기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon WorkSpaces 애플리케이션의 ID 및 액세스 관리
<a name="controlling-access"></a>

보안 자격 증명은 사용자를의 서비스로 식별하고 WorkSpaces 애플리케이션 AWS 리소스 AWS 와 같은 리소스의 무제한 사용을 허용합니다. WorkSpaces 애플리케이션 및 AWS Identity and Access Management (IAM)의 기능을 사용하여 보안 자격 증명을 공유하지 않고도 다른 사용자, 서비스 및 애플리케이션이 WorkSpaces 애플리케이션 리소스를 사용하도록 허용할 수 있습니다.

IAM을 사용하여 다른 사용자가 Amazon Web Services 계정의 리소스를 사용하는 방법을 제어할 수 있으며, 보안 그룹을 사용하여 WorkSpaces 애플리케이션 스트리밍 인스턴스에 대한 액세스를 제어할 수 있습니다. WorkSpaces 애플리케이션 리소스의 전체 사용 또는 제한된 사용을 허용할 수 있습니다.

**Topics**
+ [스트리밍 인스턴스에 대한 네트워크 액세스](network-access-to-streaming-instances.md)
+ [AWS 관리형 정책 및 연결된 역할을 사용하여 WorkSpaces 애플리케이션 리소스에 대한 관리자 액세스 관리](controlling-administrator-access-with-policies-roles.md)
+ [IAM 정책을 사용하여 Application Auto Scaling에 대한 관리자 액세스 관리](autoscaling-iam-policy.md)
+ [IAM 정책을 사용하여 Home 폴더와 애플리케이션 설정 지속성을 위해 Amazon S3 버킷에 대한 관리자 액세스 관리](s3-iam-policy.md)
+ [IAM 역할을 사용하여 WorkSpaces 애플리케이션 스트리밍 인스턴스에서 실행되는 애플리케이션 및 스크립트에 권한 부여](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [Red Hat Enterprise Linux 및 Rocky Linux의 SELinux](selinux.md)
+ [Amazon WorkSpaces 애플리케이션의 쿠키 기반 인증](cookie-auth.md)

# 스트리밍 인스턴스에 대한 네트워크 액세스
<a name="network-access-to-streaming-instances"></a>

보안 그룹은 스트리밍 인스턴스에 도달할 수 있는 트래픽을 제어하는 상태 저장 방화벽 역할을 합니다. WorkSpaces 애플리케이션 스트리밍 인스턴스를 시작할 때 하나 이상의 보안 그룹에 할당합니다. 그런 다음 각 보안 그룹에 인스턴스의 트래픽을 제어하는 규칙을 추가합니다. 보안 그룹에 대한 규칙은 언제든지 수정할 수 있습니다. 새 규칙은 보안 그룹이 할당된 모든 인스턴스에 자동으로 적용됩니다.

자세한 내용은 [Amazon WorkSpaces 애플리케이션의 보안 그룹](managing-network-security-groups.md) 단원을 참조하십시오.

# AWS 관리형 정책 및 연결된 역할을 사용하여 WorkSpaces 애플리케이션 리소스에 대한 관리자 액세스 관리
<a name="controlling-administrator-access-with-policies-roles"></a>

기본적으로 IAM 사용자에게는 WorkSpaces 애플리케이션 리소스를 생성 또는 수정하거나 WorkSpaces 애플리케이션 API를 사용하여 작업을 수행하는 데 필요한 권한이 없습니다. 즉, 이러한 사용자는 WorkSpaces 애플리케이션 콘솔에서 또는 WorkSpaces 애플리케이션 AWS CLI 명령을 사용하여 이러한 작업을 수행할 수 없습니다. IAM 사용자가 리소스를 생성 또는 수정하고 작업을 수행할 수 있도록 허용하려면 해당 권한이 필요한 IAM 사용자 또는 그룹에 IAM 정책을 연결합니다.

사용자, 사용자 그룹 또는 IAM 역할에 정책을 연결하면 지정된 리소스에 대해 지정된 작업을 수행할 권한이 허용되거나 거부됩니다.

**Topics**
+ [AWS WorkSpaces 애플리케이션 리소스에 액세스하는 데 필요한 관리형 정책](managed-policies-required-to-access-appstream-resources.md)
+ [WorkSpaces 애플리케이션, Application Auto Scaling 및 AWS Certificate Manager Private CA에 필요한 역할](roles-required-for-appstream.md)
+ [AmazonAppStreamServiceAccess 서비스 역할 및 정책 확인](controlling-access-checking-for-iam-service-access.md)
+ [ApplicationAutoScalingForAmazonAppStreamAccess 서비스 역할 및 정책 확인](controlling-access-checking-for-iam-autoscaling.md)
+ [`AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` 서비스 연결 역할 및 정책 확인](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)
+ [AmazonAppStreamPCAAccess 서비스 역할 및 정책 확인](controlling-access-checking-for-AppStreamPCAAccess.md)

# AWS WorkSpaces 애플리케이션 리소스에 액세스하는 데 필요한 관리형 정책
<a name="managed-policies-required-to-access-appstream-resources"></a>

WorkSpaces 애플리케이션에 대한 전체 관리 또는 읽기 전용 액세스를 제공하려면 이러한 권한이 필요한 IAM 사용자 또는 그룹에 다음 AWS 관리형 정책 중 하나를 연결해야 합니다. *AWS 관리형 정책*은 AWS에서 생성 및 관리하는 독립적인 정책입니다. 자세한 내용은 *IAM 사용자 안내서*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.

**참고**  
에서 AWS IAM 역할은 AWS 리소스에 액세스할 수 있도록 AWS 서비스에 권한을 부여하는 데 사용됩니다. 역할에 연결된 정책에 따라 서비스가 액세스할 수 있는 AWS 리소스와 해당 리소스로 수행할 수 있는 작업이 결정됩니다. WorkSpaces 애플리케이션의 경우 **AmazonAppStreamFullAccess** 정책에 정의된 권한이 있을 뿐만 아니라 AWS 계정에 필요한 역할도 있어야 합니다. 자세한 내용은 [WorkSpaces 애플리케이션, Application Auto Scaling 및 AWS Certificate Manager Private CA에 필요한 역할](roles-required-for-appstream.md) 단원을 참조하십시오.

