name (ARN))** - **주제 ARN(Topic ARN)**에 기존 Amazon SNS 주제의 ARN을 입력합니다. 이 주제는 조직의 모든 계정에 있을 수 있습니다.
+ **기존 SNS 주제 선택(Select an existing SNS topic)** - **대상 알림 주제(Target notification topic)**에서 현재 AWS 계정의 기존 Amazon SNS 주제의 ARN을 선택합니다. (현재 AWS 계정 및 AWS 리전에서 Amazon SNS 주제를 아직 생성하지 않은 경우 이 옵션을 사용할 수 없습니다.)
**참고**
선택한 Amazon SNS 주제는 전송되는 알림과 알림이 전송되는 구독자를 지정하도록 구성되어야 합니다. Change Manager에서 알림을 보낼 수 있도록 액세스 정책도 Systems Manager에 권한을 부여해야 합니다. 자세한 내용은 [Change Manager 알림에 대한 Amazon SNS 주제 구성](change-manager-sns-setup.md) 섹션을 참조하세요.
1. **알림 추가**를 선택합니다.
1. **변경 템플릿 검토자(Change template reviewers)** 섹션에서 조직 또는 계정의 사용자를 선택하여 새 변경 템플릿을 검토하거나 템플릿 버전을 변경해야 작업에 템플릿을 사용할 수 있습니다.
변경 템플릿 검토자는 Change Manager 실행서 워크플로에 사용하기 위해 다른 사용자가 제출한 템플릿의 적합성과 보안을 확인할 책임이 있습니다.
다음을 수행하여 변경 템플릿 검토자를 선택합니다.
1. **추가**를 선택합니다.
1. 변경 템플릿 검토자로 할당할 각 사용자, 그룹 또는 IAM 역할의 이름 옆에 있는 확인란을 선택합니다.
1. **승인자 추가(Add approvers)**를 선택합니다.
1. **제출**을 선택합니다.
이 초기 설정 프로세스를 완료한 후 [태스크 2: Change Manager 변경 고정 이벤트 승인자 및 모범 사례 구성](#cm-configure-account-task-2)의 단계에 따라 추가 Change Manager 설정과 모범 사례를 구성합니다.
## 태스크 2: Change Manager 변경 고정 이벤트 승인자 및 모범 사례 구성
[태스크 1: Change Manager 사용자 자격 증명 관리 및 템플릿 검토자 구성](#cm-configure-account-task-1)의 단계를 완료한 후 *변경 고정 이벤트* 중 변경 요청에 대한 추가 검토자를 지정하고 Change Manager 작업에 허용할 사용 가능한 모범 사례를 지정할 수 있습니다.
변경 고정 이벤트는 현재 변경 일정에 제한이 있음을 의미합니다(AWS Systems Manager Change Calendar의 일정 상태는 `CLOSED`임). 이러한 경우 변경 요청에 대한 일반 승인자 외에 또는 자동 승인을 허용하는 템플릿을 사용하여 변경 요청을 생성하는 경우 변경 고정 승인자는 이 변경 요청을 실행할 수 있는 권한을 부여해야 합니다. 그렇지 않으면 일정 상태가 다시 `OPEN`이 될 때까지 변경 사항이 처리되지 않습니다.
**Change Manager 변경 고정 이벤트 승인자 및 모범 사례를 구성하려면**
1. 탐색 창에서 **Change Manager**를 선택합니다.
1. **설정(Settings)** 탭을 선택한 후 **편집(Edit)**을 선택합니다.
1. **변경 고정 이벤트 승인자(Approvers for change freeze events)** 섹션에서 Change Calendar에서 사용 중인 일정이 현재 CLOSED인 경우에도 실행되도록 변경을 승인할 수 있는 조직 또는 계정의 사용자를 선택합니다.
**참고**
변경 고정 검토를 허용하려면 **모범 사례(Best practices)**에서 **제한된 변경 이벤트에 대한 변경 일정 확인(Check Change Calendar for restricted change events)** 옵션을 설정해야 합니다.
다음을 수행하여 변경 고정 이벤트에 대한 승인자를 선택합니다.
1. **추가**를 선택합니다.
1. 변경 고정 이벤트에 대한 승인자로 할당할 각 사용자, 그룹 또는 IAM 역할의 이름 옆에 있는 확인란을 선택합니다.
