모듈 3: AWS CLI 설정
자습서
AWS CLI 설정
이 모듈에서는 AWS Command Line Interface(AWS CLI)를 구성합니다.
학습 목표
- 운영 체제에 맞는 AWS Command Line Interface(AWS CLI) 설치
- AWS 계정에 액세스하기 위한 보안 인증 정보 구성
- 여러 AWS 계정에 액세스하기 위한 여러 프로필 구성
구현
AWS CLI는 AWS 서비스를 관리하는 통합 도구입니다. 하나의 도구만 다운로드하여 구성하면 여러 개의 AWS 서비스를 명령줄에서 제어하고 스크립트를 통해 자동화할 수 있습니다.
CLI를 사용하여 AWS와 상호 작용하려면, API 호출 시 사용할 보안 인증 정보를 구성해야 합니다. 추가 보안 인증 정보를 사용하거나 IAM 역할 전환을 통해 하나 이상의 AWS 계정에 액세스하는 여러 개의 프로필을 설정하는 방법도 알려 드리겠습니다.
AWS CLI 설치
AWS CLI를 설치하는 방법은 운영 체제나 컨테이너 사용 선호 여부에 따라 다양합니다. AWS CLI v2를 설치하려면 AWS CLI의 최신 버전 설치 또는 업데이트를 참조하세요.
AWS CLI가 설치되고 나면 명령줄에서 aws --version을 실행하여 다음 출력을 확인할 수 있습니다(버전이 다를 수 있음).
aws --version
예를 들어 Windows 10에 AW CLI를 설치할 경우 응답은 다음과 같습니다.
이제 AWS CLI가 설치되었으며 보안 인증 정보를 구성할 준비가 되었습니다.
AWS CLI 보안 인증 정보 구성
보안 인증 정보를 구성하려면 <aws configure sso> 명령을 사용하여 이 자습서의 이전 모듈에서 생성한 사용자의 보안 인증 정보를 포함합니다.
CLI에서 <aws configure sso> 명령을 실행하면 다음 정보를 입력하라는 메시지가 표시됩니다.
- SSO 세션 이름: 이 세션과 관련한 항목에 대해 AWS CloudTrail 로그에 포함된 세션의 이름을 제공합니다. 이름을 입력하지 않으면 자동으로 생성됩니다. 이 자습서에서는 <Test1>을 사용합니다.
- SSO 시작 URL: IAM Identity Center를 구성할 때 제공된 AWS 액세스 포털 URL입니다.
- SSO 리전: 이 자습서의 예에서는 <us-east-1>을 사용합니다. 명령을 직접 실행하는 경우 IAM Identity Center를 활성화한 리전을 지정합니다. 이 정보는 AWS Management Console의 IAM Identity Center 대시보드의 설정 요약에서 확인할 수 있습니다.
- SSO 등록 범위: 범위는 다양한 엔드포인트에 대한 액세스 권한을 부여합니다. 이 자습서에서는 최소 범위인 <sso:account:access>를 사용하여 IAM Identity Center 서비스에서 새로 고침 토큰을 다시 가져옵니다.
<aws configure sso> 명령을 입력한 후 터미널에 이러한 각 항목을 입력하라는 메시지가 표시됩니다.
aws configure sso
참고: 계정의 시작 URL 또는 리전을 모르는 경우 콘솔에 루트 사용자로 로그인하고 IAM Identity Center 대시보드로 이동하세요. 리전 및 AWS 액세스 포털 URL은 설정 요약에 표시됩니다.
다음 코드 예는 이 단계의 CLI 내용을 보여줍니다.
$ aws configure sso
SSO session name (Recommended): Test1
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
CLI가 기본 브라우저에서 SSO 인증 페이지를 자동으로 열려고 시도하고 IAM Identity Center 계정에 대한 로그인 프로세스를 시작합니다.
암호(및 활성화된 경우 MFA 보안 인증 정보)를 제공하고 나면 데이터에 대한 액세스를 허용하라는 메시지가 표시됩니다. 이렇게 하면 IAM Identity Center에서 사용자에게 사용 권한이 있는 AWS 계정과 역할을 검색하고 표시할 수 있는 권한이 AWS CLI에 부여됩니다.
AWS CLI는 SDK for Python을 기반으로 구축되었으므로 권한 메시지에는 botocore-client-Test1과 같은 다양한 botocore 이름이 포함될 수 있습니다. 허용을 선택합니다. 인증 후 창을 닫아도 된다는 메시지가 나타납니다.
