관리 역할

Qlik Cloud가 레이크하우스 환경 내에서 인스턴스와 탄력적 IP를 구성할 수 있도록 관리 역할을 만듭니다.

관리 역할은 Qlik에게 사용자를 대신하여 AWS 환경과 상호 작용하는 데 필요한 권한을 부여하기 위해 만드는 IAM 역할입니다. 이 역할은 배포 및 런타임 작업 중에 Qlik에서 수행하여 Iceberg 레이크하우스에 필요한 AWS 리소스에 안전하게 액세스하고 관리합니다.

이 역할은 Qlik이 S3 버킷에서 읽기 및 쓰기, EC2 인스턴스 관리, AWS Glue 또는 KMS와 같은 다른 서비스와의 상호 작용 등 수행할 수 있는 특정 작업을 정의하는 사용자 지정 IAM 정책과 연결됩니다.

이 역할은 Qlik이 AWS 계정 내에서 메타데이터 관리, 데이터 이동, 작업 실행과 같은 주요 작업을 자동화하고 조정할 수 있도록 하는 동시에 안전하고 권한이 적은 액세스를 보장합니다.

올바르게 작동하려면 설정 지침에 설명된 대로 필요한 신뢰 관계 및 권한 정책을 사용하여 역할을 만들어야 합니다.

전제 조건

Qlik 오픈 레이크하우스를 호스팅하기 위해 VPC와 서브넷, 가용성 영역을 만들었는지 확인하고 다음 세부 정보가 있는지 확인합니다.

AWS 계정 ID.
대칭 KMS 키 ARN.

관리 역할 만들기

관리 역할을 만들려면 다음을 수행합니다.

AWS 콘솔에서 IAM으로 이동합니다.
역할에서 역할 만들기를 클릭하고 다음과 같이 구성합니다.

신뢰할 수 있는 엔터티 유형: 사용자 지정 신뢰 정책을 선택합니다.

설명: 코드 창에서 Qlik Cloud의 관리 역할 구성 가이드에서 만든 신뢰할 수 있는 엔터티 정책을 붙여넣습니다.

역할을 만들고 ARN 값을 기록해 둡니다. 다음과 같은 형식으로 작성해야 합니다.

arn:aws:iam::<ACCOUNT_ID>:role/<ROLE_NAME>.

정책 만들기

IAM에서 역할을 클릭하고 위에서 만든 역할을 선택합니다.
권한 추가를 클릭합니다.
인라인 정책 만들기를 선택합니다.
정책 편집기에서 JSON을 선택합니다. 다음 텍스트를 붙여넣고, 다음을 확인합니다.

<AWS_ACCOUNT_ID> 매개 변수를 사용자의 계정으로 변경합니다.
<KMS_SYMMETRIC_KEY_ARN> 값을 키 ARN으로 업데이트합니다.


