444. 개발자에게 AWS Batch 제공하기

<1>  일반 사용자의 aws batch 사용시 오류

<2>  배치 사용을 위해서는 권한과 role  2개가 필요하다.

<3>  배치가 KMS와 S3 사용이 필요할때

<4> 실습 메뉴얼

<1>  일반 사용자의 aws batch 사용시 오류

관리자의  admin  권한으로  aws batch를  설정하면 이슈가 없다.

하지만, 보안상  사용자인 개발자에게  admin권한을 부여할 순 없다.

개발자가 aws batch를 사용하고자 하면 권한과  role이 필요하다.

어떤 권한과  role 을 제공 해야 하는지 살펴보자.

<2>  배치 사용을 위해서는 권한과 role  2개가 필요하다.

개선 방향

사용자인 개발자 계정에서   batch 를 사용하기 위해서는 권한과  2개의 role 이  필요하다.

batch 서비스 시작 하기

>  컴퓨팅 환경 및 작업 대기열 구성 

1. role  2개 생성이 필요하다.

1)  배치 서비스 역할 이  필요  : seo-batchservice-role

2)  EC2   인스텐스 역할이 필요 : seo-ec2instance-role

2

역할을 만들자.

IAM > 역할 만들기 > Batch  > AWSBatchServiceRole  이 자동으로 들어간다.  >  seo-batch-role

4

IAM > EC2  > AmazonEC2ContainerServiceRole   >  

seo-ec2instance-role 

EC2   인스턴스 역할이 필요하다. 컨터이너를 만드는 역할.

5

Batch 를 사용하려면  사용자(그룹)가 권한이 있어야 한다.

seo-batch-policy  정책을 만든다.  권한은 batchfull 이다.

batch full 권한 제공

https://docs.aws.amazon.com/batch/latest/userguide/batch_managed_policies.html

6

 batch는 batchfull  이외에  pass role   이 필요하다.

특정 ARN에 대해 pass role 을 적용하자.

IAM > 정책 > 정책 생성 > IAM >  쓰기 PassRole >   특정  >  ARN  추가

7 

일반 계정으로 사용시 오류 발생시

8

PassRole 이  필요하다.

IAM >  PassRole   설정시   특정  ARN 만 허용하게 하기 

참고1

EC2instance Role 은  instance-profile  이다.

instance-profile  로    특정 ARN 만 허용 설정 하자. 

<3>  배치가 KMS와 S3 사용이 필요할때

seo-ec2instance-role  에  KMS권한과 S3 권한을 넣어준다.

왜냐하면  배치 실행시 -> ECS 생성되고 해당 ECS가  KMS에 접속해 사용한다.

<4> 실습 메뉴얼

https://aws.amazon.com/ko/getting-started/hands-on/run-batch-jobs-at-scale-with-ec2-spot/

감사합니다.