IAM 역할을 사용하면 뉴렐릭이 영구 액세스 키 없이도 AWS 계정에서 임시 자격 증명을 사용할 수 있습니다. 이러한 접근 방식은 다음과 같은 몇 가지 장점을 제공합니다.
- 자격 증명은 자동으로 회전합니다.
- 설계상 접근은 시간적으로 제한됩니다.
- 모든 작업은 AWS CloudTrail에 기록됩니다.
- AWS 보안 모범 사례에 맞춰 조정
전제 조건
IAM 역할을 생성하기 전에 다음 사항을 확인하십시오.
- IAM 역할을 생성할 수 있는 권한이 있는 AWS 계정
- 뉴렐릭 계정 ID
- AWS IAM 콘솔에 대한 관리자 액세스 권한
IAM 역할을 설정합니다.
AWS에서 역할 생성
AWS IAM 콘솔에 로그인하세요
Roles [역할 메뉴] 로 이동하여 Create role [역할 만들기]를클릭하세요.
Trusted entity type [신뢰할 수 있는 엔티티 유형] 에서 AWS account [AWS 계정]을선택합니다.
Another AWS account [다른 AWS 계정]을선택하세요
Account ID [계정 ID] 필드에 다음을 입력합니다.
253490767857Options [옵션] 에서 Require external ID [외부 ID 필요를]체크하세요.
External ID [외부 ID] 필드에 뉴렐릭 계정 ID를 입력하고 Next [다음을] 클릭합니다.
- 없으신가요? 여기에서 계정 ID를 찾으세요
Add permissions [권한 추가] 페이지에서 요청우에 따라 정책을 첨부하세요. 예를 들어:
- EC2 스텔라우의 경우:
AmazonEC2ReadOnlyAccess첨부하거나 사용자 지정 정책을 만듭니다. - SQS의 경우:
AmazonSQSFullAccess첨부하거나 특정 대기열로 제한합니다. - 다른 서비스의 경우 AWS 정책 예제를참조하세요.
- EC2 스텔라우의 경우:
Next클릭합니다.
역할 이름을 입력하세요:
NewRelicWorkflowAutomationRole(또는 원하는 이름)선택적으로 설명을 추가하세요. "뉴렐릭 개체우 자동화가 AWS에서 작업을 수행할 수 있도록 허용합니다."라고 입력하고 Create role [역할 생성]을 클릭하세요.
신뢰 정책을 확인하세요
역할을 만든 후 신뢰 관계를 확인하세요.
IAM 콘솔에서 새로 만든 역할을 선택하세요.
Trust relationships [신뢰 관계] 탭을 클릭하세요
정책이 이 구조와 일치하는지 확인하세요(
<YOUR_NR_ACCOUNT_ID>실제 계정 ID로 바꾸세요).{"Version": "2012-10-17","Statement": [{"Effect": "Allow","Action": "sts:AssumeRole","Principal": {"AWS": "arn:aws:iam::253490767857:root" ← Must be this account},"Condition": {"StringEquals": {"sts:ExternalId": "<YOUR_NR_ACCOUNT_ID>" ← Must match your NR account}}}]}무엇을 확인해야 할까요?
주 AWS 계정은
253490767857(뉴렐릭의 계정)입니다.외부 ID는 뉴렐릭 계정 ID와 정확히 일치합니다.
행동은
sts:AssumeRole주의
신뢰 정책이 일치하지 않나요? 계정 ID가 다른 경우 역할을 삭제하고 다시 생성하십시오. 계정 ID는
253490767857이어야 합니다.
역할 ARN을 복사하세요
워크플로우를 구성하려면 역할 ARN이 필요합니다.
중요
역할 ARN은 리소스 식별자이며 민감한 자격 증명이 아닙니다. Secrets Manager에 저장하지 말고, 워크플로우 설정에 직접 붙여넣으세요.
역할 ARN을 받으려면 다음을 수행하십시오.
IAM 콘솔에서 역할을 선택하세요
Summary [요약] 섹션에서 ARN 필드를 찾으세요.
전체 ARN을 복사하세요. 다음과 같습니다.
arn:aws:iam::123456789012:role/NewRelicWorkflowAutomationRole이제 그 역할은 준비되었습니다. 워크플로우에서 ARN을 사용하세요.