			{
			"Version": "2012-10-17",
			"Statement": [
			{
			"Effect": "Allow",
			"Resource": [
			"*"
			],
			"Action": [
			"ec2:CancelSpotInstanceRequests",
			"ec2:CreateLaunchTemplate",
			"ec2:CreateTags",
			"ec2:CreateVolume",
			"ec2:DescribeAddresses",
			"ec2:DescribeImageAttribute",
			"ec2:DescribeImages",
			"ec2:DescribeInstanceStatus",
			"ec2:DescribeInstanceTypeOfferings",
			"ec2:DescribeInstanceTypes",
			"ec2:DescribeInstances",
			"ec2:DescribeLaunchTemplateVersions",
			"ec2:DescribeLaunchTemplates",
			"ec2:DescribeSpotInstanceRequests",
			"ec2:DescribeSpotPriceHistory",
			"ec2:DescribeTags",
			"ec2:DescribeRegions",
			"ec2:DescribeSubnets",
			"ec2:DescribeRouteTables",
			"ec2:DescribeSecurityGroups",
			"ec2:RequestSpotInstances",
			"ec2:DescribeVolumes"
			]
			},
			{
			"Effect": "Allow",
			"Resource": [
			"arn:aws:ec2:*::image/*",
			"arn:aws:ec2:*:*:instance/*",
			"arn:aws:ec2:*:*:key-pair/*",
			"arn:aws:ec2:*:*:launch-template/*",
			"arn:aws:ec2:*:*:network-interface/*",
			"arn:aws:ec2:*:*:security-group/*",
			"arn:aws:ec2:*:*:subnet/*",
			"arn:aws:ec2:*:*:volume/*"
			],
			"Action": [
			"ec2:RunInstances"
			]
			},
			{
			"Effect": "Allow",
			"Resource": [
			"*"
			],
			"Action": [
			"ec2:AttachVolume",
			"ec2:DeleteVolume",
			"ec2:DetachVolume",
			"ec2:DeleteLaunchTemplate",
			"ec2:TerminateInstances",
			"ec2:StartInstances",
			"ec2:ModifyLaunchTemplate",
			"ec2:DeleteLaunchTemplateVersions",
			"ec2:CreateLaunchTemplateVersion"
			],
			"Condition": {
			"Null": {
			"aws:ResourceTag/qlik_cluster": "false"
			}
			}
			},
			{
			"Effect": "Allow",
			"Resource": [
			"*"
			],
			"Action": [
			"autoscaling:DeleteAutoScalingGroup",
			"autoscaling:DeletePolicy",
			"autoscaling:DeleteTags",
			"autoscaling:PutScalingPolicy",
			"autoscaling:StartInstanceRefresh",
			"autoscaling:TerminateInstanceInAutoScalingGroup",
			"autoscaling:UpdateAutoScalingGroup"
			],
			"Condition": {
			"Null": {
			"aws:ResourceTag/qlik_cluster": "false"
			}
			}
			},
			{
			"Effect": "Allow",
			"Resource": [
			"*"
			],
			"Action": [
			"autoscaling:CreateAutoScalingGroup",
			"autoscaling:CreateOrUpdateTags",
			"autoscaling:DescribeAutoScalingGroups",
			"autoscaling:DescribeInstanceRefreshes",
			"autoscaling:DescribePolicies",
			"autoscaling:DescribeScalingActivities",
			"autoscaling:DescribeTags"
			]
			},
			{
			"Effect": "Allow",
			"Resource": [
			"*"
			],
			"Action": [
			"ec2:DescribeRegions",
			"ec2:DescribeSubnets",
			"ec2:DescribeRouteTables",
			"ec2:DescribeSecurityGroups",
			"ec2:DescribeKeyPairs"			
			]
			},
			{
			"Effect": "Allow",
			"Resource": [
			"*"
			],
			"Action": [
			"cloudwatch:DescribeAlarmHistory",
			"cloudwatch:DescribeAlarms",
			"cloudwatch:DescribeAlarmsForMetric",
			"cloudwatch:GetMetricStatistics",
			"cloudwatch:ListMetrics",
			"cloudwatch:PutMetricData"
			]
			},
			{
			"Effect": "Allow",
			"Resource": [
			"*"
			],
			"Action": [
			"cloudwatch:DeleteAlarms"
			],
			"Condition": {
			"Null": {
			"aws:ResourceTag/qlik_cluster": "false"
			}
			}
			},
			{
			"Effect": "Allow",
			"Resource": [
			"*"
			],
			"Action": [
			"cloudwatch:PutMetricAlarm"
			],
			"Condition": {
			"Null": {
			"aws:RequestTag/qlik_cluster": "false"
			}
			}
			},
			{
			"Effect": "Allow",
			"Resource": [
			"*"
			],
			"Action": [
			"iam:AddRoleToInstanceProfile",
			"iam:CreateServiceLinkedRole",
			"iam:GetPolicy",
			"iam:GetPolicyVersion",
			"iam:ListAccountAliases",
			"iam:ListAttachedRolePolicies",
			"iam:ListInstanceProfiles",
			"iam:ListInstanceProfilesForRole",
			"iam:ListPolicies",
			"iam:ListRoles",
			"iam:PassRole"
			]
			},
			{
			"Effect": "Allow",
			"Resource": [
			"*"
			],
			"Action": [
			"sts:DecodeAuthorizationMessage"
			]
			},
			{
			"Effect": "Allow",
			"Resource": [
			"arn:aws:ssm:*:<AWS_ACCOUNT_ID>:parameter/qlik/*"
				],
				"Action": [
				"ssm:PutParameter"
				]
				},
				{
				"Effect": "Allow",
				"Resource": [
				"<KMS_SYMMETRIC_KEY_ARN>"
					],
					"Action": [
					"kms:GenerateDataKeyPairWithoutPlaintext",
					"kms:Encrypt"
					]
					}
					]
					}

요구 사항 허가 정당성

다음 표에서는 관리 역할의 각 권한에 대해 설명합니다.