**AmazonAppStreamFullAccess**  
이 관리형 정책은 WorkSpaces 애플리케이션 리소스에 대한 전체 관리 액세스를 제공합니다. AWS 명령줄 인터페이스(AWS CLI), AWS SDK 또는 AWS 관리 콘솔을 통해 WorkSpaces 애플리케이션 리소스를 관리하고 API 작업을 수행하려면이 정책에 정의된 권한이 있어야 합니다.  
WorkSpaces 애플리케이션 콘솔에 IAM 사용자로 로그인하는 경우이 정책을에 연결해야 합니다 AWS 계정. 콘솔 연동을 통해 로그인할 경우 연동에 사용된 IAM 역할에 이 정책을 연결해야 합니다.  
이 정책의 권한을 보려면 [AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html)를 참조하세요.

**AmazonAppStreamReadOnlyAccess**  
이 자격 증명 기반 정책은 사용자에게 WorkSpaces 애플리케이션 리소스 및 관련 서비스 구성을 보고 모니터링할 수 있는 읽기 전용 권한을 부여합니다. 사용자는 WorkSpaces 애플리케이션 콘솔에 액세스하여 스트리밍 애플리케이션, 플릿 상태, 사용 보고서 및 관련 리소스를 볼 수 있지만 변경할 수는 없습니다. 해당 정책에는 포괄적인 모니터링 및 보고 기능을 활성화하기 위해 IAM, Application Auto Scaling, CloudWatch와 같은 지원 서비스에 필요한 읽기 권한도 포함됩니다.  
이 정책의 권한을 보려면 [AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html)를 참조하세요.

WorkSpaces 애플리케이션 콘솔은 AWS CLI 또는 AWS SDK를 통해 사용할 수 없는 기능을 제공하는 추가 작업을 사용합니다. **AmazonAppStreamFullAccess** 정책과 **AmazonAppStreamReadOnlyAccess** 정책 모두 해당 작업에 대한 권한을 제공합니다.


| 작업 | 설명 | 액세스 레벨 | 
| --- | --- | --- | 
| DescribeImageBuilders | Image Builder 이름이 제공될 경우, 하나 이상의 지정된 Image Builder를 설명하는 목록을 검색할 수 있는 권한을 부여합니다. 그렇지 않을 경우, 계정의 모든 이미지 빌더가 설명됩니다. | 읽기 | 

**AmazonAppStreamPCAAccess**  
이 관리형 정책은 인증서 기반 인증을 위해 AWS AWS 계정의 Certificate Manager Private CA 리소스에 대한 전체 관리 액세스를 제공합니다.  
이 정책의 권한을 보려면 [AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html)를 참조하세요.

**AmazonAppStreamServiceAccess**  
이 관리형 정책은 WorkSpaces 애플리케이션 서비스 역할에 대한 기본 정책입니다.  
이 역할 권한 정책은 WorkSpaces 애플리케이션이 다음 작업을 완료하도록 허용합니다.  
+ WorkSpaces 애플리케이션 플릿에 대해 계정의 서브넷을 사용하는 경우 WorkSpaces 애플리케이션은 서브넷, VPCs 및 가용 영역을 설명하고 해당 서브넷의 플릿 인스턴스와 연결된 모든 탄력적 네트워크 인터페이스의 수명 주기를 생성 및 관리할 수 있습니다. 또한 해당 서브넷의 보안 그룹 및 IP 주소를 해당 탄력적 네트워크 인터페이스에 연결할 수 있어야 합니다.
+ UPP 및 HomeFolders와 같은 기능을 사용하는 경우 WorkSpaces 애플리케이션은 계정에서 Amazon S3 버킷, 객체 및 해당 수명 주기, 정책 및 암호화 구성을 생성하고 관리할 수 있습니다. 이러한 버킷에는 다음과 같은 이름 지정 접두사가 포함됩니다.
  + `"arn:aws:s3:::appstream2-36fb080bb8-",`
  + `"arn:aws:s3:::appstream-app-settings-",`
  + `"arn:aws:s3:::appstream-logs-"`
이 정책의 권한을 보려면 [AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html)를 참조하세요.

**ApplicationAutoScalingForAmazonAppStreamAccess**  
이 관리형 정책은 WorkSpaces 애플리케이션에 대한 애플리케이션 자동 크기 조정을 활성화합니다.  
이 정책의 권한을 보려면 [ApplicationAutoScalingForAmazonAppStreamAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html)를 참조하세요.

**AWSApplicationAutoscalingAppStreamFleetPolicy**  
이 관리형 정책은 Application Auto Scaling이 WorkSpaces 애플리케이션 및 CloudWatch에 액세스할 수 있는 권한을 부여합니다.  
이 정책의 권한을 보려면 [AWSApplicationAutoscalingAppStreamFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html)를 참조하세요.

## AWS 관리형 정책에 대한 WorkSpaces 애플리케이션 업데이트
<a name="security-iam-awsmanpol-updates"></a>



이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 WorkSpaces 애플리케이션의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 [Amazon WorkSpaces 애플리케이션의 문서 기록](doc-history.md) 페이지에서 RSS 피드를 구독하세요.




| 변경 | 설명 | Date | 
| --- | --- | --- | 
|  AmazonAppStreamServiceAccess – 변경  |   정책 JSON 정책 문서에 `"ec2:DescribeImages"`에 대한 허용 권한 추가  | 2025년 11월 17일 | 
|  AmazonAppStreamReadOnlyAccess – 변경  |   `"appstream:Get*",` JSON 정책 문서에서 제거됨  | 2025년 10월 22일 | 
|  WorkSpaces 애플리케이션이 변경 사항 추적 시작  |  WorkSpaces 애플리케이션이 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다.  | 2022년 10월 31일 | 

# WorkSpaces 애플리케이션, Application Auto Scaling 및 AWS Certificate Manager Private CA에 필요한 역할
<a name="roles-required-for-appstream"></a>

에서 AWS IAM 역할은 AWS 리소스에 액세스할 수 있도록 AWS 서비스에 권한을 부여하는 데 사용됩니다. 역할에 연결된 정책에 따라 서비스가 액세스할 수 있는 AWS 리소스와 해당 리소스로 수행할 수 있는 작업이 결정됩니다. WorkSpaces 애플리케이션의 경우 **AmazonAppStreamFullAccess** 정책에 정의된 권한이 있을 뿐만 아니라 AWS 계정에 다음 역할도 있어야 합니다.

**Topics**
+ [AmazonAppStreamServiceAccess](#AmazonAppStreamServiceAccess)
+ [ApplicationAutoScalingForAmazonAppStreamAccess](#ApplicationAutoScalingForAmazonAppStreamAccess)
+ [AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet](#AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)
+ [AmazonAppStreamPCAAccess](#AppStreamPCAAccess)

## AmazonAppStreamServiceAccess
<a name="AmazonAppStreamServiceAccess"></a>

이 역할은 AWS 리전에서 WorkSpaces 애플리케이션을 시작할 때 자동으로 생성되는 서비스 역할입니다. 서비스 역할에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS 서비스에 권한을 위임할 역할 생성을 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).