1. **승인자 추가(Add approvers)**를 선택합니다.
1. 페이지 하단 근처의 [**모범 사례(Best practices)**] 섹션에서 다음 각 옵션에 대해 시행하려는 모범 사례를 설정합니다.
+ 옵션: **제한된 변경 이벤트에 대한 변경 일정 확인(Check Change Calendar for restricted change events)**
Change Manager가 Change Calendar에서 일정을 확인하여 변경이 예정된 이벤트에 의해 차단되지 않도록 지정하려면 먼저 [**사용(Enabled)**] 확인란을 선택한 다음 [**변경 일정(Change Calendar)**] 목록에서 제한된 일정을 확인할 일정을 선택합니다.
Change Calendar에 대한 자세한 내용은 [AWS Systems Manager Change Calendar](systems-manager-change-calendar.md) 섹션을 참조하세요.
+ 옵션: **마감된 이벤트 승인자를 위한 SNS 주제(SNS topic for approvers for closed events)**
1. 다음 중 하나를 선택하여 계정에서 변경 고정 이벤트 중에 승인자에게 알림을 보내는 데 사용할 Amazon Simple Notification Service(Amazon SNS) 주제를 지정합니다. ([**모범 사례(Best practices)**] 위의 **변경 고정 이벤트 승인자(Approvers for change freeze events)** 섹션에서도 승인자를 지정해야 합니다.)
+ **SNS Amazon 리소스 이름(ARN) 입력(Enter an SNS Amazon Resource Name (ARN))** - **주제 ARN(Topic ARN)**에 기존 Amazon SNS 주제의 ARN을 입력합니다. 이 주제는 조직의 모든 계정에 있을 수 있습니다.
+ **기존 SNS 주제 선택(Select an existing SNS topic)** - **대상 알림 주제(Target notification topic)**에서 현재 AWS 계정의 기존 Amazon SNS 주제의 ARN을 선택합니다. (현재 AWS 계정 및 AWS 리전에서 Amazon SNS 주제를 아직 생성하지 않은 경우 이 옵션을 사용할 수 없습니다.)
**참고**
선택한 Amazon SNS 주제는 전송되는 알림과 알림이 전송되는 구독자를 지정하도록 구성되어야 합니다. Change Manager에서 알림을 보낼 수 있도록 액세스 정책도 Systems Manager에 권한을 부여해야 합니다. 자세한 내용은 [Change Manager 알림에 대한 Amazon SNS 주제 구성](change-manager-sns-setup.md) 섹션을 참조하세요.
1. **알림 추가**를 선택합니다.
+ 옵션: **모든 템플릿에 모니터 필요(Require monitors for all templates)**
조직 또는 계정의 모든 템플릿이 Amazon CloudWatch 경보를 지정하여 변경 작업을 모니터링하도록 하려면 **Enabled**(활성화됨) 확인란을 선택합니다.
+ 옵션: **사용하기 전에 템플릿 검토 및 승인 필요(Require template review and approval before use)**
검토 및 승인된 템플릿을 기반으로 하지 않고 변경 요청이 생성되지 않고 실행서 워크플로가 실행되지 않도록 하려면 [**사용(Enabled)**] 확인란을 선택합니다.
1. **저장**을 선택합니다.
# Change Manager 알림에 대한 Amazon SNS 주제 구성
**Change Manager 가용성 변경**
AWS Systems Manager Change Manager는 2025년 11월 7일부터 신규 고객에게 더 이상 공개되지 않습니다. Change Manager를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [AWS Systems Manager Change Manager 가용성 변경](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)을 참조하세요.
변경 요청 및 변경 템플릿과 관련된 이벤트에 대해 Amazon Simple Notification Service(Amazon SNS) 주제에 알림을 보내도록 AWS Systems Manager의 도구인 Change Manager를 구성할 수 있습니다. 주제를 추가한 Change Manager 이벤트에 대한 알림을 받으려면 다음 태스크를 완료합니다.
