기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon Route 53의 Identity and Access Management
도메인 등록 또는 레코드 업데이트와 같은 Amazon Route 53 리소스 작업을 수행하려면 AWS Identity and Access Management (IAM)에서 승인된 AWS 사용자임을 인증해야 합니다. Route 53 콘솔을 사용하는 경우 AWS 사용자 이름과 암호를 제공하여 자격 증명을 인증합니다.
ID를 인증한 후 IAM은 작업을 수행하고 리소스에 액세스할 수 있는 권한이 있는지 AWS 확인하여에 대한 액세스를 제어합니다. 계정 관리자인 경우 IAM을 사용하여 계정과 관련된 리소스에 대한 다른 사용자의 액세스를 제어할 수 있습니다.
이 장에서는 [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 및 Route 53를 사용하여 리소스를 보호하는 방법을 설명합니다.
**Topics**
+ [ID를 통한 인증](#security_iam_authentication)
+ [액세스 관리](#access-control)
+ [Amazon Route 53 리소스에 대한 액세스 권한 관리 개요](access-control-overview.md)
+ [Amazon Route 53에 대한 자격 증명 기반 정책(IAM 정책) 사용](access-control-managing-permissions.md)
+ [에 서비스 연결 역할 사용 Amazon Route 53 Resolver](using-service-linked-roles.md)
+ [AWS Amazon Route 53에 대한 관리형 정책](security-iam-awsmanpol-route53.md)
+ [IAM 정책 조건을 사용하여 세분화된 액세스 제어 구현](specifying-conditions-route53.md)
+ [Amazon Route 53 API 권한: 작업, 리소스 및 조건 참조](r53-api-permissions-ref.md)
## ID를 통한 인증
인증은 자격 증명 자격 증명을 AWS 사용하여에 로그인하는 방법입니다. AWS 계정 루트 사용자, IAM 사용자 또는 IAM 역할을 수임하여 인증을 받아야 합니다.
AWS IAM Identity Center (IAM Identity Center), Single Sign-On 인증 또는 Google/Facebook 자격 증명과 같은 자격 증명 소스의 자격 증명을 사용하여 페더레이션 자격 증명으로 로그인할 수 있습니다. 로그인하는 방법에 대한 자세한 내용은 *AWS Sign-In 사용 설명서*의 [AWS 계정에 로그인하는 방법](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) 섹션을 참조하세요.
프로그래밍 방식 액세스를 위해는 요청에 암호화 방식으로 서명할 수 있는 SDK 및 CLI를 AWS 제공합니다. 자세한 내용은 *IAM 사용 설명서*의 [API 요청용AWS Signature Version 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) 섹션을 참조하세요.
### AWS 계정 루트 사용자
를 생성할 때 모든 AWS 서비스 및 리소스에 대한 완전한 액세스 권한이 있는 AWS 계정 *theroot 사용자*라는 로그인 자격 증명 하나로 AWS 계정시작합니다. 일상적인 태스크에 루트 사용자를 사용하지 않을 것을 강력히 권장합니다. 루트 사용자 자격 증명이 필요한 작업은 *IAM 사용 설명서*의 [루트 사용자 자격 증명이 필요한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) 섹션을 참조하세요.
### 페더레이션 ID
가장 좋은 방법은 인간 사용자에게 자격 증명 공급자와의 페더레이션을 사용하여 임시 자격 증명을 AWS 서비스 사용하여에 액세스하도록 요구하는 것입니다.
*페더레이션 자격 증명*은 엔터프라이즈 디렉터리, 웹 자격 증명 공급자 또는 자격 증명 소스의 자격 증명을 AWS 서비스 사용하여 Directory Service 에 액세스하는 사용자입니다. 페더레이션 ID는 임시 자격 증명을 제공하는 역할을 수임합니다.
중앙 집중식 액세스 관리를 위해 AWS IAM Identity Center를 추천합니다. 자세한 정보는 *AWS IAM Identity Center 사용 설명서*의 [What is IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)를 참조하세요.
### IAM 사용자 및 그룹
*[IAM 사용자](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*는 단일 개인 또는 애플리케이션에 대한 특정 권한을 가진 ID입니다. 장기 자격 증명이 있는 IAM 사용자 대신 임시 자격 증명을 사용하는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 자격 [증명 공급자와의 페더레이션을 사용하여 임시 자격 증명을 AWS 사용하여에 액세스하도록 인간 사용자에게 요구](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)하기를 참조하세요.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)은 IAM 사용자 모음을 지정하고 대규모 사용자 집합에 대한 관리 권한을 더 쉽게 만듭니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 사용자 사용 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) 섹션을 참조하세요.
### IAM 역할
*[IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*은 임시 자격 증명을 제공하는 특정 권한이 있는 자격 증명입니다. [사용자에서 IAM 역할(콘솔)로 전환하거나 또는 API 작업을 호출하여 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) 수임할 수 있습니다. AWS CLI AWS 자세한 내용은 *IAM 사용 설명서*의 [역할 수임 방법](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)을 참조하세요.
IAM 역할은 페더레이션 사용자 액세스, 임시 IAM 사용자 권한, 교차 계정 액세스, 교차 서비스 액세스 및 Amazon EC2에서 실행되는 애플리케이션에 유용합니다. 자세한 내용은 *IAM 사용 설명서*의 [교차 계정 리소스 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)를 참조하세요.
## 액세스 관리
Amazon Route 53 리소스를 생성, 업데이트, 삭제 또는 나열하려면 작업을 수행할 수 있는 권한이 필요하며 해당 리소스에 액세스할 수 있는 권한이 필요합니다.
다음 섹션에서는 Route 53에 대한 권한을 관리하는 방법을 설명합니다. 먼저 개요를 읽어보면 도움이 됩니다.
**Topics**
# Amazon Route 53 리소스에 대한 액세스 권한 관리 개요
모든 AWS 리소스는 AWS 계정이 소유하며, 리소스를 생성하거나 액세스할 수 있는 권한은 권한 정책에 의해 관리됩니다.
**참고**
*계정 관리자* 또는 관리자 사용자는 관리자 권한이 있는 사용자입니다. 관리자에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
권한을 부여할 때는 권한을 받는 사용자, 해당 권한의 대상 리소스, 그리고 해당 권한으로 수행할 수 있는 작업을 결정합니다.
사용자는 AWS 외부에서와 상호 작용하려는 경우 프로그래밍 방식으로 액세스해야 합니다 AWS Management Console. 프로그래밍 방식 액세스 권한을 부여하는 방법은 액세스 중인 사용자 유형에 따라 다릅니다 AWS.
사용자에게 프로그래밍 방식 액세스 권한을 부여하려면 다음 옵션 중 하나를 선택합니다.
****
| 프로그래밍 방식 액세스가 필요한 사용자 | 목적 | 방법 |
| --- | --- | --- |
| IAM | (권장) 콘솔 자격 증명을 임시 자격 증명으로 사용하여 AWS CLI, AWS SDKs 또는 AWS APIs. | 사용하고자 하는 인터페이스에 대한 지침을 따릅니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/access-control-overview.html) |
| 작업 인력 ID (IAM Identity Center에서 관리되는 사용자) | 임시 자격 증명을 사용하여 AWS CLI, AWS SDKs 또는 AWS APIs. | 사용하고자 하는 인터페이스에 대한 지침을 따릅니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/access-control-overview.html) |
| IAM | 임시 자격 증명을 사용하여 AWS CLI, AWS SDKs 또는 AWS APIs. | IAM 사용 설명서의 [AWS 리소스에서 임시 자격 증명 사용](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)의 지침을 따릅니다. |
| IAM | (권장되지 않음)장기 자격 증명을 사용하여 AWS CLI, AWS SDKs 또는 AWS APIs. | 사용하고자 하는 인터페이스에 대한 지침을 따릅니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/access-control-overview.html) |
**Topics**
+ [Amazon Route 53 리소스의 ARN](#access-control-resources)
+ [리소스 소유권 이해](#access-control-owner)
+ [리소스 액세스 관리](#access-control-manage-access-intro)
+ [정책 요소 지정: 리소스, 작업, 효과 및 보안 주체](#access-control-specify-r53-actions)
+ [정책에서 조건 지정](#specifying-conditions)
## Amazon Route 53 리소스의 ARN
Amazon Route 53는 DNS, 상태 확인, 도메인 등록을 위해 다양한 리소스 유형을 지원합니다. 정책에서 ARN에 대해 `*`를 사용하여 다음 리소스에 대한 액세스 권한을 부여하거나 거부할 수 있습니다.
+ 건전성 체크
+ 호스팅 영역
+ 재사용 가능한 위임 세트
+ 리소스 레코드 세트 변경 배치의 상태(API에 한함)
+ 트래픽 정책(트래픽 흐름)
+ 트래픽 정책 인스턴스(트래픽 흐름)
권한을 지원하지 않는 Route 53 리소스도 있습니다. 다음 리소스의 경우, 액세스 권한을 부여하거나 거부할 수 없습니다.
+ 도메인
+ 개별 레코드
+ 도메인 태그
+ 상태 확인 태그
+ 호스팅 영역 태그
Route 53는 이러한 각 유형의 리소스로 작업하기 위한 API 작업을 제공합니다. 자세한 내용은 [Amazon Route 53 API Reference](https://docs.aws.amazon.com/Route53/latest/APIReference/)를 확인하십시오. 작업과 각 작업을 사용할 권한을 부여하거나 거부하기 위해 지정하는 ARN의 목록은 [Amazon Route 53 API 권한: 작업, 리소스 및 조건 참조](r53-api-permissions-ref.md) 단원을 참조하십시오.
