# 최소 권한 준비 *최소 권한*을 사용하는 것이 IAM 모범 권장 사항입니다. 최소 권한이라는 개념은 작업을 수행하는 데 필요한 권한만 부여하고 다른 추가 권한을 없는 것입니다. 설정을 완료할 때 최소 권한을 어떻게 지원할 것인지 고려하세요. 루트 사용자, 관리 사용자 및 비상 액세스 IAM 사용자에게는 일상적인 작업에 필요하지 않은 강력한 권한이 주어집니다. AWS에 대해 알아보고 다양한 서비스를 테스트하는 동안 여러 가지 시나리오에서 사용할 수 있는 권한이 적은 추가 사용자를 IAM Identity Center에 한 명 이상 생성하는 것이 좋습니다. IAM 정책을 사용하여 특정 조건에서 특정 리소스에 대해 수행할 수 있는 작업을 정의한 다음 이러한 리소스와 최소 권한 계정을 연결합니다. IAM Identity Center를 사용하는 경우 IAM Identity Center 권한 세트를 사용하여 시작하는 것을 고려해보세요. 자세한 내용은 *IAM Identity Center 사용 설명서*의 [권한 세트 생성](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)을 참조하세요. IAM Identity Center를 사용하지 않는 경우 IAM 역할을 사용하여 다양한 IAM 엔터티에 대한 권한을 정의합니다. 자세한 내용은 [IAM 역할 생성](id_roles_create.md)를 참조하세요. IAM 역할과 IAM Identity Center 권한 세트 모두 직무에 따른 AWS 관리형 정책을 사용할 수 있습니다. 이러한 정책에서 부여하는 권한에 대한 자세한 내용은 [직무에 관한 AWS 관리형 정책](access_policies_job-functions.md) 섹션을 참조하세요. **중요** AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있기 때문에 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 설정을 마친 후에는 IAM Access Analyzer를 사용하여 AWS CloudTrail에 로그인한 액세스 활동을 기반으로 최소 권한을 생성하는 것이 좋습니다. 정책 생성에 대한 자세한 내용은 [IAM Access Analyzer 정책 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html)을 참조하세요. 시작할 때는 AWS 관리형 정책을 사용하여 권한을 부여하는 것이 좋습니다. 사전 정의된 활성 샘플 기간(예: 90일)이 지난 후에는 사용자와 워크로드에서 액세스한 서비스를 검토할 수 있습니다. 그런 다음 권한이 축소된 새 고객 관리형 정책을 생성하여 AWS 관리형 정책을 대체할 수 있습니다. 새 정책에는 샘플 기간 동안 액세스한 서비스만 포함되어야 합니다. 권한을 업데이트하여 AWS 관리형 정책을 제거하고 생성한 새 고객 관리형 정책을 연결합니다.