WorkSpaces 애플리케이션 리소스가 생성되는 동안 WorkSpaces 애플리케이션 서비스는이 역할을 수임하여 사용자를 대신하여 다른 AWS 서비스에 대한 API 호출을 수행합니다. 플릿을 생성하려면 계정에 이 역할이 있어야 합니다. 이 역할이 AWS 계정에 없고 필요한 IAM 권한 및 신뢰 관계 정책이 연결되지 않은 경우 WorkSpaces 애플리케이션 플릿을 생성할 수 없습니다.

자세한 내용은 [AmazonAppStreamServiceAccess 서비스 역할 및 정책 확인](controlling-access-checking-for-iam-service-access.md) 섹션을 참조하여 **AmazonAppStreamServiceAccess** 서비스 역할이 있고 올바른 정책이 연결되었는지 확인합니다.

**참고**  
이 서비스 역할에는 WorkSpaces 애플리케이션을 시작하는 첫 번째 사용자와 다른 권한이 있을 수 있습니다. 이 역할의 권한에 대한 자세한 내용은 [AWS WorkSpaces 애플리케이션 리소스에 액세스하는 데 필요한 관리형 정책](managed-policies-required-to-access-appstream-resources.md)의 "AmazonAppStreamServiceAccess"를 참조하세요.

## ApplicationAutoScalingForAmazonAppStreamAccess
<a name="ApplicationAutoScalingForAmazonAppStreamAccess"></a>

이 역할은 AWS 리전에서 WorkSpaces 애플리케이션을 시작할 때 자동으로 생성되는 서비스 역할입니다. 서비스 역할에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS 서비스에 권한을 위임할 역할 생성을 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).

자동 조정은 WorkSpaces 애플리케이션 플릿의 기능입니다. 조정 정책을 구성하려면 AWS 계정에이 서비스 역할이 있어야 합니다. 이 서비스 역할이 AWS 계정에 없고 필요한 IAM 권한 및 신뢰 관계 정책이 연결되지 않은 경우 WorkSpaces 애플리케이션 플릿을 조정할 수 없습니다.

자세한 내용은 [ApplicationAutoScalingForAmazonAppStreamAccess 서비스 역할 및 정책 확인](controlling-access-checking-for-iam-autoscaling.md) 단원을 참조하십시오.

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
<a name="AWSServiceRoleForApplicationAutoScaling_AppStreamFleet"></a>

이 역할은 자동으로 생성되는 서비스 연결 역할입니다. 자세한 내용은 **Application Auto Scaling 사용 설명서의 [서비스 연결 역할](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html)을 참조하세요.

Application Auto Scaling은 서비스 연결 역할을 사용하여 사용자 대신 자동 조정을 수행합니다. *서비스 연결 역할은* AWS 서비스에 직접 연결된 IAM 역할입니다. 이 역할에는 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한이 포함됩니다.

자세한 내용은 [`AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` 서비스 연결 역할 및 정책 확인](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md) 단원을 참조하십시오.

## AmazonAppStreamPCAAccess
<a name="AppStreamPCAAccess"></a>

이 역할은 AWS 리전에서 WorkSpaces 애플리케이션을 시작할 때 자동으로 생성되는 서비스 역할입니다. 서비스 역할에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS 서비스에 권한을 위임할 역할 생성을 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).

인증서 기반 인증은 Microsoft Active Directory 도메인에 조인된 WorkSpaces 애플리케이션 플릿의 기능입니다. 인증서 기반 인증을 활성화하고 사용하려면 AWS 계정에이 서비스 역할이 있어야 합니다. 이 서비스 역할이 AWS 계정에 없고 필요한 IAM 권한 및 신뢰 관계 정책이 연결되지 않은 경우 인증서 기반 인증을 활성화하거나 사용할 수 없습니다.

자세한 내용은 [AmazonAppStreamPCAAccess 서비스 역할 및 정책 확인](controlling-access-checking-for-AppStreamPCAAccess.md) 단원을 참조하십시오.

# AmazonAppStreamServiceAccess 서비스 역할 및 정책 확인
<a name="controlling-access-checking-for-iam-service-access"></a>

이 섹션의 단계에 따라 **AmazonAppStreamServiceAccess** 서비스 역할이 있고 올바른 정책이 연결되었는지 확인합니다. 이 역할이 계정에 없고 생성해야 하는 경우 사용자 또는 필요한 권한이 있는 관리자는 Amazon Web Services 계정에서 WorkSpaces 애플리케이션을 시작하는 단계를 수행해야 합니다.

**AmazonAppStreamServiceAccess IAM 서비스 역할이 있는지 확인하는 방법**

1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.

1. 탐색 창에서 **역할**을 선택합니다.

1. 검색 상자에 **amazonappstreamservice**를 입력하여 선택할 역할 목록의 범위를 좁힌 다음 **AmazonAppStreamServiceAccess**를 선택합니다. 이 역할이 나열된 경우 선택하여 역할 **요약** 페이지를 봅니다.

1. **권한** 탭에서 **AmazonAppStreamServiceAccess** 권한 정책이 연결되어 있는지 확인합니다.

1. 역할 **요약** 페이지로 돌아갑니다.

1. **신뢰 관계** 탭에서 **Show policy document(정책 문서 표시)**를 선택한 다음 **AmazonAppStreamServiceAccess** 신뢰 관계 정책이 연결되었고 올바른 형식인지를 확인합니다. 이에 해당하는 경우 신뢰 관계가 올바르게 구성된 것입니다. **취소**를 선택하고 IAM 콘솔을 닫습니다.

## AmazonAppStreamServiceAccess 신뢰 관계 정책
<a name="controlling-access-service-access-trust-policy"></a>

**AmazonAppStreamServiceAccess** 신뢰 관계 정책에는 WorkSpaces 애플리케이션 서비스가 보안 주체로 포함되어야 합니다. *보안 주체*는 작업을 수행하고 리소스에 액세스할 수 AWS 있는의 엔터티입니다. 이 정책에는 `sts:AssumeRole` 작업도 포함되어야 합니다. 다음 정책 구성은 WorkSpaces 애플리케이션을 신뢰할 수 있는 엔터티로 정의합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
      "Service": "appstream.amazonaws.com"
    },
    "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# ApplicationAutoScalingForAmazonAppStreamAccess 서비스 역할 및 정책 확인
<a name="controlling-access-checking-for-iam-autoscaling"></a>

이 섹션의 단계에 따라 **ApplicationAutoScalingForAmazonAppStreamAccess** 서비스 역할이 있고 올바른 정책이 연결되었는지 확인합니다. 이 역할이 계정에 없고 생성해야 하는 경우 사용자 또는 필요한 권한이 있는 관리자는 Amazon Web Services 계정에서 WorkSpaces 애플리케이션을 시작하는 단계를 수행해야 합니다.

