기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS CodeDeploy 에서 IAM을 사용하는 방법
<a name="security_iam_service-with-iam"></a>

IAM을 사용하여 CodeDeploy에 대한 액세스를 관리하려면 먼저 어떤 IAM 기능을 CodeDeploy와 함께 사용할 수 있는지를 이해해야 합니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조하세요.

**Topics**
+ [CodeDeploy 자격 증명 기반 정책](#security_iam_service-with-iam-id-based-policies)
+ [CodeDeploy 리소스 기반 정책](#security_iam_service-with-iam-resource-based-policies)
+ [CodeDeploy 태그 기반 권한 부여](#security_iam_service-with-iam-tags)
+ [IAM CodeDeploy 역할](#security_iam_service-with-iam-roles)

## CodeDeploy 자격 증명 기반 정책
<a name="security_iam_service-with-iam-id-based-policies"></a>

IAM 자격 증명 기반 정책을 사용하면 허용되거나 거부되는 작업과 리소스 및 작업이 허용되거나 거부되는 조건을 지정할 수 있습니다. CodeDeploy는 작업, 리소스 및 조건 키를 지원합니다. JSON 정책에서 사용하는 모든 요소에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)를 참조하세요.

### 작업
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.

JSON 정책의 `Action`요소는 정책에서 액세스를 허용하거나 거부하는 데 사용할 수 있는 작업을 설명합니다. 연결된 작업을 수행할 수 있는 권한을 부여하기 위한 정책에 작업을 포함하세요.

CodeDeploy의 정책 작업은 작업 앞에 `codedeploy:` 접두사를 사용합니다. 예를 들어, `codedeploy:GetApplication` 권한은 사용자에게 `GetApplication` 작업을 수행할 수 있는 권한을 부여합니다. 정책 문에는 `Action` 또는 `NotAction` 요소가 포함되어야 합니다. CodeDeploy는 이 서비스로 수행할 수 있는 작업을 설명하는 고유한 작업 세트를 정의합니다.

명령문 하나에 여러 태스크를 지정하려면 다음과 같이 쉼표로 구분합니다.

```
"Action": [
      "codedeploy:action1",
      "codedeploy:action2"
```

와일드카드(\$1)를 사용하여 여러 작업을 지정할 수 있습니다. 예를 들어, `Describe`라는 단어로 시작하는 모든 작업을 지정하려면 다음 작업을 포함합니다.

```
"Action": "ec2:Describe*"
```



CodeDeploy 작업 목록에 대해서는 *IAM 사용 설명서*의 [AWS CodeDeploy에서 정의한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscodedeploy.html#awscodedeploy-actions-as-permissions)을 참조하세요.

모든 CodeDeploy API 작업과 해당 작업이 적용되는 리소스를 나열하는 표는 [CodeDeploy 권한 참조](auth-and-access-control-permissions-reference.md) 섹션을 참조하세요.

### 리소스
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.

`Resource` JSON 정책 요소는 작업이 적용되는 하나 이상의 객체를 지정합니다. 모범 사례에 따라 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)을 사용하여 리소스를 지정합니다. 리소스 수준 권한을 지원하지 않는 작업의 경우, 와일드카드(\$1)를 사용하여 해당 문이 모든 리소스에 적용됨을 나타냅니다.

```
"Resource": "*"
```



예를 들어 명령문에서 다음과 같이 ARN을 사용하여 배포 그룹(*myDeploymentGroup*)을 지정할 수 있습니다.

```
"Resource": "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:myApplication/myDeploymentGroup"
```

다음과 같이 와일드카드 문자(\$1)를 사용하여 계정에 속한 모든 배포 그룹을 지정할 수도 있습니다.

```
"Resource": "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*"
```

모든 리소스를 지정해야 하거나, API 작업이 ARN을 지원하지 않는 경우 다음과 같이 `Resource` 요소에 와일드카드 문자(\$1)를 사용합니다.

```
"Resource": "*"
```

일부 CodeDeploy API 작업에서는 여러 리소스 사용을 허용합니다(예: `BatchGetDeploymentGroups`). 명령문 하나에 여러 리소스를 지정하려면 다음과 같이 각 ARN을 쉼표로 구분합니다.

```
"Resource": ["arn1", "arn2"]
```

CodeDeploy는 CodeDeploy 리소스를 사용하기 위한 일련의 작업을 제공합니다. 사용 가능한 작업 목록은 [CodeDeploy 권한 참조](auth-and-access-control-permissions-reference.md) 단원을 참조하세요.

CodeDeploy 리소스 유형 및 해당 ARN의 목록을 보려면 *IAM 사용 설명서*의 [AWS CodeDeploy에서 정의한 리소스](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscodedeploy.html)를 참조하세요. 각 리소스의 ARN을 지정할 수 있는 작업에 대한 자세한 내용은 [AWS CodeDeploy에서 정의한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscodedeploy.html#awscodedeploy-actions-as-permissions)을 참조하세요.

