티스토리 뷰
CloudTrail에 대한 Amazon S3 Bucket 정책
기본적으로 Amazon S3 Bucket 및 객체는 Private하다. Resource 소유자만 Bucket과 Bucket에 포함된 객체에 액세스할 수 있다. Resource 소유자는 액세스 정책을 작성해 다른 Resource 및 사용자에게 액세스 권한을 부여할 수 있다. 여기서는 그에대한 정책들을 소개한다.
다음 정책은 CloudTrail이 지원되는 리전의 Amazon S3 Bucket에 Log 파일을 작성하도록 허용한다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::myBucketName"
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::myBucketName/[optional prefix]/AWSLogs/myAccountID/*",
"Condition": {"StringEquals": {"s3:x-amz-acl": "bucket-owner-full-control"}}
}
]
}
CloudTrail Log 전송 시 기존 Amazon S3 Bucket 지정
Log 파일 전송 시 저장소 위치로 기존 Amazon S3 Bucket을 지정한 경우 CloudTrail이 Bucket에 작성되도록 허용하는 정책을 해당 Amazon S3 Bucket에 연결해야 한다.
- Amazon S3 Console을 연다.
- CloudTrail이 Log 파일을 전송할 Bucket을 선택 후 속성을 누른다.
- Permissions를 누른다.
- Edit Bucket Policy를 누른다.
- Amazon S3 Bucket 정책을 Bucket Policy Editor 창으로 복사한다. 기울임꼴로 표시된 자리 표시자를 Bucket 이름, 접두사, 계정 번호로 변경한다. Trail을 생성했을 때 접두사를 지정한 경우 여기에 포함된다.
다른 계정의 Log 파일 수신
여러 AWS 계정의 Log 파일을 단일 Amazon S3 Bucket으로 전송하도록 CloudTrail을 구성할 수 있다.
여러 계정에서 CloudTrail 로그 파일 수신 - AWS CloudTrail
여러 계정에서 CloudTrail 로그 파일 수신 CloudTrail이 여러 AWS 계정에서 로그 파일을 하나의 Amazon S3 버킷으로 전달하도록 할 수 있습니다. 예를 들어 계정 ID가 , , 및 인 계정 4개가 있다면 CloudTrail을
docs.aws.amazon.com
조직 Trail에 대한 Log 파일을 저장하는데 사용할 Amazon S3 Bucket을 생성 혹은 업데이트
조직 Trail에 대한 Log 파일을 수신할 Amazon S3 Bucket을 지정해야 한다. 해당 Bucket에는 CloudTrail이 조직에 대한 Log 파일을 Bucket에 저장할 수 있도록 허용하는 정책이 있어야 한다.
다음은 my-organization-bucket이라는 Amazon S3 버킷에 대한 정책 예제입니다. 이 버킷은 ID가 111111111111인 AWS 계정에 있습니다. 이 계정은 조직 추적에 대한 로깅을 허용하는 ID가 o-exampleorgid인 조직의 마스터 계정입니다. 또한 추적이 조직 추적에서 111111111111 계정에 대한 추적으로 변경될 경우 해당 계정에 대한 로깅도 허용합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::my-organization-bucket"
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::my-organization-bucket/AWSLogs/111111111111/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::my-organization-bucket/AWSLogs/o-exampleorgid/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
이 정책 예제에서는 멤버 계정의 IAM 사용자가 조직에 대해 생성된 Log 파일에 액세스하는 것을 허용하지 않는다. 기본적으로 마스터 계정만 조직 Log 파일에 액세스할 수 있다.
Amazon S3 Bucket 정책 문제 해결
일반적인 S3 정책 구성 오류
Trail을 생성 또는 업데이트하는 동안 새로운 Amazon S3 Bucket을 생성하면 CloudTrail은 필요한 권한을 해당 Bucket에 연결한다. Bucket 정책은 서비스 보안 주체 이름 "cloudtrail.amazonaws.com"을 사용한다. 이는 CloudTrail이 모든 리전에 대한 Log를 전송하도록 허용한다.
CloudTrail이 리전에 대한 Log를 전송하지 않으면 각 리전에 대해 CloudTrail 계정 ID를 지정하는 이전 정책이 Bucket에 연결된 것일 수 있다.