**ApplicationAutoScalingForAmazonAppStreamAccessIAM 서비스 역할이 존재하는지 확인하는 방법**

1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.

1. 탐색 창에서 **역할**을 선택합니다.

1. 검색 상자에 **applicationautoscaling**을 입력하여 선택할 역할 목록의 범위를 좁힌 다음 **ApplicationAutoScalingForAmazonAppStreamAccess**를 선택합니다. 이 역할이 나열된 경우 선택하여 역할 **요약** 페이지를 봅니다.

1. **권한** 탭에서 **ApplicationAutoScalingForAmazonAppStreamAccess** 권한 정책이 연결되어 있는지 확인합니다.

1. 역할 **요약** 페이지로 돌아갑니다.

1. **신뢰 관계** 탭에서 **정책 문서 표시**를 선택한 다음 **ApplicationAutoScalingForAmazonAppStreamAccess** 신뢰 관계 정책이 연결되었고 올바른 형식인지를 확인합니다. 이에 해당하는 경우 신뢰 관계가 올바르게 구성된 것입니다. **취소**를 선택하고 IAM 콘솔을 닫습니다.

## ApplicationAutoScalingForAmazonAppStreamAccess 신뢰 관계 정책
<a name="controlling-access-autoscaling-trust-policy"></a>

**ApplicationAutoScalingForAmazonAppStreamAccess** 신뢰 관계 정책에는 Application Auto Scaling 서비스가 보안 주체로 포함되어야 합니다. 이 정책에는 `sts:AssumeRole` 작업도 포함되어야 합니다. 다음 정책 구성은 Application Auto Scaling을 신뢰할 수 있는 엔터티로 정의합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` 서비스 연결 역할 및 정책 확인
<a name="controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet"></a>

이 섹션의 단계에 따라 `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` 서비스 연결 역할이 있고 올바른 정책이 연결되었는지 확인합니다. 이 역할이 계정에 없고 생성해야 하는 경우 사용자 또는 필요한 권한이 있는 관리자는 Amazon Web Services 계정에서 WorkSpaces 애플리케이션을 시작하는 단계를 수행해야 합니다.

**`AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` IAM 서비스 연결 역할이 있는지 확인하는 방법**

1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.

1. 탐색 창에서 **역할**을 선택합니다.

1. 검색 상자에 **applicationautoscaling**을 입력하여 선택할 역할 목록의 범위를 좁힌 다음 `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`를 선택합니다. 이 역할이 나열된 경우 선택하여 역할 **요약** 페이지를 봅니다.

1. **권한** 탭에서 `AWSApplicationAutoscalingAppStreamFleetPolicy` 권한 정책이 연결되어 있는지 확인합니다.

1. **역할** 요약 페이지로 돌아갑니다.

1. **신뢰 관계** 탭에서 **정책 문서 표시**를 선택한 다음 `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` 신뢰 관계 정책이 연결되었고 올바른 형식인지를 확인합니다. 이에 해당하는 경우 신뢰 관계가 올바르게 구성된 것입니다. **취소**를 선택하고 IAM 콘솔을 닫습니다.

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet 신뢰 관계 정책
<a name="controlling-access-application-autoscaling-appstream-fleet-trust-policy"></a>

`AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` 신뢰 관계 정책에는 **appstream.application-autoscaling.amazonaws.com**이 보안 주체로 포함되어야 합니다. 이 정책에는 `sts:AssumeRole` 작업도 포함되어야 합니다. 다음 정책 구성에서는 **appstream.application-autoscaling.amazonaws.com**을 신뢰할 수 있는 개체로 정의합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "appstream.application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# AmazonAppStreamPCAAccess 서비스 역할 및 정책 확인
<a name="controlling-access-checking-for-AppStreamPCAAccess"></a>

이 섹션의 단계에 따라 **AmazonAppStreamPCAAccess** 서비스 역할이 있고 올바른 정책이 연결되었는지 확인합니다. 이 역할이 계정에 없고 생성해야 하는 경우 사용자 또는 필요한 권한이 있는 관리자는 Amazon Web Services 계정에서 WorkSpaces 애플리케이션을 시작하는 단계를 수행해야 합니다.

**AmazonAppStreamPCAAccess IAM 서비스 역할이 있는지 확인하는 방법**

1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.

1. 탐색 창에서 **역할**을 선택합니다.

1. 검색 상자에 **appstreampca**를 입력하여 선택할 역할 목록의 범위를 좁힌 다음 **AmazonAppStreamPCAAccess**를 선택합니다. 이 역할이 나열된 경우 선택하여 역할 **요약** 페이지를 봅니다.

1. **권한** 탭에서 **AmazonAppStreamPCAAccess** 권한 정책이 연결되어 있는지 확인합니다.

1. **역할** 요약 페이지로 돌아갑니다.

1. **신뢰 관계** 탭에서 **Show policy document(정책 문서 표시)**를 선택한 다음 **AmazonAppStreamPCAAccess** 신뢰 관계 정책이 연결되었고 올바른 형식인지를 확인합니다. 이에 해당하는 경우 신뢰 관계가 올바르게 구성된 것입니다. **취소**를 선택하고 IAM 콘솔을 닫습니다.

## AmazonAppStreamPCAAccess 신뢰 관계 정책
<a name="controlling-access-amazonappstreampcaaccess-trust-policy"></a>

**AmazonAppStreamPCAAccess** 신뢰 관계 정책에는 prod.euc.ecm.amazonaws.com이 보안 주체로 포함되어야 합니다. 이 정책에는 `sts:AssumeRole` 작업도 포함되어야 합니다. 다음 정책 구성은 ECM을 신뢰할 수 있는 엔터티로 정의합니다.

