최소한의 AWS 권한

이 페이지에서는 AWS 계정에 대한 Stackdriver의 액세스 권한을 최소화하는 방법을 설명합니다.

개요

AWS 계정을 작업공간 중 하나에 추가하기 위한 표준 안내를 따르면 모든 AWS 리소스에 대한 읽기 전용 액세스 권한이 Stackdriver에 부여됩니다. AWS IAM에서 모든 서비스에 대해 읽기 전용 액세스 권한이 있는 역할을 만들면 됩니다. Stackdriver가 해당 역할을 사용하도록 해주는 키(역할 ARN)는 작업공간에 저장합니다.

Stackdriver의 액세스 수준은 선택한 AWS IAM 역할에 따라 제어됩니다. 액세스를 최소화하려면 모든 AWS 리소스 대신 일부 AWS 리소스에 대해서만 읽기 전용 액세스 권한이 있는 AWS IAM 역할을 만드세요. 예를 들어 역할에 따라 CloudWatch 및 SNS 액세스만 허용될 수 있습니다.

Stackdriver를 인증하는 데 사용되는 AWS 역할은 하나의 작업공간에서만 사용할 수 있습니다. 역할별로 단일 작업공간에 한정된 외부 ID를 포함합니다.

최소 권한

다음 AWS 권한 정책은 Stackdriver에 필요한 최소 설정입니다. AWS 역할에는 최소한 다음 권한이 포함되어야 합니다.

AmazonDynamoDBReadOnlyAccess
AmazonEC2ReadOnlyAccess
AmazonElastiCacheReadOnlyAccess
AmazonESReadOnlyAccess
AmazonKinesisReadOnlyAccess
AmazonRedshiftReadOnlyAccess
AmazonRDSReadOnlyAccess
AmazonS3ReadOnlyAccess
AmazonSESReadOnlyAccess
AmazonSNSReadOnlyAccess
AmazonSQSReadOnlyAccess
AmazonVPCReadOnlyAccess
AutoScalingReadOnlyAccess
AWSLambdaReadOnlyAccess
CloudFrontReadOnlyAccess
CloudWatchReadOnlyAccess
CloudWatchEventsReadOnlyAccess

JSON:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "autoscaling:Describe*",
        "cloudfront:Get*",
        "cloudfront:List*",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "dynamodb:Describe*",
        "dynamodb:Get*",
        "dynamodb:List*",
        "ec2:Describe*",
        "ec2:Get*",
        "elasticache:Describe*",
        "elasticache:List*",
        "elasticloadbalancing:Describe*",
        "es:Describe*",
        "es:List*",
        "events:Describe*",
        "events:List*",
        "health:Describe*",
        "health:Get*",
        "health:List*",
        "kinesis:Describe*",
        "kinesis:Get*",
        "kinesis:List*",
        "lambda:Get*",
        "lambda:List*",
        "rds:Describe*",
        "rds:List*",
        "redshift:Describe*",
        "redshift:Get*",
        "redshift:View*",
        "s3:Get*",
        "s3:List*",
        "ses:Get*",
        "ses:List*",
        "ses:Describe*",
        "sns:Get*",
        "sns:List*",
        "sqs:Get*",
        "sqs:List*",
        ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

이 목록은 Stackdriver에 새로운 AWS 서비스가 추가됨에 따라 늘어날 수 있습니다. 필요한 Stackdriver 기능과 액세스 권한 제어 요구에 따라 권한을 추가할 수도 있습니다.

안내

AWS 역할 수정

작업공간에 AWS 계정을 이미 추가한 경우 이미 사용 중인 AWS 역할에서 권한을 변경하여 Stackdriver 액세스를 제한할 수 있습니다.

  1. AWS 계정에 로그인합니다.
  2. Service(서비스) > IAM > Roles(역할)로 이동해서 AWS IAM 콘솔을 표시합니다.
  3. 페이지 아래에서 사용 중인 역할 이름을 클릭하여 Stackdriver를 인증합니다. Permissions(권한) 탭에서 해당 역할의 권한 목록을 확인합니다.

    • 기존 권한을 삭제하려면 권한 오른쪽에 있는 X를 클릭합니다.
    • 부가적으로 권한을 추가하려면 Attach policy(정책 연결)를 클릭합니다.
      1. 필터를 사용하여 원하는 정책을 찾습니다.
      2. ReadOnlyAccess 또는 ReadOnly로 끝나는 정책 중 하나를 선택합니다.
      3. Attach policy(정책 연결)를 클릭합니다.
      4. 정책을 더 추가하려면 위 과정을 반복합니다.

제한된 액세스 권한으로 AWS 계정 추가

AWS 계정 추가의 표준 안내를 참조하세요. AWS 역할 만들기 안내는 Stackdriver 사용자 문서에 없지만 AWS 계정을 추가할 때 모니터링 콘솔 내에 나열됩니다. 다음은 이러한 안내를 보여주는 스크린샷입니다.

AWS 승인

이러한 안내를 수정하는 방법은 다음과 같습니다.

  1. 7단계, '정책 목록에서 ReadOnlyAccess를 선택하고 Next: Review(다음: 검토) 클릭'을 찾습니다.

  2. 해당 단계를 다음과 같이 바꿉니다.

    1. 필터를 사용하여 사용하려는 권한 정책을 찾습니다. 정책의 ReadOnly 변형만 필요하므로 이것을 선택합니다.
    2. 권한을 더 선택하려면 필요한 만큼 반복합니다.
    3. 완료되었으면 Next: Review(다음: 검토)를 클릭합니다. 그러면 다음과 비슷하게 표시됩니다.

    역할 검토

  3. 표준 안내를 계속 따릅니다.

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

Stackdriver Monitoring
도움이 필요하시나요? 지원 페이지를 방문하세요.