AWS IAM 정책
- Cloud Manager 에 대한 프로그래밍 방식의 액세스 를 위한 OAuth 2.0 인증 은 Preview 기능 으로 제공됩니다.
- 기능 및 해당 설명서는 미리 보기 기간에 언제든지 변경될 수 있습니다. OAuth 2.0 인증 을 사용하려면 Cloud Manager 공개 API 에 대한 요청에 사용할서비스 계정을 만듭니다.
개요
Cloud Manager가 AWS 인프라에서 MongoDB 인스턴스를 배포하고 관리할 때, Cloud Manager는 사용자의 액세스 키를 통해 AWS에 액세스합니다. 키와 연결된 사용자에게는 다음 권한을 가진 연결된 IAM 정책이 있어야 합니다. 정책 연결에 대한 자세한 내용은 프로비저닝 서버를 참조하세요.
Amazon Web Services IAM 정책에 Amazon 대한 개요는 의 IAM 정책 문서 를 참조하세요. .
정책 예시
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:*AccessKey*", "iam:GetUser"], "Resource": ["*"] }, { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateKeyPair", "ec2:CreateSecurityGroup", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DeleteKeyPair", "ec2:DeleteSecurityGroup", "ec2:DeleteTags", "ec2:DeleteVolume", "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeInstanceAttribute", "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:DescribeKeyPairs", "ec2:DescribeRegions", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeVpcs", "ec2:DescribeVpcAttribute", "ec2:DescribeVolumeStatus", "ec2:DescribeVolumes", "ec2:DescribeVolumeAttribute", "ec2:ImportKeyPair", "ec2:RunInstances", "ec2:StartInstances", "ec2:StopInstances", "ec2:RebootInstances", "ec2:TerminateInstances" ], "Resource": [ "*" ] } ] }
정책 설정
다음 표에서는 각 설정이 필요한 이유를 설명합니다. Cloud Manager는 Cloud Manager가 고객을 위해 생성하는 리소스에 대한 CRUD 조치에만 고객이 제공한 권한을 사용합니다. 또한 Cloud Manager는 고객이 선택한 리소스(VPC, 서브넷 등)와 연결된 리소스(네트워크 ACL, 라우팅 테이블 등)에 대해서만 Read
조치를 수행합니다.
설정 | Cloud Manager가 다음을 수행할 수 있도록 허용합니다. |
---|---|
ec2:AttachVolume | 프로비저닝된 서버에 EBS 볼륨을 추가합니다. |
ec2:AuthorizeSecurityGroupIngress | Cloud Manager가 유효한 네트워킹 상태를 보장하는 데 필요한 보안 그룹 규칙을 managed합니다. |
ec2:CreateKeyP페어 | 프로비저닝을 위해 머신에 SSH로 연결합니다. |
ec2:CreateSecurityGroup | 프로비저닝 마법사에서 보안 그룹을 자동으로 생성합니다. |
ec2:CreateTags | EC2 인스턴스에 태그를 지정합니다. |
ec2:CreateVolume | EBS 볼륨을 생성합니다. |
ec2:DeleteKeyPpair | Cloud Manager에서 생성한 키 쌍을 제거합니다. |
ec2:DeleteSecurityGroup | Cloud Manager가 생성한 보안 그룹을 제거합니다. |
ec2:DeleteTags | Cloud Manager가 생성한 태그를 제거합니다. |
ec2:DeleteVolume | Cloud Manager가 생성한 리소스를 제거합니다. |
ec2:DescribeAccountAttributes | Amazon Web Services 계정에 EC2-Classic에 대한 액세스 권한이 있는지 확인합니다. |
ec2:DescribeAvailabilityZones | 사용자가 새 서버를 프로비저닝할 때 선택할 수 있는 가용영역을 표시합니다. |
ec2:DescribeInstanceAttribute | EC2 인스턴스의 속성에 액세스합니다. |
ec2:DescribeInstanceStatus | EC2 인스턴스의 상태에 액세스합니다. |
ec2:DescribeInstances | 사용 가능한 EC2 인스턴스에 액세스합니다. |
ec2:DescribeKeypairs | Cloud Manager가 생성한 키 쌍의 유효성을 검사합니다. |
ec2:DescribeRegions | 사용자가 새 서버를 프로비저닝할 때 선택할 수 있는 리전을 표시합니다. |
ec2:DescribeSecurityGroups | 사용자가 새 서버를 프로비저닝할 때 선택할 수 있는 보안 그룹을 표시합니다. |
ec2:DescribeSubnets | 사용자가 새 서버를 프로비저닝할 때 선택할 수 있는 서브넷을 표시합니다. |
ec2:DescribeTags | Cloud Manager와 연결된 인스턴스의 태그를 나열합니다. |
ec2:DescribeVpc | 사용자가 새 서버를 프로비저닝할 때 선택할 수 있는 VPC를 표시합니다. |
ec2:DescribeVpcAttribute | VPC 속성에 액세스합니다. |
ec2:DescribeVolumeStatus | 연결되거나 분리된 볼륨의 준비 상태를 확인합니다. |
ec2:DescribeVolumes | 올바른 볼륨이 MongoDB Server에 연결되어 있는지 확인합니다. |
ec2:DescribeVolumeAttribute | EBS 볼륨에 대한 정보에 액세스합니다. |
ec2:ImportKeyPear | 키 페어를 EC2 인스턴스와 연결합니다. |
ec2:RunInstances | EC2 인스턴스를 실행합니다. |
ec2:StartInstances | EC2 인스턴스를 시작합니다. |
ec2:StopInstances | EC2 인스턴스를 중지합니다. |
ec2:RestartInstances | EC2 인스턴스를 재부팅합니다. |
ec2:TermateInstances | EC2 인스턴스를 종료합니다. |