**AWS CLI를 사용하여 AmazonAppStreamPCAAccess 신뢰 관계 정책을 생성하려면**

1. 다음 텍스트로 이름이 `AmazonAppStreamPCAAccess.json`인 JSON 파일을 생성합니다.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "prod.euc.ecm.amazonaws.com"
                   ]
               },
               "Action": "sts:AssumeRole",
               "Condition": {}
           }
       ]
   }
   ```

------

1. 필요에 따라 `AmazonAppStreamPCAAccess.json` 경로를 조정하고 다음 AWS CLI 명령을 실행하여 신뢰 관계 정책을 생성하고 AmazonAppStreamPCAAccess 관리형 정책을 연결합니다. 관리형 정책에 대한 자세한 내용은 [AWS WorkSpaces 애플리케이션 리소스에 액세스하는 데 필요한 관리형 정책](managed-policies-required-to-access-appstream-resources.md)섹션을 참조하세요.

   ```
   aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
   ```

   ```
   aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
   ```

# IAM 정책을 사용하여 Application Auto Scaling에 대한 관리자 액세스 관리
<a name="autoscaling-iam-policy"></a>

플릿의 자동 조정은 WorkSpaces 애플리케이션, Amazon CloudWatch 및 Application Auto Scaling APIs의 조합을 통해 가능합니다. WorkSpaces 애플리케이션 플릿은 WorkSpaces 애플리케이션으로 생성되고, 경보는 CloudWatch로 생성되며, 조정 정책은 Application Auto Scaling으로 생성됩니다.

플릿 크기 조정 설정에 액세스하는 사용자는 [AmazonAppStreamFullAccess](managed-policies-required-to-access-appstream-resources.md) 정책에 정의된 권한 외에도 동적 크기 조정을 지원하는 서비스에 대한 적절한 권한이 있어야 합니다. IAM 사용자에게는 다음 예제 정책에 나온 태스크를 수행할 수 있는 권한이 있어야 합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "appstream:*",
          "application-autoscaling:*",
          "cloudwatch:DeleteAlarms",
          "cloudwatch:DescribeAlarmsForMetric",
          "cloudwatch:DisableAlarmActions",
          "cloudwatch:DescribeAlarms",
          "cloudwatch:EnableAlarmActions",
          "cloudwatch:ListMetrics",
          "cloudwatch:PutMetricAlarm",
          "iam:ListRoles"
      ],
      "Resource": "*"
    },
    {
      "Sid": "iamPassRole",
      "Effect": "Allow",
      "Action": [
          "iam:PassRole"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
             "iam:PassedToService": "application-autoscaling.amazonaws.com"
          }
      }
    }
  ]
}
```

------

또한 자체 IAM 정책을 생성하여 Application Auto Scaling API 호출에 대한 보다 구체적인 권한을 설정할 수 있습니다. 자세한 정보는 *Application Auto Scaling 사용 설명서*의 [인증 및 액세스 제어](https://docs.aws.amazon.com/autoscaling/application/userguide/auth-and-access-control.html)를 참조하십시오.

# IAM 정책을 사용하여 Home 폴더와 애플리케이션 설정 지속성을 위해 Amazon S3 버킷에 대한 관리자 액세스 관리
<a name="s3-iam-policy"></a>

다음 예시는 IAM 정책을 사용하여 홈 폴더의 Amazon S3 버킷에 대한 액세스 및 애플리케이션 설정 지속성을 관리하는 방법을 보여줍니다.

**Topics**
+ [Home 폴더 및 애플리케이션 설정 지속성을 위한 Amazon S3 버킷 삭제](s3-iam-policy-delete.md)
+ [Home 폴더와 애플리케이션 설정 지속성을 위한 Amazon S3 버킷에 대한 관리자 액세스 제한](s3-iam-policy-restricted-access.md)

# Home 폴더 및 애플리케이션 설정 지속성을 위한 Amazon S3 버킷 삭제
<a name="s3-iam-policy-delete"></a>

WorkSpaces 애플리케이션은 실수로 삭제되는 것을 방지하기 위해 생성하는 버킷에 Amazon S3 버킷 정책을 추가합니다. S3 버킷을 삭제하려면 먼저 S3 버킷 정책을 삭제해야 합니다. 다음은 Home 폴더와 애플리케이션 설정 지속성에 대해 삭제해야 하는 버킷 정책입니다.

**Home 폴더 정책**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-123456789012-without-hyphens"
    }
  ]
}
```

------

**애플리케이션 설정 지속성 정책**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream-app-settings-region-code-123456789012-without-hyphens-unique-identifier"
     }
   ]
}
```

------

 자세한 내용은 **Amazon Simple Storage Service Console 사용 설명서의 [버킷 삭제 또는 비우기](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-or-empty-bucket.html)를 참조하세요.

# Home 폴더와 애플리케이션 설정 지속성을 위한 Amazon S3 버킷에 대한 관리자 액세스 제한
<a name="s3-iam-policy-restricted-access"></a>

기본적으로 WorkSpaces 애플리케이션에서 생성한 Amazon S3 버킷에 액세스할 수 있는 관리자는 사용자의 홈 폴더 및 영구 애플리케이션 설정의 일부인 콘텐츠를 보고 수정할 수 있습니다. 사용자 파일이 포함된 S3 버킷에 대한 관리자 액세스를 제한해야 한다면 다음 템플릿에 따른 S3 버킷 액세스 정책 적용을 추천합니다.

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}
```

이 정책은 지정된 사용자 및 WorkSpaces 애플리케이션 서비스에 대해서만 S3 버킷 액세스를 허용합니다. 액세스 권한이 있어야 하는 모든 IAM 사용자의 경우 다음 열을 복사하세요.

```
"arn:aws:iam::account:user/IAM-user-name"
```

다음 예의 정책은 IAM 사용자 marymajor 및 johnstiles 이외의 사용자의 홈 폴더 S3 버킷에 대한 액세스를 제한합니다. 또한 계정 ID 123456789012에 대해 미국 서부(오레곤) AWS 리전의 WorkSpaces 애플리케이션 서비스에 대한 액세스를 허용합니다.

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}
```

# IAM 역할을 사용하여 WorkSpaces 애플리케이션 스트리밍 인스턴스에서 실행되는 애플리케이션 및 스크립트에 권한 부여
<a name="using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances"></a>

WorkSpaces에서 실행되는 애플리케이션 및 스크립트 애플리케이션 스트리밍 인스턴스는 AWS API 요청에 AWS 자격 증명을 포함해야 합니다. 이러한 보안 인증 정보를 관리하기 위해 IAM 역할을 생성할 수 있습니다. IAM 역할은 AWS 리소스에 액세스하는 데 사용할 수 있는 권한 집합을 지정합니다. 그러나 이 역할은 한 사람과 고유하게 연결되지 않습니다. 대신, 그것을 필요로 하는 사람이라면 누구나 수임할 수 있습니다.