## 리소스 소유권 이해
AWS 계정은 누가 리소스를 생성했는지에 관계없이 계정에 생성된 리소스를 소유합니다. 특히 리소스 소유자는 리소스 생성 요청을 인증하는 AWS 보안 주체 엔터티(즉, 루트 계정 또는 IAM 역할)의 계정입니다.
다음 예제에서는 이러한 작동 방법을 설명합니다.
+ AWS 계정의 루트 계정 자격 증명을 사용하여 호스팅 영역을 생성하는 경우 AWS 계정은 리소스의 소유자입니다.
+ AWS 계정에서 사용자를 생성하고 해당 사용자에게 호스팅 영역을 생성할 수 있는 권한을 부여하는 경우 사용자는 호스팅 영역을 생성할 수 있습니다. 하지만 호스팅 영역 리소스는 해당 사용자가 속한 AWS 계정이 소유합니다.
+ AWS 계정에서 호스팅 영역을 생성할 권한이 있는 IAM 역할을 생성하는 경우 해당 역할을 수임할 수 있는 사람은 누구나 호스팅 영역을 생성할 수 있습니다. 역할이 속한 AWS 계정이 호스팅 영역 리소스를 소유합니다.
## 리소스 액세스 관리
*권한 정책*은 누가 무엇에 액세스 할 수 있는지를 지정합니다. 이 섹션에서는 Amazon Route 53에 대한 권한 정책을 생성하기 위한 옵션을 설명합니다. IAM 정책 구문과 설명에 대한 일반적인 내용은 *IAM 사용 설명서*의 [AWS IAM 정책 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)를 참조하세요.
IAM 자격 증명에 연결된 정책을 *자격 증명 기반(identity-based)* 정책(IAM 정책)이라 하고 리소스에 연결된 정책을 *리소스 기반(resource-based)* 정책이라고 합니다. Route 53는 자격 증명 기반 정책(IAM 정책)만 지원합니다.
**Topics**
+ [자격 증명 기반 정책(IAM 정책)](#access-control-manage-access-intro-iam-policies)
+ [리소스 기반 정책](#access-control-manage-access-intro-resource-policies)
### 자격 증명 기반 정책(IAM 정책)
정책을 IAM 보안 인증에 연결할 수 있습니다. 예를 들면, 다음을 수행할 수 있습니다.
+ **계정 내 사용자 또는 그룹에 권한 정책 연결** - 계정 관리자는 특정 사용자에 연결된 권한 정책을 사용하여 해당 사용자에게 Amazon Route 53 리소스 생성 권한을 부여할 수 있습니다.
+ **역할에 권한 정책 연결(교차 계정 권한 부여) - 다른 계정**에서 생성한 사용자에게 Route 53 작업을 수행할 수 있는 권한을 부여할 수 AWS 있습니다. 이렇게 하려면 권한 정책을 IAM 역할에 연결한 다음 다른 계정의 사용자가 역할을 담당할 수 있도록 허용합니다. 다음 예제에서는 계정 A와 계정 B라는 두 개의 AWS 계정에 대해 이 작업을 적용하는 방법을 설명합니다.
1. 계정 A 관리자는 IAM 역할을 생성하고 계정 A가 소유한 리소스를 생성하거나 액세스할 권한을 부여하는 권한 정책을 역할에 연결합니다.
1. 계정 A 관리자는 신뢰 정책을 역할에 연결합니다. 신뢰 정책은 역할을 담당할 수 있는 보안 주체로 계정 B를 식별합니다.
1. 그런 다음 계정 B 관리자는 역할을 담당할 권한을 계정 B의 사용자 또는 그룹에게 위임할 수 있습니다. 이렇게 하면 계정 B의 사용자가 계정 A에서 리소스를 생성하거나 액세스할 수 있습니다.
다른 AWS 계정의 사용자에게 권한을 위임하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*의 [액세스 관리를](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) 참조하세요.
다음 예제 정책은 사용자가 `CreateHostedZone` 작업을 수행하여 AWS 계정에 대한 퍼블릭 호스팅 영역을 생성할 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone"
],
"Resource":"*"
}
]
}
```
------
정책을 프라이빗 호스팅 영역에도 적용하려면 아래 예제와 같이 Route 53 `AssociateVPCWithHostedZone` 작업 및 두 가지 Amazon EC2 작업, 즉 `DescribeVpcs` 및 `DescribeRegion`을 사용할 수 있는 권한을 부여해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeRegions"
],
"Resource": "*"
}
]
}
```
------
Route 53 자격 증명에 정책을 연결하는 방법에 대한 자세한 내용은 [Amazon Route 53에 대한 자격 증명 기반 정책(IAM 정책) 사용](access-control-managing-permissions.md) 섹션을 참조하세요. 사용자, 그룹, 역할 및 권한에 대한 자세한 내용은 *IAM User Guide*의 [Identities (users, groups, and roles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)를 참조하세요.
### 리소스 기반 정책
Amazon S3 등 다른 서비스에서도 권한 정책을 리소스에 연결할 수 있습니다. 예를 들어, 정책을 S3 버킷에 연결하여 해당 버킷에 대한 액세스 권한을 관리할 수 있습니다. Amazon Route 53는 리소스에 정책을 연결하는 것을 지원하지 않습니다.
## 정책 요소 지정: 리소스, 작업, 효과 및 보안 주체
Amazon Route 53에는 각 Route 53 리소스([Amazon Route 53 리소스의 ARN](#access-control-resources) 참조)에서 사용할 수 있는 API 작업([Amazon Route 53 API 참조](https://docs.aws.amazon.com/Route53/latest/APIReference/))이 포함되어 있습니다. 사용자 또는 연동 사용자에게 이러한 작업 중 하나 또는 전부를 수행할 권한을 부여할 수 있습니다. 도메인 등록과 같은 일부 API 작업을 수행하려면 둘 이상의 작업에 대한 권한이 필요할 수 있습니다.
다음은 기본 정책 요소입니다.
+ **리소스** – Amazon 리소스 이름(ARN)을 사용하여 정책을 적용할 리소스를 식별합니다. 자세한 설명은 [Amazon Route 53 리소스의 ARN](#access-control-resources) 섹션을 참조하십시오.
+ **작업** – 작업 키워드를 사용하여 허용 또는 거부할 리소스 작업을 식별합니다. 예를 들어, 지정된 `Effect`에 따라 사용자는 `route53:CreateHostedZone` 권한으로 Route 53 `CreateHostedZone` 작업을 수행할 수 있거나 수행할 수 없습니다.
+ **효과** – 사용자가 지정된 리소스에서 작업을 수행하려고 할 때 효과를 허용 또는 거부로 지정합니다. 작업에 대한 액세스 권한을 명시적으로 부여하지 않으면 액세스는 묵시적으로 거부됩니다. 다른 정책에서 액세스 권한을 부여하는 경우라도 사용자가 해당 리소스에 액세스할 수 없도록 하기 위해 리소스에 대한 권한을 명시적으로 거부할 수도 있습니다.
+ **보안 주체** – ID 기반 정책(IAM 정책)에서 정책이 연결되는 사용자는 암시적인 보안 주체입니다. 리소스 기반 정책의 경우, 사용자, 계정, 서비스 또는 권한의 수신자인 기타 개체를 지정합니다(리소스 기반 정책에만 해당). Route 53에서는 리소스 기반 정책을 지원하지 않습니다.
IAM 정책 구문과 설명에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS IAM 정책 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)를 참조하세요.
모든 Route 53 API 작업과 해당 작업이 적용되는 리소스를 보여주는 표(table) 은 [Amazon Route 53 API 권한: 작업, 리소스 및 조건 참조](r53-api-permissions-ref.md) 섹션을 참조하세요.
## 정책에서 조건 지정
권한을 부여할 때 IAM 정책 언어를 사용하여 정책이 언제 적용되는지를 지정할 수 있습니다. 예를 들어, 특정 날짜 이후에만 정책을 적용할 수 있습니다. 정책 언어의 조건 지정에 대한 자세한 내용은 *IAM 사용 안내서*의 [IAM JSON 정책 요소: 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하세요.
조건을 표시하려면 미리 정의된 조건 키를 사용합니다. Route 53에만 해당되는 특정한 조건 키는 없습니다. 그러나 필요에 따라 사용할 수 있는 AWS 광범위한 조건 키가 있습니다. 전체 AWS 와이드 키 목록은 *IAM 사용 설명서*의 [조건에 사용 가능한 키를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) 참조하세요.
# Amazon Route 53에 대한 자격 증명 기반 정책(IAM 정책) 사용
이 주제에서는 자격 증명 기반 정책의 예를 통해 계정 관리자가 IAM 자격 증명에 권한 정책을 연결함으로써 Amazon Route 53 리소스에 대한 작업 수행 권한을 부여하는 방법을 보여 줍니다.
**중요**
Route 53 리소스 액세스를 관리하기 위한 기본 개념과 옵션을 설명하는 소개 주제를 먼저 읽어 보는 것이 좋습니다. 자세한 내용은 [Amazon Route 53 리소스에 대한 액세스 권한 관리 개요](access-control-overview.md) 단원을 참조하십시오.
**참고**
액세스 권한을 부여할 때 호스팅 영역과 Amazon VPC가 동일한 파티션에 속해 있어야 합니다. 파티션은의 그룹입니다 AWS 리전. 각 AWS 계정 는 하나의 파티션으로 범위가 지정됩니다.
지원되는 파티션은 다음과 같습니다.