정책	권한	설명
EC2 - 리소스 관리 작업	{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:CancelSpotInstanceRequests", "ec2:CreateLaunchTemplate", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DescribeAddresses", "ec2:DescribeImageAttribute", "ec2:DescribeImages", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeInstanceTypes", "ec2:DescribeInstances", "ec2:DescribeLaunchTemplateVersions", "ec2:DescribeLaunchTemplates", "ec2:DescribeSpotInstanceRequests", "ec2:DescribeSpotPriceHistory", "ec2:DescribeTags", "ec2:DescribeRegions", "ec2:DescribeSubnets", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:RequestSpotInstances", "ec2:DescribeVolumes" ], "Effect": "Allow", "Resource": "" }, { "Action": "ec2:RunInstances", "Effect": "Allow", "Resource": [ "arn:aws:ec2:::subnet/", "arn:aws:ec2:::network-interface/", "arn:aws:ec2:::image/*" ] } ] }	이 정책은 Qlik에 볼륨, 보안 그룹, 서브넷 등의 EC2 인스턴스 및 리소스를 관리할 수 있는 권한을 부여합니다. 모든 메서드는 설명 또는 만들기 작업이므로 조건이 포함되지 않습니다.
EC2 - 리소스 조작 작업	{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:AttachVolume", "ec2:DeleteVolume", "ec2:DetachVolume", "ec2:DeleteLaunchTemplate", "ec2:TerminateInstances", "ec2:StartInstances", "ec2:ModifyLaunchTemplate", "ec2:DeleteLaunchTemplateVersions", "ec2:CreateLaunchTemplateVersion" ], "Condition": { "Null": { "aws:ResourceTag/qlik_cluster": "false" } }, "Effect": "Allow", "Resource": "" }, { "Action": [ "autoscaling:PutScalingPolicy", "autoscaling:UpdateAutoScalingGroup", "autoscaling:DeleteAutoScalingGroup", "autoscaling:DeletePolicy", "autoscaling:DeleteTags", "autoscaling:StartInstanceRefresh" ], "Condition": { "Null": { "aws:ResourceTag/qlik_cluster": "false" } }, "Effect": "Allow", "Resource": "" } ] }	이 정책은 Qlik이 qlik_cluster 태그를 기반으로 만든 EC2 인스턴스 및 리소스를 관리할 수 있는 권한을 Qlik에게 부여합니다. 권한에는 볼륨 연결, 인스턴스 종료, 시작 템플릿 수정 등의 작업이 포함됩니다.
EC2 - 유효성 검사 작업	{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ec2:DescribeRegions", "ec2:DescribeSubnets", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs" ], "Resource": "*" } ] }	이 정책은 네트워크 통합을 만들 때 입력의 유효성을 검사할 수 있는 Qlik 권한을 부여합니다. 이러한 작업은 필수가 아니며 특정 입력이 제공되는 경우에만 필요합니다.
IAM - 인스턴스 프로필 작업	"Version": "2012-10-17", "Statement": [ { "Action": [ "iam:AddRoleToInstanceProfile", "iam:CreateServiceLinkedRole", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListAccountAliases", "iam:ListAttachedRolePolicies", "iam:ListInstanceProfiles", "iam:ListInstanceProfilesForRole", "iam:ListPolicies", "iam:ListRoles", "iam:PassRole" ], "Effect": "Allow", "Resource": "*" } ] } `{`	이 정책을 사용하면 관리 역할이 서비스 연결 역할 만들기, EC2 인스턴스에 역할 전달 등의 작업을 포함하여 EC2 인스턴스 프로필을 처리할 수 있습니다.
STS - 권한 부여 작업	"Version": "2012-10-17", "Statement": [ { "Action": "sts:DecodeAuthorizationMessage", "Effect": "Allow", "Resource": "*" } ] } `{`	이 정책은 Qlik에게 권한 부여 메시지를 디코딩하여 권한 부여 문제를 해결하는 데 도움이 되는 권한을 부여합니다.
SSM - 비밀 관리 작업	"Version": "2012-10-17", "Statement": [ { "Action": [ "ssm:PutParameter" ], "Effect": "Allow", "Resource": "arn:aws:ssm::<AWS_ACCOUNT_ID>:parameter/qlik/", } ] } `{`	이 정책은 관리 역할에 AWS Systems Manager Parameter Store에 비밀을 저장할 수 있는 권한을 부여합니다. 이러한 비밀은 Qlik에서 프로비저닝한 인스턴스에서 읽습니다.<AWS_ACCOUNT_ID>은 사용자가 구성한 값입니다.
KMS	"Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:GenerateDataKeyPairWithoutPlaintext", "kms:Encrypt" ], "Resource": "<KMS_SYMMETRIC_KEY_ARN>" } ] } `{`	이 정책은 Qlik에게 개인 키에 대한 액세스 없이 암호화 키 쌍을 생성하고 Qlik에서 프로비저닝된 컴퓨터에서 읽고 복호화할 데이터를 암호화할 수 있는 권한을 부여합니다. <KMS_SYMMETRIC_KEY_ARN>은 사용자가 구성한 값입니다.

이 페이지가 도움이 되었습니까?

이 페이지 또는 해당 콘텐츠에서 오타, 누락된 단계 또는 기술적 오류와 같은 문제를 발견하면 알려 주십시오!

여기에 피드백을 남겨주십시오.