CloudTrail 서비스 보안 주체와 함께 권한을 사용하도록 정책을 업데이트하는 것이 좋다. 이 작업을 수행하려면 계정 ID ARN을 서비스 보안 주체 이름 "cloudtrail.amazonaws.com"으로 바꾸는 것이 좋다. 이렇게하면 현재 리전 및 새 리전에 대한 Log를 전송하는 권한이 CloudTrail에 부여된다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::bucket-1"
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bucket-1/my-prefix/AWSLogs/123456789012/*",
"Condition": {"StringEquals": {"s3:x-amz-acl": "bucket-owner-full-control"}}
}
]
}
기존 버킷의 접두사 변경
Trail에서 Log를 수신하는 Amazon S3 Bucket에 대한 Log 파일 접두사를 추가, 수정, 제거할 경우 "There is a problem with the bucket policy" 오류가 발생할 수 있다. 잘못된 접두사를 가진 Trail 정책을 사용할 경우 Trail이 Bucket으로 Log를 전송하지 못하는 것이다.
한마디로 Bucket의 특정 경로에 CloudTrail에서 설정한 접두사가 포함된다. 근데, S3 Bucket 정책에서 이걸 수정할 수 있는데, 그러면 양쪽이 일치가 안되서 에러가 날 수 있다! 이말이다.
이걸 수정하려면 우선 S3 Bucket 정책에서 수정하고 CloudTrail에서 접두사를 수정해야한다.
역으로는 안되는 것으로 확인했다.
(S3 버킷 정책에 적절한 CloudTrail의 액세스 권한이 없을 수 있습니다.)
이게 CloudTrail의 로그파일이 저장되는 Amazon S3 Bucket 경로인데, toda2가 접두사이다.
이게 Amazon S3 Bucket에 존재하는 정책이다. 여기에도 접두사로 설정한 toda2가 들어간걸 확인할 수 있다.
이 문제를 해결하기 위해서 Amazon S3 Console을 사용해 Bucket 정책의 접두사를 업데이트 한 후 CloudTrail Console을 사용해 Trail의 Bucket에 동일한 접두사를 지정해야한다.
- Amazon S3 Console을 연다.
- 접두사를 수정할 Bucket을 선택 후 Properties를 선택한다.
- Permissions를 선택한다.
- Edit Bucket policy를 선택한다.
- Bucket 정책의 s3:PutObject 작업 아래에서 필요에 따라 Log 파일 접두사를 추가, 수정, 또는 제거하도록 Resource 항목을 편집한다.
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::myBucketName/prefix/AWSLogs/myAccountID/*", ... - Save를 선택한다.
- CloudTrail Console을 연다.
- Trail을 선택하고 Storage Location의 경우 연필 아이콘을 선택해 Bucket에 대한 설정을 편집한다.
- S3 Bucket의 경우 변경하는 접두사를 포함한 Bucket을 선택한다.
- Log file prefix의 경우 Bucket 정책에 입력한 접두사와 일치하도록 접두사를 업데이트한다.
- Save를 선택한다.
CloudTrail에 대한 Amazon SNS 주제 정책
SNS 주제에 대한 알림을 전송하려면 CloudTrail는 필수 권한을 가지고 있어야 한다. CloudTrail Console에서 Trail 생성 또는 업데이트의 일부로 Amazon SNS 주제를 생성하면 CloudTrail는 필수 권한을 주제에 자동으로 연결한다.
SNS Topic 정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailSNSPolicy20131101",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:region:SNSTopicOwnerAccountId:SNSTopicName"
}
]
}
CMK 정책
AWS KMS로 암호화된 Amazon SNS 주제를 사용해 알림을 전송하려면 고객 마스터 키(CMK)의 정책에 다움 문을 추가해 이벤트 소스(CloudTrail)와 암호화된 주제 사이에서 호환성도 활성화 해야한다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
알림을 전송하기 위한 기존 주제 지정
Amazon SNS Console에서 주제 정책에 Amazon SNS 주제에 대한 권한을 수동으로 추가한 다음 CloudTrail Console에서 주제를 지정할 수 있다.
SNS 주제 정책을 수동으로 업데이트
- Amazon SNS Console을 연다.
- Topics를 선택한 다음 주제를 선택한다.
- Other topic actions를 선택한 다음 Edit topic policy를 선택한다.
- Advanced view를 선택하고 리전, 계정 ID, 주제 이름에 대한 적절한 값을 사용하여 SNS 주제 정책의 명령문을 추가한다.
- Update policy를 선택한다.
- 주제가 암호화된 주제일 경우 CloudTrail에 kms:GenerateDateKey* 및 kms:Decrypt 권한을 허용해야 한다.
- CloudTrail Console로 돌아와서 Trail에 대한 주제를 지정한다.
