기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 의 보안 AWS Config
의 클라우드 보안 AWS 이 최우선 순위입니다. AWS 고객은 보안에 가장 민감한 조직의 요구 사항을 충족하도록 구축된 데이터 센터 및 네트워크 아키텍처의 이점을 누릴 수 있습니다.
보안은 AWS 와 사용자 간의 공동 책임입니다. [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)은 이 사항을 클라우드*의* 보안 및 클라우드 *내* 보안으로 설명합니다.
+ **클라우드 보안 **- AWS 는 클라우드에서 AWS AWS 서비스를 실행하는 인프라를 보호할 책임이 있습니다. AWS 또한는 안전하게 사용할 수 있는 서비스를 제공합니다. 타사 감사자는 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/) 일환으로 보안의 효과를 정기적으로 테스트하고 확인합니다. 에 적용되는 규정 준수 프로그램에 대한 자세한 내용은 규정 준수 프로그램 [AWS 제공 범위 내 서비스규정 준수 프로그램](https://aws.amazon.com/compliance/services-in-scope/) 제공 범위 내 서비스를 AWS Config참조하세요.
+ **클라우드의 보안** - 사용자의 책임은 사용하는 AWS 서비스에 따라 결정됩니다. 또한 귀하는 귀사의 데이터 민감도, 귀사의 요구 사항, 관련 법률 및 규정을 비롯한 기타 요소에 대해서도 책임이 있습니다.
이 설명서는를 사용할 때 공동 책임 모델을 적용하는 방법을 이해하는 데 도움이 됩니다 AWS Config. 다음 주제에서는 보안 및 규정 준수 목표를 충족하도록 AWS Config 를 구성하는 방법을 보여줍니다.
**Topics**
+ [의 데이터 보호 AWS Config](data-protection.md)
+ [에 대한 자격 증명 및 액세스 관리 AWS Config](security-iam.md)
+ [의 인시던트 대응 AWS Config](incident-response.md)
+ [에 대한 규정 준수 검증 AWS Config](config-compliance.md)
+ [의 복원력 AWS Config](disaster-recovery-resiliency.md)
+ [의 인프라 보안 AWS Config](infrastructure-security.md)
+ [교차 서비스 혼동된 대리자 방지](cross-service-confused-deputy-prevention.md)
+ [에 대한 보안 모범 사례 AWS Config](security-best-practices.md)
# 의 데이터 보호 AWS Config
AWS [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)의 데이터 보호에 적용됩니다. 이 모델에 설명된 대로 AWS 는 모든를 실행하는 글로벌 인프라를 보호할 책임이 있습니다 AWS 클라우드. 사용자는 이 인프라에 호스팅되는 콘텐츠에 대한 통제 권한을 유지할 책임이 있습니다. 사용하는 AWS 서비스 의 보안 구성과 관리 태스크에 대한 책임도 사용자에게 있습니다. 데이터 프라이버시에 관한 자세한 내용은 [데이터 프라이버시 FAQ](https://aws.amazon.com/compliance/data-privacy-faq/)를 참조하세요. 유럽의 데이터 보호에 대한 자세한 내용은 *AWS 보안 블로그*의 [AWS 공동 책임 모델 및 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 블로그 게시물을 참조하세요.
데이터 보호를 위해 자격 증명을 보호하고 AWS 계정 AWS IAM Identity Center 또는 AWS Identity and Access Management (IAM)를 사용하여 개별 사용자를 설정하는 것이 좋습니다. 이렇게 하면 개별 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.
+ 각 계정에 다중 인증(MFA)을 사용합니다.
+ SSL/TLS를 사용하여 AWS 리소스와 통신합니다. TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ 를 사용하여 API 및 사용자 활동 로깅을 설정합니다 AWS CloudTrail. CloudTrail 추적을 사용하여 AWS 활동을 캡처하는 방법에 대한 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [ CloudTrail 추적 작업을](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) 참조하세요.
+ 내부의 모든 기본 보안 제어와 함께 AWS 암호화 솔루션을 사용합니다 AWS 서비스.
+ Amazon S3에 저장된 민감한 데이터를 검색하고 보호하는 데 도움이 되는 Amazon Macie와 같은 고급 관리형 보안 서비스를 사용합니다.
+ 명령줄 인터페이스 또는 API를 AWS 통해에 액세스할 때 FIPS 140-3 검증 암호화 모듈이 필요한 경우 FIPS 엔드포인트를 사용합니다. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 [연방 정보 처리 표준(FIPS) 140-3](https://aws.amazon.com/compliance/fips/)을 참조하세요.
고객의 이메일 주소와 같은 기밀 정보나 중요한 정보는 태그나 **이름** 필드와 같은 자유 형식 텍스트 필드에 입력하지 않는 것이 좋습니다. 여기에는 또는 기타 AWS 서비스 에서 콘솔, API AWS CLI또는 AWS SDKs를 사용하여 작업하는 경우가 포함됩니다. 이름에 사용되는 태그 또는 자유 형식 텍스트 필드에 입력하는 모든 데이터는 청구 또는 진단 로그에 사용될 수 있습니다. 외부 서버에 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 자격 증명을 URL에 포함해서는 안 됩니다.
## 저장된 데이터 암호화
저장 데이터는 투명 서버 측 암호화를 사용하여 암호화됩니다. 이를 사용하면 중요한 데이터 보호와 관련된 운영 부담 및 복잡성을 줄일 수 있습니다. 유휴 시 암호화를 사용하면 암호화 규정 준수 및 규제 요구 사항이 필요한, 보안에 민감한 애플리케이션을 구축할 수 있습니다.
## 전송 중인 데이터 암호화
에서 수집하고 액세스하는 데이터는 TLS(전송 계층 보안) 보호 채널을 통해서만 AWS Config 제공됩니다.
# 에 대한 자격 증명 및 액세스 관리 AWS Config
AWS Identity and Access Management (IAM)는 관리자가 AWS 리소스에 대한 액세스를 안전하게 제어하는 데 도움이 AWS 서비스 되는 입니다. IAM 관리자는 누가 AWS Config 리소스를 사용할 수 있는 *인증*(로그인) 및 *권한*(권한 있음)을 받을 수 있는지 제어합니다. IAM은 추가 비용 없이 사용할 수 AWS 서비스 있는 입니다.
**Topics**
+ [대상](#security_iam_audience)
+ [ID를 통한 인증](#security_iam_authentication)
+ [정책을 사용하여 액세스 관리](#security_iam_access-manage)
+ [AWS Config 에서 IAM을 사용하는 방법](security_iam_service-with-iam.md)
+ [ID 기반 정책 예시](security_iam_id-based-policy-examples.md)
+ [AWS 관리형 정책](security-iam-awsmanpol.md)
+ [IAM 역할의 권한](iamrole-permissions.md)
+ [IAM 역할 업데이트](update-iam-role.md)
+ [Amazon S3 버킷에 대한 권한](s3-bucket-policy.md)
+ [KMS 키에 대한 권한](s3-kms-key-policy.md)
+ [Amazon SNS 주제에 대한 권한](sns-topic-policy.md)
+ [문제 해결](security_iam_troubleshoot.md)
+ [서비스 연결 역할 사용](using-service-linked-roles.md)
## 대상
AWS Identity and Access Management (IAM)를 사용하는 방법은 역할에 따라 다릅니다.
+ **서비스 사용자** - 기능에 액세스할 수 없는 경우 관리자에게 권한 요청(참조[AWS Config 자격 증명 및 액세스 문제 해결](security_iam_troubleshoot.md))
+ **서비스 관리자** - 사용자 액세스 결정 및 권한 요청 제출([AWS Config 에서 IAM을 사용하는 방법](security_iam_service-with-iam.md) 참조)
+ **IAM 관리자** - 액세스를 관리하기 위한 정책 작성([에 대한 자격 증명 기반 정책 예제 AWS Config](security_iam_id-based-policy-examples.md) 참조)
## ID를 통한 인증
인증은 자격 증명 자격 증명을 AWS 사용하여에 로그인하는 방법입니다. AWS 계정 루트 사용자, IAM 사용자 또는 IAM 역할을 수임하여 인증해야 합니다.
AWS IAM Identity Center (IAM Identity Center), Single Sign-On 인증 또는 Google/Facebook 자격 증명과 같은 자격 증명 소스의 자격 증명을 사용하여 페더레이션 자격 증명으로 로그인할 수 있습니다. 로그인하는 방법에 대한 자세한 내용은 *AWS Sign-In 사용 설명서*의 [AWS 계정에 로그인하는 방법](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) 섹션을 참조하세요.
프로그래밍 방식 액세스를 위해는 요청에 암호화 방식으로 서명할 수 있는 SDK 및 CLI를 AWS 제공합니다. 자세한 내용은 *IAM 사용 설명서*의 [API 요청용AWS Signature Version 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) 섹션을 참조하세요.
### AWS 계정 루트 사용자
를 생성할 때 모든 AWS 서비스 및 리소스에 대한 완전한 액세스 권한이 있는 AWS 계정 *theroot 사용자*라는 하나의 로그인 자격 증명으로 AWS 계정시작합니다. 일상적인 태스크에 루트 사용자를 사용하지 않을 것을 강력히 권장합니다. 루트 사용자 자격 증명이 필요한 작업은 *IAM 사용 설명서*의 [루트 사용자 자격 증명이 필요한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) 섹션을 참조하세요.
### 페더레이션 ID
가장 좋은 방법은 인간 사용자에게 자격 증명 공급자와의 페더레이션을 사용하여 임시 자격 증명을 AWS 서비스 사용하여에 액세스하도록 요구하는 것입니다.
*페더레이션 자격 증명*은 엔터프라이즈 디렉터리, 웹 자격 증명 공급자 또는 자격 증명 소스의 자격 증명을 AWS 서비스 사용하여 Directory Service 에 액세스하는 사용자입니다. 페더레이션 ID는 임시 자격 증명을 제공하는 역할을 수임합니다.
중앙 집중식 액세스 관리를 위해 AWS IAM Identity Center를 추천합니다. 자세한 정보는 *AWS IAM Identity Center 사용 설명서*의 [What is IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)를 참조하세요.
### IAM 사용자 및 그룹
*[IAM 사용자](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*는 단일 개인 또는 애플리케이션에 대한 특정 권한을 가진 ID입니다. 장기 자격 증명이 있는 IAM 사용자 대신 임시 자격 증명을 사용하는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 자격 [증명 공급자와의 페더레이션을 사용하여 임시 자격 증명을 AWS 사용하여에 액세스하도록 인간 사용자에게 요구](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)하기를 참조하세요.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)은 IAM 사용자 모음을 지정하고 대규모 사용자 집합에 대한 관리 권한을 더 쉽게 만듭니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 사용자 사용 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) 섹션을 참조하세요.
