기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 볼트 액세스 정책
<a name="create-a-vault-access-policy"></a>

를 사용하면 백업 볼트와 백업 볼트에 포함된 리소스에 정책을 할당할 AWS Backup수 있습니다. 정책을 할당하면 사용자에게 백업 계획 및 온디맨드 백업을 생성할 수 있는 액세스 권한을 부여하는 등의 작업을 수행할 수 있지만 복구 시점이 생성된 후에는 삭제할 수 있는 기능을 제한할 수 있습니다.

정책 사용에 대한 자세한 내용을 알아보려면 *IAM 사용 설명서*의 [자격 증명 기반 정책 및 리소스 기반 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)을 참조하세요. 태그를 사용하여 액세스를 제어할 수도 있습니다.

다음 예제 정책을 가이드로 사용하여 AWS Backup 볼트로 작업할 때 리소스에 대한 액세스를 제한할 수 있습니다. 다른 IAM 기반 정책과 달리 AWS Backup 액세스 정책은 `Action` 키의 와일드카드를 지원하지 않습니다.

다양한 리소스 유형에 대한 복구 시점을 식별하는 데 사용할 수 있는 Amazon 리소스 이름(ARN) 목록은 [AWS Backup 리소스 ARNs](access-control.md#resource-arns-table)에서 리소스별 복구 시점 ARN을 참조하십시오.

볼트 액세스 정책은 AWS Backup APIs. Amazon Elastic Block Store(Amazon EBS) 및 Amazon Relational Dabase Service(Amazon RDS) 스냅샷과 같은 일부 백업 유형도 해당 서비스의 API를 사용하여 액세스할 수 있습니다. API에 대한 액세스를 제어하는 별도의 액세스 정책을 IAM에 생성하면 이러한 백업 유형에 대한 액세스를 완전히 제어할 수 있습니다.

 AWS Backup 볼트의 액세스 정책에 관계없이 이외의 모든 작업에 대한 교차 계정 액세스는 거부`backup:CopyIntoBackupVault`됩니다. 즉,는 참조되는 리소스의 계정과 다른 계정의 다른 모든 요청을 AWS Backup 거부합니다.

**Topics**
+ [백업 저장소에서 리소스 유형에 대한 액세스 거부](#deny-access-to-ebs-snapshots)
+ [백업 저장소에 대한 액세스 거부](#deny-access-to-a-backup-vault)
+ [백업 저장소에서 복구 시점 삭제에 대한 액세스 거부](#deny-access-to-delete-recovery-points)

## 백업 저장소에서 리소스 유형에 대한 액세스 거부
<a name="deny-access-to-ebs-snapshots"></a>

이 정책은 백업 저장소의 모든 Amazon EBS 스냅샷에 대해 지정된 API 작업에 대한 액세스를 거부합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyRecoveryPointOperations",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/MyRole"
      },
      "Action": [
        "backup:UpdateRecoveryPointLifecycle",
        "backup:DescribeRecoveryPoint",
        "backup:DeleteRecoveryPoint",
        "backup:GetRecoveryPointRestoreMetadata",
        "backup:StartRestoreJob"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:snapshot/*"
      ]
    }
  ]
}
```

------

## 백업 저장소에 대한 액세스 거부
<a name="deny-access-to-a-backup-vault"></a>

이 정책은 백업 저장소를 대상으로 지정된 API 작업에 대한 액세스를 거부합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyBackupVaultOperations",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/MyRole"
      },
      "Action": [
        "backup:DescribeBackupVault",
        "backup:DeleteBackupVault",
        "backup:PutBackupVaultAccessPolicy",
        "backup:DeleteBackupVaultAccessPolicy",
        "backup:GetBackupVaultAccessPolicy",
        "backup:StartBackupJob",
        "backup:GetBackupVaultNotifications",
        "backup:PutBackupVaultNotifications",
        "backup:DeleteBackupVaultNotifications",
        "backup:ListRecoveryPointsByBackupVault"
      ],
      "Resource": "arn:aws:backup:us-east-1:123456789012:backup-vault:backup vault name"
    }
  ]
}
```

------

## 백업 저장소에서 복구 시점 삭제에 대한 액세스 거부
<a name="deny-access-to-delete-recovery-points"></a>

저장소에 대한 액세스 및 저장소에 저장된 복구 시점 삭제 기능은 사용자에게 부여된 액세스 권한에 따라 결정됩니다.

다음 단계에 따라 백업 저장소에서 백업을 삭제하지 못하도록 해당 백업 저장소에 리소스 기반 액세스 정책을 생성합니다.

**백업 저장소에 리소스 기반 액세스 정책을 생성하려면**

1. 에 로그인 AWS Management Console하고 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) AWS Backup 콘솔을 엽니다.

1. 왼쪽의 탐색 창에서 **백업 저장소**를 선택합니다.

1. 목록에서 백업 저장소를 선택합니다.

1. **액세스 정책** 섹션에 다음 JSON 예를 붙여 넣습니다. 이 정책을 사용하면 보안 주체가 아닌 사용자가 대상 백업 저장소에서 복구 시점을 삭제할 수 없습니다.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Deny",
               "Principal": "*",
               "Action": "backup:DeleteRecoveryPoint",
               "Resource": "*",
               "Condition": {
                   "StringNotEquals": {
                       "aws:userId": [
                          "AIDA1234567890EXAMPLE",
                          "AROA1234567890EXAMPLE:my-role-session",
                          "AROA1234567890EXAMPLE:*",
                          "112233445566"
                       ]
                   }
               }
           }
       ]
   }
   ```

------

   ARN을 사용하여 목록 IAM ID를 허용하려면 다음 예제의 `aws:PrincipalArn` 전역 조건 키를 사용합니다.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "DenyDeleteRecoveryPoint",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "backup:DeleteRecoveryPoint",
         "Resource": "*",
         "Condition": {
           "ArnNotEquals": {
             "aws:PrincipalArn": [
               "arn:aws:iam::112233445566:role/mys3role",
               "arn:aws:iam::112233445566:user/shaheer",
               "arn:aws:iam::112233445566:root"
             ]
           }
         }
       }
     ]
   }
   ```

------

   IAM 엔터티의 고유 ID 가져오기에 대한 자세한 내용은 **IAM 사용 설명서의 [고유 식별자 가져오기](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-get-unique-id)를 참조하세요.

   이를 특정 리소스 유형으로 제한하려는 경우, `"Resource": "*"` 대신 거부할 복구 시점 유형을 명시적으로 포함하면 됩니다. 예를 들어 Amazon EBS 스냅샷의 경우 리소스 유형을 다음으로 변경합니다.

   ```
   "Resource": ["arn:aws:ec2::Region::snapshot/*"]
   ```

1. **정책 연결**을 선택합니다.