SNS 주제 정책 문제 해결
일반적인 SNS 정책 구성 오류
Trail을 생성 또는 업데이트 하는 동안 새 주제를 생성하면 CloudTrail은 필수 권한을 해당 주제에 연결한다. 주제 정책은 서비스 보안 주체 이름 "cloudtrail.amazonaws.com"을 사용한다. 이 이름은 CloudTrail이 모든 리전에 대해 알림을 전송할 수 있도록 허용한다.
안 좋은 사례를 살펴보자.
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AWSCloudTrailSNSPolicy20131101",
"Effect": "Allow",
"Principal": {"AWS": [
"arn:aws:iam::903692715234:root",
"arn:aws:iam::035351147821:root",
"arn:aws:iam::859597730677:root",
"arn:aws:iam::814480443879:root",
"arn:aws:iam::216624486486:root",
"arn:aws:iam::086441151436:root",
"arn:aws:iam::388731089494:root",
"arn:aws:iam::284668455005:root",
"arn:aws:iam::113285607260:root"
]},
"Action": "SNS:Publish",
"Resource": "aws:arn:sns:us-east-1:123456789012:myTopic"
}]
}이 주제 정책은 지정된 9개의 리전에 대해서 CloudTrail이 알림을 전송할 수 있도록 허용한다.
새로운 리전을 추가하려면 CloudTrail 계정 ID를 포함하도록 수동으로 업데이트해야 한다. "arn:aws:iam::475085895292:root"를 추가해야한다.
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AWSCloudTrailSNSPolicy20131101",
"Effect": "Allow",
"Principal": {Service": "cloudtrail.amazonaws.com"},
"Action": "SNS:Publish",
"Resource": arn:aws:sns:us-west-2:123456789012:myTopic"
}]
}CloudTrail 서비스 보안 주체와 함께 권한을 사용하도록 정책을 업데이트하는 것이 좋다. 이 작업을 수행하기 위해서 계정 ID ARN을 서비스 보안 주체 이름 "cloudtrail.amazonaws.com"으로 바꿔야 한다.
이렇게 하면 현재 리전 및 새 리전에 대해 알림을 전송할 수 있는 권한이 CloudTrail에 부여된다.
AWS CloudTrail 자격증명 및 액세스 문제 해결
CloudTrail 및 IAM에서 발생할 수 있는 공통적인 문제를 진단하고 수정해보자.
CloudTrail에서 작업을 수행할 권한이 없음
AWS Management Console에서 작업을 수행할 권한이 없다는 메세지가 나타나는 경우 관리자에게 문의하여 도움을 받아야 한다. (사용자 이름과 암호를 제공한 사람)
mateojackson IAM 사용자가 AWS Management Console을 사용해 Trail에 대한 세부 정보를 보려고 하지만 적절한 CloudTrail 관리형 정책 또는 권한이 계정에 적용되어 있지 않으면 다음 오류가 발생한다.
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudtrail:GetTrailStatus on resource: My-Trail
이 경우 mateojackson IAM 사용자는 Trail 정보와 상태에 액세스하도록 허용하는 정책을 업데이트 해달라고 관리자에게 요청해야 한다.
관리자인데 다른 사용자가 CloudTrail에 액세스할 수 있기를 원할때
다른 사용자가 CloudTrail에 액세스하도록 허용하려면 액세스 권한이 필요한 사람 또는 Application에 대한 IAM 개체(사용자, 그룹, 역할)을 생성해야 한다. 다른 사용자들은 해당 엔터티에 대한 자격증명을 사용해 AWS에 액세스한다.
그 후 CloudTrail에서 올바른 권한을 부여하는 정책을 해당 엔터티에 연결하면 다른 사용자가 CloudTrail에 액세스 할 수 있도록 설정할 수 있다.
AWS 계정 외부의 사람이 CloudTrail에 액세스 할 수 있기를 원할때
IAM 역할을 생성하고 여러 AWS 계정 간에 CloudTrail 정보를 공유할 수 있다.
AWS 계정 간 CloudTrail 로그 파일 공유 - AWS CloudTrail
AWS 계정 간 CloudTrail 로그 파일 공유 이 단원에서는 여러 AWS 계정 간에 CloudTrail 로그 파일을 공유하는 방법을 설명합니다. 모든 로그 파일이 단일 Amazon S3 버킷에 수신된다고 가정합니다. 이것이 Cl
docs.aws.amazon.com
다른 계정의 사용자 또는 조직 외부의 사람이 Resource에 액세스하는 데 사용할 수 있는 역할을 생성해야 한다. 역할을 수임할 신뢰할 수 있는 사람을 지정해 역할을 부여한다. Resource 기반 정책 또는 ACL을 지원하는 서비스의 경우 이러한 정책을 사용해 다른 사람에게 Resource에 대한 액세스 권한을 부여할 수 있다.