**Topics**
+ [
## 태스크 1: Amazon SNS 주제 생성 및 구독
](#change-manager-sns-setup-create-topic)
+ [
## 태스크 2: Amazon SNS 액세스 정책 업데이트
](#change-manager-sns-setup-encryption-policy)
+ [
## 태스크 3: (옵션) AWS Key Management Service 액세스 정책 업데이트
](#change-manager-sns-setup-KMS-policy)
## 태스크 1: Amazon SNS 주제 생성 및 구독
먼저, Amazon SNS 주제를 생성하고 구독합니다. 자세한 내용은 *Amazon Simple Notification Service 개발자 안내서*의 [Amazon SNS 주제 생성](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) 및 [Amazon SNS 주제 구독](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html)을 참조하세요.
**참고**
알림을 수신하려면 위임된 관리자 계정과 동일한 AWS 리전 및 AWS 계정에 있는 Amazon SNS 주제의 Amazon 리소스 이름(ARN)을 지정해야 합니다.
## 태스크 2: Amazon SNS 액세스 정책 업데이트
다음 절차에 따라 Systems Manager가 태스크 1에서 생성한 Amazon SNS 주제에 Change Manager 알림을 게시할 수 있도록 Amazon SNS 액세스 정책을 업데이트합니다. 이 태스크를 완료하지 않으면 주제를 추가하는 이벤트에 대한 알림을 보낼 권한이 Change Manager에 없습니다.
1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)에서 Amazon SNS 콘솔을 엽니다.
1. 탐색 창에서 **주제**를 선택합니다.
1. 태스크 1에서 생성한 주제를 선택한 다음 **편집(Edit)**을 선택합니다.
1. **액세스 정책(Access policy)**를 확장합니다.
1. 다음 `Sid` 블록을 기존 정책에 추가 및 업데이트하고 각 *user input placeholder*를 사용자의 정보로 바꿉니다.
```
{
"Sid": "Allow Change Manager to publish to this topic",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:region:account-id:topic-name",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"account-id"
]
}
}
}
```
기존 `Sid` 블록 뒤에 이 블록을 입력하고 *region*, *account-id* 및 *topic-name*을 생성한 주제에 대한 적절한 값으로 바꿉니다.
1. **변경 사항 저장(Save changes)**을 선택합니다.
이제 시스템은 주제에 추가하는 이벤트 유형이 발생할 때 Amazon SNS 주제에 알림을 보냅니다.
**중요**
AWS Key Management Service(AWS KMS) 서버 측 암호화 키를 사용하여 Amazon SNS 주제를 구성하는 경우에는 태스크 3을 완료해야 합니다.
## 태스크 3: (옵션) AWS Key Management Service 액세스 정책 업데이트
Amazon SNS 주제에 대해 AWS Key Management Service(AWS KMS) 서버 측 암호화를 설정한 경우 주제를 구성할 때 선택한 AWS KMS key의 액세스 정책도 업데이트해야 합니다. 다음 절차에 따라 Systems Manager가 태스크 1에서 생성한 Amazon SNS 주제에 Change Manager 승인 알림을 게시할 수 있도록 액세스 정책을 업데이트합니다.
1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms)에서 AWS KMS 콘솔을 엽니다.
1. 탐색 창에서 **고객 관리형 키**를 선택합니다.
1. 주제를 생성할 때 선택한 고객 관리형 키의 ID를 선택합니다.
1. **키 정책(Key policy)** 섹션에서 **정책 보기로 전환(Switch to policy view)**을 선택합니다.
1. **편집**을 선택합니다.
1. 기존 정책의 기존 `Sid` 블록 중 하나의 뒤에 다음 `Sid` 블록을 입력합니다. *user input placeholder*를 사용자의 정보로 바꿉니다.
```
{
"Sid": "Allow Change Manager to decrypt the key",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"account-id"
]
}
}
}
```
1. 이제 [교차 서비스 혼동된 대리자 문제](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) 방지를 도울 수 있도록 리소스 정책 내의 기존 `Sid` 블록 중 하나의 뒤에 다음 `Sid` 블록을 입력합니다.
이 블록은 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 및 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 글로벌 조건 컨텍스트 키를 사용하여 Systems Manager가 리소스에 다른 서비스를 부여하는 권한을 제한합니다.
각 *user input placeholder*를 사용자의 정보로 바꿉니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Configure confused deputy protection for AWS KMS keys used in Amazon SNS topic when called from Systems Manager",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:us-east-1:111122223333:topic-name",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:ssm:us-east-1:111122223333:*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
]
}
```
------
1. **변경 사항 저장**을 선택합니다.