`aws` - AWS 리전
`aws-cn` - 중국 리전
`aws-us-gov` - AWS GovCloud (US) Region
자세한 내용은 *AWS 일반 참조*의 [액세스 관리](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) 및 [Amazon Route 53 엔드포인트 및 할당량](https://docs.aws.amazon.com/general/latest/gr/r53.html)을 참조하세요.
**Topics**
+ [Amazon Route 53 콘솔 사용에 필요한 권한](#console-required-permissions)
+ [도메인 레코드 소유자에 대한 사용 권한 예제](#example-permissions-record-owner)
+ [DNSSEC 서명에 필요한 Route 53 고객 관리형 키 권한](#KMS-key-policy-for-DNSSEC)
+ [고객 관리형 정책 예제](#access-policy-examples-for-sdk-cli)
다음 예는 권한 정책을 보여 줍니다. `Sid`(문 ID)는 선택 사항입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "AllowPublicHostedZonePermissions",
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53:UpdateHostedZoneComment",
"route53:GetHostedZone",
"route53:ListHostedZones",
"route53:DeleteHostedZone",
"route53:ChangeResourceRecordSets",
"route53:ListResourceRecordSets",
"route53:GetHostedZoneCount",
"route53:ListHostedZonesByName"
],
"Resource": "*"
},
{
"Sid" : "AllowHealthCheckPermissions",
"Effect": "Allow",
"Action": [
"route53:CreateHealthCheck",
"route53:UpdateHealthCheck",
"route53:GetHealthCheck",
"route53:ListHealthChecks",
"route53:DeleteHealthCheck",
"route53:GetCheckerIpRanges",
"route53:GetHealthCheckCount",
"route53:GetHealthCheckStatus",
"route53:GetHealthCheckLastFailureReason"
],
"Resource": "*"
}
]
}
```
------
이 정책에는 두 가지 문이 포함됩니다.
+ 첫 번째 문은 퍼블릭 호스팅 영역과 그 레코드를 생성 및 관리하는 데 필요한 작업에 대한 권한을 부여합니다. Amazon 리소스 이름(ARN)의 와일드카드 문자(\$1)는 현재 AWS 계정이 소유한 모든 호스팅 영역에 대한 액세스 권한을 부여합니다.
+ 두 번째 문은 상태 확인을 생성 및 관리하는 데 필요한 모든 작업 권한을 부여합니다.
작업과 각 작업을 사용할 권한을 부여하거나 거부하기 위해 지정하는 ARN의 목록은 [Amazon Route 53 API 권한: 작업, 리소스 및 조건 참조](r53-api-permissions-ref.md) 단원을 참조하세요.
## Amazon Route 53 콘솔 사용에 필요한 권한
Amazon Route 53 콘솔에 대한 전체 액세스 권한을 부여하려면 다음 권한 정책에서 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"route53:*",
"route53domains:*",
"tag:*",
"ssm:GetParametersByPath",
"cloudfront:ListDistributions",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticbeanstalk:DescribeEnvironments",
"s3:ListAllMyBuckets",
"s3:GetBucketLocation",
"s3:GetBucketWebsite",
"ec2:DescribeRegions",
"ec2:DescribeVpcs",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:ModifyNetworkInterfaceAttribute",
"sns:ListTopics",
"sns:ListSubscriptionsByTopic",
"sns:CreateTopic",
"kms:ListAliases",
"kms:DescribeKey",
"kms:CreateKey",
"kms:CreateAlias",
"kms:Sign",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms",
"cloudwatch:GetMetricStatistics"
],
"Resource":"*"
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": "arn:aws:apigateway:*::/domainnames"
}
]
}
```
------
다음은 권한이 필요한 이유입니다.
**`route53:*`**
다음을 *제외한* 모든 Route 53 작업을 수행할 수 있습니다.
+ **별칭 대상(Alias Target)** 값이 CloudFront 배포, Elastic Load Balancing 로드 밸런서, Elastic Beanstalk 환경 또는 Amazon S3 버킷인 별칭 레코드를 생성 및 업데이트합니다. (이 권한으로 [**Alias Target**] 값이 동일한 호스팅 영역의 다른 레코드가 되는 별칭 레코드를 생성할 수 있습니다.)
+ 프라이빗 호스팅 영역 작업
+ 도메인 작업
+ CloudWatch 경보를 생성하고, 삭제하고, 볼 수 있게 해줍니다.
+ Route 53 콘솔에서 CloudWatch 지표을 렌더링합니다.
**`route53domains:*`**
도메인에 대한 작업을 할 수 있게 해줍니다.
`route53` 작업을 개별적으로 나열하는 경우, 도메인을 작업할 `route53:CreateHostedZone`을 포함해야 합니다. 도메인을 등록하는 동시에 호스팅 영역이 생성되므로, 도메인 등록 권한이 포함된 정책에는 호스팅 영역을 생성할 권한도 필요합니다.
도메인 등록과 관련해 Route 53는 개별 리소스에 대한 권한 부여 또는 거부를 지원하지 않습니다.
**`route53resolver:*`**
Route 53 VPC Resolver로 작업할 수 있습니다.
**`ssm:GetParametersByPath`**
새 별칭 레코드, 프라이빗 호스팅 영역 및 상태 확인을 생성할 때 공개적으로 사용 가능한 리전을 가져올 수 있습니다.
**`cloudfront:ListDistributions`**
**별칭 대상(Alias Target)**의 값이 CloudFront 배포인 별칭 레코드를 생성 및 업데이트할 수 있게 해줍니다.
Route 53 콘솔을 사용하지 않는 경우에는 이러한 권한이 필요하지 않습니다. Route 53는 콘솔에 표시할 배포 목록을 가져오는 데만 이 권한을 사용합니다.
**`elasticloadbalancing:DescribeLoadBalancers`**
[**Alias Target**]의 값이 ELB 로드 밸런서인 별칭 레코드를 생성 및 업데이트할 수 있게 해줍니다.
Route 53 콘솔을 사용하지 않는 경우에는 이러한 권한이 필요하지 않습니다. Route 53는 콘솔에 표시할 로드 밸런서 목록을 가져오는 데만 이 권한을 사용합니다.
**`elasticbeanstalk:DescribeEnvironments`**
**별칭 대상(Alias Target)**의 값이 Elastic Beanstalk 환경인 별칭 레코드를 생성 및 업데이트할 수 있게 해줍니다.
Route 53 콘솔을 사용하지 않는 경우에는 이러한 권한이 필요하지 않습니다. Route 53는 콘솔에 표시할 환경 목록을 가져오는 데만 이 권한을 사용합니다.
**`s3:ListAllMyBuckets`, `s3:GetBucketLocation` 및 `s3:GetBucketWebsite`**
**별칭 대상(Alias Target)**의 값이 Amazon S3 버킷인 별칭 레코드를 생성 및 업데이트할 수 있게 해줍니다. (버킷이 웹 사이트 엔드포인트로 구성되어 있는 경우에만 Amazon S3 버킷의 별칭을 생성할 수 있습니다. `s3:GetBucketWebsite`는 필요한 구성 정보를 가져옵니다.)
Route 53 콘솔을 사용하지 않는 경우에는 이러한 권한이 필요하지 않습니다. Route 53는 콘솔에 표시할 버킷 목록을 가져오는 데만 이 권한을 사용합니다.
**`ec2:DescribeVpcs` 및 `ec2:DescribeRegions`**
프라이빗 호스팅 영역에 대한 작업을 할 수 있게 해줍니다.
**나열된 모든 `ec2` 권한**
Route 53 VPC Resolver로 작업할 수 있습니다.
**`sns:ListTopics`, `sns:ListSubscriptionsByTopic`, `sns:CreateTopic`, `cloudwatch:DescribeAlarms`, `cloudwatch:PutMetricAlarm`, `cloudwatch:DeleteAlarms`**
CloudWatch 경보를 생성하고, 삭제하고, 볼 수 있게 해줍니다.
**`cloudwatch:GetMetricStatistics`**
CloudWatch 지표 상태 확인을 생성할 수 있게 해줍니다.
Route 53 콘솔을 사용하지 않는 경우에는 이러한 권한이 필요하지 않습니다. Route 53는 콘솔에 표시할 통계를 가져오는 데만 이 권한을 사용합니다.
**`apigateway:GET`**
**별칭 대상(Alias Target)**의 값이 Amazon API Gateway API인 별칭 레코드를 생성 및 업데이트할 수 있게 해줍니다.
Route 53 콘솔을 사용하지 않는 경우에는 이 권한이 필요하지 않습니다. Route 53는 콘솔에 표시할 API 목록을 가져오는 데만 이 권한을 사용합니다.
**`kms:*`**
를 사용하여 DNSSEC 서명을 활성화 AWS KMS 할 수 있습니다.
## 도메인 레코드 소유자에 대한 사용 권한 예제
리소스 레코드 세트 권한을 사용하면 AWS 사용자가 업데이트하거나 수정할 수 있는 항목을 제한하는 세분화된 권한을 설정할 수 있습니다. 자세한 내용은 [IAM 정책 조건을 사용하여 세분화된 액세스 제어 구현](specifying-conditions-route53.md) 단원을 참조하십시오.
일부 시나리오에서는 호스팅 영역 소유자가 호스팅 영역의 전반적인 관리를 담당하고 조직의 다른 사람이 이러한 태스크의 하위 집합을 담당합니다. 예를 들어 DNSSEC 서명을 활성화한 호스팅 영역 소유자는 다른 사용자가 다른 태스크 중에 호스팅 영역의 리소스 세트 레코드(RR)를 추가하고 삭제할 수 있는 권한을 포함하는 IAM 정책을 생성하려고 할 수 있습니다. 호스팅 영역 소유자가 레코드 소유자 또는 다른 사용자에 대해 사용하도록 선택하는 특정 권한은 조직의 정책에 따라 달라집니다.