WorkSpaces 애플리케이션 스트리밍 인스턴스에 IAM 역할을 적용할 수 있습니다. 스트리밍 인스턴스가 역할로 전환(수임)되면 이 역할이 임시 보안 자격 증명을 제공합니다. 애플리케이션 또는 스크립트는 이러한 보안 인증 정보를 사용하여 스트리밍 인스턴스에서 API 작업 및 관리 작업을 수행합니다. WorkSpaces 애플리케이션은 임시 자격 증명 전환을 관리합니다.

**Topics**
+ [WorkSpaces 애플리케이션 스트리밍 인스턴스에서 IAM 역할을 사용하는 모범 사례](best-practices-for-using-iam-role-with-streaming-instances.md)
+ [WorkSpaces 애플리케이션 스트리밍 인스턴스와 함께 사용하도록 기존 IAM 역할 구성](configuring-existing-iam-role-to-use-with-streaming-instances.md)
+ [WorkSpaces 애플리케이션 스트리밍 인스턴스와 함께 사용할 IAM 역할을 생성하는 방법](how-to-create-iam-role-to-use-with-streaming-instances.md)
+ [WorkSpaces 애플리케이션 스트리밍 인스턴스에서 IAM 역할을 사용하는 방법](how-to-use-iam-role-with-streaming-instances.md)

# WorkSpaces 애플리케이션 스트리밍 인스턴스에서 IAM 역할을 사용하는 모범 사례
<a name="best-practices-for-using-iam-role-with-streaming-instances"></a>

WorkSpaces 애플리케이션 스트리밍 인스턴스에서 IAM 역할을 사용하는 경우 다음 관행을 따르는 것이 좋습니다.
+  AWS API 작업 및 리소스에 부여하는 권한을 제한합니다.

  WorkSpaces 애플리케이션 스트리밍 인스턴스와 연결된 IAM 역할에 IAM 정책을 생성하고 연결할 때 최소 권한 원칙을 따릅니다. AWS API 작업 또는 리소스에 액세스해야 하는 애플리케이션 또는 스크립트를 사용하는 경우 필요한 특정 작업 및 리소스를 결정합니다. 그런 다음, 애플리케이션 또는 스크립트가 해당 작업만 수행할 수 있도록 허용하는 정책을 생성합니다. 자세한 내용은 *IAM 사용 설명서*에서 [최소 권한 부여](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)를 참조하세요.
+ 각 WorkSpaces 애플리케이션 리소스에 대한 IAM 역할을 생성합니다.

  각 WorkSpaces 애플리케이션 리소스에 대해 고유한 IAM 역할을 생성하는 것은 최소 권한 원칙을 따르는 관행입니다. 그러면 다른 리소스에 영향을 주지 않고 리소스에 대한 권한도 수정할 수 있습니다.
+ 자격 증명을 사용할 수 있는 위치를 제한합니다.

  IAM 정책에서는 IAM 역할을 사용하여 리소스에 액세스할 수 있는 조건을 정의할 수 있습니다. 예를 들어 요청이 발생할 수 있는 IP 주소 범위를 지정하는 조건을 포함할 수 있습니다. 그러면 자격 증명이 환경 외부에서 사용되지 않습니다. 자세한 내용은 **IAM 사용 설명서의 [보안 강화를 위해 정책 조건 사용](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions)을 참조하세요.

# WorkSpaces 애플리케이션 스트리밍 인스턴스와 함께 사용하도록 기존 IAM 역할 구성
<a name="configuring-existing-iam-role-to-use-with-streaming-instances"></a>

이 주제에서는 이미지 빌더 및 플릿 스트리밍 인스턴스와 함께 사용할 수 있도록 기존 IAM 역할을 구성하는 방법에 대해 설명합니다.

**사전 조건**

WorkSpaces 애플리케이션 이미지 빌더 또는 플릿 스트리밍 인스턴스와 함께 사용할 IAM 역할은 다음 사전 조건을 충족해야 합니다.
+ IAM 역할은 WorkSpaces 애플리케이션 스트리밍 인스턴스와 동일한 Amazon Web Services 계정에 있어야 합니다.
+ IAM 역할은 서비스 역할일 수 없습니다.
+ IAM 역할에 연결된 신뢰 관계 정책에는 WorkSpaces 애플리케이션 서비스가 보안 주체로 포함되어야 합니다. *보안 주체*는 작업을 수행하고 리소스에 액세스할 수 AWS 있는의 엔터티입니다. 이 정책은 `sts:AssumeRole` 작업도 포함해야 합니다. 이 정책 구성은 WorkSpaces 애플리케이션을 신뢰할 수 있는 엔터티로 정의합니다.

  
+ 이미지 빌더에 IAM 역할을 적용하는 경우 이미지 빌더는 2019년 9월 3일 또는 그 이후에 릴리스된 WorkSpaces 애플리케이션 에이전트 버전을 실행해야 합니다. IAM 역할을 플릿에 적용하는 경우 플릿은 같은 날짜 또는 그 이후에 릴리스된 에이전트 버전을 사용하는 이미지를 사용해야 합니다. 자세한 내용은 [WorkSpaces 애플리케이션 에이전트 릴리스 정보](agent-software-versions.md) 단원을 참조하십시오.

**WorkSpaces Applications 서비스 보안 주체가 기존 IAM 역할을 수임하도록 하려면**

다음 단계를 수행하려면 IAM 역할을 나열하고 업데이트하는 데 필요한 권한이 있는 IAM 사용자로 계정에 로그인해야 합니다. 필요한 권한이 없으면 Amazon Web Services 계정 관리자에게 해당 계정으로 이 단계를 수행하거나 필요한 권한을 부여해 달라고 요청하세요.

1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.

1. 탐색 창에서 **역할**을 선택합니다.

1. 계정의 역할 목록에서 변경할 역할의 이름을 선택합니다.

1. **신뢰 관계** 탭을 선택한 후 **신뢰 관계 편집**을 선택합니다.

1. **정책 문서**에서, 신뢰 관계 정책에 `appstream.amazonaws.com` 서비스 사용자에 대한 `sts:AssumeRole` 작업이 포함되어 있는지 확인하세요.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": [
             "appstream.amazonaws.com"
           ]
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. 신뢰 정책 편집을 마쳤으면 **Update Trust Policy(신뢰 정책 업데이트)**를 선택하여 변경 사항을 저장합니다.

