AWS 자격 증명 설정

시사

이 기능은 아직 개발 중이지만 꼭 사용해 보시기 바랍니다!

이 기능은 현재 출시 전 정책 에 따라 미리보기 프로그램의 일부로 제공됩니다.

AWS 계정에서 작업을 수행하도록 자동화를 승인합니다. 자격 증명을 하드코딩하거나 보안을 손상시키지 않고도 EC2, SQS, DynamoDB 등의 AWS 서비스와 안전하게 상호 작용할 수 있는 인증 방법을 구성합니다.

전제 조건

AWS 자격 증명을 설정하기 전에 다음 사항이 있는지 확인하세요.

IAM 역할이나 사용자를 생성할 수 있는 권한이 있는 AWS 계정.
귀하의 뉴렐릭 계정 ID.
AWS IAM 콘솔 에 대한 관리자 액세스.

필요한 권한 이해하기

자격 증명을 만들기 전에 플렉스우에 필요한 권한을 파악하세요. 실제로 사용하는 권한만 부여하세요. 이렇게 하면 최소 권한의 원칙을 따르고 보안 위험을 최소화할 수 있습니다.

공통 흐름 권한

흐름흐름 종류	필수 AWS 권한	설명
EC2 관리	`ec2:DescribeInstances` `ec2:StopInstances` `ec2:StartInstances` `ec2:ModifyInstanceAttribute`	알림에 응답하여 EC2를 중지, 시작 또는 수정합니다.
SQS 메시징	`sqs:SendMessage` `sqs:GetQueueAttributes`	다운스트림 처리를 위해 SQS 대기열에 메시지 보내기
API 게이트웨이	`apigateway:GET` `apigateway:PUT`	API Gateway 구현, 배포 또는 설정 롤백
시스템 관리자	`ssm:CreateDocument` `ssm:DeleteDocument` `ssm:StartAutomationExecution` `ssm:GetAutomationExecution`	자동화 런북 실행
다이나모DB	`dynamodb:Query` `dynamodb:GetItem` `dynamodb:PutItem`	DynamoDB 테이블에서 읽기 또는 쓰기

팁

읽기 전용 권한(Describe*, Get*, List*)으로 시작한 다음 필요에 따라서만 쓰기 권한(Put*, Create*, Delete*)을 추가합니다. 이를 통해 테스트 중에 실수로 파괴적인 행동을 하는 것을 방지할 수 있습니다.

전체 IAM 정책 템플릿은 아래의 정책 예를 참조하세요.

인증 설정

위 표에서 귀하의 사용 사례에 맞는 방법을 선택하세요.

IAM 역할을 사용하면 뉴렐릭이 영구 액세스 키를 요구하지 않고도 AWS 계정에서 임시 자격 증명을 가정할 수 있습니다.

IAM 역할 특성:

자격 증명은 자동으로 회전합니다.
설계상 접근은 시간적으로 제한됩니다.
모든 작업은 AWS CloudTrail에 기록됩니다.
AWS 보안 모범 사례에 맞춰 조정
AWS에서 역할 생성

AWS IAM 콘솔에 로그인하세요
Roles > Create role > Trusted entity type 으로 이동하여 AWS account > another AWS account선택합니다.
Account ID [계정 ID] 필드에 다음을 입력합니다. 253490767857
Options [옵션] 에서 Require external ID [외부 ID 필요를]체크하세요.
External ID [외부 ID] 필드에 뉴렐릭 계정 ID를 입력하고 Next [다음을] 클릭합니다.

없으신가요? 여기에서 계정 ID를 찾으세요

Add permissions [권한 추가] 페이지에서 펠로스우에 따라 정책을 첨부합니다.

EC2 스텔라우의 경우: AmazonEC2ReadOnlyAccess 첨부하거나 사용자 지정 정책을 만듭니다.
SQS의 경우: AmazonSQSFullAccess 첨부하거나 특정 대기열로 제한합니다.
다른 서비스의 경우: 아래의 필수 AWS 권한을 참조하세요.