다음은 레코드 소유자가 RR, 트래픽 정책 및 상태 확인을 수정할 수 있도록 허용하는 IAM 정책의 예입니다. 이 정책을 사용하는 레코드 소유자는 영역 만들기 또는 삭제, 쿼리 로깅 활성화 또는 비활성화, 재사용 가능한 위임 집합 만들기 또는 삭제, DNSSEC 설정 변경과 같은 영역 수준 작업을 수행할 수 없습니다.
```
{
"Sid": "Do not allow zone-level modification ",
"Effect": "Allow",
"Action": [
"route53:ChangeResourceRecordSets",
"route53:CreateTrafficPolicy",
"route53:DeleteTrafficPolicy",
"route53:CreateTrafficPolicyInstance",
"route53:CreateTrafficPolicyVersion",
"route53:UpdateTrafficPolicyInstance",
"route53:UpdateTrafficPolicyComment",
"route53:DeleteTrafficPolicyInstance",
"route53:CreateHealthCheck",
"route53:UpdateHealthCheck",
"route53:DeleteHealthCheck",
"route53:List*",
"route53:Get*"
],
"Resource": [
"*"
]
}
```
## DNSSEC 서명에 필요한 Route 53 고객 관리형 키 권한
Route 53에 대해 DNSSEC 서명을 활성화하면 Route 53는 AWS Key Management Service ()의 고객 관리형 키를 기반으로 KSK(키 서명 키)를 생성합니다AWS KMS. DNSSEC 서명을 지원하는 기존 고객 관리형 키를 사용하거나 새 고객 관리형 키를 생성할 수 있습니다. Route 53는 고객 관리형 키에 액세스할 수 있는 권한이 있어야 KSK를 생성할 수 있습니다.
Route 53가 고객 관리형 키에 액세스할 수 있도록 하려면 고객 관리형 키 정책에 다음 설명이 포함되어 있는지 확인해야 합니다.
```
{
"Sid": "Allow Route 53 DNSSEC Service",
"Effect": "Allow",
"Principal": {
"Service": "dnssec-route53.amazonaws.com"
},
"Action": ["kms:DescribeKey",
"kms:GetPublicKey",
"kms:Sign"],
"Resource": "*"
},
{
"Sid": "Allow Route 53 DNSSEC to CreateGrant",
"Effect": "Allow",
"Principal": {
"Service": "dnssec-route53.amazonaws.com"
},
"Action": ["kms:CreateGrant"],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
```
혼동된 대리자 문제는 작업 권한이 없는 엔터티가 권한이 더 많은 엔터티에게 작업을 수행하도록 강요할 수 있는 보안 문제입니다. AWS KMS 를 보호하기 위해 `aws:SourceAccount` 및 `aws:SourceArn` 조건(둘 다 또는 하나)의 조합을 제공하여 리소스 기반 정책의 리소스에 대한 서비스 권한을 선택적으로 제한할 수 있습니다. `aws:SourceAccount`는 호스팅 영역 소유자의 AWS 계정 ID입니다. `aws:SourceArn`는 호스팅 영역의 ARN입니다.
다음은 추가할 수 있는 권한의 두 가지 예입니다.
```
{
"Sid": "Allow Route 53 DNSSEC Service",
…
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:route53:::hostedzone/HOSTED_ZONE_ID"
}
}
},
```
– 또는 -
```
{
"Sid": "Allow Route 53 DNSSEC Service",
…
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ["1111-2222-3333","4444-5555-6666"]
},
"ArnLike": {
"aws:SourceArn": "arn:aws:route53:::hostedzone/*"
}
}
},
```
자세한 내용은 *IAM 사용 설명서*의 [혼동된 대리자 문제](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)를 참조하세요.
## 고객 관리형 정책 예제
Route 53 작업에 대한 권한을 허용하는 고유의 사용자 지정 IAM 정책을 생성할 수 있습니다. 지정된 권한이 필요한 IAM 그룹에 이러한 사용자 지정 정책을 연결할 수 있습니다. 이러한 정책은 Route 53 API, AWS SDKs 또는 AWS CLI를 사용할 때 작동합니다. 다음 예제에서는 몇 가지 일반적인 사용 사례의 권한을 보여 줍니다. 사용자에게 Route 53에 대한 전체 액세스 권한을 부여하는 정책에 대해서는 [Amazon Route 53 콘솔 사용에 필요한 권한](#console-required-permissions) 섹션을 참조하세요.
**Topics**
+ [예 1: 모든 호스팅 영역에 대한 읽기 액세스 허용](#access-policy-example-allow-read-hosted-zones)
+ [예 2: 호스팅 영역 생성 및 삭제 허용](#access-policy-example-allow-create-delete-hosted-zones)
+ [예 3: 모든 도메인에 대한 전체 액세스 허용(퍼블릭 호스팅 영역만 해당)](#access-policy-example-allow-full-domain-access)
+ [예제 4: 인바운드 및 아웃바운드 Route 53 VPC Resolver 엔드포인트 생성 허용](#access-policy-example-create-resolver-endpoints)
### 예 1: 모든 호스팅 영역에 대한 읽기 액세스 허용
다음 권한 정책은 모든 호스팅 영역을 나열하고 호스팅 영역의 모든 레코드를 볼 수 있는 권한을 사용자에게 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"route53:GetHostedZone",
"route53:ListResourceRecordSets"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["route53:ListHostedZones"],
"Resource":"*"
}
]
}
```
------
### 예 2: 호스팅 영역 생성 및 삭제 허용
다음 권한 정책은 사용자가 호스팅 영역을 생성 및 업데이트하고, 변경 진행 상황을 추적할 수 있도록 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["route53:CreateHostedZone"],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["route53:DeleteHostedZone"],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["route53:GetChange"],
"Resource":"*"
}
]
}
```
------
### 예 3: 모든 도메인에 대한 전체 액세스 허용(퍼블릭 호스팅 영역만 해당)
다음 권한 정책은 도메인 등록 권한과 호스팅 영역 생성 권한을 비롯하여 사용자가 도메인 등록에 관한 모든 작업을 수행할 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"route53domains:*",
"route53:CreateHostedZone"
],
"Resource":"*"
}
]
}
```
------
도메인을 등록하는 동시에 호스팅 영역이 생성되므로, 도메인 등록 권한이 포함된 정책에는 호스팅 영역을 생성할 권한도 필요합니다. (도메인 등록과 관련해 Route 53는 개별 리소스에 대한 권한 부여를 지원하지 않습니다.)
프라이빗 호스팅 영역 작업에 필요한 권한은 [Amazon Route 53 콘솔 사용에 필요한 권한](#console-required-permissions) 단원을 참조하십시오.
### 예제 4: 인바운드 및 아웃바운드 Route 53 VPC Resolver 엔드포인트 생성 허용
다음 권한 정책은 사용자가 Route 53 콘솔을 사용하여 Resolver 인바운드 및 아웃바운드 엔드포인트를 생성할 수 있도록 허용합니다.
이러한 권한 중 일부는 콘솔에서 엔드포인트를 생성하는 데에만 필요합니다. 프로그래밍 방식으로 인바운드 및 아웃바운드 엔드포인트를 생성할 수 있는 권한만 부여하려는 경우 이러한 권한을 생략할 수 있습니다.
+ `route53resolver:ListResolverEndpoints`를 사용하면 엔드포인트가 생성되었는지 확인할 수 있도록 인바운드 또는 아웃바운드 엔드포인트 목록을 볼 수 있습니다.
+ 가용 영역 목록을 표시하려면`DescribeAvailabilityZones`이 필요합니다.
+ `DescribeVpcs`는 VPC 목록을 표시해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"route53resolver:CreateResolverEndpoint",
"route53resolver:ListResolverEndpoints",
"ec2:CreateNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": "*"
}
]
}
```
------
# 에 서비스 연결 역할 사용 Amazon Route 53 Resolver
Route 53 VPC Resolver는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 VPC Resolver에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 VPC Resolver에서 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할을 사용하면 VPC Resolver를 더 쉽게 설정할 수 있습니다. VPC Resolver는 서비스 연결 역할의 권한을 정의하며, 달리 정의되지 않은 한 VPC Resolver만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며, 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
먼저 관련 리소스를 삭제한 후에만 서비스 링크 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 실수로 제거할 수 없으므로 VPC Resolver 리소스가 보호됩니다.
서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조하고 **서비스 연결 역할(Service-Linked Role)** 열에 **예(Yes)**가 있는 서비스를 찾으세요. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예(Yes)** 링크를 선택합니다.
**Topics**
+ [VPC Resolver에 대한 서비스 연결 역할 권한](#slr-permissions)
+ [VPC Resolver에 대한 서비스 연결 역할 생성](#create-slr)
+ [VPC Resolver에 대한 서비스 연결 역할 편집](#edit-slr)
+ [VPC Resolver에 대한 서비스 연결 역할 삭제](#delete-slr)
+ [VPC Resolver 서비스 연결 역할에 지원되는 리전](#slr-regions)
## VPC Resolver에 대한 서비스 연결 역할 권한
VPC Resolver는 **`AWSServiceRoleForRoute53Resolver`** 서비스 연결 역할을 사용하여 사용자를 대신하여 쿼리 로그를 전송합니다.
