이 페이지에서는 AWS 계정에 대한 Cloud Monitoring 액세스를 최소화하는 방법을 설명합니다.
개요
표준 안내를 사용하여 AWS 계정을 모니터링 프로젝트로 측정항목 범위에 추가하면 Monitoring에 모든 AWS 리소스에 대한 읽기 전용 액세스 권한이 부여됩니다. AWS IAM에서 모든 서비스에 대해 읽기 전용 액세스 권한이 있는 역할을 만들면 됩니다. Google Cloud는 Monitoring이 해당 역할을 사용하도록 해주는 키(역할 ARN)를 저장합니다.
Monitoring의 액세스 수준은 선택한 AWS IAM 역할에 따라 제어됩니다. 액세스를 최소화하려면 모든 AWS 리소스 대신 일부 AWS 리소스에 대해서만 읽기 전용 액세스 권한이 있는 AWS IAM 역할을 만드세요. 예를 들어 역할에 따라 CloudWatch 및 SNS 액세스만 허용될 수 있습니다.
각 역할에는 단일 Google Cloud 프로젝트에 해당하는 외부 ID가 포함됩니다.
최소 권한
다음 AWS 권한 정책은 Monitoring에 필요한 최소 설정입니다. AWS 역할에는 최소한 다음 권한이 포함되어야 합니다.
AmazonDynamoDBReadOnlyAccess
AmazonEC2ReadOnlyAccess
AmazonElastiCacheReadOnlyAccess
AmazonESReadOnlyAccess
AmazonKinesisReadOnlyAccess
AmazonRedshiftReadOnlyAccess
AmazonRDSReadOnlyAccess
AmazonS3ReadOnlyAccess
AmazonSESReadOnlyAccess
AmazonSNSReadOnlyAccess
AmazonSQSReadOnlyAccess
AmazonVPCReadOnlyAccess
AutoScalingReadOnlyAccess
AWSLambdaReadOnlyAccess
CloudFrontReadOnlyAccess
CloudWatchReadOnlyAccess
CloudWatchEventsReadOnlyAccess
이 목록은 Monitoring에 새로운 AWS 서비스가 추가됨에 따라 늘어날 수 있습니다. 필요한 Monitoring 기능과 액세스 권한 제어 요구에 따라 권한을 추가할 수도 있습니다.
AWS 역할 수정
AWS 계정을 모니터링 프로젝트로 이미 추가한 경우 이미 사용 중인 AWS 역할에서 권한을 변경하여 Monitoring 액세스를 제한할 수 있습니다.
- AWS 계정에 로그인합니다.
- Service(서비스) > IAM > Roles(역할)로 이동해서 AWS IAM 콘솔을 표시합니다.
페이지 아래에서 사용 중인 역할 이름을 클릭하여 Stackdriver를 인증합니다. Permissions(권한) 탭에서 해당 역할의 권한 목록을 확인합니다.
- 기존 권한을 삭제하려면 권한 오른쪽에 있는 X를 클릭합니다.
- 부가적으로 권한을 추가하려면 Attach policy(정책 연결)를 클릭합니다.
- 필터를 사용하여 원하는 정책을 찾습니다.
- ReadOnlyAccess 또는 ReadOnly로 끝나는 정책 중 하나를 선택합니다.
- Attach policy(정책 연결)를 클릭합니다.
- 정책을 더 추가하려면 위 과정을 반복합니다.
제한된 액세스 권한으로 AWS 계정 추가
액세스가 제한된 AWS 계정을 추가하려면 ReadOnlyAccess 역할을 선택하도록 지정하는 단계를 제외하고 표준 안내를 따릅니다.
해당 단계를 다음과 같이 바꿉니다.
- 필터를 사용하여 사용하려는 권한 정책을 찾습니다. 정책의 ReadOnly 변형만 필요하므로 이것을 선택합니다.
- 권한을 더 선택하려면 필요한 만큼 반복합니다.
- 완료되었으면 다음: 검토를 클릭합니다.
- 표준 안내를 계속 따릅니다.