Next클릭합니다.
역할 이름을 입력하세요: NewRelicWorkflowAutomationRole (또는 원하는 이름)
선택적으로 " AWS에서 자동화를 통해 작업을 수행할 수 있도록 허용"이라는 설명을 추가하고 Create role [역할 만들기를] 클릭합니다.
신뢰 정책을 확인하세요
역할을 만든 후 신뢰 관계를 확인하세요.
IAM 콘솔에서 새로 만든 역할을 선택하세요.
Trust relationships [신뢰 관계] 탭을 클릭하세요
정책이 이 구조와 일치하는지 확인하세요( <YOUR_NR_ACCOUNT_ID> 실제 계정 ID로 바꾸세요).
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Principal": {
        "AWS": "arn:aws:iam::253490767857:root"
      },
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "<YOUR_NR_ACCOUNT_ID>"
        }
      }
    }
  ]
}
```
역할 ARN을 복사하세요
폴리스우를 구성하려면 ARN 역할이 필요합니다.
IAM 콘솔에서 역할을 선택하세요
Summary [요약] 섹션에서 ARN 필드를 찾으세요.
전체 ARN을 복사하세요. 다음과 같습니다. arn:aws:iam::123456789012:role/NewRelicWorkflowAutomationRole
이 ARN을 안전하게 저장하세요. 워크플로우 설정에 직접 붙여넣으세요.
팁
중요: 역할 ARN은 폴리스우 입력에 직접 입력됩니다. 비밀 관리자에 저장하지 마세요. 이는 민감한 자격 증명이 아니라 리소스 식별자입니다.
이제 역할이 구성되었습니다. AWS 액세스가 필요한 ARN inactionflow 설정을 사용하세요.

이 방법은 테스트 환경이나 IAM 역할이 지원되지 않는 경우에 사용합니다. 액세스 키는 수동으로 교체해야 하는 장기 자격 증명입니다.

사용 사례:

테스트 및 개발 환경
교차 계정 역할 가정을 지원하지 않는 AWS 설정
단순화된 인증 흐름
주의
액세스 키는 장기적으로 유효한 자격 증명입니다. 정기적으로(90일마다) 순환하고 필요한 것만으로 권한을 제한하세요.
IAM 사용자 생성

AWS IAM 콘솔에 로그인하세요
Users > Create user 로 이동하여 사용자 이름 workflow-automation-user (또는 원하는 이름)을 입력합니다.
다음을 클릭하십시오
Set permissions [권한 설정] 페이지에서 Attach policies directly [정책 직접 첨부를]선택하세요.
폴리스우에 따라 정책을 검색하고 선택하세요:

SQS의 경우: 선택 AmazonSQSFullAccess
EC2의 경우: 선택 AmazonEC2ReadOnlyAccess
또는 제한된 권한으로 사용자 지정 정책을 만듭니다(권장)

Next [다음을] 클릭한 다음 Create user [사용자 만들기를]클릭합니다.
액세스 키 생성
사용자 목록에서 새로 생성된 사용자를 선택하세요.
Security credentials [보안 자격 증명] 탭을 클릭하세요
Access keys [액세스 키] 섹션에서 Create access key [액세스 키 만들기를]선택하세요.
Application running outside AWS [AWS 외부에서 실행되는 애플리케이션을] 선택하고 Next [다음을]클릭합니다.
(선택) 설명 추가 태그: "뉴렐릭 흐름 자동화"
Create access key [액세스 키 만들기를]선택하세요
두 자격 증명을 즉시 복사하세요.

액세스 키 ID ( AKIA... 으로 시작)
비밀 액세스 키 (한 번만 표시됨)
중요
AWS는 생성 중에 비밀 액세스 키를 한 번만 표시합니다. 저장하지 않으면 새로운 키 쌍을 생성해야 합니다.
자격 증명을 안전하게 저장하세요
흐름 흐름에 AWS 자격 증명을 하드코딩하지 마세요. 대신 뉴렐릭의 비밀 관리자 에 저장하세요.

NerdGraph GraphiQL 탐색기를엽니다.

액세스 키 ID를 저장하려면 이 뮤테이션을 실행하세요(플레이스홀더 값을 바꾸세요).

mutation {
  secretsManagementCreateSecret(
    scope: { type: ACCOUNT, id: "YOUR_NR_ACCOUNT_ID" }
    namespace: "aws"
    key: "awsAccessKeyId"
    description: "AWS Access Key ID for workflow automation"
    value: "YOUR_AWS_ACCESS_KEY_ID"
  ) {
    key
  }
}

비밀 액세스 키에 대한 다른 뮤테이션을 실행합니다.

mutation {
  secretsManagementCreateSecret(
    scope: { type: ACCOUNT, id: "YOUR_NR_ACCOUNT_ID" }
    namespace: "aws"
    key: "awsSecretAccessKey"