### IAM 역할
*[IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*은 임시 자격 증명을 제공하는 특정 권한이 있는 자격 증명입니다. [사용자에서 IAM 역할(콘솔)로 전환하거나 또는 API 작업을 호출하여 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) 수임할 수 있습니다. AWS CLI AWS 자세한 내용은 *IAM 사용 설명서*의 [역할 수임 방법](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)을 참조하세요.
IAM 역할은 페더레이션 사용자 액세스, 임시 IAM 사용자 권한, 교차 계정 액세스, 교차 서비스 액세스 및 Amazon EC2에서 실행되는 애플리케이션에 유용합니다. 자세한 내용은 *IAM 사용 설명서*의 [교차 계정 리소스 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)를 참조하세요.
## 정책을 사용하여 액세스 관리
정책을 AWS 생성하고 자격 증명 또는 리소스에 연결하여 AWS 에서 액세스를 제어합니다. 정책은 자격 증명 또는 리소스와 연결될 때 권한을 정의합니다.는 보안 주체가 요청할 때 이러한 정책을 AWS 평가합니다. 대부분의 정책은에 JSON 문서 AWS 로 저장됩니다. JSON 정책 문서에 대한 자세한 내용은 *IAM 사용 설명서*의 [JSON 정책 개요](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) 섹션을 참조하세요.
정책을 사용하여 관리자는 어떤 **보안 주체**가 어떤 **리소스**에 대해 어떤 **조건**에서 **작업**을 수행할 수 있는지 정의하여 누가 무엇을 액세스할 수 있는지 지정합니다.
기본적으로 사용자 및 역할에는 어떠한 권한도 없습니다. IAM 관리자는 IAM 정책을 생성하고 사용자가 수임할 수 있는 역할에 추가합니다. IAM 정책은 작업을 수행하기 위해 사용하는 방법과 관계없이 작업에 대한 권한을 정의합니다.
### ID 기반 정책
ID 기반 정책은 ID(사용자, 사용자 그룹 또는 역할)에 연결하는 JSON 권한 정책 문서입니다. 이러한 정책은 자격 증명이 수행할 수 있는 작업, 대상 리소스 및 이에 관한 조건을 제어합니다. ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*에서 [고객 관리형 정책으로 사용자 지정 IAM 권한 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)를 참조하세요.
ID 기반 정책은 *인라인 정책*(단일 ID에 직접 포함) 또는 *관리형 정책*(여러 ID에 연결된 독립 실행형 정책)일 수 있습니다. 관리형 정책 또는 인라인 정책을 선택하는 방법을 알아보려면 *IAM 사용 설명서*의 [관리형 정책 및 인라인 정책 중에서 선택](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) 섹션을 참조하세요.
### 리소스 기반 정책
리소스 기반 정책은 리소스에 연결하는 JSON 정책 설명서입니다. 예를 들어 IAM *역할 신뢰 정책* 및 Amazon S3 *버킷 정책*이 있습니다. 리소스 기반 정책을 지원하는 서비스에서 서비스 관리자는 이러한 정책을 사용하여 특정 리소스에 대한 액세스를 통제할 수 있습니다. 리소스 기반 정책에서 [보안 주체를 지정](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)해야 합니다.
리소스 기반 정책은 해당 서비스에 있는 인라인 정책입니다. 리소스 기반 정책에서는 IAM의 AWS 관리형 정책을 사용할 수 없습니다.
### 기타 정책 유형
AWS 는 보다 일반적인 정책 유형에서 부여한 최대 권한을 설정할 수 있는 추가 정책 유형을 지원합니다.
+ **권한 경계** - ID 기반 정책에서 IAM 엔터티에 부여할 수 있는 최대 권한을 설정합니다. 자세한 정보는 *IAM 사용 설명서*의 [IAM 엔터티의 권한 범위](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)를 참조하세요.
+ **서비스 제어 정책(SCP)** - AWS Organizations내 조직 또는 조직 단위에 대한 최대 권한을 지정합니다. 자세한 내용은AWS Organizations 사용 설명서의 [서비스 제어 정책](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)을 참조하세요.**
+ **리소스 제어 정책(RCP)** – 계정의 리소스에 사용할 수 있는 최대 권한을 설정합니다. 자세한 내용은 *AWS Organizations 사용 설명서*의 [리소스 제어 정책(RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)을 참조하세요.
+ **세션 정책** – 역할 또는 페더레이션 사용자에 대해 임시 세션을 프로그래밍 방식으로 생성할 때 파라미터로 전달하는 고급 정책입니다. 자세한 내용은 *IAM 사용 설명서*의 [세션 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)을 참조하세요.
### 여러 정책 유형
여러 정책 유형이 요청에 적용되는 경우, 결과 권한은 이해하기가 더 복잡합니다. 에서 여러 정책 유형이 관련될 때 요청을 허용할지 여부를 AWS 결정하는 방법을 알아보려면 *IAM 사용 설명서*의 [정책 평가 로직](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)을 참조하세요.
# AWS Config 에서 IAM을 사용하는 방법
IAM을 사용하여에 대한 액세스를 관리하기 전에 사용할 수 있는 IAM 기능에 대해 AWS Config알아봅니다 AWS Config.
**에서 사용할 수 있는 IAM 기능 AWS Config**
| IAM 특성 | AWS Config 지원 |
| --- | --- |
| [자격 증명 기반 정책](#security_iam_service-with-iam-id-based-policies) | 예 |
| [리소스 기반 정책](#security_iam_service-with-iam-resource-based-policies) | 아니요 |
| [정책 작업](#security_iam_service-with-iam-id-based-policies-actions) | 예 |
| [정책 리소스](#security_iam_service-with-iam-id-based-policies-resources) | 예 |
| [정책 조건 키(서비스별)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | 예 |
| [ACL](#security_iam_service-with-iam-acls) | 아니요 |
| [ABAC(정책의 태그)](#security_iam_service-with-iam-tags) | 예 |
| [임시 보안 인증](#security_iam_service-with-iam-roles-tempcreds) | 예 |
| [전달 액세스 세션(FAS)](#security_iam_service-with-iam-principal-permissions) | 예 |
| [서비스 역할](#security_iam_service-with-iam-roles-service) | 예 |
| [서비스 연결 역할](#security_iam_service-with-iam-roles-service-linked) | 예 |
AWS Config 및 기타 AWS 서비스가 대부분의 IAM 기능과 작동하는 방법을 개괄적으로 알아보려면 *IAM 사용 설명서*의 [AWS IAM으로 작업하는 서비스를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 참조하세요.
## 에 대한 자격 증명 기반 정책 AWS Config
**ID 기반 정책 지원:** 예
ID 기반 정책은 IAM 사용자, 사용자 그룹 또는 역할과 같은 ID에 연결할 수 있는 JSON 권한 정책 문서입니다. 이러한 정책은 사용자 및 역할이 어떤 리소스와 어떤 조건에서 어떤 작업을 수행할 수 있는지를 제어합니다. 자격 증명 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*에서 [고객 관리형 정책으로 사용자 지정 IAM 권한 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)를 참조하세요.
IAM ID 기반 정책을 사용하면 허용되거나 거부되는 작업과 리소스뿐 아니라 작업이 허용되거나 거부되는 조건을 지정할 수 있습니다. JSON 정책에서 사용할 수 있는 모든 요소에 대해 알아보려면 *IAM 사용 설명서*의 [IAM JSON 정책 요소 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)를 참조하세요.
### 에 대한 자격 증명 기반 정책 예제 AWS Config
자격 AWS Config 증명 기반 정책의 예를 보려면 섹션을 참조하세요[에 대한 자격 증명 기반 정책 예제 AWS Config](security_iam_id-based-policy-examples.md).
## 내의 리소스 기반 정책 AWS Config
**리소스 기반 정책 지원:** 아니요
리소스 기반 정책은 리소스에 연결하는 JSON 정책 설명서입니다. 리소스 기반 정책의 예제는 IAM *역할 신뢰 정책*과 Amazon S3 *버킷 정책*입니다. 리소스 기반 정책을 지원하는 서비스에서 서비스 관리자는 이러한 정책을 사용하여 특정 리소스에 대한 액세스를 통제할 수 있습니다. 정책이 연결된 리소스의 경우 정책은 지정된 보안 주체가 해당 리소스와 어떤 조건에서 어떤 작업을 수행할 수 있는지를 정의합니다. 리소스 기반 정책에서 [보안 주체를 지정](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)해야 합니다. 보안 주체에는 계정, 사용자, 역할, 페더레이션 사용자 또는이 포함될 수 있습니다 AWS 서비스.
교차 계정 액세스를 활성화하려는 경우, 전체 계정이나 다른 계정의 IAM 개체를 리소스 기반 정책의 보안 주체로 지정할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM에서 교차 계정 리소스 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)를 참조하세요.
## 에 대한 정책 작업 AWS Config
**정책 작업 지원:** 예
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
JSON 정책의 `Action`요소는 정책에서 액세스를 허용하거나 거부하는 데 사용할 수 있는 작업을 설명합니다. 연결된 작업을 수행할 수 있는 권한을 부여하기 위한 정책에 작업을 포함하세요.
AWS Config 작업 목록을 보려면 *서비스 승인* 참조의에서 [정의한 작업을 AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-actions-as-permissions) 참조하세요.
의 정책 작업은 작업 앞에 다음 접두사를 AWS Config 사용합니다.
```
config
```
단일 문에서 여러 작업을 지정하려면 쉼표로 구분합니다.
```
"Action": [
"config:action1",
"config:action2"
]
```
와일드카드(\$1)를 사용하여 여러 작업을 지정할 수 있습니다. 예를 들어, `Describe`라는 단어로 시작하는 모든 작업을 지정하려면 다음 작업을 포함합니다.
```
"Action": "config:Describe*"
```
자격 AWS Config 증명 기반 정책의 예를 보려면 섹션을 참조하세요[에 대한 자격 증명 기반 정책 예제 AWS Config](security_iam_id-based-policy-examples.md).
## 에 대한 정책 리소스 AWS Config
**정책 리소스 지원:** 예
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
`Resource` JSON 정책 요소는 작업이 적용되는 하나 이상의 객체를 지정합니다. 모범 사례에 따라 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)을 사용하여 리소스를 지정합니다. 리소스 수준 권한을 지원하지 않는 작업의 경우, 와일드카드(\$1)를 사용하여 해당 문이 모든 리소스에 적용됨을 나타냅니다.
```
"Resource": "*"
```
AWS Config 리소스 유형 및 해당 ARNs 목록을 보려면 *서비스 승인* 참조의에서 [정의한 리소스를 AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-resources-for-iam-policies) 참조하세요. 각 리소스의 ARN을 지정할 수 있는 작업을 알아보려면 [AWS Config에서 정의한 작업](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-actions-as-permissions)을 참조하세요.