1. 선택한 IAM 역할이 WorkSpaces 애플리케이션 콘솔에 표시됩니다. 이 역할은 애플리케이션 및 스크립트에 대해 스트리밍 인스턴스에서 API 작업 및 관리 작업을 수행할 수 있는 권한을 부여합니다.

# WorkSpaces 애플리케이션 스트리밍 인스턴스와 함께 사용할 IAM 역할을 생성하는 방법
<a name="how-to-create-iam-role-to-use-with-streaming-instances"></a>

이 주제에서는 이미지 빌더 및 플릿 스트리밍 인스턴스와 함께 사용할 수 있도록 새로운 IAM 역할을 생성하는 방법에 대해 설명합니다.

1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.

1. 탐색 창에서 **역할**을 선택한 후 **역할 생성**을 선택합니다.

1. **신뢰할 수 있는 엔터티 유형 선택(Select type of trusted entity)**에서 **AWS 서비스(service)**를 선택합니다.

1.  AWS 서비스 목록에서 **WorkSpaces 애플리케이션을** 선택합니다.

1. **사용 사례 선택**에서 **WorkSpaces 애플리케이션 - WorkSpaces 애플리케이션 인스턴스가 사용자를 대신하여 AWS 서비스를 호출하도록 허용**이 이미 선택되어 있습니다. **다음: 권한**을 선택합니다.

1. 가능하다면, 권한 정책을 사용하기 위한 정책을 선택하거나 **정책 생성**을 선택하여 새 브라우저 탭을 열고 완전히 새로운 정책을 생성합니다. 자세한 내용은 **IAM 사용 설명서의 [IAM 정책 생성(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start)에서 4단계 절차를 참조하세요.

   정책을 생성하면 탭을 닫고 원래 탭으로 돌아갑니다. WorkSpaces 애플리케이션에 부여할 권한 정책 옆의 확인란을 선택합니다.

1. (선택 사항) 권한 경계를 선택합니다. 이는 서비스 역할에서 사용 가능한 고급 기능이며 서비스에 연결된 역할은 아닙니다. 자세한 정보는 **IAM 사용 설명서의 [IAM 엔터티의 권한 범위](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)를 참조하세요.

1. **다음: 태그**를 선택합니다. 선택적으로 태그를 키-값 페어로 연결할 수 있습니다. 자세한 내용은 **IAM 사용 설명서의 [IAM 사용자 및 역할 태그 지정](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)을 참조하세요.

1. **다음: 검토**를 선택합니다.

1. **역할 이름**에 Amazon Web Services 계정 내에서 고유한 역할 이름을 입력합니다. 다른 AWS 리소스가 역할을 참조할 수 있으므로 역할이 생성된 후에는 역할 이름을 편집할 수 없습니다.

1. **역할 설명**의 기본 역할 설명을 유지하거나 새 역할 설명을 입력합니다.

1. 역할을 검토한 다음 **역할 생성**을 선택합니다.

# WorkSpaces 애플리케이션 스트리밍 인스턴스에서 IAM 역할을 사용하는 방법
<a name="how-to-use-iam-role-with-streaming-instances"></a>

IAM 역할을 생성한 후 이미지 빌더를 실행하거나 플릿을 생성할 때 이미지 빌더 또는 플릿 스트리밍 인스턴스에 적용할 수 있습니다. 기존 플릿에 IAM 역할을 적용할 수도 있습니다. 이미지 빌더를 시작할 때 IAM 역할을 적용하는 방법에 대한 정보는 [이미지 빌더를 시작하여 스트리밍 애플리케이션 설치 및 구성](tutorial-image-builder-create.md) 섹션을 참조하세요. 플릿을 생성할 때 IAM 역할을 적용하는 방법에 대한 자세한 내용은 [Amazon WorkSpaces 애플리케이션에서 플릿 생성](set-up-stacks-fleets-create.md) 섹션을 참조하세요.

이미지 빌더 또는 플릿 스트리밍 인스턴스에 IAM 역할을 적용하면 WorkSpaces 애플리케이션은 임시 자격 증명을 검색하고 인스턴스에 **appstream\$1machine\$1role** 자격 증명 프로파일을 생성합니다. 임시 보안 인증 정보는 1시간 동안 유효하며 한 시간마다 새로운 보안 인증 정보가 검색됩니다. 이전 자격 증명은 만료되지 않으므로 유효한 기간 동안 사용할 수 있습니다. 자격 증명 프로파일을 사용하여 AWS 명령줄 인터페이스(AWS CLI), AWS Tools for PowerShell 또는 원하는 언어로 AWS SDK를 사용하여 프로그래밍 방식으로 AWS 서비스를 호출할 수 있습니다.

API를 호출할 때 **appstream\$1machine\$1role**을 자격 증명 프로필로 지정하십시오. 그렇지 않으면 권한이 부족하여 작업이 실패합니다.

WorkSpaces 애플리케이션은 스트리밍 인스턴스가 프로비저닝되는 동안 지정된 역할을 수임합니다. WorkSpaces 애플리케이션은 AWS API 호출을 위해 VPC에 연결된 탄력적 네트워크 인터페이스를 사용하므로 애플리케이션 또는 스크립트는 AWS API 호출을 수행하기 전에 탄력적 네트워크 인터페이스를 사용할 수 있을 때까지 기다려야 합니다. 탄력적 네트워크 인터페이스가 제공되기 전에 API 호출이 이루어지면 호출에 실패합니다.

다음 예는 **appstream\$1machine\$1role** 자격 증명 프로필을 사용하여 스트리밍 인스턴스(EC2 인스턴스)를 설명하고 Boto 클라이언트를 만드는 방법을 보여줍니다. Boto는 Python용 Amazon Web Services(AWS) SDK입니다.

** AWS CLI를 사용하여 스트리밍 인스턴스(EC2 인스턴스) 설명**

```
aws ec2 describe-instances --region us-east-1 --profile appstream_machine_role
```

**PowerShell용 AWS 도구를 사용하여 스트리밍 인스턴스(EC2 인스턴스) 설명**

.NET용 Amazon Web Services SDK 버전 3.3.103.22 이상에서 AWS Tools for PowerShell 버전 3.3.563.1 이상을 사용해야 합니다. AWS Tools for PowerShell 웹 사이트에서 AWS Tools for PowerShell 및 Amazon Web Services SDK for .NET이 포함된 Tools for Windows 설치 프로그램을 다운로드할 수 있습니다. PowerShell [AWS PowerShell](https://aws.amazon.com/powershell/) 

```
Get-EC2Instance -Region us-east-1 -ProfileName appstream_machine_role
```

** AWS SDK for Python을 사용하여 Boto 클라이언트 생성**

```
session = boto3.Session(profile_name='appstream_machine_role')
```

# Red Hat Enterprise Linux 및 Rocky Linux의 SELinux
<a name="selinux"></a>

기본적으로 Security Enhanced Linux(SELinux)는 Red Hat Enterprise Linux `enabled` 및 Rocky Linux로 구동되는 WorkSpaces 애플리케이션 이미지 빌더 및 스트리밍 인스턴스의 경우 이고 `enforcing` 모드로 설정됩니다. `enforcing` 모드에서는 권한 거부가 엄격히 적용됩니다. SELinux는 커널의 주요 하위 시스템에 강력하고 유연한 필수 액세스 제어 (MAC) 아키텍처를 제공하는 커널 기능 및 유틸리티를 포함하고 있습니다.