# Change Manager에 대한 역할 및 권한 구성
**Change Manager 가용성 변경**
AWS Systems Manager Change Manager는 2025년 11월 7일부터 신규 고객에게 더 이상 공개되지 않습니다. Change Manager를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [AWS Systems Manager Change Manager 가용성 변경](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)을 참조하세요.
Change Manager는 기본적으로 리소스에서 작업을 수행할 권한이 없습니다. AWS Identity and Access Management(IAM) 서비스 역할 또는 *수임 역할*을 사용하여 액세스 권한을 부여해야 합니다. 이 역할은 사용자를 대신하여 승인된 변경 요청에 지정된 실행서 워크플로를 안전하게 실행하도록 Change Manager를 활성화합니다. 이 역할은 Change Manager에 AWS Security Token Service(AWS STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 신뢰를 부여합니다.
조직의 사용자를 대신하여 작업할 역할에 이러한 권한을 제공함으로써 사용자에게 일련의 해당 사용 권한 자체를 직접 부여할 필요가 없습니다. 권한에 의해 허용되는 작업은 승인된 작업으로만 제한됩니다.
계정 또는 조직의 사용자가 변경 요청을 생성할 때 이 수임 역할을 선택하여 변경 작업을 수행할 수 있습니다.
Change Manager에 대한 새 수임 역할을 생성하거나 기존 역할에 필요한 권한이 포함되도록 업데이트합니다.
Change Manager에 대한 서비스 역할을 생성해야 하는 경우 다음 작업을 완료하세요.
**Topics**
+ [
## 작업 1: Change Manager에 대한 수임 역할 정책 생성하기
](#change-manager-role-policy)
+ [
## 작업 2: Change Manager에 대한 수임 역할 생성하기
](#change-manager-role)
+ [
## 작업 3: `iam:PassRole` 정책을 다른 역할에 연결하기
](#change-manager-passpolicy)
+ [
## 작업 4: 다른 AWS 서비스을(를) 호출하기 위해 수임 역할에 인라인 정책 추가하기
](#change-manager-role-add-inline-policy)
+ [
## 작업 5: Change Manager에 대한 사용자 액세스 구성하기
](#change-manager-passrole)
## 작업 1: Change Manager에 대한 수임 역할 정책 생성하기
다음 절차에 따라 Change Manager 수임 역할에 연결할 정책을 생성합니다.
**Change Manager용 수임 역할 정책을 생성하려면**
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. 탐색 창에서 **정책**을 선택한 후 **정책 생성**을 선택합니다.
1. **정책 생성(Create policy)** 페이지에서 **JSON** 탭을 선택하고 기본 내용을 다음과 같이 바꿉니다. 이 내용은 사용자가 자신의 Change Manager 작업에 맞게 다음 단계에서 수정할 수 있습니다.
**참고**
단일 AWS 계정으로 사용할 정책을 생성하고 있으며 여러 계정과 AWS 리전가 있는 조직이 아닌 경우 첫 번째 문 블록을 생략할 수 있습니다. Change Manager를 사용한 단일 계정의 경우 `iam:PassRole` 사용 권한이 필요하지 않습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/AWS-SystemsManager-job-functionAdministrationRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:StartChangeRequestExecution"
],
"Resource": [
"arn:aws:ssm:us-east-1::document/template-name",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:ListOpsItemEvents",
"ssm:GetOpsItem",
"ssm:ListDocuments",
"ssm:DescribeOpsItems"
],
"Resource": "*"
}
]
}
```
------
1. `iam:PassRole` 작업의 경우 실행서 워크플로를 시작할 수 있는 권한을 부여하려는 조직에 대해 정의된 모든 작업 기능의 ARN을 포함하도록 `Resource` 값을 업데이트합니다.
1. *region*, *account-id*, *template-name*, *delegated-admin-account-id*, *job-function* 자리표시자를 Change Manager 작업에 대한 값으로 교체합니다.
1. 두 번째 `Resource` 문의 경우 권한을 부여할 모든 변경 템플릿을 포함하도록 목록을 수정합니다. 또는 조직의 모든 변경 템플릿에 대한 권한을 부여하도록 `"Resource": "*"`를 지정합니다.
1. **다음: 태그(Next: Tags)**를 선택합니다.