자격 AWS Config 증명 기반 정책의 예를 보려면 섹션을 참조하세요[에 대한 자격 증명 기반 정책 예제 AWS Config](security_iam_id-based-policy-examples.md).
## 에 대한 정책 조건 키 AWS Config
**서비스별 정책 조건 키 지원:** 예
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
`Condition` 요소는 정의된 기준에 따라 문이 실행되는 시기를 지정합니다. 같음(equals) 또는 미만(less than)과 같은 [조건 연산자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)를 사용하여 정책의 조건을 요청의 값과 일치시키는 조건식을 생성할 수 있습니다. 모든 AWS 전역 조건 키를 보려면 *IAM 사용 설명서*의 [AWS 전역 조건 컨텍스트 키를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) 참조하세요.
AWS Config 조건 키 목록을 보려면 *서비스 승인* 참조의에 [대한 조건 키를 AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-policy-keys) 참조하세요. 조건 키를 사용할 수 있는 작업과 리소스를 알아보려면 [에서 정의한 작업을 AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-actions-as-permissions) 참조하세요.
자격 AWS Config 증명 기반 정책의 예를 보려면 섹션을 참조하세요[에 대한 자격 증명 기반 정책 예제 AWS Config](security_iam_id-based-policy-examples.md).
## ACLs AWS Config
**ACL 지원:** 아니요
액세스 제어 목록(ACL)은 어떤 보안 주체(계정 멤버, 사용자 또는 역할)가 리소스에 액세스할 수 있는 권한을 가지고 있는지를 제어합니다. ACL은 JSON 정책 문서 형식을 사용하지 않지만 리소스 기반 정책과 유사합니다.
## 를 사용한 ABAC AWS Config
**ABAC 지원(정책의 태그):** 예
속성 기반 액세스 제어(ABAC)는 태그라고 불리는 속성을 기반으로 권한을 정의하는 권한 부여 전략입니다. IAM 엔터티 및 AWS 리소스에 태그를 연결한 다음 보안 주체의 태그가 리소스의 태그와 일치할 때 작업을 허용하는 ABAC 정책을 설계할 수 있습니다.
태그에 근거하여 액세스를 제어하려면 `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`또는 `aws:TagKeys`조건 키를 사용하여 정책의 [조건 요소](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)에 태그 정보를 제공합니다.
서비스가 모든 리소스 유형에 대해 세 가지 조건 키를 모두 지원하는 경우, 값은 서비스에 대해 **예**입니다. 서비스가 일부 리소스 유형에 대해서만 세 가지 조건 키를 모두 지원하는 경우, 값은 **부분적**입니다.
ABAC에 대한 자세한 내용은 *IAM 사용 설명서*의 [ABAC 권한 부여를 통한 권한 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)를 참조하세요. ABAC 설정 단계가 포함된 자습서를 보려면 *IAM 사용 설명서*의 [속성 기반 액세스 제어(ABAC) 사용](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)을 참조하세요.
AWS Config 리소스 태그 지정에 대한 자세한 내용은 섹션을 참조하세요[AWS Config 리소스에 태그 지정](tagging.md).
## 에서 임시 자격 증명 사용 AWS Config
**임시 자격 증명 지원:** 예
임시 자격 증명은 AWS 리소스에 대한 단기 액세스를 제공하며 페더레이션 또는 전환 역할을 사용할 때 자동으로 생성됩니다. 장기 액세스 키를 사용하는 대신 임시 자격 증명을 동적으로 생성하는 것이 AWS 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM의 임시 보안 자격 증명](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 및 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 섹션을 참조하세요.
## 에 대한 전달 액세스 세션 AWS Config
**전달 액세스 세션(FAS) 지원:** 예
전달 액세스 세션(FAS)은를 호출하는 보안 주체의 권한을 다운스트림 서비스에 AWS 서비스 대한 요청과 AWS 서비스함께 사용합니다. FAS 요청 시 정책 세부 정보는 [전달 액세스 세션](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)을 참조하세요.
## 에 대한 서비스 역할 AWS Config
**서비스 역할 지원:** 예
서비스 역할은 서비스가 사용자를 대신하여 작업을 수행하는 것으로 가정하는 [IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)입니다. IAM 관리자는 IAM 내에서 서비스 역할을 생성, 수정 및 삭제할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 서비스 AWS에 권한을 위임할 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)을 참조하세요.
**주의**
서비스 역할에 대한 권한을 변경하면 AWS Config 기능이 중단될 수 있습니다. 에서 관련 지침을 AWS Config 제공하는 경우에만 서비스 역할을 편집합니다.
## 에 대한 서비스 연결 역할 AWS Config
**서비스 연결 역할 지원:** 예
서비스 연결 역할은에 연결된 서비스 역할의 한 유형입니다 AWS 서비스. 서비스는 사용자를 대신하여 작업을 수행하기 위해 역할을 수임할 수 있습니다. 서비스 연결 역할은에 나타나 AWS 계정 며 서비스가 소유합니다. IAM 관리자는 서비스 연결 역할의 권한을 볼 수 있지만 편집은 할 수 없습니다.
AWS Config 서비스 연결 역할 생성 또는 관리에 대한 자세한 내용은 섹션을 참조하세요[에 서비스 연결 역할 사용 AWS Config](using-service-linked-roles.md).
서비스 연결 역할 생성 또는 관리에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조하세요. **서비스 연결 역할** 열에서 `Yes`가 포함된 서비스를 테이블에서 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예(Yes)** 링크를 선택합니다.
# 에 대한 자격 증명 기반 정책 예제 AWS Config
기본적으로 사용자 및 역할에는 AWS Config 리소스를 생성하거나 수정할 수 있는 권한이 없습니다. 사용자에게 사용자가 필요한 리소스에서 작업을 수행할 권한을 부여하려면 IAM 관리자가 IAM 정책을 생성하면 됩니다.
이러한 예제 JSON 정책 문서를 사용하여 IAM ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*의 [IAM 정책 생성(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)을 참조하세요.
각 리소스 유형에 대한 ARNs 형식을 포함하여 AWS Config에서 정의한 작업 및 리소스 유형에 대한 자세한 내용은 *서비스 승인* 참조의 [에 대한 작업, 리소스 및 조건 키를 AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html) 참조하세요.
**Topics**
+ [정책 모범 사례](#security_iam_service-with-iam-policy-best-practices)
+ [에 가입 AWS 계정](#sign-up-for-aws)
+ [관리자 액세스 권한이 있는 사용자 생성](#create-an-admin)
+ [콘솔 사용](#security_iam_id-based-policy-examples-console)
+ [사용자가 자신의 고유한 권한을 볼 수 있도록 허용](#security_iam_id-based-policy-examples-view-own-permissions)
+ [에 대한 읽기 전용 액세스 AWS Config](#read-only-config-permission)
+ [에 대한 전체 액세스 AWS Config](#full-config-permission)
+ [AWS Config 규칙에 대한 액세스 제어](#supported-resource-level-permissions)
+ [집계된 데이터에 대한 액세스 제어](#resource-level-permission)
## 정책 모범 사례
자격 증명 기반 정책에 따라 계정에서 사용자가 AWS Config 리소스를 생성, 액세스 또는 삭제할 수 있는지 여부가 결정됩니다. 이 작업으로 인해 AWS 계정에 비용이 발생할 수 있습니다. ID 기반 정책을 생성하거나 편집할 때는 다음 지침과 권장 사항을 따르세요.
+ ** AWS 관리형 정책을 시작하고 최소 권한으로 전환 -** 사용자 및 워크로드에 권한 부여를 시작하려면 많은 일반적인 사용 사례에 대한 권한을 부여하는 *AWS 관리형 정책을* 사용합니다. 에서 사용할 수 있습니다 AWS 계정. 사용 사례에 맞는 AWS 고객 관리형 정책을 정의하여 권한을 추가로 줄이는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) 또는 [AWS 직무에 대한 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)을 참조하세요.
+ **최소 권한 적용** – IAM 정책을 사용하여 권한을 설정하는 경우, 작업을 수행하는 데 필요한 권한만 부여합니다. 이렇게 하려면 *최소 권한*으로 알려진 특정 조건에서 특정 리소스에 대해 수행할 수 있는 작업을 정의합니다. IAM을 사용하여 권한을 적용하는 방법에 대한 자세한 정보는 *IAM 사용 설명서*에 있는 [IAM의 정책 및 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)을 참조하세요.
+ **IAM 정책의 조건을 사용하여 액세스 추가 제한** – 정책에 조건을 추가하여 작업 및 리소스에 대한 액세스를 제한할 수 있습니다. 예를 들어, SSL을 사용하여 모든 요청을 전송해야 한다고 지정하는 정책 조건을 작성할 수 있습니다. AWS 서비스와 같은 특정를 통해 사용되는 경우 조건을 사용하여 서비스 작업에 대한 액세스 권한을 부여할 수도 있습니다 CloudFormation. 자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하세요.
+ **IAM Access Analyzer를 통해 IAM 정책을 확인하여 안전하고 기능적인 권한 보장** - IAM Access Analyzer에서는 IAM 정책 언어(JSON)와 모범 사례가 정책에서 준수되도록 새로운 및 기존 정책을 확인합니다. IAM Access Analyzer는 100개 이상의 정책 확인 항목과 실행 가능한 추천을 제공하여 안전하고 기능적인 정책을 작성하도록 돕습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM Access Analyzer에서 정책 검증](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)을 참조하세요.
+ **다중 인증(MFA) 필요 -**에서 IAM 사용자 또는 루트 사용자가 필요한 시나리오가 있는 경우 추가 보안을 위해 MFA를 AWS 계정켭니다. API 작업을 직접적으로 호출할 때 MFA가 필요하면 정책에 MFA 조건을 추가합니다. 자세한 내용은 *IAM 사용 설명서*의 [MFA를 통한 보안 API 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)를 참조하세요.
IAM의 모범 사례에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
## 에 가입 AWS 계정
이 없는 경우 다음 단계를 AWS 계정완료하여 생성합니다.
**에 가입하려면 AWS 계정**
1. [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)을 엽니다.
1. 온라인 지시 사항을 따르세요.
등록 절차 중 전화 또는 텍스트 메시지를 받고 전화 키패드로 확인 코드를 입력하는 과정이 있습니다.
에 가입하면 AWS 계정*AWS 계정 루트 사용자*이 생성됩니다. 루트 사용자에게는 계정의 모든 AWS 서비스 및 리소스에 액세스할 권한이 있습니다. 보안 모범 사례는 사용자에게 관리 액세스 권한을 할당하고, 루트 사용자만 사용하여 [루트 사용자 액세스 권한이 필요한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)을 수행하는 것입니다.