역할 권한 정책은 VPC Resolver가 리소스에서 다음 작업을 완료하도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups",
"s3:GetBucketPolicy"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서**의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) 섹션을 참조하세요.
## VPC Resolver에 대한 서비스 연결 역할 생성
서비스 연결 역할은 수동으로 생성할 필요가 없습니다. Amazon Route 53 콘솔 AWS CLI, 또는 AWS API에서 해석기 쿼리 로그 구성 연결을 생성하면 VPC Resolver가 서비스 연결 역할을 생성합니다.
**중요**
이러한 서비스 연결 역할은 해당 역할이 지원하는 기능을 사용하는 다른 서비스에서 작업을 완료했을 경우 계정에 나타날 수 있습니다. 또한 서비스 연결 역할을 지원하기 시작한 2020년 8월 12일 이전에 VPC Resolver 서비스를 사용 중이었다면 VPC Resolver가 계정에 `AWSServiceRoleForRoute53Resolver` 역할을 생성했습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요.
이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. 새 Resolver 쿼리 로그 구성 연결을 생성하면 `AWSServiceRoleForRoute53Resolver` 서비스 연결 역할이 다시 생성됩니다.
## VPC Resolver에 대한 서비스 연결 역할 편집
VPC Resolver는 `AWSServiceRoleForRoute53Resolver` 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서**의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
## VPC Resolver에 대한 서비스 연결 역할 삭제
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.
**참고**
리소스를 삭제하려고 할 때 VPC Resolver 서비스가 역할을 사용하는 경우 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.
**에서 사용하는 VPC Resolver 리소스를 삭제하려면 `AWSServiceRoleForRoute53Resolver`**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. Route 53 콘솔 메뉴를 확장합니다. 콘솔의 왼쪽 상단 모서리에서 세 개의 가로 막대(![\[Menu icon\]](http://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/images/menu-icon.png)) 아이콘을 선택합니다.
1. **Resolver** 메뉴에서 **쿼리 로깅(Query logging)**을 선택합니다.
1. 쿼리 로깅 구성 이름 옆의 확인란을 선택한 다음 **삭제(Delete)**를 선택합니다.
1. **쿼리 로깅 구성 삭제(Delete query logging configuration)** 텍스트 상자에서 **쿼리 로깅 중지(Stop logging queries)**를 선택합니다.
이렇게 하면 VPC 구성 연결이 해제됩니다. 쿼리 로깅 구성을 프로그래밍 방식으로 연결 해제할 수도 있습니다. 자세한 내용은 [disassociate-resolver-query-log-config](https://docs.aws.amazon.com//cli/latest/reference/route53resolver/disassociate-resolver-query-log-config.html) 섹션을 참조하세요.
1. 쿼리 로깅이 중지된 후 필드에 선택적으로 **delete**을 입력하고 **삭제(Delete)**를 선택하여 쿼리 로깅 구성을 삭제할 수 있습니다. 그러나 `AWSServiceRoleForRoute53Resolver`에서 사용하는 리소스를 삭제하는 데는 이 절차가 필요하지 않습니다.
**IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.**
IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 `AWSServiceRoleForRoute53Resolver` 서비스 연결 역할을 삭제합니다. 자세한 내용은 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)의 *서비스 연결 역할 삭제*를 참조하세요.
## VPC Resolver 서비스 연결 역할에 지원되는 리전
VPC Resolver는 서비스를 사용할 수 있는 모든 리전에서 서비스 연결 역할 사용을 지원하지 않습니다. 다음 리전에서 `AWSServiceRoleForRoute53Resolver` 역할을 사용할 수 있습니다.
****
| 리전 이름 | 리전 자격 증명 | VPC Resolver에서 지원 |
| --- | --- | --- |
| 미국 동부(버지니아 북부) | us-east-1 | 예 |
| 미국 동부(오하이오) | us-east-2 | 예 |
| 미국 서부(캘리포니아 북부) | us-west-1 | 예 |
| 미국 서부(오리건) | us-west-2 | 예 |
| 아시아 태평양(뭄바이) | ap-south-1 | 예 |
| 아시아 태평양(오사카) | ap-northeast-3 | 예 |
| 아시아 태평양(서울) | ap-northeast-2 | 예 |
| 아시아 태평양(싱가포르) | ap-southeast-1 | 예 |
| 아시아 태평양(시드니) | ap-southeast-2 | 예 |
| 아시아 태평양(도쿄) | ap-northeast-1 | 예 |
| 캐나다(중부) | ca-central-1 | 예 |
| 유럽(프랑크푸르트) | eu-central-1 | 예 |
| 유럽(아일랜드) | eu-west-1 | 예 |
| 유럽(런던) | eu-west-2 | 예 |
| 유럽(파리) | eu-west-3 | 예 |
| 남아메리카(상파울루) | sa-east-1 | 예 |
| 중국(베이징) | cn-north-1 | 예 |
| 중국(닝샤) | cn-northwest-1 | 예 |
| AWS GovCloud (US) | us-gov-east-1 | 예 |
| AWS GovCloud (US) | us-gov-west-1 | 예 |
# AWS Amazon Route 53에 대한 관리형 정책
AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 줍니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 *IAM 사용자 가이드*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.
## AWS 관리형 정책: AmazonRoute53FullAccess
`AmazonRoute53FullAccess` 정책을 IAM ID에 연결할 수 있습니다.
이 정책은 도메인 등록 및 상태 확인을 포함하여 Route 53 리소스에 대한 전체 액세스 권한을 부여하지만 VPC Resolver는 제외합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `route53:*` - 다음을 *제외*한 모든 Route 53 작업을 수행할 수 있게 해줍니다.
+ **별칭 대상(Alias Target)** 값이 CloudFront 배포, Elastic Load Balancing 로드 밸런서, Elastic Beanstalk 환경 또는 Amazon S3 버킷인 별칭 레코드를 생성 및 업데이트합니다. (이 권한으로 [**Alias Target**] 값이 동일한 호스팅 영역의 다른 레코드가 되는 별칭 레코드를 생성할 수 있습니다.)
+ 프라이빗 호스팅 영역 작업
+ 도메인 작업
+ CloudWatch 경보를 생성하고, 삭제하고, 볼 수 있게 해줍니다.
+ Route 53 콘솔에서 CloudWatch 지표을 렌더링합니다.
+ `route53domains:*` - 도메인에 대한 작업을 할 수 있게 해줍니다.
+ `cloudfront:ListDistributions` - **별칭 대상(Alias Target)**의 값이 CloudFront 배포인 별칭 레코드를 생성 및 업데이트할 수 있게 해줍니다.
Route 53 콘솔을 사용하지 않는 경우에는 이 권한이 필요하지 않습니다. Route 53은 콘솔에 표시할 배포 목록을 가져오는 데만 이 권한을 사용합니다.
+ `cloudfront:GetDistributionTenantByDomain` - **별칭 대상** 값이 CloudFront 배포 테넌트인 별칭 레코드를 생성하고 업데이트할 수 있도록 CloudFront 다중 테넌트 배포를 가져오는 데 사용됩니다.
+ `cloudfront:GetConnectionGroup` - **별칭 대상** 값이 CloudFront 배포 테넌트인 별칭 레코드를 생성하고 업데이트할 수 있도록 CloudFront 다중 테넌트 배포를 가져오는 데 사용됩니다.
+ `cloudwatch:DescribeAlarms` – `sns:ListTopics` 및 `sns:ListSubscriptionsByTopic`과 함께 CloudWatch 경보를 생성하고, 삭제하고, 볼 수 있게 해줍니다.
+ `cloudwatch:GetMetricStatistics` - CloudWatch 지표 상태 확인을 생성할 수 있게 해줍니다.
Route 53 콘솔을 사용하지 않는 경우에는 이러한 권한이 필요하지 않습니다. Route 53는 콘솔에 표시할 통계를 가져오는 데만 이 권한을 사용합니다.
+ `cloudwatch:GetMetricData` - CloudWatch 상태 확인 지표의 상태를 표시할 수 있게 해줍니다.
+ `ec2:DescribeVpcs` - VPC 목록을 표시할 수 있게 해줍니다.
+ `ec2:DescribeVpcEndpoints` – VPC 엔드포인트 목록을 표시할 수 있게 해줍니다.
+ `ec2:DescribeRegions` - 가용 영역 목록을 표시할 수 있게 해줍니다.
+ `elasticloadbalancing:DescribeLoadBalancers` - **별칭 대상(Alias Target)**의 값이 Elastic Load Balancing 로드 밸런서인 별칭 레코드를 생성 및 업데이트할 수 있게 해줍니다.
Route 53 콘솔을 사용하지 않는 경우에는 이러한 권한이 필요하지 않습니다. Route 53는 콘솔에 표시할 로드 밸런서 목록을 가져오는 데만 이 권한을 사용합니다.
+ `elasticbeanstalk:DescribeEnvironments` - **별칭 대상(Alias Target)**의 값이 Elastic Beanstalk 환경인 별칭 레코드를 생성 및 업데이트할 수 있게 해줍니다.
Route 53 콘솔을 사용하지 않는 경우에는 이러한 권한이 필요하지 않습니다. Route 53는 콘솔에 표시할 환경 목록을 가져오는 데만 이 권한을 사용합니다.
+ `es:ListDomainNames` – 활성 리전에서 현재 사용자가 소유한 모든 Amazon OpenSearch Service 도메인의 이름을 표시할 수 있게 해줍니다.
+ `es:DescribeDomains` - 지정된 Amazon OpenSearch Service 도메인에 대한 도메인 구성을 가져올 수 있게 해줍니다.