    description: "AWS Secret Access Key for workflow automation"
    value: "YOUR_AWS_SECRET_ACCESS_KEY"
  ) {
    key
  }
}

다음 구문을 사용하여 블리자드에서 이러한 비밀을 참조하세요 . ${{ :secrets:awsAccessKeyId }}

팁

namespace 필드를 사용하여 환경(aws-prod, aws-staging) 또는 팀 이름별로 비밀을 구성합니다.

세션 토큰은 자동 만료되는 임시 자격 증명을 제공합니다.

사용 사례:

로컬 개발 및 테스트
자격 증명 회전이 필요한 CI/CD 파이프라인
시간 제한 액세스(일반적으로 1-12시간)에 대한 규정 준수 요구 사항이 있는 환경
필수 조건:
AWS CLI 설치 및 구성
가정할 수 있는 기존 IAM 역할
임시 자격 증명 생성

터미널을 열고 다음 명령을 실행하세요(역할 ARN으로 바꾸세요).
bash
```
$aws sts assume-role \
>  --role-arn "arn:aws:iam::YOUR_ACCOUNT:role/YOUR_ROLE" \
>  --role-session-name "WorkflowAutomationSession"
```
AWS CLI를 처음 사용하는 경우 aws configure 로 구성하고 액세스 자격 증명을 입력해야 할 수 있습니다.

AWS는 세 가지 값을 반환합니다. 세 가지 모두 필요합니다.

{
  "Credentials": {
    "AccessKeyId": "ASIAIOSFODNN7EXAMPLE",
    "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
    "SessionToken": "FQoGZXIvYXdzEBk...",
    "Expiration": "2025-01-25T12:00:00Z"
  }
}

세 가지 자격 증명을 모두 Secrets Manager에 저장합니다.

AccessKeyId 다른 이름으로 저장 awsAccessKeyId
SecretAccessKey 다른 이름으로 저장 awsSecretAccessKey
SessionToken 다른 이름으로 저장 awsSessionToken
주의
세션 토큰은 만료됩니다(일반적으로 1시간 후). Expiration 타임스탬프 전에 새로 고침 알림을 설정하세요. 그렇지 않으면 폴리스우가 인증 오류로 실패합니다.

흐름에서 자격 증명 사용

인증을 설정한 후, 워크플로우 설정에서 자격 증명을 참조하세요:

IAM 역할(권장)

역할 ARN을 폴리스우 입력에 직접 붙여넣습니다. 비밀 관리자가 필요하지 않습니다.

awsRoleArn: arn:aws:iam::123456789012:role/NewRelicWorkflowAutomationRole

팁

역할 ARN은 중요한 자격 증명이 아닌 리소스 식별자입니다. Secrets Manager에 저장하지 말고, 워크플로우 설정에 직접 붙여넣으세요.

IAM 사용자 또는 세션 토큰

액세스 키에 대한 참조 비밀 관리자:

awsAccessKeyId: ${{ :secrets:awsAccessKeyId }}
awsSecretAccessKey: ${{ :secrets:awsSecretAccessKey }}
awsSessionToken: ${{ :secrets:awsSessionToken }}  # Only for session tokens

뉴렐릭은 런타임에 비밀을 검색하고 AWS 에 인증한 다음 삭제합니다. 귀하의 자격 증명은 로그플로우 기록에 절대 나타나지 않습니다.

정책 사례

일반적인 앨리스우 유형에 대해 이러한 완전한 IAM 정책 템플릿을 사용하세요. 각각은 특정 리소스에 대한 액세스를 제한함으로써 최소 권한의 원칙을 따릅니다.

특정 대기열에 대한 액세스 제한:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sqs:SendMessage",
      "Resource": "arn:aws:sqs:us-west-2:123456789012:my-workflow-queue"
    },
    {
      "Effect": "Allow",
      "Action": "sqs:GetQueueAttributes",
      "Resource": "arn:aws:sqs:us-west-2:123456789012:my-workflow-queue"
    }
  ]
}

us-west-2 지역으로, 123456789012 을 AWS 계정 ID로, my-workflow-queue 대기열 이름으로 바꾸세요.

태그를 사용하여 특정 인스턴스에 대한 액세스 제한:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["ec2:DescribeInstances", "ec2:DescribeTags"],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:StopInstances",