SELinux는 기밀 유지 및 무결성 요구 사항에 따라 정보를 분리하도록 하는 강화된 메커니즘을 제공합니다. 이렇게 정보를 분리하면 애플리케이션 보안 메커니즘의 변조 및 우회 위협이 줄어듭니다. 또한 악의적이거나 결함이 있는 애플리케이션으로 인해 발생할 수 있는 피해도 제한합니다.

SELinux에는 일상적인 보안 목표를 충족하도록 설계된 샘플 보안 정책 구성 파일 세트가 포함되어 있습니다. SELinux의 특징 및 기능에 대한 자세한 내용은 [What is SELinux?](https://www.redhat.com/en/topics/linux/what-is-selinux)를 참조하세요.

# Amazon WorkSpaces 애플리케이션의 쿠키 기반 인증
<a name="cookie-auth"></a>

WorkSpaces 애플리케이션은 브라우저 쿠키를 사용하여 스트리밍 세션을 인증하고 사용자가 매번 로그인 자격 증명을 다시 입력하지 않고도 활성 세션에 다시 연결할 수 있도록 합니다. 인증 토큰은 모든 인증 시나리오에 대해 브라우저 쿠키에 저장됩니다. 쿠키는 많은 온라인 서비스에 필요하지만 쿠키 도용 공격에 취약할 수 있습니다. 사용자 디바이스에 강력한 엔드포인트 보호 솔루션을 구현하는 등 쿠키 도용을 방지하기 위한 사전 조치를 취할 것을 강력히 권장합니다. 또한 쿠키 도용 시 발생할 수 있는 영향을 완화하기 위해 다음 조치를 고려하는 것이 좋습니다.
+ **단일 세션 제한 적용**: WorkSpaces 애플리케이션 Windows 이미지`HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management`의 경우 **max-concurrent-clients** 이름이 1로 설정된 레지스트리 키를에 생성하여 한 번에 하나의 연결만 허용합니다. 이렇게 하면 동시 세션 수가 1개로 제한되고 활성 세션의 미러링이 차단됩니다. 자세한 내용은 [session-management 파라미터](https://docs.aws.amazon.com/dcv/latest/adminguide/config-param-ref.html#session_management)를 참조하세요.
+ **세션 만료 및 재인증 적용**
  + 사용자가 스트리밍 세션을 성공적으로 시작하면 인증 토큰이 만료되도록 SessionDuration 값을 줄입니다. sessionDuration이 만료된 후 인증 쿠키를 재사용하려면 사용자가 스스로 재인증해야 합니다. SessionDuration은 재인증이 필요하기 전에 사용자의 페더레이션 스트리밍 세션이 활성 상태로 유지될 수 있는 최대 시간을 지정합니다. 기본값은 60분입니다. 자세한 내용은 [5단계: SAML 인증 응답을 위한 어설션 생성](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions) 단원을 참조하십시오.
  + 보안을 극대화하려면 사용자는 스트리밍 창을 닫는 대신 도구 모음(세션 종료)을 사용하여 세션을 올바르게 종료해야 합니다. 도구 모음을 통해 세션을 종료하면 사용자 세션과 스트리밍 인스턴스가 모두 종료됩니다. 이 경우 향후 액세스를 위해 재인증이 필요하므로 쿠키 오용을 방지할 수 있습니다. 사용자가 세션을 종료하지 않고 스트리밍 창을 닫는 경우 세션과 인스턴스는 구성 가능한 연결 해제 제한 시간(분) 동안 활성 상태로 유지됩니다. 연결 해제 제한 시간은 1\$15760 범위의 숫자여야 하며 기본값은 15분입니다. 비활성 세션의 오용을 방지하려면 짧은 연결 해제 제한 시간을 설정하는 것이 좋습니다. 자세한 내용은 [Amazon WorkSpaces 애플리케이션에서 플릿 생성](set-up-stacks-fleets-create.md) 단원을 참조하십시오.
+ **WorkSpaces 애플리케이션 애플리케이션을 IP 범위로 스트리밍하기 위한 액세스를 제한합니다**. IP 기반 IAM 정책을 구현하는 것이 좋습니다. 이렇게 하면 IP 주소가 승인된 IP 범위에 속하는 클라이언트에서만 WorkSpaces 애플리케이션 세션에 액세스할 수 있습니다. 사용자가 승인된 범위를 벗어난 클라이언트 IP 주소로 연결을 시도할 경우, 유효한 인증 쿠키(사용자로부터 도용되었을 가능성이 있는 쿠키)를 제출하더라도 모든 연결 시도가 거부됩니다. 자세한 내용은 [Amazon AppStream 2.0 애플리케이션 스트리밍 액세스를 IP 범위로 제한](https://aws.amazon.com/blogs/desktop-and-application-streaming/limit-access-to-stream-amazon-appstream-2-0-applications-to-your-ip-ranges/)을 참조하세요.
+ **추가 인증 추가**: 도메인에 조인된 스트리밍 인스턴스를 시작하려면 WorkSpaces 애플리케이션 올웨이즈 온 및 온디맨드 Windows 플릿 및 이미지 빌더를 Microsoft Active Directory의 도메인에 조인하고 클라우드 기반 또는 온프레미스의 기존 Active Directory 도메인을 사용할 수 있습니다. 초기 SAML 기반 인증 후 사용자는 조직 도메인에 대한 추가 인증을 위해 도메인 자격 증명을 제공하라는 메시지가 표시됩니다. 자세한 내용은 [WorkSpaces 애플리케이션에서 Active Directory 사용](active-directory.md) 단원을 참조하십시오.

 궁금한 점이 있거나 도움이 필요한 경우 [AWS Support Center](https://console.aws.amazon.com/support/home#/)에 문의하세요.