+ `lightsail:GetContainerServices` - Lightsail 컨테이너 서비스를 통해 **별칭 대상** 값이 Lightsail 도메인인 별칭 레코드를 생성하고 업데이트할 수 있게 해줍니다.
+ `s3:ListBucket`, `s3:GetBucketLocation` 및 `s3:GetBucketWebsite` - **별칭 대상(Alias Target)**의 값이 Amazon S3 버킷인 별칭 레코드를 생성 및 업데이트할 수 있게 해줍니다. (버킷이 웹 사이트 엔드포인트로 구성되어 있는 경우에만 Amazon S3 버킷의 별칭을 생성할 수 있습니다. `s3:GetBucketWebsite`는 필요한 구성 정보를 가져옵니다.)
Route 53 콘솔을 사용하지 않는 경우에는 이러한 권한이 필요하지 않습니다. Route 53는 콘솔에 표시할 버킷 목록을 가져오는 데만 이 권한을 사용합니다.
+ `sns:ListTopics`, `sns:ListSubscriptionsByTopic`, `cloudwatch:DescribeAlarms` - CloudWatch 경보를 생성하고, 삭제하고, 볼 수 있게 해줍니다.
+ `tag:GetResources` - 리소스에 태그를 표시할 수 있게 해줍니다. 예를 들어 상태 확인의 이름이 있습니다.
+ `apigateway:GET` - **별칭 대상(Alias Target)**의 값이 Amazon API Gateway API인 별칭 레코드를 생성 및 업데이트할 수 있게 해줍니다.
권한에 대한 자세한 내용은 [Amazon Route 53 API 권한: 작업, 리소스 및 조건 참조](r53-api-permissions-ref.md) 섹션을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:*",
"route53domains:*",
"cloudfront:ListDistributions",
"cloudfront:GetDistributionTenantByDomain",
"cloudfront:GetConnectionGroup",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeRegions",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticbeanstalk:DescribeEnvironments",
"es:ListDomainNames",
"es:DescribeDomains",
"lightsail:GetContainerServices",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketWebsite",
"sns:ListTopics",
"sns:ListSubscriptionsByTopic",
"tag:GetResources"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": "arn:aws:apigateway:*::/domainnames"
}
]
}
```
------
## AWS 관리형 정책: AmazonRoute53ReadOnlyAccess
`AmazonRoute53ReadOnlyAccess` 정책을 IAM ID에 연결할 수 있습니다.
이 정책은 도메인 등록 및 상태 확인을 포함하여 Route 53 리소스에 대한 읽기 전용 액세스 권한을 부여하지만 VPC Resolver는 제외합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `route53:Get*` - Route 53 리소스를 가져옵니다.
+ `route53:List*` - Route 53 리소스를 나열합니다.
+ `route53:TestDNSAnswer` - Route 53가 DNS 요청에 응답하여 반환하는 값을 가져옵니다.
권한에 대한 자세한 내용은 [Amazon Route 53 API 권한: 작업, 리소스 및 조건 참조](r53-api-permissions-ref.md) 섹션을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:Get*",
"route53:List*",
"route53:TestDNSAnswer"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 관리형 정책: AmazonRoute53DomainsFullAccess
`AmazonRoute53DomainsFullAccess` 정책을 IAM ID에 연결할 수 있습니다.
이 정책은 Route 53 도메인 등록 리소스에 대한 모든 액세스 권한을 부여합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `route53:CreateHostedZone` - Route 53 호스팅 영역을 생성할 수 있게 해줍니다.
+ `route53domains:*` - 도메인 이름을 등록하고 관련 작업을 수행할 수 있게 해줍니다.
권한에 대한 자세한 내용은 [Amazon Route 53 API 권한: 작업, 리소스 및 조건 참조](r53-api-permissions-ref.md) 섹션을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53domains:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 관리형 정책: AmazonRoute53DomainsReadOnlyAccess
`AmazonRoute53DomainsReadOnlyAccess` 정책을 IAM ID에 연결할 수 있습니다.
이 정책은 Route 53 도메인 등록 리소스에 대한 읽기 전용 액세스 권한을 부여합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `route53domains:Get*` - Route 53에서 도메인 목록을 검색할 수 있게 해줍니다.
+ `route53domains:List*` - Route 53 도메인 목록을 표시할 수 있게 해줍니다.
권한에 대한 자세한 내용은 [Amazon Route 53 API 권한: 작업, 리소스 및 조건 참조](r53-api-permissions-ref.md) 섹션을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53domains:Get*",
"route53domains:List*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 관리형 정책: AmazonRoute53ResolverFullAccess
`AmazonRoute53ResolverFullAccess` 정책을 IAM ID에 연결할 수 있습니다.
이 정책은 Route 53 VPC Resolver 리소스에 대한 전체 액세스 권한을 부여합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `route53resolver:*` - Route 53 콘솔에서 VPC Resolver 리소스를 생성하고 관리할 수 있습니다.
+ `ec2:DescribeSubnets` - Amazon VPC 서브넷을 나열할 수 있게 해줍니다.
+ `ec2:CreateNetworkInterface`, `ec2:DeleteNetworkInterface`, 및 `ec2:ModifyNetworkInterfaceAttribute` - 네트워크 인터페이스를 생성, 수정 및 삭제할 수 있게 해줍니다.
+ `ec2:DescribeNetworkInterfaces` - 네트워크 인터페이스 목록을 표시할 수 있게 해줍니다.
+ `ec2:DescribeSecurityGroups` - 모든 보안 그룹의 목록을 표시할 수 있게 해줍니다.
+ `ec2:DescribeVpcs` - VPC 목록을 표시할 수 있게 해줍니다.
+ `ec2:DescribeAvailabilityZones` - 사용 가능한 영역을 나열할 수 있게 해줍니다.
권한에 대한 자세한 내용은 [Amazon Route 53 API 권한: 작업, 리소스 및 조건 참조](r53-api-permissions-ref.md) 섹션을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverFullAccess",
"Effect": "Allow",
"Action": [
"route53resolver:*",
"ec2:DescribeSubnets",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfaces",
"ec2:CreateNetworkInterfacePermission",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeAvailabilityZones"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 관리형 정책: AmazonRoute53ResolverReadOnlyAccess
`AmazonRoute53ResolverReadOnlyAccess` 정책을 IAM ID에 연결할 수 있습니다.
이 정책은 Route 53 VPC Resolver 리소스에 대한 읽기 전용 액세스 권한을 부여합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `route53resolver:Get*` - VPC Resolver 리소스를 가져옵니다.
+ `route53resolver:List*` - VPC Resolver 리소스 목록을 표시할 수 있습니다.
+ `ec2:DescribeNetworkInterfaces` - 네트워크 인터페이스 목록을 표시할 수 있게 해줍니다.
+ `ec2:DescribeSecurityGroups` - 모든 보안 그룹의 목록을 표시할 수 있게 해줍니다.
권한에 대한 자세한 내용은 [Amazon Route 53 API 권한: 작업, 리소스 및 조건 참조](r53-api-permissions-ref.md) 섹션을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53resolver:Get*",
"route53resolver:List*",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 관리형 정책: Route53ResolverServiceRolePolicy
`Route53ResolverServiceRolePolicy`를 IAM 엔티티에 연결할 수 없습니다. 이 정책은 Route 53 VPC Resolver가 VPC Resolver에서 사용하거나 관리하는 서비스 및 리소스에 액세스할 AWS 수 있도록 허용하는 서비스 연결 역할에 연결됩니다. 자세한 내용은 [에 서비스 연결 역할 사용 Amazon Route 53 Resolver](using-service-linked-roles.md) 단원을 참조하십시오.
## AWS 관리형 정책: AmazonRoute53ProfilesFullAccess
`AmazonRoute53ProfilesReadOnlyAccess` 정책을 IAM ID에 연결할 수 있습니다.
이 정책은 Amazon Route 53 Profile 리소스에 대한 전체 액세스 권한을 부여합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `route53profiles` - Route 53 콘솔에서 Profile 리소스를 만들고 관리할 수 있게 해줍니다.
+ `ec2` - 보안 주체가 VPC에 대한 정보를 가져오도록 허용합니다.
권한에 대한 자세한 내용은 [Amazon Route 53 API 권한: 작업, 리소스 및 조건 참조](r53-api-permissions-ref.md) 섹션을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesFullAccess",
"Effect": "Allow",
"Action": [
"route53profiles:AssociateProfile",
"route53profiles:AssociateResourceToProfile",
"route53profiles:CreateProfile",
"route53profiles:DeleteProfile",
"route53profiles:DisassociateProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation",
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:PutProfilePolicy",
"route53profiles:ListTagsForResource",
"route53profiles:TagResource",
"route53profiles:UntagResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetFirewallRuleGroup",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig",
"route53resolver:GetResolverRule",
"ec2:DescribeVpcs",
"route53:GetHostedZone"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 관리형 정책: AmazonRoute53ProfilesReadOnlyAccess
`AmazonRoute53ProfilesReadOnlyAccess` 정책을 IAM ID에 연결할 수 있습니다.
이 정책은 Amazon Route 53 Profile 리소스에 대한 읽기 전용 액세스 권한을 부여합니다.