AWS 는 가입 프로세스가 완료된 후 확인 이메일을 보냅니다. 언제든지 [https://aws.amazon.com/](https://aws.amazon.com/)으로 이동하고 **내 계정**을 선택하여 현재 계정 활동을 확인하고 계정을 관리할 수 있습니다.
## 관리자 액세스 권한이 있는 사용자 생성
에 가입한 후 일상적인 작업에 루트 사용자를 사용하지 않도록 관리 사용자를 AWS 계정보호 AWS IAM Identity Center, AWS 계정 루트 사용자활성화 및 생성합니다.
**보안 AWS 계정 루트 사용자**
1. **루트 사용자를** 선택하고 AWS 계정 이메일 주소를 입력하여 계정 소유자[AWS Management Console](https://console.aws.amazon.com/)로에 로그인합니다. 다음 페이지에서 비밀번호를 입력합니다.
루트 사용자를 사용하여 로그인하는 데 도움이 필요하면 *AWS Sign-In 사용 설명서*의 [루트 사용자로 로그인](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)을 참조하세요.
1. 루트 사용자의 다중 인증(MFA)을 활성화합니다.
지침은 *IAM 사용 설명서*의 [AWS 계정 루트 사용자(콘솔)에 대한 가상 MFA 디바이스 활성화를 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html).
**관리자 액세스 권한이 있는 사용자 생성**
1. IAM Identity Center를 활성화합니다.
지침은 *AWS IAM Identity Center 사용 설명서*의 [AWS IAM Identity Center설정](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)을 참조하세요.
1. IAM Identity Center에서 사용자에게 관리 액세스 권한을 부여합니다.
를 자격 증명 소스 IAM Identity Center 디렉터리 로 사용하는 방법에 대한 자습서는 사용 *AWS IAM Identity Center 설명서*[의 기본값으로 사용자 액세스 구성을 IAM Identity Center 디렉터리](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) 참조하세요.
**관리 액세스 권한이 있는 사용자로 로그인**
+ IAM IDentity Center 사용자로 로그인하려면 IAM Identity Center 사용자를 생성할 때 이메일 주소로 전송된 로그인 URL을 사용합니다.
IAM Identity Center 사용자를 사용하여 로그인하는 데 도움이 필요하면 *AWS Sign-In 사용 설명서*[의 AWS 액세스 포털에 로그인](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)을 참조하세요.
**추가 사용자에게 액세스 권한 할당**
1. IAM Identity Center에서 최소 권한 적용 모범 사례를 따르는 권한 세트를 생성합니다.
지침은 *AWS IAM Identity Center 사용 설명서*의 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)를 참조하세요.
1. 사용자를 그룹에 할당하고, 그룹에 Single Sign-On 액세스 권한을 할당합니다.
지침은 *AWS IAM Identity Center 사용 설명서*의 [그룹 추가](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)를 참조하세요.
## AWS Config 콘솔 사용
AWS Config 콘솔에 액세스하려면 최소 권한 집합이 있어야 합니다. 이러한 권한은의 AWS Config 리소스에 대한 세부 정보를 나열하고 볼 수 있도록 허용해야 합니다 AWS 계정. 최소 필수 권한보다 더 제한적인 ID 기반 정책을 생성하는 경우, 콘솔이 해당 정책에 연결된 엔티티(사용자 또는 역할)에 대해 의도대로 작동하지 않습니다.
AWS CLI 또는 AWS API만 호출하는 사용자에게는 최소 콘솔 권한을 허용할 필요가 없습니다. 대신, 수행하려는 API 작업과 일치하는 작업에만 액세스할 수 있도록 합니다.
사용자와 역할이 AWS Config 콘솔을 계속 사용할 수 있도록 하려면 관리형 AWS Config `AWSConfigUserAccess` AWS 정책도 엔터티에 연결합니다. 자세한 내용은 *IAM 사용 설명서*의 [사용자에게 권한 추가](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)를 참조하세요.
사용자에게 상호 작용 권한을 부여해야 합니다 AWS Config. 에 대한 전체 액세스 권한이 필요한 사용자의 경우 관리형 정책에 [대한 전체 액세스 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/security_iam_id-based-policy-examples.html#full-config-permission) 권한을 AWS Config사용합니다.
액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요.
+ 의 사용자 및 그룹 AWS IAM Identity Center:
권한 세트를 생성합니다. *AWS IAM Identity Center 사용자 안내서*에서 [권한 세트 생성](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)의 지침을 따릅니다.
+ ID 제공업체를 통해 IAM에서 관리되는 사용자:
ID 페더레이션을 위한 역할을 생성합니다. *IAM 사용자 설명서*의 [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)의 지침을 따릅니다.
+ IAM 사용자:
+ 사용자가 맡을 수 있는 역할을 생성합니다. *IAM 사용자 설명서*에서 [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)의 지침을 따릅니다.
+ (권장되지 않음) 정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. IAM 사용 설명서**에서 [사용자(콘솔)에 권한 추가](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)의 지침을 따르세요.
## 사용자가 자신의 고유한 권한을 볼 수 있도록 허용
이 예제는 IAM 사용자가 자신의 사용자 ID에 연결된 인라인 및 관리형 정책을 볼 수 있도록 허용하는 정책을 생성하는 방법을 보여줍니다. 이 정책에는 콘솔에서 또는 AWS CLI 또는 AWS API를 사용하여 프로그래밍 방식으로이 작업을 완료할 수 있는 권한이 포함됩니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 에 대한 읽기 전용 액세스 AWS Config
다음 예제에서는에 읽기 전용 액세스 권한을 `AWSConfigUserAccess` 부여하는 AWS 관리형 정책을 보여줍니다 AWS Config.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:Deliver*",
"config:List*",
"config:Select*",
"tag:GetResources",
"tag:GetTagKeys",
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
}
]
}
```
------
정책 설명에서 `Effect` 요소는 작업 허용 또는 거부 여부를 지정합니다. `Action` 요소는 사용자가 수행할 수 있도록 허용된 특정 작업을 나열합니다. `Resource` 요소는 사용자가 해당 작업을 수행할 수 있는 AWS 리소스를 나열합니다. AWS Config 작업에 대한 액세스를 제어하는 정책의 경우 `Resource` 요소는 항상 "모든 리소스"`*`를 의미하는 와일드카드인 로 설정됩니다.
서비스가 지원하는 API에 대한 `Action` 요소의 값입니다. 작업 앞에는 작업을 참조함을 `config:` 나타내는 AWS Config 작업이 표시됩니다. 다음 예제와 같이 `*` 요소에서 `Action` 와일드카드 문자를 사용할 수 있습니다.
+ `"Action": ["config:*ConfigurationRecorder"]`
이렇게 하면 "ConfigurationRecorder"(`StartConfigurationRecorder`, )로 끝나는 모든 AWS Config 작업이 허용됩니다`StopConfigurationRecorder`.
+ `"Action": ["config:*"]`
이렇게 하면 모든 AWS Config 작업이 허용되지만 다른 AWS 서비스에 대한 작업은 허용되지 않습니다.
+ `"Action": ["*"]`
이렇게 하면 모든 AWS 작업이 허용됩니다. 이 권한은 계정의 AWS 관리자 역할을 하는 사용자에게 적합합니다.
읽기 전용 정책에서는 `StartConfigurationRecorder`, `StopConfigurationRecorder`, 및 `DeleteConfigurationRecorder`와 같은 작업에 대한 사용자 권한을 허용하지 않습니다. 이 정책이 적용된 사용자는 구성 레코더를 시작, 중지 또는 삭제할 수 없습니다. AWS Config 작업 목록은 [AWS Config API 참조](https://docs.aws.amazon.com/config/latest/APIReference/)를 참조하세요.
## 에 대한 전체 액세스 AWS Config
다음 예제에서는에 대한 전체 액세스 권한을 부여하는 정책을 보여줍니다 AWS Config. 사용자에게 모든 AWS Config 작업을 수행할 수 있는 권한을 부여합니다. 또한 사용자가 Amazon S3 버킷에서 파일을 관리하고, 사용자가 연결되어 있는 계정에서 Amazon SNS 주제를 관리할 수 있도록 합니다.
**중요**
이 정책은 광범위한 권한을 부여합니다. 전체 액세스 권한을 부여하기 전에 최소한의 권한 세트로 시작하여 필요에 따라 추가 권한을 부여하는 것이 좋습니다. 처음부터 권한을 많이 부여한 후 나중에 줄이는 방법보다 이 방법이 더 안전합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:AddPermission",
"sns:CreateTopic",
"sns:DeleteTopic",
"sns:GetTopicAttributes",
"sns:ListPlatformApplications",
"sns:ListTopics",
"sns:SetTopicAttributes"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketNotification",
"s3:GetBucketPolicy",
"s3:GetBucketRequestPayment",
"s3:GetBucketVersioning",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListBucketVersions",
"s3:PutBucketPolicy"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:PutRolePolicy",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:CreateServiceLinkedRole"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"config.amazonaws.com",
"ssm.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"config:*",
"tag:Get*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:DescribeAutomationExecutions",
"ssm:GetAutomationExecution",
"ssm:ListDocuments",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## AWS Config 규칙 API 작업에 지원되는 리소스 수준 권한
리소스 수준 권한은 사용자가 작업을 수행할 수 있는 리소스를 지정하는 기능을 나타냅니다.는 특정 AWS Config 규칙 API 작업에 대한 리소스 수준 권한을 AWS Config 지원합니다. 즉, 특정 AWS Config 규칙 작업의 경우 사용자가 해당 작업을 사용할 수 있는 조건을 제어할 수 있습니다. 이러한 조건은 충족되어야 하는 작업이거나 사용자가 사용하도록 허용된 특정 리소스일 수 있습니다.
다음 표에서는 현재 리소스 수준 권한을 지원하는 AWS Config 규칙 API 작업에 대해 설명합니다. 또한 각 작업에 지원되는 리소스 및 해당 ARN도 설명합니다. ARN을 지정할 때, 예를 들어, 정확한 리소스 ID를 지정할 수 없거나 지정하길 원치 않는 경우에는 경로에 \$1 와일드카드를 사용할 수 있습니다.
**중요**
AWS Config 규칙 API 작업이이 표에 나열되지 않은 경우 리소스 수준 권한을 지원하지 않습니다. AWS Config 규칙 작업이 리소스 수준 권한을 지원하지 않는 경우 사용자에게 작업을 사용할 수 있는 권한을 부여할 수 있지만 정책 설명의 리소스 요소에 \$1를 지정해야 합니다.