1. (선택 사항) 이 정책에 대한 액세스를 구성, 추적 또는 제어할 태그-키 값 페어를 하나 이상 추가합니다.
1. **다음: 검토**를 선택합니다.
1. **정책 검토(Review Policy)** 페이지에서 **이름(Name)** 상자에 **MyChangeManagerAssumeRole** 등의 이름을 입력한 다음 설명을 입력합니다(선택 사항).
1. **정책 생성(Create policy)**을 선택하고 계속해서 [작업 2: Change Manager에 대한 수임 역할 생성하기](#change-manager-role)를 진행합니다.
## 작업 2: Change Manager에 대한 수임 역할 생성하기
다음 절차를 사용하여 Change Manager용 서비스 역할의 한 유형인 Change Manager 수임 역할을 생성합니다.
**Change Manager용 수임 역할을 생성하려면**
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. 탐색 창에서 **역할(Roles)**을 선택한 후 **역할 생성(Create role)**을 선택합니다.
1. **신뢰할 수 있는 엔터티 선택(Select trusted entity)**에서 다음을 선택합니다.
1. **신뢰할 수 있는 엔터티 유형**에서 **AWS 서비스**를 선택합니다.
1. **다른 AWS 서비스의 사용 사례**에서 **Systems Manager**를 선택합니다.
1. 다음 이미지에 표시된 것과 같이 **Systems Manager**를 선택합니다.
![\[사용 사례로 선택된 Systems Manager 옵션을 보여주는 스크린샷.\]](http://docs.aws.amazon.com/ko_kr/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)
1. **다음**을 선택합니다.
1. **연결된 권한 정책(Attached permissions policy)** 페이지에서 [작업 1: Change Manager에 대한 수임 역할 정책 생성하기](#change-manager-role-policy)에 생성한 수임 역할 정책(**MyChangeManagerAssumeRole** 등)을 검색합니다.
1. 수임 역할 정책 이름 옆에 있는 확인란을 선택한 후, **다음: 검토(Next: Review)**를 선택합니다.
1. **역할 이름(Role name)**에 새 인스턴스 프로파일의 이름(예: **MyChangeManagerAssumeRole**)을 입력합니다.
1. (선택) **설명(Description)**에 이 인스턴스 역할에 대한 설명을 입력합니다.
1. (선택 사항) 이 역할에 대한 액세스를 구성, 추적 또는 제어할 태그-키 값 페어를 하나 이상 추가합니다.
1. **다음: 검토**를 선택합니다.
1. (선택) **태그(Tags)**에서 이 역할에 대한 액세스를 구성, 추적 또는 제어할 태그-키 값 페어를 하나 이상 추가한 후 **역할 생성(Create role)**을 선택합니다. 그러면 **역할** 페이지로 돌아갑니다.
1. **역할 생성**을 선택합니다. 그러면 **역할** 페이지로 돌아갑니다.
1. **역할(Roles)** 페이지에서 방금 만든 역할을 선택하여 **요약** 페이지를 엽니다.
## 작업 3: `iam:PassRole` 정책을 다른 역할에 연결하기
다음 절차에 따라 `iam:PassRole` 정책을 IAM 인스턴스 프로파일 또는 IAM 서비스 역할에 연결합니다. (Systems Manager 서비스에서는 IAM 인스턴스 프로파일을 사용하여 EC2 인스턴스와 통신합니다. [하이브리드 및 멀티클라우드](operating-systems-and-machine-types.md#supported-machine-types) 환경의 비 EC2 관리형 노드의 경우 IAM 서비스 역할이 대신 사용됩니다.)
Change Manager 서비스는 `iam:PassRole` 정책을 연결함으로써 런북 워크플로를 실행할 때 수임 역할 사용 권한을 다른 서비스 또는 Systems Manager 도구에 전달할 수 있습니다.
**`iam:PassRole` 정책을 IAM 인스턴스 프로파일 또는 서비스 역할에 연결하는 방법**
1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.
1. 탐색 창에서 **역할**을 선택합니다.
1. 사용자가 생성한 Change Manager 수임 역할(예: **MyChangeManagerAssumeRole**)을 검색하여 그 이름을 선택합니다.
1. 수임 역할에 대한 **요약(Summary)** 페이지에서 **권한(Permissions)** 탭을 선택합니다.
