골드에그

개념

인프라 구축을 코드형 인프라(IaC) 로 구성할 수 있도록 괸리된 환경에서 배포해주는 서비스

• 지정된 사용자가 원하는 서비스를 골라 프로비저닝
• 해당 서비스에 다양한 Action 들까지 제공
• CloudFormation 으로 구성
• 내부적으로는 Systems Manager Automation 사용

구조

AWS Service Catalog 는 제품, 포트폴리오으로 구성되어 있다.

제품

• 엔드유저에게 제공할 미리 구성된 AWS 인프라
• 각 제품 별 버전 설정 가능
• 신규 버전 생성 시 서비스 액션 역시 다시 연동 필요
• CloudFormation Output 으로 엔드유저에게 정보 제

포트폴리오

• 다양한 제품을 모은 관리 단위
• 그룹/역할/사용자에게 해당 포트폴리오를 이용할 수 있는 권한 부여 가능
• 다른 계정과 공유 가능
• AWS Budget 생성 가능 (Tag 기반)

제약조건

• 사용자가 제품을 프로비전할 때 사용하는 권한
• 사용자가 권한을 가지고 있지 않더라도 제품을 생성하는데 필요한 권한 부여 가능
• 반대로, 사용자가 충분한 권한을 가지고 있어도 제품을 생성 및 사용하는데 제약할 수 있는 권한 부여 가능
• = > 즉 사용자의 권한을 가지고 프로비저닝을 하는 것이 아니라 제약 조건에 명시된 권한으로 프로비저닝
• 서비스 액션 등에도 제약 조건 권한 사용 가능
• IAM 정책 기반
• 아래 유형의 권한으로 구성
  • 시작
  • 알림
  • 템플릿
  • StackSet
  • 태그 업데이트

서비스 액션

• 앤드유저가 제품을 프로비전 후, 제품을 제한적으로 관리하는 방법
• 각 액션 수행 후 이벤트 로그를 통해 수행 결과 확인 가능
• 내부적으로는 Systems Manager Automation 사용

서비스 카탈로그 실습

1 . AWSServiceCatalogEndUserFullAccess 정책 가진  enduser 사용자를 생성한다.

(서비스 카탈로그에 접근 가능한 접근만 가지고 있다.)

2 . enduser 사용자가 사용할 제약조건 역할을 생성한다. 정책 생성 후 역할을 연결!

3 . 서비스 카탈로그에 제품 생성 후, 포트폴리오 생성한다.

4 . 해당 포트폴리오에 enduser 사용자를 추가하고 제약조건 역할을 연결한다.

인프라 관리자가 아니라면, 프로비저닝 하위 항목들만 표시된다. 인프라 관리자가 생성한 항목들만 확인할 수 있다.

삭제 시 주의해야 할 점

포트폴리오 삭제 시 제품과 포트폴리오에 연결된 주체/역할 부터 먼저 삭제해야 함