****
| API 작업 | 리소스 |
| --- | --- |
| DeleteConfigRule | Config 규칙 arn:aws:config:*region:accountID*:config-rule/config-rule-*ID* |
| DeleteEvaluationResults | Config 규칙 arn:aws:config:*region:accountID*:config-rule/config-rule-*ID* |
| DescribeComplianceByConfigRule | Config 규칙 arn:aws:config:*region:accountID*:config-rule/config-rule-*ID* |
| DescribeConfigRuleEvaluationStatus | Config 규칙 arn:aws:config:*region:accountID*:config-rule/config-rule-*ID* |
| GetComplianceDetailsByConfigRule | Config 규칙 arn:aws:config:*region:accountID*:config-rule/config-rule-*ID* |
| PutConfigRule | Config 규칙 arn:aws:config:*region:accountID*:config-rule/config-rule-*ID* |
| StartConfigRulesEvaluation | Config 규칙 arn:aws:config:*region:accountID*:config-rule/config-rule-*ID* |
| PutRemediationConfigurations | 문제 해결 구성 arn:aws:config:*region:accountId*:remediation-configuration/*config rule name/remediation configuration id* |
| DescribeRemediationConfigurations | 문제 해결 구성 arn:aws:config:*region:accountId*:remediation-configuration/*config rule name/remediation configuration id* |
| DeleteRemediationConfiguration | 문제 해결 구성 arn:aws:config:*region:accountId*:remediation-configuration/*config rule name/remediation configuration id* |
| PutRemediationExceptions | 문제 해결 구성 arn:aws:config:*region:accountId*:remediation-configuration/*config rule name/remediation configuration id* |
| DescribeRemediationExceptions | 문제 해결 구성 arn:aws:config:*region:accountId*:remediation-configuration/*config rule name/remediation configuration id* |
| DeleteRemediationExceptions | 문제 해결 구성 arn:aws:config:*region:accountId*:remediation-configuration/*config rule name/remediation configuration id* |
예를 들어, 특정 사용자에게 특정 규칙에 대해 읽기 액세스를 허용하고 쓰기 액세스를 거부할 수 있습니다.
첫 번째 정책에서는 `DescribeConfigRuleEvaluationStatus` 지정된 AWS Config 규칙에서와 같은 규칙 읽기 작업을 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"config:StartConfigRulesEvaluation",
"config:DescribeComplianceByConfigRule",
"config:DescribeConfigRuleEvaluationStatus",
"config:GetComplianceDetailsByConfigRule"
],
"Resource": [
"arn:aws:config:us-east-1:123456789012:config-rule/config-rule-ID",
"arn:aws:config:us-east-1:123456789012:config-rule/config-rule-ID"
]
}
]
}
```
------
두 번째 정책에서는 특정 AWS Config 규칙에 대한 규칙 쓰기 작업을 거부합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"config:PutConfigRule",
"config:DeleteConfigRule",
"config:DeleteEvaluationResults"
],
"Resource": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-ID"
}
]
}
```
------
리소스 수준 권한을 사용하면 읽기 액세스를 허용하고 쓰기 액세스를 거부하여 AWS Config 규칙 API 작업에 대한 특정 작업을 수행할 수 있습니다.
## 다중 계정 다중 리전 데이터 집계에 지원되는 리소스 수준 권한
리소스 수준 권한을 사용하여 다중 계정 다중 리전 데이터 집계 시 특정 작업을 수행하는 사용자의 기능을 제어할 수 있습니다. 다음 AWS Config `Aggregator` APIs 지원합니다.
+ [BatchGetAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_BatchGetAggregateResourceConfig.html)
+ [DeleteConfigurationAggregator](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteConfigurationAggregator.html)
+ [DescribeAggregateComplianceByConfigRules](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeAggregateComplianceByConfigRules.html)
+ [DescribeAggregateComplianceByConformancePacks](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeAggregateComplianceByConformancePacks.html)
+ [DescribeConfigurationAggregatorSourcesStatus](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigurationAggregatorSourcesStatus.html)
+ [GetAggregateComplianceDetailsByConfigRule](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateComplianceDetailsByConfigRule.html)
+ [GetAggregateConfigRuleComplianceSummary](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateConfigRuleComplianceSummary.html)
+ [GetAggregateConformancePackComplianceSummary](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateConformancePackComplianceSummary.html)
+ [GetAggregateDiscoveredResourceCounts](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateDiscoveredResourceCounts.html)
+ [GetAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateResourceConfig.html)
+ [ListAggregateDiscoveredResources](https://docs.aws.amazon.com/config/latest/APIReference/API_ListAggregateDiscoveredResources.html)
+ [PutConfigurationAggregator](https://docs.aws.amazon.com/config/latest/APIReference/API_PutConfigurationAggregator.html)
+ [SelectAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_SelectAggregateResourceConfig.html)
예를 들어 두 개의 애그리게이터 `AccessibleAggregator` 및 `InAccessibleAggregator`를 생성하고 `AccessibleAggregator`에 대한 액세스는 허용하지만 `InAccessibleAggregator`에 대한 액세스는 거부하는 IAM 정책을 추가하여 특정 사용자의 리소스 데이터 액세스를 제한할 수 있습니다.
**AccessibleAggregator에 대한 IAM 정책**
이 정책에서는 지정한 AWS Config Amazon 리소스 이름(ARN)에 지원되는 애그리게이터 작업에 대한 액세스를 허용합니다. 이 예제에서 AWS Config ARN은 입니다`arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigAllow",
"Effect": "Allow",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:111122223333:config-aggregator/config-aggregator-mocpsqhs"
}
]
}
```
------
**InAccessibleAggregator에 대한 IAM 정책**
이 정책에서는 지정한 AWS Config ARN에 지원되는 애그리게이터 작업에 대한 액세스를 거부합니다. 이 예제에서 AWS Config ARN은 입니다`arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigDeny",
"Effect": "Deny",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:111122223333:config-aggregator/config-aggregator-pokxzldx"
}
]
}
```
------
개발자 그룹의 사용자가 지정된 AWS Config ARN에서 이러한 작업을 수행하려고 하면 해당 사용자에게 액세스 거부 예외가 발생합니다.
**사용자 액세스 권한 확인**
생성한 애그리게이터를 표시하려면 다음 AWS CLI 명령을 실행합니다.
```
aws configservice describe-configuration-aggregators
```
명령이 성공적으로 완료되면 계정과 관련된 모든 애그리게이터의 세부 정보를 볼 수 있습니다. 다음 예제에서는 `AccessibleAggregator` 및 `InAccessibleAggregator`입니다.
```
{
"ConfigurationAggregators": [
{
"ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "AccessibleAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
},
{
"ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "InAccessibleAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
}
]
}
```
**참고**
`account-aggregation-sources`에, 데이터를 집계하려는 AWS 계정 ID의 쉼표로 구분된 목록을 입력합니다. 계정 ID를 대괄호로 묶고 반드시 따옴표를 이스케이프 처리해야 합니다(예: `"[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"`).
`InAccessibleAggregator` 또는 액세스를 거부하려는 애그리게이터에 다음 IAM 정책을 연결합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigDeny",
"Effect": "Deny",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:111122223333:config-aggregator/config-aggregator-pokxzldx"
}
]
}
```
------
그런 다음 IAM 정책이 특정 애그리게이터의 규칙에 대한 액세스를 제한하도록 작동하는지 확인할 수 있습니다.
```
aws configservice get-aggregate-compliance-details-by-config-rule --configuration-aggregator-name InAccessibleAggregator --config-rule-name rule name --account-id AccountID --aws-region AwsRegion
```
이 명령은 액세스 거부 예외를 반환할 것입니다.
```
An error occurred (AccessDeniedException) when calling the GetAggregateComplianceDetailsByConfigRule operation: User: arn:aws:iam::AccountID:user/ is not
authorized to perform: config:GetAggregateComplianceDetailsByConfigRule on resource: arn:aws:config:AwsRegion-1:AccountID:config-aggregator/config-aggregator-pokxzldx
```
# AWS 에 대한 관리형 정책 AWS Config
AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 미칩니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 *IAM 사용자 가이드*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.
## AWS 관리형 정책: AWSConfigServiceRolePolicy
AWS Config 는 라는 서비스 연결 역할을 **AWSServiceRoleForConfig** 사용하여 사용자를 대신하여 다른 AWS 서비스를 호출합니다. AWS Management Console 를 사용하여 설정하면 자체 AWS Identity and Access Management (IAM) 서비스 역할 대신 SLR을 사용하는 옵션을 AWS Config 선택하면 AWS Config이 AWS Config SLR이에 의해 자동으로 생성됩니다.
**AWSServiceRoleForConfig** SLR에는 관리형 정책 `AWSConfigServiceRolePolicy`가 포함되어 있습니다. 이 관리형 정책에는 AWS Config 리소스에 대한 읽기 전용 및 쓰기 전용 권한과가 AWS Config 지원하는 다른 서비스의 리소스에 대한 읽기 전용 권한이 포함되어 있습니다. 이 정책은 컴퓨팅, 스토리지, 네트워킹, 보안, 분석 및 기계 학습 서비스와 같은 100개 이상의 AWS 서비스에 대한 권한을 포함하여 AWS 인프라 전반의 구성 변경을 모니터링하고 기록할 수 있는 포괄적인 액세스를 제공합니다.
정책에는 다음 서비스 범주에 대한 권한이 포함됩니다.
+ `access-analyzer` - 보안 주체가 액세스 패턴을 분석하고 보안 조사 결과를 검색할 수 있도록 허용합니다.
+ `account` - 보안 주체가 계정 연락처 정보를 검색할 수 있도록 허용합니다.
+ `acm` 및 `acm-pca` - 보안 주체가 SSL/TLS 인증서 및 프라이빗 인증 기관을 관리할 수 있도록 허용합니다.
+ `airflow` - 보안 주체가 관리형 Apache Airflow 환경을 모니터링할 수 있도록 허용합니다.
+ `amplify` 및 `amplifyuibuilder` - 보안 주체가 웹 애플리케이션 및 UI 구성 요소를 모니터링할 수 있습니다.
+ `aoss` - 보안 주체가 OpenSearch Serverless 컬렉션 및 보안 구성을 모니터링할 수 있도록 허용합니다.
+ `app-integrations` - 보안 주체가 애플리케이션 통합 구성을 모니터링할 수 있도록 허용합니다.
+ `appconfig` - 보안 주체가 애플리케이션 구성 배포를 모니터링할 수 있도록 허용합니다.
+ `appflow` - 보안 주체가 애플리케이션 간의 데이터 흐름 구성을 모니터링할 수 있습니다.
+ `application-autoscaling` 및 `application-signals` - 보안 주체가 자동 조정 정책 및 애플리케이션 성능 지표를 모니터링할 수 있습니다.
+ `appmesh` - 보안 주체가 서비스 메시 구성을 모니터링할 수 있도록 허용합니다.
+ `apprunner` - 보안 주체가 컨테이너화된 웹 애플리케이션 및 서비스를 모니터링할 수 있습니다.