1. **권한 추가, 인라인 정책 추가(Add permissions, Create inline policy)**를 선택합니다.
1. **정책 생성(Create policy)** 페이지에서 **시각적 편집기(Visual editor)** 탭을 선택합니다.
1. **서비스(Service)**와 **IAM**을 차례대로 선택합니다.
1. **작업 필터링(Filter actions)** 텍스트 상자에 **PassRole**을 입력하고 **PassRole** 옵션을 선택합니다.
1. **리소스(Resources)**를 확장합니다. **Specific(특정)**이 선택되었는지 확인한 다음, **ARN 추가(Add ARN)**를 선택합니다.
1. **역할에 ARN 지정(Specify ARN for role)** 필드에 수임 역할 권한을 전달하려는 IAM 인스턴스 프로파일 역할 또는 IAM 서비스 역할의 ARN을 입력합니다. **계정(Account)** 및 **역할 이름 및 경로(Role name with path)** 필드에 값이 채워집니다.
1. **추가(Add)**를 선택합니다.
1. **정책 검토(Review policy)**를 선택합니다.
1. **이름(Name)**에 이 정책을 알아볼 수 있는 이름을 입력하고, **정책 생성(Create policy)**을 선택합니다.
**추가 정보**
+ [Systems Manager에 필요한 인스턴스 권한 구성](setup-instance-permissions.md)
+ [하이브리드 및 멀티클라우드 환경에서 Systems Manager에 필요한 IAM 서비스 역할 생성](hybrid-multicloud-service-role.md)
## 작업 4: 다른 AWS 서비스을(를) 호출하기 위해 수임 역할에 인라인 정책 추가하기
변경 요청이 Change Manager 수임 역할을 사용하여 다른 AWS 서비스을(를) 호출하는 경우 해당 수임 역할이 다른 서비스를 호출할 권한이 있도록 구성되어야 합니다. 이 요구 사항은 `AWS-ConfigureS3BucketLogging`, `AWS-CreateDynamoDBBackup`, `AWS-RestartEC2Instance` 런북과 같이 변경 요청에 사용할 수 있는 모든 AWS Automation 런북(AWS-\$1 런북)에 적용됩니다. 또한 다른 서비스를 호출하는 작업을 사용하여 다른 AWS 서비스을(를) 호출하는 사용자 정의 실행서를 생성하는 경우에도 이 요구 사항이 항상 적용됩니다. 예를 들어, `aws:executeAwsApi`, `aws:CreateStack` 또는 `aws:copyImage` 작업을 사용하는 경우 이러한 서비스를 호출할 수 있는 권한을 포함하여 서비스 역할을 구성해야 합니다. 역할에 IAM 인라인 정책을 추가하여 다른 AWS 서비스에 대한 권한을 활성화할 수 있습니다.
**다른 AWS 서비스을(를) 호출하기 위해 수임 역할에 인라인 정책을 추가하기(IAM 콘솔)**
1. AWS Management Console에 로그인하여 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. 탐색 창에서 **역할**을 선택합니다.
1. 목록에서 업데이트하려는 수임 역할의 이름을 선택합니다(예:`MyChangeManagerAssumeRole`).
1. **권한** 탭을 선택합니다.
1. **권한 추가, 인라인 정책 추가(Add permissions, Create inline policy)**를 선택합니다.
1. **JSON** 탭을 선택합니다.
1. 호출하려는 AWS 서비스의 JSON 정책 문서를 입력합니다. 다음은 2개의 예제 JSON 정책 문서입니다.
**Amazon S3 `PutObject` 및 `GetObject` 예제**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
**Amazon EC2 `CreateSnapshot` 및 `DescribeSnapShots` 예제**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshot",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":"ec2:DescribeSnapshots",
"Resource":"*"
}
]
}
```
------
IAM 정책 언어에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)를 참조하세요.
1. 작업이 완료되면 **정책 검토(Review policy)**를 선택합니다. [정책 검사기](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)가 모든 구문 오류를 보고합니다.
1. **이름(Name)**에 생성 중인 정책을 알아볼 수 있는 이름을 입력합니다. 정책 **요약**을 검토하여 정책이 부여한 권한을 확인합니다. 그런 다음 **정책 생성**을 선택하여 작업을 저장합니다.