** 권한 세부 정보**
권한에 대한 자세한 내용은 [Amazon Route 53 API 권한: 작업, 리소스 및 조건 참조](r53-api-permissions-ref.md) 섹션을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:ListTagsForResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 관리형 정책에 대한 Route 53 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 Route 53의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 Route 53 [문서 기록 페이지(Document history page)](History.md)에서 RSS 피드를 구독하세요.
| 변경 | 설명 | Date |
| --- | --- | --- |
| [AmazonRoute53FullAccess](#security-iam-awsmanpol-AmazonRoute53FullAccess) – 업데이트된 정책 | `cloudwatch:GetMetricData` ,`tag:GetResources`, `es:ListDomainNames`, `es:DescribeDomains`, `cloudfront:GetDistributionTenantByDomain`, `cloudfront:GetConnectionGroup`, `lightsail:GetContainerServices`에 대한 권한을 추가합니다. 이러한 권한을 통해 최대 500개의 CloudWatch 상태 확인 지표, 최대 100개의 상태 확인 이름을 가져오고, 지정된 Amazon OpenSearch Service 도메인에 대한 도메인 구성을 가져오고, 활성 리전의 현재 사용자가 소유한 모든 Amazon OpenSearch Service 도메인의 이름을 나열하고, CloudFront 멀티 테넌트 배포를 가져오고, Lightsail 컨테이너 서비스를 가져올 수 있습니다. | 2025년 6월 1일 |
| [AmazonRoute53ProfilesFullAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesFullAccess) - 정책 업데이트 | `GetProfilePolicy` 및 `PutProfilePolicy`에 대한 권한을 추가합니다. 이는 권한 전용 IAM 작업입니다. IAM 보안 주체에게 이러한 권한이 부여되지 않은 경우 AWS RAM 서비스를 사용하여 프로필을 공유하려고 할 때 오류가 발생합니다. | 2024년 8월 27일 |
| [AmazonRoute53ProfilesReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesReadOnlyAccess) - 정책 업데이트 | `GetProfilePolicy`에 대한 권한을 추가합니다. 권한 전용 IAM 작업입니다. IAM 보안 주체에게이 권한이 부여되지 않은 경우 AWS RAM 서비스를 사용하여 프로파일의 정책에 액세스하려고 시도하는 중 오류가 발생합니다. | 2024년 8월 27일 |
| [AmazonRoute53ResolverFullAccess](#security-iam-awsmanpol-AmazonRoute53ResolverFullAccess) - 정책 업데이트 | 정책을 고유하게 식별하는 문 ID(Sid)가 추가되었습니다. | 2024년 8월 5일 |
| [AmazonRoute53ResolverReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ResolverReadOnlyAccess) - 정책 업데이트 | 정책을 고유하게 식별하는 문 ID(Sid)가 추가되었습니다. | 2024년 8월 5일 |
| [AmazonRoute53ProfilesFullAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesFullAccess) - 새 정책 | Amazon Route 53는 Amazon Route 53 Profile 리소스에 대한 전체 액세스를 허용하는 새 정책을 추가했습니다. | 2024년 4월 22일 |
| [AmazonRoute53ProfilesReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesReadOnlyAccess) - 새 정책 | Amazon Route 53는 Amazon Route 53 Profile 리소스에 대한 읽기 전용 액세스를 허용하는 새 정책을 추가했습니다. | 2024년 4월 22일 |
| [Route53ResolverServiceRolePolicy](#security-iam-awsmanpol-Route53ResolverServiceRolePolicy) - 새 정책 | Amazon Route 53는 VPC Resolver가 Resolver에서 사용하거나 관리하는 AWS 서비스 및 리소스에 액세스할 수 있도록 서비스 연결 역할에 연결된 새 정책을 추가했습니다. | 2021년 7월 14일 |
| [AmazonRoute53ResolverReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ResolverReadOnlyAccess) - 새 정책 | Amazon Route 53는 VPC Resolver 리소스에 대한 읽기 전용 액세스를 허용하는 새 정책을 추가했습니다. | 2021년 7월 14일 |
| [AmazonRoute53ResolverFullAccess](#security-iam-awsmanpol-AmazonRoute53ResolverFullAccess) - 새 정책 | Amazon Route 53는 VPC Resolver 리소스에 대한 전체 액세스를 허용하는 새 정책을 추가했습니다. | 2021년 7월 14일 |
| [AmazonRoute53DomainsReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53DomainsReadOnlyAccess) - 새 정책 | Amazon Route 53는 Route 53 도메인 리소스에 대한 읽기 전용 액세스를 허용하는 새 정책을 추가했습니다. | 2021년 7월 14일 |
| [AmazonRoute53DomainsFullAccess](#security-iam-awsmanpol-AmazonRoute53DomainsFullAccess) - 새 정책 | Amazon Route 53는 Route 53 도메인 리소스에 대한 전체 액세스를 허용하는 새 정책을 추가했습니다. | 2021년 7월 14일 |
| [AmazonRoute53ReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ReadOnlyAccess) - 새 정책 | Amazon Route 53는 Route 53 리소스에 대한 읽기 전용 액세스를 허용하는 새 정책을 추가했습니다. | 2021년 7월 14일 |
| [AmazonRoute53FullAccess](#security-iam-awsmanpol-AmazonRoute53FullAccess) - 새 정책 | Amazon Route 53는 Route 53 리소스에 대한 전체 액세스를 허용하는 새 정책을 추가했습니다. | 2021년 7월 14일 |
| Route 53 변경 내용 추적 시작 | Route 53가 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. | 2021년 7월 14일 |
# IAM 정책 조건을 사용하여 세분화된 액세스 제어 구현
Route 53에서는 IAM 정책을 사용해 권한을 부여할 때 조건을 지정할 수 있습니다([액세스 관리](security-iam.md#access-control) 참조). 예를 들어, 다음을 수행할 수 있습니다.
+ 단일 리소스 레코드 세트에 대한 액세스를 허용하는 권한을 부여합니다.
+ 사용자가 호스팅 영역에서 특정 DNS 레코드 유형(예: A 레코드 및 AAAA 레코드)의 모든 리소스 레코드 세트에 액세스할 수 있도록 권한을 부여합니다.
+ 사용자가 이름에 특정 문자열이 포함된 리소스 레코드 세트에 액세스할 수 있도록 권한을 부여합니다.
+ 사용자가 Route 53 콘솔을 이용하거나 [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) API를 사용할 때 `CREATE | UPSERT | DELETE` 작업의 하위 집합만 수행할 수 있도록 권한을 부여합니다.
+ 사용자가 특정 VPC에서 프라이빗 호스팅 영역을 연결하거나 분리할 수 있는 권한을 부여합니다.
+ 사용자가 특정 VPC와 연결된 호스팅 영역을 나열할 수 있는 권한을 부여합니다.
+ 사용자가 새 프라이빗 호스팅 영역을 생성하고 이를 특정 VPC에 연결할 수 있는 권한을 부여합니다.
+ 사용자가 VPC 연결 권한을 생성하거나 삭제할 수 있는 권한을 부여합니다.
세분화된 권한을 무엇이든 조합하여 권한을 생성할 수도 있습니다.
## Route 53 조건 키 값 정규화
정책 조건에 입력하는 값은 다음과 같이 형식을 지정하거나 정규화해야 합니다.
**`route53:ChangeResourceRecordSetsNormalizedRecordNames`의 경우:**
+ 모든 문자는 소문자여야 합니다.
+ DNS 이름 뒤에는 점이 없어야 합니다.
+ a\$1z, 0\$19, -(하이픈), \$1(밑줄), .(마침표, 레이블 구분 기호) 이외의 문자는 \$1three-digit 8진수 코드 형태로 이스케이프 코드를 사용해야 합니다. 예를 들어 `\052 `는 \$1 문자의 8진수 코드입니다.
**`route53:ChangeResourceRecordSetsActions`의 경우, 값은 다음 중 하나일 수 있으며 대문자여야 합니다.**
+ CREATE
+ UPSERT
+ DELETE
**`route53:ChangeResourceRecordSetsRecordTypes`**의 경우
+ 값은 대문자여야 하며 Route 53에서 지원하는 모든 DNS 레코드 유형일 수 있습니다. 자세한 내용은 [지원되는 DNS 레코드 유형](ResourceRecordTypes.md) 단원을 참조하십시오.
**`route53:VPCs`의 경우:**
+ 값의 형식은 `VPCId=,VPCRegion=`이어야 합니다.
+ `` 및 `` 값은 소문자(예: `VPCId=vpc-123abc`, `VPCRegion=us-east-1`)여야합니다.
+ 컨텍스트 키와 값은 대/소문자를 구분합니다.
**중요**
원하는 대로 작업을 허용하거나 제한할 권한을 얻으려면 다음 규칙을 따라야 합니다. `VPCId` 및 `VPCRegion` 요소만이 조건 키에서 수락되며,와 같은 다른 AWS 리소스 AWS 계정는 지원되지 않습니다.
정책이 예상한 대로 권한을 부여하거나 제한하는지 확인하려면 *IAM 사용 설명서*의 [Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)나 [정책 시뮬레이터](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html)를 사용하면 됩니다. Route 53 작업을 수행하는 테스트 사용자 또는 역할에 IAM 정책을 적용하여 권한을 검증할 수도 있습니다.
## 조건 지정: 조건 키 사용
AWS 는 액세스 제어를 위해 IAM을 지원하는 모든 AWS 서비스에 대해 미리 정의된 조건 키(AWS차원 조건 키) 세트를 제공합니다. 예를 들어 `aws:SourceIp` 조건 키를 사용하여 요청자의 IP 주소를 확인한 후 작업을 수행하도록 허용할 수 있습니다. AWS차원 키에 대한 정보와 목록은 *IAM 사용 설명서*의 [사용 가능한 조건 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)를 참조하세요.
