관리형 정책 및 인라인 정책 중에서 선택
관리형 정책과 인라인 정책 중 하나를 결정할 때는 사용 사례를 고려합니다. 대부분 경우 인라인 정책보다는 관리형 정책의 사용을 권장합니다.
참고
관리형 정책과 인라인 정책을 함께 사용하여 보안 주체 엔터티에 대한 공통 및 고유 권한을 정의할 수 있습니다.
관리형 정책은 다음과 같은 기능을 제공합니다.
- 재사용성
-
단일 관리형 정책은 다수의 보안 주체 개체(사용자, 그룹 및 역할)에 추가할 수 있습니다. 정책 라이브러리를 생성하여 AWS 계정에 유용한 권한을 정의한 다음 필요에 따라 생성한 정책을 보안 주체 엔터티에 추가할 수 있습니다.
- 중앙 변경 관리
-
관리형 정책 변경 시 정책이 추가되어 있는 모든 보안 주체 엔터티에 변경 사항이 적용됩니다. 예를 들어 AWS API 권한을 추가할 경우 고객 관리형 정책을 업데이트하거나 AWS 관리형 정책을 연결하여 권한을 추가할 수 있습니다. AWS 관리형 정책을 사용하는 경우 AWS가 정책을 업데이트합니다. 관리형 정책이 업데이트되면 관리형 정책이 추가되어 있는 모든 보안 주체 엔터티에 변경 사항이 적용됩니다. 이와는 대조적으로 인라인 정책을 변경하려면 인라인 정책이 추가되어 있는 자격 증명을 일일이 편집해야 합니다. 예를 들어 그룹과 역할에 모두 동일한 인라인 정책이 추가되어 있더라도 정책을 변경하기 위해서는 두 보안 주체 개체를 개별적으로 편집해야만 합니다.
- 버전 관리 및 롤백
-
고객 관리 정책을 변경할 경우 변경된 정책은 기존 정책을 덮어쓰지 않습니다. 대신 IAM에서 관리형 정책의 새 버전을 생성합니다. IAM은 고객 관리형 정책을 최대 5개 버전까지 저장합니다. 정책 버전은 필요에 따라 정책을 이전 버전으로 되돌리는 데도 사용됩니다.
참고
정책 버전은
Version
정책 요소와 다릅니다.Version
정책 요소는 정책 내에서 사용되며 정책 언어의 버전을 정의합니다. 정책 버전에 대한 자세한 정보는 IAM 정책 버전 관리 섹션을 참조하세요.Version
정책 요소에 대한 자세한 정보는 IAM JSON 정책 요소: Version을 참조하세요. - 권한 위임 관리
-
정책으로 정의한 권한을 지속적으로 제어하면서 AWS 계정에 속한 사용자가 정책을 추가 및 분리하도록 허용할 수 있습니다. 이렇게 하려면 일부 사용자에게는 전체 관리자 권한을 위임합니다. 다시 말해, 전체 관리자란 정책을 생성, 업데이트 및 삭제할 수 있는 것을 말합니다. 제한된 관리자로서 다른 사용자를 지정할 수 있습니다. 그러한 제한된 관리자는 다른 보안 주체 엔터티에 정책을 연결할 수 있지만 이때 정책은 연결하도록 허용된 정책으로 제한됩니다.
권한 위임 관리에 대한 자세한 내용은 정책에 대한 액세스 제어 섹션을 참조하세요.
- 더 큰 정책 문자 제한
-
관리형 정책의 최대 문자 크기 제한이 그룹 인라인 정책의 문자 제한보다 큽니다. 인라인 정책의 문자 크기 제한에 도달하면 더 많은 IAM 그룹을 생성하고 관리형 정책을 그룹에 연결할 수 있습니다.
할당량과 제한에 대한 자세한 내용은 IAM 및 AWS STS 할당량 섹션을 참조하세요.
- AWS 관리형 정책의 자동 업데이트
-
AWS는 AWS 관리형 정책을 유지하면서 필요에 따라 자동으로 업데이트하기 때문에(예를 들어 새로운 AWS 서비스 권한을 추가하기 위해) 직접 변경할 필요가 없습니다. 업데이트는 AWS 관리형 정책을 추가한 보안 주체 엔터티에게 자동으로 적용됩니다.
관리형 정책 시작하기
최소 권한 부여 또는 작업 수행에 요구되는 권한만 부여하는 정책을 사용하는 것이 좋습니다. 최소 권한을 부여하는 가장 안전한 방법은 팀에 필요한 권한만 있는 고객 관리형 정책을 작성하는 것입니다. 필요한 경우 팀에서 추가 권한을 요청할 수 있는 프로세스를 만들어야 합니다. 팀에 필요한 권한만 제공하는 IAM 고객 관리형 정책을 생성하기 위해서는 시간과 전문 지식이 필요합니다.
IAM 자격 증명(사용자, 사용자 그룹 및 역할)에 대한 권한을 추가하려면 AWS 관리형 정책을 사용할 수 있습니다. AWS 관리형 정책은 최소 권한을 부여하지 않습니다. 보안 주체가 작업을 수행하는 데 필요한 것보다 더 많은 권한을 부여할 경우 보안 위험을 고려해야 합니다.
AWS 관리형 정책(작업 기능 포함)을 모든 IAM 자격 증명에 연결할 수 있습니다. 자세한 내용은 IAM 자격 증명 권한 추가 및 제거 단원을 참조하십시오.
최소 권한으로 전환하려면 AWS Identity and Access Management Access Analyzer를 실행하여 AWS 관리형 정책으로 보안 주체를 모니터링합니다. 사용 권한을 학습한 후 팀에 필요한 권한만 있는 고객 관리형 정책을 작성하거나 생성할 수 있습니다. 이는 덜 안전하지만 팀에서 AWS를 어떻게 사용하는지 학습할수록 더 많은 유연성을 제공합니다. 자세한 내용은 IAM Access Analyzer 정책 생성 단원을 참조하십시오.
AWS 관리형 정책은 여러 가지 일반 사용 사례에서 권한을 제공할 목적으로 설계되었습니다. 특정 작업 기능을 위해 설계된 AWS 관리형 정책에 대한 자세한 내용은 직무에 관한 AWS 관리형 정책 섹션을 참조하세요.
AWS 관리형 정책의 목록은 AWS 관리형 정책 참조 가이드를 참조하세요.
인라인 정책 사용
인라인 정책은 정책과 정책이 추가된 자격 증명을 정확히 1대 1 관계로 유지할 때 유용합니다. 정책 권한을 의도하지 않은 자격 증명에 실수로 할당하는 일을 배제하려고 하는 경우를 예로 들어 보겠습니다. 이때 인라인 정책을 사용하면 정책 권한이 잘못된 자격 증명에 실수로 추가되는 일이 사라집니다. 그 밖에도 AWS Management Console을 사용하여 자격 증명을 삭제할 경우 자격 증명에 삽입된 정책 역시 삭제됩니다. 해당 정책은 보안 주체 엔터티의 일부이기 때문입니다.