+ `appstream` - 보안 주체가 애플리케이션 스트리밍 구성을 모니터링할 수 있도록 허용합니다.
+ `appsync` - 보안 주체가 GraphQL API 구성을 모니터링할 수 있도록 허용합니다.
+ `aps` - 보안 주체가 Prometheus 모니터링 구성을 모니터링할 수 있도록 허용합니다.
+ `apptest` - 보안 주체가 애플리케이션 테스트 구성을 모니터링할 수 있도록 허용합니다.
+ `arc-zonal-shift` - 보안 주체가 영역 전환 구성의 가용성을 모니터링할 수 있습니다.
+ `athena` - 보안 주체가 쿼리 엔진 구성 및 데이터 카탈로그를 모니터링할 수 있습니다.
+ `auditmanager` - 보안 주체가 감사 및 규정 준수 평가를 모니터링할 수 있도록 허용합니다.
+ `autoscaling` 및 `autoscaling-plans` - 보안 주체가 Auto Scaling 그룹 및 조정 계획을 모니터링할 수 있습니다.
+ `b2bi` - 보안 주체가 business-to-business 통합 구성을 모니터링할 수 있습니다.
+ `backup` 및 `backup-gateway` - 보안 주체가 백업 정책 및 게이트웨이 구성을 모니터링할 수 있도록 허용합니다.
+ `batch` - 보안 주체가 배치 컴퓨팅 환경 및 작업 대기열을 모니터링할 수 있도록 허용합니다.
+ `bcm-data-exports` - 보안 주체가 결제 및 비용 관리 데이터 내보내기를 모니터링할 수 있습니다.
+ `bedrock` 및 `bedrock-agentcore` - 보안 주체가 파운데이션 모델 및 AI 에이전트 구성을 모니터링할 수 있습니다.
+ `billingconductor` - 보안 주체가 결제 그룹 구성을 모니터링할 수 있도록 허용합니다.
+ `budgets` - 보안 주체가 예산 구성 및 작업을 모니터링할 수 있도록 허용합니다.
+ `cassandra` - 보안 주체가 관리형 Cassandra 데이터베이스 구성을 쿼리할 수 있도록 허용합니다.
+ `ce` - 보안 주체가 비용 및 사용량 보고 구성을 모니터링할 수 있습니다.
+ `cleanrooms` 및 `cleanrooms-ml` - 보안 주체가 데이터 협업 및 기계 학습 구성을 모니터링할 수 있도록 허용합니다.
+ `cloud9` - 보안 주체가 클라우드 개발 환경 구성을 모니터링할 수 있도록 허용합니다.
+ `cloudformation` - 보안 주체가 코드 스택 구성으로 인프라를 모니터링할 수 있도록 허용합니다.
+ `cloudfront` - 보안 주체가 콘텐츠 전송 네트워크 구성을 모니터링할 수 있도록 허용합니다.
+ `cloudtrail` - 보안 주체가 API 로깅 및 감사 추적 구성을 모니터링할 수 있도록 허용합니다.
+ `cloudwatch` - 보안 주체가 지표, 경보 및 대시보드 구성을 모니터링할 수 있도록 허용합니다.
+ `codeartifact` - 보안 주체가 소프트웨어 패키지 리포지토리 구성을 모니터링할 수 있도록 허용합니다.
+ `codebuild` - 보안 주체가 빌드 프로젝트 구성을 모니터링할 수 있도록 허용합니다.
+ `codecommit` - 보안 주체가 소스 코드 리포지토리 구성을 모니터링할 수 있도록 허용합니다.
+ `codeconnections` - 보안 주체가 타사 소스 연결을 모니터링할 수 있도록 허용합니다.
+ `codedeploy` - 보안 주체가 애플리케이션 배포 구성을 모니터링할 수 있도록 허용합니다.
+ `codeguru-profiler` 및 `codeguru-reviewer` - 보안 주체가 코드 분석 및 프로파일링 구성을 모니터링할 수 있습니다.
+ `codepipeline` - 보안 주체가 지속적 통합 및 배포 파이프라인 구성을 모니터링할 수 있습니다.
+ `codestar-connections` - 보안 주체가 개발자 도구 연결을 모니터링할 수 있습니다.
+ `cognito-identity` 및 `cognito-idp` - 보안 주체가 자격 증명 및 사용자 풀 구성을 모니터링할 수 있도록 허용합니다.
+ `comprehend` - 보안 주체가 자연어 처리 구성을 모니터링할 수 있도록 허용합니다.
+ `config` - 보안 주체가 구성 기록 및 규정 준수 모니터링을 관리할 수 있도록 허용합니다.
+ `connect` - 보안 주체가 콜센터 구성을 모니터링할 수 있도록 허용합니다.
지원되는 리소스 유형에 대한 자세한 내용은 [에 대해 지원되는 리소스 유형 AWS Config](resource-config-reference.md) 및 섹션을 참조하세요[에 서비스 연결 역할 사용 AWS Config](using-service-linked-roles.md).
최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 자세한 내용은 *AWS 관리형 정책 참조 안내서*의 [AWSConfigServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigServiceRolePolicy.html)를 참조하세요.
**권장 사항: 서비스 연결 역할 사용**
특정 사용 사례가 없는 한 서비스 연결 역할을 사용하는 것이 좋습니다. 서비스 연결 역할은 AWS Config 을 예상대로 실행하는 데 필요한 모든 권한을 추가합니다. 서비스 연결 구성 레코더와 같은 일부 기능을 사용하려면 서비스 연결 역할을 사용해야 합니다.
## AWS 관리형 정책: AWS\$1ConfigRole
AWS 리소스 구성을 기록하려면에 리소스에 대한 구성 세부 정보를 가져오는 IAM 권한이 AWS Config 필요합니다. AWS Config용 IAM 역할을 생성하려는 경우 관리형 정책 `AWS_ConfigRole`을 사용하여 IAM 역할에 연결할 수 있습니다.
이 IAM 정책은가 AWS 리소스 유형에 대한 지원을 AWS Config 추가할 때마다 업데이트됩니다. 즉, **AWS\$1ConfigRole** 역할에이 관리형 정책이 연결되어 있는 한는 지원되는 리소스 유형의 구성 데이터를 기록하는 데 필요한 권한을 계속 갖게 AWS Config 됩니다. 이 정책은 컴퓨팅, 스토리지, 네트워킹, 보안, 분석 및 기계 학습 서비스와 같은 100개 이상의 AWS 서비스에 대한 권한을 포함하여 AWS 인프라 전반의 구성 변경을 모니터링하고 기록할 수 있는 포괄적인 액세스를 제공합니다. 자세한 내용은 [에 대해 지원되는 리소스 유형 AWS Config](resource-config-reference.md) 및 [에 할당된 IAM 역할에 대한 권한 AWS Config](iamrole-permissions.md) 섹션을 참조하세요.
최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 자세한 내용은 *AWS 관리형 정책 참조 안내서*의 [AWS\$1ConfigRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS_ConfigRole.html)을 참조하세요.
## AWS 관리형 정책: AWSConfigUserAccess
이 IAM 정책은 리소스에 대한 태그별 검색 및 모든 태그 읽기 AWS Config를 포함하여 사용할 수 있는 액세스 권한을 제공합니다. 이렇게 하면 관리 권한이 AWS Config필요한 구성 권한이 제공되지 않습니다.
[AWSConfigUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigUserAccess.html) 정책을 확인합니다.
## AWS 관리형 정책: ConfigConformsServiceRolePolicy
적합성 팩을 배포하고 관리하려면 다른 AWS 서비스의 IAM 권한과 특정 권한이 AWS Config 필요합니다. 이를 통해 전체 기능으로 적합성 팩을 배포하고 관리할 수 있으며가 적합성 팩에 대한 새 기능을 AWS Config 추가할 때마다 업데이트됩니다. 적합성 팩에 대한 자세한 내용은 [적합성 팩](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)을 참조하세요.
정책 보기: [ConfigConformsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ConfigConformsServiceRolePolicy.html).
## AWS 관리형 정책: AWSConfigRulesExecutionRole
AWS 사용자 지정 Lambda 규칙을 배포하려면에 IAM 권한과 다른 AWS 서비스의 특정 권한이 AWS Config 필요합니다. 이를 통해 AWS Lambda 함수는 AWS Config API 및가 Amazon S3에 주기적으로 AWS Config 전송하는 구성 스냅샷에 액세스할 수 있습니다. 이 액세스는 AWS 사용자 지정 Lambda 규칙에 대한 구성 변경을 평가하는 함수에 필요하며가 새 기능을 AWS Config 추가할 때마다 업데이트됩니다. AWS 사용자 지정 Lambda 규칙에 대한 자세한 내용은 [AWS Config 사용자 지정 Lambda 규칙 생성을](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_lambda-functions.html) 참조하세요. 구성 스냅샷에 대한 자세한 내용은 [개념 \$1 구성 스냅샷](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#config-snapshot)을 참조하세요. 구성 스냅샷 전송에 대한 자세한 내용은 [전송 채널 관리](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html)를 참조하세요.
정책 보기: [AWSConfigRulesExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRulesExecutionRole.html).
## AWS 관리형 정책: AWSConfigMultiAccountSetupPolicy
의 조직 내 멤버 계정 간에 AWS Config 규칙 및 적합성 팩을 중앙에서 배포, 업데이트 및 삭제하려면 다른 AWS 서비스의 IAM 권한과 특정 권한이 AWS Organizations AWS Config 필요합니다. 이 관리형 정책은 AWS Config 가 다중 계정 설정을 위한 새로운 기능을 추가할 때마다 업데이트됩니다. 자세한 내용은 [조직의 모든 계정에서 AWS Config 규칙 관리](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) 및 [조직의 모든 계정에서 적합성 팩 관리를 참조하세요](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-organization-apis.html).
정책 보기: [AWSConfigMultiAccountSetupPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigMultiAccountSetupPolicy.html).
## AWS 관리형 정책: AWSConfigRoleForOrganizations
가 읽기 전용 AWS Organizations APIs 호출 AWS Config 하도록 허용하려면 다른 AWS 서비스의 IAM 권한과 특정 권한이 AWS Config 필요합니다. 이 관리형 정책은 AWS Config 가 다중 계정 설정을 위한 새로운 기능을 추가할 때마다 업데이트됩니다. 자세한 내용은 [조직의 모든 계정에서 AWS Config 규칙 관리](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) 및 [조직의 모든 계정에서 적합성 팩 관리를 참조하세요](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-organization-apis.html).
정책 보기: [AWSConfigRoleForOrganizations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRoleForOrganizations.html).