#### CodeDeploy 리소스 및 작업
<a name="arn-formats"></a>

CodeDeploy에서 기본 리소스는 배포 그룹입니다. 정책에서 Amazon 리소스 이름(ARN)을 사용하여 정책이 적용되는 리소스를 식별합니다. CodeDeploy는 애플리케이션, 배포 구성 및 인스턴스를 비롯하여 배포 그룹에 사용할 수 있는 기타 리소스를 지원합니다. 이러한 리소스를 가리켜 하위 리소스라 합니다. 이러한 리소스와 하위 리소스에는 고유한 ARN이 연결되어 있습니다. 자세한 내용은 *Amazon Web Services 일반 참조*의 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)을 참조하세요.


| 리소스 유형 | ARN 형식 | 
| --- | --- | 
| 배포 그룹 |  `arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name`  | 
| 애플리케이션 |  `arn:aws:codedeploy:region:account-id:application:application-name`  | 
| 배포 구성 |  `arn:aws:codedeploy:region:account-id:deploymentconfig:deployment-configuration-name`   | 
| Instance |  `arn:aws:codedeploy:region:account-id:instance/instance-ID`  | 
|  모든 CodeDeploy 리소스  |  `arn:aws:codedeploy:*`  | 
|  지정한 리전에서 지정한 계정이 소유한 모든 CodeDeploy 리소스  |  `arn:aws:codedeploy:region:account-id:*`  | 

**참고**  
의 대부분의 서비스는 콜론(:) 또는 슬래시(/)를 ARN에서 동일한 문자로 AWS 취급합니다. ARNs 그러나 CodeDeploy는 리소스 패턴 및 규칙에서 정확한 일치를 사용합니다. 따라서 이벤트 패턴을 만들 때 리소스에서 ARN 구문이 일치하도록 정확한 ARN 문자를 사용해야 합니다.

### 조건 키
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

CodeDeploy는 서비스별 조건 키를 제공하지 않지만, 일부 전역 조건 키 사용을 지원합니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 글로벌 조건 컨텍스트 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)를 참조하세요.



### 예제
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



CodeDeploy 자격 증명 기반 정책 예제를 보려면 [AWS CodeDeploy 자격 증명 기반 정책 예제](security_iam_id-based-policy-examples.md) 섹션을 참조하세요.

## CodeDeploy 리소스 기반 정책
<a name="security_iam_service-with-iam-resource-based-policies"></a>

CodeDeploy는 리소스 기반 정책을 지원하지 않습니다. 자세한 리소스 기반 정책 페이지의 예를 보려면 [리소스 기반 정책 사용을 참조하세요 AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html).

## CodeDeploy 태그 기반 권한 부여
<a name="security_iam_service-with-iam-tags"></a>

CodeDeploy는 리소스 태깅 또는 태그 기반 액세스 제어를 지원하지 않습니다.

## IAM CodeDeploy 역할
<a name="security_iam_service-with-iam-roles"></a>

[IAM 역할은](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) 특정 권한이 있는 AWS 계정의 엔터티입니다.

### CodeDeploy에서 임시 자격 증명 사용
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

임시 보안 인증을 사용하여 페더레이션을 통해 로그인하거나, IAM 역할을 맡거나, 교차 계정 역할을 맡을 수 있습니다. [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 또는 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)과 같은 AWS STS API 작업을 호출하여 임시 보안 자격 증명을 얻습니다.

CodeDeploy에서 임시 자격 증명 사용을 지원합니다.

### 서비스 연결 역할
<a name="security_iam_service-with-iam-roles-service-linked"></a>

CodeDeploy는 서비스 연결 역할을 지원하지 않습니다.

### 서비스 역할
<a name="security_iam_service-with-iam-roles-service"></a>

이 기능을 사용하면 서비스가 사용자를 대신하여 [서비스 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)을 수임할 수 있습니다. 이 역할을 사용하면 서비스가 다른 서비스의 리소스에 액세스해 사용자를 대신해 작업을 완료할 수 있습니다. 서비스 역할은 AWS 계정에 나타나며 계정이 소유합니다. 즉, 사용자가 이 역할에 대한 권한을 변경할 수 있습니다. 그러나 권한을 변경하면 서비스의 기능이 손상될 수 있습니다.

CodeDeploy는 서비스 역할을 지원합니다.

### CodeDeploy에서 IAM 역할 선택
<a name="security_iam_service-with-iam-roles-choose"></a>

CodeDeploy에서 배포 그룹 리소스를 생성할 경우 CodeDeploy가 사용자 대신 Amazon EC2에 액세스할 수 있도록 하는 역할을 선택해야 합니다. 이전에 서비스 역할 또는 서비스 연결 역할을 생성한 경우 CodeDeploy는 선택할 수 있는 역할 목록을 제공합니다. EC2 인스턴스 시작 및 중지에 대한 액세스를 허용하는 역할을 선택하는 것이 중요합니다.