Amazon 리소스 이름(ARN)으로 AWS 리소스를 식별합니다. - AWS Identity and Access Management

Amazon 리소스 이름(ARN)으로 AWS 리소스를 식별합니다.

Amazon 리소스 이름(ARN)은 AWS 리소스를 고유하게 식별합니다. IAM 정책, Amazon Relational Database Service(RDS) 태그 및 API 호출과 같은 모든 AWS에서 리소스를 명료하게 지정해야 하는 경우 ARN이 필요합니다.

ARN 형식

다음은 ARN의 일반적인 형식입니다. 구체적인 형식은 리소스에 따라 다릅니다. ARN을 사용하려면 기울임꼴 텍스트를 리소스별 정보로 바꿉니다. 일부 리소스의 ARN에서는 리전, 계정 ID 또는 리전과 계정 ID가 모두 생략됩니다.

arn:partition:service:region:account-id:resource-id arn:partition:service:region:account-id:resource-type/resource-id arn:partition:service:region:account-id:resource-type:resource-id
partition

리소스가 있는 파티션입니다. 파티션은 AWS 리전의 그룹입니다. 각 AWS 계정은 하나의 파티션으로 범위가 지정됩니다.

지원되는 파티션은 다음과 같습니다.

  • aws - AWS 리전

  • aws-cn - 중국 리전

  • aws-us-gov - AWS GovCloud (US) 리전

service

AWS 제품을 식별하는 서비스 네임스페이스입니다.

region

리전 코드. 예를 들어 미국 동부(오하이오)의 경우 us-east-2입니다. 리전 코드 목록은 AWS 일반 참조의 리전 엔드포인트를 참조하세요.

account-id

리소스를 소유한 AWS 계정의 ID(하이픈 없음)입니다. 예: 123456789012.

resource-type

리소스 유형. Virtual Private Cloud(VPC)의 vpc를 예로 들 수 있습니다.

resource-id

리소스 식별자입니다. 리소스의 이름, 리소스의 ID 또는 리소스 경로입니다. 일부 리소스 식별자에는 상위 리소스(sub-resource-type/parent-resource/sub-resource) 또는 버전과 같은 식별자(resource-type:resource-name:qualifier)를 포함할 수 있습니다.

예시
IAM 사용자

arn:aws:iam::123456789012:user/johndoe

SNS 주제

arn:aws:sns:us-east-1:123456789012:example-sns-topic-name

VPC

arn:aws:ec2:us-east-1:123456789012:vpc/vpc-0e9801d129EXAMPLE

리소스의 ARN 형식 조회

ARN의 정확한 형식은 서비스 및 리소스 유형에 따라 달라집니다. 일부 리소스 ARN에는 경로, 변수 또는 와일드카드가 포함될 수 있습니다. 특정 AWS 리소스의 ARN 형식을 조회하려면 서비스 승인 참조를 열고 해당 서비스의 페이지를 연 다음 리소스 유형 테이블로 이동합니다.

ARN의 경로

리소스 ARN에 경로를 포함할 수 있습니다. 예를 들어, Amazon S3에서 리소스 식별자는 슬래시(/)을 포함하여 경로를 구성할 수 있는 객체 이름입니다. 마찬가지로, IAM 사용자 이름과 그룹 이름에 경로를 포함할 수 있습니다. IAM 경로에는 영숫자와 슬래시(/), 더하기(+), 등호(=), 쉼표(,), 마침표(.), @(@), 밑줄 표시(_), 하이픈(-) 문자만 사용할 수 있습니다.

경로에서 와일드카드 사용

경로에는 와일드카드 문자 즉, 별표(*)를 포함할 수 있습니다. 예를 들어 IAM 정책을 작성 중인 경우 다음과 같은 와일드카드를 사용하는 product_1234 경로를 가진 모든 IAM 사용자를 지정할 수 있습니다.

arn:aws:iam::123456789012:user/Development/product_1234/*

마찬가지로 다음 예와 같이 모든 사용자를 의미하는 user/* 또는 모든 그룹을 의미하는 group/*을 지정할 수 있습니다.

"Resource":"arn:aws:iam::123456789012:user/*" "Resource":"arn:aws:iam::123456789012:group/*"

다음 예에서는 리소스 이름에 경로를 포함하는 Amazon S3 버킷용 ARN을 보여줍니다.

arn:aws:s3:::my_corporate_bucket/* arn:aws:s3:::my-corporate-bucket/Development/*
잘못된 와일드카드 사용

리소스 유형을 지정하는 ARN 부분에 와일드카드를 사용할 수 없습니다(예: IAM ARN의 user 용어). 예를 들어 다음은 허용되지 않습니다.

arn:aws:iam::123456789012:u*   <== not allowed