AWS CloudTrail에 서비스 링크 역할 사용
AWS CloudTrail은 AWS IAM 서비스 링크 역할을 사용한다. 서비스 링크 역할은 CloudTrail에 직접 연결된 고유한 유형의 IAM 역할이다. 서비스 링크 역할은 CloudTrail에서 사전 정의하며 서비스에 다른 AWS 제품을 자동으로 호출하기 위해 필요한 모든 권한을 포함하게 된다.
CloudTrail에 대한 서비스 링크 역할 권한
CloudTrail은 AWSServiceRoleForCloudTrail이라는 서비스 링크 역할을 사용한다. 해당 서비스 링크 역할을 역할을 위임하기 위해 cloudtrail.amazonaws.com 서비스를 신뢰한다.
이 역할은 CloudTrail에서 조직 Trail의 생성 및 관리를 위해 사용된다. 역할 권한 정책은 CloudTrail가 지정된 Resource에서 다음 작업을 허용한다.
- Action:All
- Action:organizations:DescribeAccount
- Action:organizations:DescribeOrganizations
- Action:organizations:ListAccount
- Action:organizations:listAWSServiceAccessForOrganization
IAM 엔터티(사용자, 그룹, 역할)이 서비스 링크 역할을 생성, 편집, 삭제할 수 있도록 권한을 부여해 주어야 한다. IAM에서 서비스 링크 역할 사용에 대한 내용은 아래와 같다.
서비스 링크 역할이란? (AWSServiceRoleFor~~ 이런 형태의 역할이다)
서비스 링크 역할 사용
서비스 링크 역할은 AWS Service에 직접 연결된 고유한 유형의 IAM 역할이다. (..?) 서비스 링크 역할은 해당 서비스에 대해서 미리 정의해 해당 서비스에서 다른 AWS 서비스를 자동으로 호출하기 위한 모든 권한을 포함한다.
서비스 링크 역할 권한
사용자 또는 역할이 서비스 링크 역할을 작성하거나 편집할 수 있도록 IAM 엔터티에게 권한을 부여해야만 한다.
IAM 엔터티가 특정 서비스 링크 역할을 만들 수 있도록 허용하려면
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*",
"Condition": {"StringLike": {"iam:AWSServiceName": "SERVICE-NAME.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*"
}
]
}
그리고 IAM 엔터티가 모든 서비스에 대해서 서비스 링크 역할을 만들 수 있도록 허용하려면
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
IAM 엔터티가 서비스 역할의 설명을 편집할 수 있도록 허용하려면
{
"Effect": "Allow",
"Action": "iam:UpdateRoleDescription",
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
IAM 엔터티가 특정 서비스 링크 역할을 삭제하도록 허용하려면
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*"
}
IAM 엔터티가 모든 서비스에 대한 서비스 링크 역할을 삭제하도록 허용하려면
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
IAM 엔터티가 기존 역할을 서비스에 전달할 수 있도록 허용하려면
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:PassRole"
],
"Resource": "arn:aws:iam::123456789012:role/my-role-for-XYZ"
}일부 AWS 서비스를 사용하려면 새 서비스에 연결된 역할을 생성하지 않고 기존 역할을 전달할 수 있다.
서비스 링크 역할에서 부여한 권한은 간접적으로 다른 사용자 및 역할에게 양도할 수 있다. 임의의 서비스에게 다른 서비스 작업을 실행하도록 허용할 경우 해당 서비스는 앞으로 다른 서비스의 작업 권한을 사용할 수 있다.
예를 들어 Amazon RDS DB 인스턴스를 생성하면 RDS가 서비스 링크 역할을 생성한다. 이렇게 생성된 서비스 링크 역할은 고객이 DB 인스턴스를 편집할 때마다 RDS에게 고객을 대신해 Amazon EC2, Amazon SNS, Amazon CloudWatch Logs 및 Amazon Kinesis를 호추랗도록 허용한다. 고객 계정 또는 다른 계정에 속한 사용 및 역할에게 Amazon RDS 인스턴스에 액세스하도록 허용하는 정책을 생성하더라도 RDS는 계속해서 해당 역할을 사용해 EC2, SNS, CloudWatch Logs 및 Kinesis를 변경한다. 새로운 사용자 또는 역할도 이처럼 다른 서비스의 리소스를 간접적으로 편집할 수 있다.