        "ec2:StartInstances",
        "ec2:ModifyInstanceAttribute"
      ],
      "Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Environment": "production"
        }
      }
    }
  ]
}

이 정책은 Environment=production 있는 EC2 연결 태그만 중지/시작/수정하도록 허용합니다.

특정 테이블에 대한 액세스 제한:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["dynamodb:Query", "dynamodb:GetItem", "dynamodb:PutItem"],
      "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/WorkflowData"
    }
  ]
}

WorkflowData 테이블 이름으로 바꾸세요.

특정 자동화 문서에 대한 액세스 제한:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["ssm:CreateDocument", "ssm:DeleteDocument"],
      "Resource": "arn:aws:ssm:us-east-1:123456789012:document/WorkflowAutomation-*"
    },
    {
      "Effect": "Allow",
      "Action": ["ssm:StartAutomationExecution", "ssm:GetAutomationExecution"],
      "Resource": [
        "arn:aws:ssm:us-east-1:123456789012:automation-definition/WorkflowAutomation-*:*",
        "arn:aws:ssm:us-east-1:123456789012:automation-execution/*"
      ]
    }
  ]
}

이는 자동화 문서를 WorkflowAutomation- 으로 접두사가 붙은 문서로 제한합니다.

특정 API에 대한 액세스 제한:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["apigateway:GET", "apigateway:PUT"],
      "Resource": "arn:aws:apigateway:us-west-2::/restapis/abc123xyz/*"
    }
  ]
}

abc123xyz API Gateway ID로 바꾸세요.

추가 리소스

포괄적인 AWS 권한 참조:

AWS 통합 관리 정책: 서비스별 AWS 권한의 전체 목록과 조정할 수 있는 CloudFormation 템플릿
AWS API 폴링 설정: 추가 설정 패턴

중요

해당 리소스는 클라우드 통합(모니터링)을 위해 계정 ID 754728514883 을 사용합니다. 워크플로우 자동화의 경우 항상 253490767857 사용하세요.

다음 단계

AWS 자격 증명을 구성한 후 다음을 생성할 수 있습니다.

생성 흐름:

AWS 작업 찾아보기: 사용 가능한 AWS 작업(EC2, SQS, DynamoDB 등)을 확인합니다.
일반적인 AWS 자동화 작업을 위해 사전 구성된 템플릿 사용: 구현하다, 배포하다
맞춤형 워크플로우 만들기: 특정 요구 사항에 맞는 워크플로우 빌드

공지 구성:

대상 설정: Slack, PagerDuty, 이메일, webhook 구성 커뮤니티 커뮤니티 이벤트 공지

사용자의 편의를 위해 제공되는 기계 번역입니다.

시사

전제 조건

필요한 권한 이해하기

공통 흐름 권한

팁

인증 설정

AWS에서 역할 생성

신뢰 정책을 확인하세요

역할 ARN을 복사하세요

팁

주의

IAM 사용자 생성

액세스 키 생성

중요

자격 증명을 안전하게 저장하세요

팁

임시 자격 증명 생성

주의

흐름에서 자격 증명 사용

IAM 역할(권장)

팁

IAM 사용자 또는 세션 토큰

정책 사례

SQS 메시징 흐름

EC2 관리 흐름

DynamoDB 흐름

시스템 관리자 흐름

API 게이트웨이 흐름

추가 리소스

중요

다음 단계

사용자의 편의를 위해 제공되는 기계 번역입니다.

AWS 자격 증명 설정

시사

전제 조건.css-21sua1{background:none;border:none;width:0;padding:0;}

필요한 권한 이해하기

공통 흐름 권한

팁

인증 설정

AWS에서 역할 생성

신뢰 정책을 확인하세요

역할 ARN을 복사하세요

팁

주의

IAM 사용자 생성

액세스 키 생성

중요

자격 증명을 안전하게 저장하세요

팁

임시 자격 증명 생성

주의

흐름에서 자격 증명 사용

IAM 역할(권장)

팁

IAM 사용자 또는 세션 토큰

정책 사례

EC2 관리 흐름

DynamoDB 흐름

시스템 관리자 흐름

API 게이트웨이 흐름

추가 리소스

중요

다음 단계

전제 조건