질문

현재 Payer 계정 아래 Org를 활성화하여 여러 링크 계정들에 서비스를 하고 있습니다.

Payer에서 여러 링크 계정들의 Backup을 일괄 관리하고 싶습니다.

Payer 안에 특정 IAM 유저에게 ‘교차 계정 모니터링’, ‘내 조직’ 접근 및 설정 권한만 부여하고 싶은데, 어떤 IAM Policy를 구성해야 하나요? (최소권한 부여 필요)

답변

AWS Backup 서비스에 ‘내 조직’ 기능만 사용할 수 있는 IAM Policy 가이드는 다음과 같습니다.

• 교차 계정 모니터링 사용을 위한 IAM Policy: AWS Backup Console의 백업, 복원 및 복사 작업의 세부 정보를 나열하고 확인 할 수 있습니다.
  

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Sid": "VisualEditor0",
              "Effect": "Allow",
              "Action": [
                  "backup:ListBackupJobs",
                  "backup:ListCopyJobs",
                  "backup:ListRestoreJobs",
                  "backup:DescribeBackupJob",
                  "backup:DescribeCopyJob",
                  "backup:DescribeRestoreJob",
                  "backup:DescribeBackupVault",
                  "backup:GetBackupPlan"
              ],
              "Resource": "*"
          }
      ]
  }

• 백업 정책 사용을 위한 IAM Policy (2가지 방안)

1. AWS 관리형 Policy

   • AWSBackupOrganizationAdminAccess

     • 조직 관리자는 백업 정책의 생성/편집/삭제, 계정 및 조직 단위에 백업 정책 할당, 조직 내 백업 작업 모니터링 등을 비롯한 AWS Organizations 작업에 대한 모든 권한을 갖습니다. 조직 관리자는 조직의 비즈니스 및 규제 요건에 맞는 백업 정책을 정의하고 할당하여 조직의 계정을 보호해야 합니다. [1]

2. 고객 관리형 Policy

   • 아래 정책 또한 사용자가 백업 정책의 모든 측면을 관리할 수 있는 권한을 제공합니다. [2]
     

     {
         "Version": "2012-10-17",
         "Statement": [
             {
                 "Sid": "ManageBackupPolicies",
                 "Effect": "Allow",
                 "Action": [
                     "organizations:AttachPolicy",
                     "organizations:CreatePolicy",
                     "organizations:DeletePolicy",
                     "organizations:DescribeAccount",
                     "organizations:DescribeCreateAccountStatus",
                     "organizations:DescribeEffectivePolicy",
                     "organizations:DescribeOrganization",
                     "organizations:DescribeOrganizationalUnit",
                     "organizations:DescribePolicy",
                     "organizations:DetachPolicy",
                     "organizations:DisableAWSServiceAccess",
                     "organizations:DisablePolicyType",
                     "organizations:EnableAWSServiceAccess",
                     "organizations:EnablePolicyType",
                     "organizations:ListAccounts",
                     "organizations:ListAccountsForParent",
                     "organizations:ListAWSServiceAccessForOrganization",
                     "organizations:ListCreateAccountStatus",
                     "organizations:ListOrganizationalUnitsForParent",
                     "organizations:ListParents",
                     "organizations:ListPolicies",
                     "organizations:ListPoliciesForTarget",
                     "organizations:ListRoots",
                     "organizations:ListTargetsForPolicy",
                     "organizations:UpdatePolicy"
                 ],
                 "Resource": "*"
             }
         ]
     }

현재로써는 2번 정책으로도 충분히 사용자가 백업 정책의 모든 측면을 관리하는데 문제는 없지만 향후 새로운 서비스와 API 작업이 도입될 때마다 'Action'을 직접 추가해주어야 합니다. 하지만 1번 정책인 AWS 관리형 정책은 AWS가 이를 유지하고 업데이트를 진행한다는 점 참고바랍니다.