## AWS 관리형 정책: AWSConfigRemediationServiceRolePolicy
AWS Config 가 사용자를 대신하여 `NON_COMPLIANT` AWS Config 리소스를 수정할 수 있도록 하려면에 IAM 권한과 다른 AWS 서비스의 특정 권한이 필요합니다. 이 관리형 정책은가 문제 해결을 위한 새 기능을 AWS Config 추가할 때마다 업데이트됩니다. 문제 해결에 대한 자세한 내용은 [AWS Config 규칙을 사용하여 규정 미준수 리소스 문제 해결을 참조하세요](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html). 가능한 AWS Config 평가 결과를 시작하는 조건에 대한 자세한 내용은 [개념 \$1 AWS Config 규칙을 참조하세요](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#aws-config-rules).
정책 보기: [AWSConfigRemediationServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRemediationServiceRolePolicy.html).
## AWS Config AWS 관리형 정책에 대한 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 AWS Config 이후부터의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 AWS Config [문서 기록](https://docs.aws.amazon.com/config/latest/developerguide/DocumentHistory.html) 페이지에서 RSS 피드를 구독하세요.
| 변경 | 설명 | Date |
| --- | --- | --- |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) - 권한 추가: application-autoscaling:DescribeScheduledActions, appsync:GetApiAssociation, cloudformation:DescribeStacks, cloudformation:GetStackPolicy, cloudformation:GetTemplate, cloudfront:GetKeyGroup, cloudfront:GetMonitoringSubscription, cloudfront:ListKeyGroups, connect:ListEvaluationFormVersions, cur:DescribeReportDefinitions, cur:ListTagsForResource, datazone:GetDomainUnit, datazone:GetEnvironmentAction, datazone:GetEnvironmentBlueprintConfiguration, datazone:GetEnvironmentProfile, datazone:GetGroupProfile, datazone:GetSubscriptionTarget, datazone:GetUserProfile, datazone:ListDomainUnitsForParent, datazone:ListEntityOwners, datazone:ListEnvironmentActions, datazone:ListEnvironmentBlueprintConfigurations, datazone:ListEnvironmentProfiles, datazone:ListPolicyGrants, datazone:ListProjectMemberships, datazone:ListSubscriptionTargets, datazone:SearchGroupProfiles, datazone:SearchUserProfiles, docdb-elastic:GetCluster, docdb-elastic:ListClusters, docdb-elastic:ListTagsForResource, ec2:GetRouteServerAssociations, ec2:GetRouteServerPropagations, ec2:SearchTransitGatewayRoutes, fis:ListTagsForResource, 사기 탐지기:GetListElements, 사기 탐지기:GetListsMetadata, guardduty:GetThreatEntitySet, guardduty:GetTrustedEntitySet, guardduty:ListThreatEntitySets, guardduty:ListTrustedEntitySets, iotfleetwise:GetCampaign, iotfleetwise:ListCampaigns, iotsitewise:DescribeComputationModel, iotsitewise:DescribeDataset, iotsitewise:ListComputationModels, iotsitewise:ListDatasets, iotwireless:GetWirelessDeviceImportTask, iotwireless:ListWirelessDeviceImportTasks, kendra:ListDataSources, 로그:DescribeQueryDefinitions, 로그:GetIntegration, 로그:ListIntegrations, mediaconnect:ListRouterOutputs, medialive:DescribeMultiplex, medialive:DescribeSdiSource, medialive:GetCloudWatchAlarmTemplate, medialive:GetCloudWatchAlarmTemplateGroup, medialive:GetEventBridgeRuleTemplate, medialive:GetEventBridgeRuleTemplateGroup, medialive:ListCloudWatchAlarmTemplateGroups, medialive:ListCloudWatchAlarmTemplates, medialive:ListEventBridgeRuleTemplateGroups, medialive:ListEventBridgeRuleTemplates, medialive:ListSdiSources, medialive:ListSignalMaps, networkmanager:GetConnectAttachment, networkmanager:GetCoreNetwork, networkmanager:GetCoreNetworkPolicy, networkmanager:GetDirectConnectGatewayAttachment, networkmanager:GetSiteToSiteVpnAttachment, networkmanager:ListAttachments, networkmanager:ListCoreNetworks, 알림:GetEventRule, 알림:ListEventRules, 알림:ListManagedNotificationChannelAssociations, 알림:ListNotificationHubs, 알림:ListOrganizationalUnits, refactor-spaces:GetApplication, refactor-spaces:GetRoute, refactor-spaces:ListRoutes, resource-explorer-2:GetDefaultView, route53resolver:GetOutpostResolver, route53resolver:ListOutpostResolvers, securityhub:DescribeOrganizationConfiguration, securityhub:GetAggregatorV2, securityhub:GetAutomationRuleV2, securityhub:GetConfigurationPolicyAssociation, securityhub:GetFindingAggregator, securityhub:ListAggregatorsV2, securityhub:ListAutomationRulesV2, securityhub:ListConfigurationPolicyAssociations, securityhub:ListFindingAggregators, sms-voice:DescribeConfigurationSets, sms-voice:DescribeKeywords, sms-voice:DescribeProtectConfigurations, sms-voice:GetProtectConfigurationCountryRuleSet, sms-voice:ListPoolOriginationIdentities, sms-voice:ListTagsForResource, workspaces-web:GetTrustStore, workspaces-web:GetTrustStoreCertificate, Workspaces-web:GetUserAccessLoggingSettings, Workspaces-web:ListTagsForResource. | 이제이 정책은 다양한 AWS 서비스에서 구성 변경을 기록할 수 있는 추가 권한을 지원합니다. | 2026년 2월 17일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) - 권한 추가: application-autoscaling:DescribeScheduledActions, appsync:GetApiAssociation, cloudformation:DescribeStacks, cloudformation:GetStackPolicy, cloudformation:GetTemplate, cloudfront:GetKeyGroup, cloudfront:GetMonitoringSubscription, cloudfront:ListKeyGroups, connect:ListEvaluationFormVersions, cur:DescribeReportDefinitions, cur:ListTagsForResource, datazone:GetDomainUnit, datazone:GetEnvironmentAction, datazone:GetEnvironmentBlueprintConfiguration, datazone:GetEnvironmentProfile, datazone:GetGroupProfile, datazone:GetSubscriptionTarget, datazone:GetUserProfile, datazone:ListDomainUnitsForParent, datazone:ListEntityOwners, datazone:ListEnvironmentActions, datazone:ListEnvironmentBlueprintConfigurations, datazone:ListEnvironmentProfiles, datazone:ListPolicyGrants, datazone:ListProjectMemberships, datazone:ListSubscriptionTargets, datazone:SearchGroupProfiles, datazone:SearchUserProfiles, docdb-elastic:GetCluster, docdb-elastic:ListClusters, docdb-elastic:ListTagsForResource, ec2:GetRouteServerAssociations, ec2:GetRouteServerPropagations, ec2:SearchTransitGatewayRoutes, fis:ListTagsForResource, 사기 탐지기:GetListElements, 사기 탐지기:GetListsMetadata, guardduty:GetThreatEntitySet, guardduty:GetTrustedEntitySet, guardduty:ListThreatEntitySets, guardduty:ListTrustedEntitySets, iotfleetwise:GetCampaign, iotfleetwise:ListCampaigns, iotsitewise:DescribeComputationModel, iotsitewise:DescribeDataset, iotsitewise:ListComputationModels, iotsitewise:ListDatasets, iotwireless:GetWirelessDeviceImportTask, iotwireless:ListWirelessDeviceImportTasks, kendra:ListDataSources, 로그:DescribeQueryDefinitions, 로그:GetIntegration, 로그:ListIntegrations, mediaconnect:ListRouterOutputs, medialive:DescribeMultiplex, medialive:DescribeSdiSource, medialive:GetCloudWatchAlarmTemplate, medialive:GetCloudWatchAlarmTemplateGroup, medialive:GetEventBridgeRuleTemplate, medialive:GetEventBridgeRuleTemplateGroup, medialive:ListCloudWatchAlarmTemplateGroups, medialive:ListCloudWatchAlarmTemplates, medialive:ListEventBridgeRuleTemplateGroups, medialive:ListEventBridgeRuleTemplates, medialive:ListSdiSources, medialive:ListSignalMaps, networkmanager:GetConnectAttachment, networkmanager:GetCoreNetwork, networkmanager:GetCoreNetworkPolicy, networkmanager:GetDirectConnectGatewayAttachment, networkmanager:GetSiteToSiteVpnAttachment, networkmanager:ListAttachments, networkmanager:ListCoreNetworks, 알림:GetEventRule, 알림:ListEventRules, 알림:ListManagedNotificationChannelAssociations, 알림:ListNotificationHubs, 알림:ListOrganizationalUnits, refactor-spaces:GetApplication, refactor-spaces:GetRoute, refactor-spaces:ListRoutes, resource-explorer-2:GetDefaultView, route53resolver:GetOutpostResolver, route53resolver:ListOutpostResolvers, securityhub:DescribeOrganizationConfiguration, securityhub:GetAggregatorV2, securityhub:GetAutomationRuleV2, securityhub:GetConfigurationPolicyAssociation, securityhub:GetFindingAggregator, securityhub:ListAggregatorsV2, securityhub:ListAutomationRulesV2, securityhub:ListConfigurationPolicyAssociations, securityhub:ListFindingAggregators, sms-voice:DescribeConfigurationSets, sms-voice:DescribeKeywords, sms-voice:DescribeProtectConfigurations, sms-voice:GetProtectConfigurationCountryRuleSet, sms-voice:ListPoolOriginationIdentities, sms-voice:ListTagsForResource, workspaces-web:GetTrustStore, workspaces-web:GetTrustStoreCertificate, Workspaces-web:GetUserAccessLoggingSettings, Workspaces-web:ListTagsForResource. | 이제이 정책은 다양한 AWS 서비스에서 구성 변경을 기록할 수 있는 추가 권한을 지원합니다. | 2026년 2월 17일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) - 컴퓨팅, 스토리지, 네트워킹, 보안, 분석 및 기계 학습 서비스를 포함한 100개 이상의 AWS 서비스에서 AWS 리소스 구성 기록을 위한 포괄적인 권한으로 관리형 정책을 업데이트했습니다. | 이제이 정책은 서비스 권한에 대한 향상된 설명서를 제공하고가 구성 기록을 위해 AWS Config 지원하는 모든 AWS 