사용 가능한 AWS 계정과 역할이 CLI에 업데이트되어 표시됩니다. 지금은 AdministratorAccess 역할로 AWS 계정을 하나만 설정했기 때문에 로그인할 때 이 계정과 역할을 사용하게 됩니다. 이제 CLI 창에 다음 줄이 표시됩니다.
사용할 수 있는 유일한 AWS 계정은 111122223333입니다.
계정 ID 111122223333 사용
사용할 수 있는 유일한 역할은 AdministratorAccess입니다.
역할 이름 ‘AdministratorAccess’ 사용
그런 다음 CLI에서 명령을 실행할 때 이 프로필을 참조할 수 있도록 기본 출력 형식을 지정하고 명령을 전송할 기본 AWS 리전을 지정하며 프로필 이름을 입력하라는 메시지가 표시됩니다.
추천 프로필 이름은 계정 ID 번호 뒤에 밑줄을 붙이고 그 뒤에 역할 이름을 붙이는 것입니다. 하지만 이 자습서에서는 더 짧은 프로필 이름인 admin-1을 사용하겠습니다. 이제 CLI 창에 다음 줄이 표시됩니다.
이 프로필을 사용하려면 다음과 같이 --profile을 사용하여 프로필 이름을 지정합니다.
aws s3 ls --profile admin-1
이제 <aws ec2 describe-vpcs> 명령을 실행하여 구성이 올바른지 확인합니다. 각각의 새 AWS 계정에는 기본 VPC가 구성되어 있으므로 AWS 계정에 다른 서비스를 구성하지 않고도 이 명령을 실행할 수 있습니다.
aws ec2 describe-vpcs
이제 CLI 창에 다음 정보가 표시됩니다.
이는 AWS CLI가 올바로 설정되었음을 확인해 줍니다.
이 절차를 수행함으로써 sso-session 섹션과 명명된 프로필로 AWS 구성 파일을 업데이트하게 됩니다.
구성 파일은 Linux 또는 macOS를 실행하는 컴퓨터의 경우 ~/.aws/config에, Windows를 실행하는 컴퓨터의 경우 C:\Users\ USERNAME \.aws\config에 있습니다. 구성 파일을 열면 다음 두 섹션이 표시됩니다.
aws ec2 describe-vpcs --profile admin-1
{
"Vpcs": [
{
"CidrBlock": "10.0.0.0/16",
"DhcpOptionsId": "dopt-d12345",
"State": "available",
"VpcId": "vpc-0123456789abcdef",
"OwnerId": "111122223333",
"InstanceTenancy": "default",
............"CidrBlockAssociationSet": [
................{
....................."AssociationId": "vpc-cidr-assoc-38b060a751a39af8e",
....................."CidrBlock": "10.24.34.0/23",
....................."CidrBlockState": {
........................."State": "associated"
......................}
................}
............],
............"IsDefault": true
.........}
]
}
[profile admin-1]
sso_session = Test1
sso_account_id = 111122223333
sso_role_name = AdministratorAccess
region = us-east-1
output = json
[sso-session Test1]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
이제 이 SSO 세션 및 프로필과 <aws sso login> 명령을 사용하여 보안 인증 정보를 요청할 수 있습니다.
aws sso login
이제 CLI 창에 다음 정보가 표시됩니다.
aws sso login -–profile admin-1
Attempting to automatically open the SSO authorization page in your default browser.
브라우저가 열리지 않거나 다른 디바이스를 사용하여 이 요청을 승인하려면 다음 URL을 엽니다.
https://device.sso.us-east1.amazonaws.com/
그런 다음 코드를 입력합니다.
XXXX-XXXX
브라우저 창으로 이동하여 데이터에 대한 액세스를 허용합니다. CLI 창으로 돌아오면 다음 메시지에 다음 줄이 표시됩니다.
Successfully logged into Start URL: https://my-sso-portal.awsapps.com/start
여러 프로필 구성(선택 사항)
AWS 계정에 역할을 추가하고 조직에 AWS 계정을 추가할 때 위의 절차를 반복하여 해당 역할 및 계정에 대한 프로필을 생성합니다.
복잡성이 가중되는 경우 프로필을 구분할 수 있도록 AWS 계정 ID와 역할 이름을 연결하는 프로필 명명 전략을 사용하는 것이 좋습니다.
결론
축하합니다! AWS CLI를 설정하고 명명된 프로필을 구성하는 방법을 배웠습니다. 다음 모듈에서는 클라우드 기반 IDE인 AWS Cloud9을 설정하는 방법을 알아볼 것입니다.