**참고**
Route 53는 태그 기반 조건 키를 지원하지 않습니다.
다음 표는 Route 53에 적용되는 Route 53 서비스별 조건 키를 보여줍니다.
****
| Route 53 조건 키 | API 작업 | 값 유형 | 설명 |
| --- | --- | --- | --- |
| route53:ChangeResourceRecordSetsNormalizedRecordNames | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | 다중 값 | ChangeResourceRecordSets 요청의 DNS 레코드 이름 목록을 나타냅니다. 예상되는 동작을 가져오려면 다음과 같이 IAM 정책의 DNS 이름을 정규화해야 합니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:ChangeResourceRecordSetsRecordTypes | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | 다중 값 | `ChangeResourceRecordSets` 요청의 DNS 레코드 유형 목록을 나타냅니다. `ChangeResourceRecordSetsRecordTypes`은 Route 53에서 지원되는 모든 DNS 레코드 유형이 될 수 있습니다. 자세한 내용은 [지원되는 DNS 레코드 유형](ResourceRecordTypes.md) 단원을 참조하십시오. 정책에는 모두 대문자로 입력해야 합니다. |
| route53:ChangeResourceRecordSetsActions | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | 다중 값 | `ChangeResourceRecordSets` 요청에서 작업 목록을 나타냅니다. `ChangeResourceRecordSetsActions` 값은 다음 중 하나일 수 있습니다(대문자여야 함). [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:VPCs | [AssociateVPCWithHostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_AssociateVPCWithHostedZone.html) [DisassociateVPCFromHostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisassociateVPCFromHostedZone.html) [ListHostedZonesByVPC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ListHostedZonesByVPC.html) [CreateHostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateHostedZone.html) [CreateVPCAssociationAuthorization](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateVPCAssociationAuthorization.html) [DeleteVPCAssociationAuthorization](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DeleteVPCAssociationAuthorization.html) | 다중 값 | AssociateVPCWithHostedZone, DisassociateVPCFromHostedZone, ListHostedZonesByVPC, CreateHostedZone, CreateVPCAssociationAuthorization, DeleteVPCAssociationAuthorization 요청에서 "VPCId=,VPCRegion= 형식의 VPC 목록을 나타냅니다. |
## 정책 예: 조건을 사용하여 세분화된 액세스 구현
이 단원의 각 예제에서는 Effect 절을 Allow로 설정하고 허용할 작업, 리소스, 파라미터만 지정합니다. 액세스는 IAM 정책에 명시적으로 나열된 항목에만 허용됩니다.
경우에 따라, Effect 절을 Deny로 설정하고 정책의 모든 논리를 반전시켜 거부 기반 정책이 되도록 이러한 정책을 다시 작성할 수도 있습니다. 하지만 허용 기반 정책에 비해 올바르게 작성하기가 어려우므로 거부 기반 정책을 사용하지 않는 것이 좋습니다. 특히 Route 53의 경우 텍스트 정규화가 필요하기 때문에 사용하지 않는 것이 좋습니다.
**특정 이름을 사용하는 DNS 레코드에 대한 액세스를 제한하는 권한 부여**
다음 권한 정책은 example.com 및 marketing.example.com의 호스팅 영역 Z12345에서 `ChangeResourceRecordSets` 작업을 허용하는 권한을 부여합니다. `route53:ChangeResourceRecordSetsNormalizedRecordNames` 조건 키를 사용해 지정된 이름과 일치하는 레코드로만 사용자 작업을 제한합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com", "marketing.example.com"]
}
}
}
]
}
```
------
`ForAllValues:StringEquals`는 다중 값 키에 적용되는 IAM 조건 연산자입니다. 위 정책의 조건은 `ChangeResourceRecordSets`의 모든 변경 사항에 example.com라는 DNS 이름이 있는 경우에만 작업을 허용합니다. 자세한 내용을 알아보려면 IAM 사용 설명서에서 [IAM 조건 연산자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) 및 [다수의 키 또는 값을 사용하는 IAM 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) 단원을 참조하세요.
특정 접미사가 있는 이름과 일치하는 권한을 구현하기 위해 `StringLike` 또는 `StringNotLike` 조건 연산자가 포함된 정책에 IAM 와일드카드(\$1)를 사용할 수 있습니다. 다음 정책은 `ChangeResourceRecordSets` 작업의 모든 변경 사항에 “-beta.example.com”으로 끝나는 DNS 이름이 있을 때 작업을 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringLike":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["*-beta.example.com"]
}
}
}
]
}
```
------
**참고**
IAM 와일드카드는 도메인 이름 와일드카드와 다릅니다. 와일드카드를 도메인 이름에 사용하는 방법은 다음 예를 참조하세요.
**와일드카드가 포함된 도메인 이름과 일치하는 DNS 레코드에 대한 액세스를 제한하는 권한 부여**
다음 권한 정책은 example.com의 호스팅 영역 Z12345에서 `ChangeResourceRecordSets` 작업을 허용하는 권한을 부여합니다. `route53:ChangeResourceRecordSetsNormalizedRecordNames` 조건 키를 사용해 \$1.example.com과 일치하는 레코드로만 사용자 작업을 제한합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["\\052.example.com"]
}
}
}
]
}
```
------
`\052 `는 DNS 이름의 \$1 문자에 대한 8진수 코드이고, `\052`의 `\`는 JSON 구문을 따르기 위해 `\\`로 이스케이프되었습니다.
**특정 DNS 레코드에 대한 액세스를 제한하는 권한 부여**
다음 권한 정책은 example.com의 호스팅 영역 Z12345에서 `ChangeResourceRecordSets` 작업을 허용하는 권한을 부여합니다. 세 가지 조건 키의 조합을 사용해 사용자 작업을 제한하여 특정 DNS 이름 및 유형의 DNS 레코드만 생성하거나 편집할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com"],
"route53:ChangeResourceRecordSetsRecordTypes": ["MX"],
"route53:ChangeResourceRecordSetsActions": ["CREATE", "UPSERT"]
}
}
}
]
}
```
------
**지정된 유형의 DNS 레코드만 생성 및 편집하도록 액세스를 제한하는 권한 부여**
다음 권한 정책은 example.com의 호스팅 영역 Z12345에서 `ChangeResourceRecordSets` 작업을 허용하는 권한을 부여합니다. `route53:ChangeResourceRecordSetsRecordTypes` 조건 키를 사용해 특정 유형(A 및 AAAA)과 일치하는 레코드로만 사용자 작업을 제한합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsRecordTypes": ["A", "AAAA"]
}
}
}
]
}
```
------
**IAM 보안 주체가 작동할 수 있는 VPC를 지정하는 권한을 부여합니다.**
다음 권한 정책은 vpc-id로 지정된 VPC에 `AssociateVPCWithHostedZone`, `DisassociateVPCFromHostedZone`, `ListHostedZonesByVPC`, `CreateHostedZone`, `CreateVPCAssociationAuthorization`, `DeleteVPCAssociationAuthorization` 작업을 허용하는 권한을 부여합니다.
**중요**
조건 값의 형식은 `VPCId=,VPCRegion=`이어야 합니다. 조건 값에 VPC ARN을 지정하면 조건 키가 적용되지 않습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"route53:*"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"route53:VPCs": [
"VPCId=,VPCRegion="
]
}
}
},
{
"Sid": "Statement2",
"Effect": "Allow",
"Action": "ec2:DescribeVpcs",
"Resource": "*"
}
]
}
```
------
# Amazon Route 53 API 권한: 작업, 리소스 및 조건 참조
IAM 자격 증명에 연결할 수 있는 권한 정책(자격 증명 기반 정책)을 설정하고 [액세스 관리](security-iam.md#access-control) 작성할 때 [Route 53 도메인의 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html), [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53resolver.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53resolver.html) [VPC Resolver의 작업, 리소스 및 조건 키 ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53domains.html), [Amazon Route 53 Profiles의 작업, 리소스 및 조건 키 목록을 사용하면 서비스 승인 참조에서 VPCs와 DNS 설정을 공유할 수 있습니다](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53profilesenablessharingdnssettingswithvpcs.html). ** 페이지에는 각 Amazon Route 53 API 작업, 액세스 권한을 부여해야 하는 작업, 액세스 권한을 부여해야 하는 AWS 리소스가 포함되어 있습니다. 정책의 `Action`필드에서 작업을 지정하고, 정책의 `Resource`필드에서 리소스 값을 지정합니다.
Route 53 정책에서 AWS전체 조건 키를 사용하여 조건을 표시할 수 있습니다. AWS전체 키의 전체 목록은 *IAM 사용 설명서*의 [사용 가능한 키를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) 참조하세요.
**참고**
액세스 권한을 부여할 때 호스팅 영역과 Amazon VPC가 동일한 파티션에 속해 있어야 합니다. 파티션은의 그룹입니다 AWS 리전. 각 AWS 계정 는 하나의 파티션으로 범위가 지정됩니다.
지원되는 파티션은 다음과 같습니다.
`aws` - AWS 리전
`aws-cn` - 중국 리전
`aws-us-gov` - AWS GovCloud (US) Region
자세한 내용은 *AWS 일반 참조*에서 [액세스 관리](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)를 참조하세요.
**참고**
작업을 지정하려면 적절한 접두사(`route53`, `route53domains` 또는 `route53resolver`) 다음에 API 작업 이름을 사용합니다. 예를 들면 다음과 같습니다.
`route53:CreateHostedZone`
`route53domains:RegisterDomain`
`route53resolver:CreateResolverEndpoint`