서비스 링크 역할 생성하기
서비스 링크 역할을 만드는데 사용하는 방법은 서비스에 따라 다르다. 경우에 따라 자동으로 만들어주는 서비스도 존재한다.
- AWS Management Console의 IAM 콘솔을 연다.
- IAM Console의 탐색 창에 Roles를 선택한다. 그 후 Create Role을 선택한다.
- AWS Service 역할 유형을 선택 후 이 역할로 수행하도록 허용하려는 서비스들을 선택한다.
- 서비스의 사용 사례를 선택한다. 사용 사례는 서비스에 필요한 신뢰 정책을 포함하기 위해 서비스에서 정한다. 그 후 Next:Permissions를 선택한다.
- 하나 이상의 권한 정책을 선택해 역할에 연결한다. 선택한 사용 사례에 따라 서비스에 대해 다음을 수행할 수 있다.
추가적인 과정이 있을 수 있지만 큰 맥락만 보면 이렇게 된다. 물론 AWS CLI, AWS API로도 생성할 수 있다.
AWS CLI를 통해 서비스 링크 역할을 생성하려면 아래 명령어를 사용하면 된다.
aws iam create-service-linked-role --aws-service-name [SERVICE-NAME].amazonaws.com
AWS API를 통해 서비스 링크 역할을 생성하려면 아래 API를 사용하면 된다.
CreateServiceLinkedRole // 요청시 SERVICE_NAME_URL.amazonaws.com 서비스 이름을 지정한다.
서비스 링크 역할 편집
aws iam get-role --role-name [ROLE-NAME]
aws iam update-role --role-name [ROLE-NAME] --description [OPTIONAL-DESCRIPTION]GetRole
UpdateRole
서비스 링크 역할 삭제
aws iam get-role --role-name [ROLE-NAME]
aws iam delete-service-linked-role --role-name [ROLE-NAME]
aws iam get-service-linked-role-deletion-status --deletion-task-id [DELETION-TASK-ID]DeleteServiceLinkedRole
GetServiceLinkedRoleDeletionStatus
서비스 링크 역할을 삭제하는 방법은 서비스마다 다르다. 심지어 수동으로 삭제할 필요가 없는 경우도 존재한다. 예를 들어, 리소스를 제거하면 서비스에서 사용자의 서비스 링크 역할까지 삭제해주는 경우도 있다.
서비스에서 서비스 링크 역할을 서비스 콘솔, API, CLI에서 수동으로 삭제하는 것을 지원하지 않는 경우도 있다.
CloudTrail에 대한 서비스 링크 역할 생성
AWS Management Console, AWS CLI, AWS API에서 조직 Trail을 생성하면 CloudTrail에서 서비스 링크 역할이 자동으로 생성된다. 이 서비스 링크 역할을 삭제 후 다시 생성해야 하는 경우 동일한 과정을 통해 계정에서 역할을 생성할 수 있다.
CloudTrail에 대한 서비스 링크 역할 편집
CloudTrail에서는 AWSServiceRoleForCloudTrail 서비스 링크 역할을 편집할 수 없다. 서비스 링크 역할을 생성 후 다양한 개체가 역할을 참조할 수 있기 때문이다. 그러나 IAM을 사용해 역할의 설명을 편집할 수 있다.
CloudTrail에 대한 서비스 링크 역할 삭제
AWSServiceRoleForCloudTrail 역할은 수동으로 삭제할 필요가 없다. AWS Management Console, AWS CLI, AWS API에서 조직 Trail에서 단일 AWS 계정에 대한 Trail로 변경한다면, CloudTrail에서 자동으로 리소스가 정리되고 서비스 링크 역할이 삭제된다. 마찬가지로 AWS 계정이 조직에서 제거되면 AWSServiceRoleForCloudTrail 역할이 AWS 계정에서 자동으로 제거된다.
'Cloud > Concept' 카테고리의 다른 글
| [AWS] AWS VPC 사용설명서 정리(1) - What is VPC? (0) | 2020.12.05 |
|---|---|
| [AWS] AWS IAM 사용설명서 정리(1) - Security (0) | 2020.10.30 |
| [AWS] AWS CloudTrail 사용설명서 정리(4) - Security (0) | 2020.10.27 |
| [AWS] AWS CloudTrail 사용설명서 정리(2) - Security (1) | 2020.10.16 |
| [AWS] AWS CloudTrail 사용설명서 정리(1) - What is AWS CloudTrail? (0) | 2020.10.14 |