1. 인라인 정책을 생성하면 이 정책이 역할에 자동으로 포함됩니다.
## 작업 5: Change Manager에 대한 사용자 액세스 구성하기
사용자, 그룹 또는 역할에 관리자 권한이 부여되어 있는 경우 Change Manager에 액세스할 수 있습니다. 관리자 권한이 없는 경우 관리자가 `AmazonSSMFullAccess` 관리형 정책 또는 비교 가능한 권한을 제공하는 정책을 해당 사용자, 그룹 또는 역할에 할당해야 합니다.
다음 절차에 따라 Change Manager를 사용할 수 있는 사용자를 구성합니다. 선택하는 사용자에게 Change Manager를 구성하고 실행할 수 있는 권한이 부여됩니다.
조직에서 사용 중인 ID 애플리케이션에 따라 사용자 액세스를 구성하는 데 사용할 수 있는 세 가지 옵션을 선택할 수 있습니다. 사용자 액세스를 구성하는 동안 다음을 할당하거나 추가합니다.
1. `AmazonSSMFullAccess` 정책 또는 Systems Manager에 액세스할 수 있는 권한을 부여하는 유사한 정책을 할당합니다.
1. `iam:PassRole` 정책을 할당합니다.
1. [작업 2: Change Manager에 대한 수임 역할 생성하기](#change-manager-role) 종료 시 복사한 Change Manager 수임 역할에 대한 ARN을 추가합니다.
액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요.
+ AWS IAM Identity Center의 사용자 및 그룹:
권한 세트를 생성합니다. *AWS IAM Identity Center 사용자 안내서*에서 [권한 세트 생성](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)의 지침을 따릅니다.
+ ID 제공업체를 통해 IAM에서 관리되는 사용자:
ID 페더레이션을 위한 역할을 생성합니다. *IAM 사용자 설명서*의 [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)의 지침을 따릅니다.
+ IAM 사용자:
+ 사용자가 맡을 수 있는 역할을 생성합니다. *IAM 사용자 설명서*에서 [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)의 지침을 따릅니다.
+ (권장되지 않음) 정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. *IAM 사용 설명서*에서 [사용자(콘솔)에 권한 추가](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)의 지침을 따릅니다.
이렇게 해서 Change Manager에 역할 구성을 마쳤습니다. 이제 Change Manager 작업에서 Change Manager 수임 역할 ARN을 사용할 수 있습니다.
# 자동 승인 실행서 워크플로에 대한 액세스 제어
**Change Manager 가용성 변경**
AWS Systems Manager Change Manager는 2025년 11월 7일부터 신규 고객에게 더 이상 공개되지 않습니다. Change Manager를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [AWS Systems Manager Change Manager 가용성 변경](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)을 참조하세요.
조직 또는 계정에 대해 생성된 각 변경 템플릿에 해당 템플릿에서 생성된 변경 요청을 자동 승인된 변경 요청으로 실행할 수 있는지 여부를 지정할 수 있습니다. 즉, 검토 단계 없이 자동으로 실행됩니다(변경 고정 이벤트 제외).
그러나 변경 템플릿에서 허용하는 경우에도 특정 사용자, 그룹 또는 AWS Identity and Access Management(IAM) 역할이 자동 승인된 변경 요청을 실행하지 못하도록 할 수 있습니다. 이렇게 하려면 사용자, 그룹 또는 IAM 역할에 할당된 IAM 정책에서 `StartChangeRequestExecution` 작업에 `ssm:AutoApprove` 조건 키를 사용합니다.
다음 정책을 인라인 정책으로 추가할 수 있습니다. 여기서 조건이 `false`로 지정되어 사용자가 자동 승인 가능한 변경 요청을 실행하지 못하도록 할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:StartChangeRequestExecution",
"Resource": "*",
"Condition": {
"BoolIfExists": {
"ssm:AutoApprove": "false"
}
}
}
]
}
```
------
인라인 정책 지정에 대한 자세한 내용은 *IAM User Guide*의 [Inline policies](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies) 및 [Adding and removing IAM identity permissions](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html)를 참조하세요.
Systems Manager 정책의 조건 키에 대한 자세한 내용은 [Systems Manager 조건 키](security_iam_service-with-iam.md#policy-conditions)를 참조하세요.