서비스에서 포괄적인 모니터링을 지원합니다. | 2026년 1월 27일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) - 컴퓨팅, 스토리지, 네트워킹, 보안, 분석 및 기계 학습 서비스를 포함한 100개 이상의 AWS 서비스에서 AWS 리소스 구성 기록을 위한 포괄적인 권한으로 관리형 정책을 업데이트했습니다. | 이제이 정책은 서비스 권한에 대한 향상된 설명서를 제공하고가 구성 기록을 위해 AWS Config 지원하는 모든 AWS 서비스에서 포괄적인 모니터링을 지원합니다. | 2026년 1월 27일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) - "s3tables:ListTagsForResource", "s3tables:GetTableBucketMetricsConfiguration", "s3tables:GetTableBucketStorageClass" 추가 | 이 정책은 이제 S3Tables.. | 2026년 1월 9일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) - "s3tables:ListTagsForResource", "s3tables:GetTableBucketMetricsConfiguration", "s3tables:GetTableBucketStorageClass" 추가 | 이제이 정책은 S3Tables에 대한 추가 권한을 지원합니다. | 2026년 1월 9일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) - "lightsail:GetActiveNames" "lightsail:GetOperations" "s3:GetBucketAbac" 추가 | 이제이 정책은 Amazon Lightsail 및 Amazon Simple Storage Service(Amazon S3)에 대한 추가 권한을 지원합니다. | 2025년 11월 20일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) - "lightsail:GetActiveNames" "lightsail:GetOperations" "s3:GetBucketAbac" 추가 | 이제이 정책은 Amazon Lightsail 및 Amazon Simple Storage Service(Amazon S3)에 대한 추가 권한을 지원합니다. | 2025년 11월 20일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) - 컴퓨팅, 스토리지, 네트워킹, 보안, 분석 및 기계 학습 서비스를 포함한 100개 이상의 AWS 서비스에서 AWS 리소스 구성 기록을 위한 포괄적인 권한으로 관리형 정책을 업데이트했습니다. | 이 정책은 이제 서비스 권한에 대한 향상된 설명서를 제공하고 구성 기록을 위해가 AWS Config 지원하는 모든 AWS 서비스에서 포괄적인 모니터링을 지원합니다. | 2025년 11월 11일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) - Amazon Elastic Compute Cloud AWS Identity and Access Management, Amazon Simple Storage Service, AWS Lambda Amazon Relational Database Service 등 여러 서비스에서 AWS 리소스 구성 기록을 위한 포괄적인 권한으로 관리형 정책을 업데이트했습니다. | 이제이 정책은 지원되는 모든 AWS 서비스에서 포괄적인 AWS 리소스 구성 기록 및 모니터링을 위한 추가 권한을 지원합니다. | 2025년 11월 10일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 'amplify:GetDomainAssociation' 'amplify:ListDomainAssociations' 'amplify:ListTagsForResource' 'appsync:GetSourceApiAssociation' 'appsync:ListSourceApiAssociations' 'bedrock:GetFlow' 'bedrock:ListAgentCollaborators' 'bedrock:ListFlows' 'bedrock:ListPrompts' 'cloudTrail:GetResourcePolicy' 'cloudformation:DescribePublisher' 'codeartifact:DescribePackageGroup' 'codeartifact:ListAllowedRepositoriesForGroup' 'codeartifact:ListPackageGroups' 'codepipeline:ListActionTypes' 'codepipeline:ListTagsForResource' 'codepipeline:ListWebhooks' 'connect:DescribeTrafficDistributionGroup' 'connect:ListTrafficDistributionGroups' 'deadline:ListFarms' 'ec2:GetTransitGatewayRouteTablePropagations' 'ec2:SearchLocalGatewayRoutes' 'ec2:SearchTransitGatewayMulticastGroups' 'entityresolution:GetMatchingWorkflow' 'entityresolution:ListMatchingWorkflows' 'iotsitewise:ListAssetModelCompositeModels' 'iotsitewise:ListAssetModelProperties' 'iotsitewise:ListAssetProperties' 'iotsitewise:ListAssociatedAssets' 'ivs:ListPublicKeys' 'lambda:GetProvisionedConcurrencyConfig' 'lambda:GetRuntimeManagementConfig' 'lambda:ListFunctionEventInvokeConfigs' 'lambda:ListFunctionUrlConfigs' 'pipes:DescribePipe' 'pipes:ListPipes' 'quicksight:DescribeRefreshSchedule' 'quicksight:ListRefreshSchedules' 'redshift-serverless:ListSnapshotCopyConfigurations' 'redshift:GetResourcePolicy' 'rolesanywhere:GetCrl' 'rolesanywhere:ListCrls' 'sagemaker:DescribeApp' 'sagemaker:DescribeUserProfile' 'sagemaker:ListApps' 'sagemaker:ListModelPackages' 'sagemaker:ListUserProfiles' 'secretsmanager:GetResourcePolicy' 'securitylake:ListSubscribers' 'securitylake:ListTagsForResource' 'servicecatalog:DescribeServiceAction' 'servicecatalog:ListApplications' 'servicecatalog:ListAssociatedResources' 'shield:ListProtectionGroups' 'shield:ListTagsForResource' 'ssm-incidents:GetReplicationSet' 'ssm-incidents:ListReplicationSets' 'ssm:DescribeAssociation' 'ssm:DescribePatchBaselines' 'ssm:GetDefaultPatchBaseline' 'ssm:GetPatchBaseline' 'ssm:GetResourcePolicies' 'ssm:ListAssociations' 'ssm:ListResourceDataSync' 'wafv2:ListLoggingConfigurations' 'bedrock-agentcore:ListCodeInterpreters' 'bedrock-agentcore:GetCodeInterpreter' 'bedrock-agentcore:ListBrowsers' 'bedrock-agentcore:GetBrowser' 'bedrock-agentcore:ListAgentRuntimes' 'bedrock-agentcore:GetAgentRuntime' 'bedrock-agentcore:ListAgentRuntimeEndpoints' 'bedrock-agentcore:GetAgentRuntimeEndpoint' 추가 | 이제이 정책은 AWS Amplify AWS AppSync, Amazon Bedrock, AWS CloudTrail, CloudFormation AWS CodeArtifact,, AWS CodePipeline,, Amazon Connect, AWS Deadline Cloud, Amazon EC2, AWS Entity Resolution AWS IoT SiteWise, Amazon IVS, AWS Lambda, Amazon EventBridge, Amazon Quick, Amazon Redshift, Amazon Redshift Serverless, AWS Identity and Access Management Roles Anywhere, Amazon SageMaker, AWS Secrets Manager, Amazon Security Lake, AWS Service Catalog, AWS Shield, Amazon EC2 Systems Manager 및에 대한 추가 권한을 지원합니다 AWS WAFV2. | 2025년 10월 1일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 'amplify:GetDomainAssociation' 'amplify:ListDomainAssociations' 'amplify:ListTagsForResource' 'appsync:GetSourceApiAssociation' 'appsync:ListSourceApiAssociations' 'bedrock:GetFlow' 'bedrock:ListAgentCollaborators' 'bedrock:ListFlows' 'bedrock:ListPrompts' 'cloudTrail:GetResourcePolicy' 'cloudformation:DescribePublisher' 'codeartifact:DescribePackageGroup' 'codeartifact:ListAllowedRepositoriesForGroup' 'codeartifact:ListPackageGroups' 'codepipeline:ListActionTypes' 'codepipeline:ListTagsForResource' 'codepipeline:ListWebhooks' 'connect:DescribeTrafficDistributionGroup' 'connect:ListTrafficDistributionGroups' 'deadline:ListFarms' 'ec2:GetTransitGatewayRouteTablePropagations' 'ec2:SearchLocalGatewayRoutes' 'ec2:SearchTransitGatewayMulticastGroups' 'entityresolution:GetMatchingWorkflow' 'entityresolution:ListMatchingWorkflows' 'iotsitewise:ListAssetModelCompositeModels' 'iotsitewise:ListAssetModelProperties' 'iotsitewise:ListAssetProperties' 'iotsitewise:ListAssociatedAssets' 'ivs:ListPublicKeys' 'lambda:GetProvisionedConcurrencyConfig' 'lambda:GetRuntimeManagementConfig' 'lambda:ListFunctionEventInvokeConfigs' 'lambda:ListFunctionUrlConfigs' 'pipes:DescribePipe' 'pipes:ListPipes' 'quicksight:DescribeRefreshSchedule' 'quicksight:ListRefreshSchedules' 'redshift-serverless:ListSnapshotCopyConfigurations' 'redshift:GetResourcePolicy' 'rolesanywhere:GetCrl' 'rolesanywhere:ListCrls' 'sagemaker:DescribeApp' 'sagemaker:DescribeUserProfile' 'sagemaker:ListApps' 'sagemaker:ListModelPackages' 'sagemaker:ListUserProfiles' 'secretsmanager:GetResourcePolicy' 'securitylake:ListSubscribers' 'securitylake:ListTagsForResource' 'servicecatalog:DescribeServiceAction' 'servicecatalog:ListApplications' 'servicecatalog:ListAssociatedResources' 'shield:ListProtectionGroups' 'shield:ListTagsForResource' 'ssm-incidents:GetReplicationSet' 'ssm-incidents:ListReplicationSets' 'ssm:DescribeAssociation' 'ssm:DescribePatchBaselines' 'ssm:GetDefaultPatchBaseline' 'ssm:GetPatchBaseline' 'ssm:GetResourcePolicies' 'ssm:ListAssociations' 'ssm:ListResourceDataSync' 'wafv2:ListLoggingConfigurations' 'bedrock-agentcore:ListCodeInterpreters' 'bedrock-agentcore:GetCodeInterpreter' 'bedrock-agentcore:ListBrowsers' 'bedrock-agentcore:GetBrowser' 'bedrock-agentcore:ListAgentRuntimes' 'bedrock-agentcore:GetAgentRuntime' 'bedrock-agentcore:ListAgentRuntimeEndpoints' 'bedrock-agentcore:GetAgentRuntimeEndpoint' 추가 | 이제이 정책은 AWS Amplify AWS AppSync, Amazon Bedrock, AWS CloudTrail, CloudFormation AWS CodeArtifact,, AWS CodePipeline,, Amazon Connect, AWS Deadline Cloud, Amazon EC2, AWS Entity Resolution AWS IoT SiteWise, Amazon IVS, AWS Lambda, Amazon EventBridge, Amazon Quick, Amazon Redshift, Amazon Redshift Serverless, AWS Identity and Access Management Roles Anywhere, Amazon SageMaker, AWS Secrets Manager, Amazon Security Lake, AWS Service Catalog, AWS Shield, Amazon EC2 Systems Manager 및에 대한 추가 권한을 지원합니다 AWS WAFV2. | 2025년 10월 1일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 'arc-zonal-shift:GetAutoshiftObserverNotificationStatus', 'bedrock:GetModelInvocationLoggingConfiguration', 'cloudtrail:GetEventConfiguration', 'codeartifact:DescribeDomain', 'codeartifact:GetDomainPermissionsPolicy', 'deadline:GetFleet', 'deadline:GetQueueFleetAssociation', 'deadline:ListFleets', 'deadline:ListQueueFleetAssociations', 'deadline:ListTagsForResource', 'dms:DescribeDataMigrations', 'dms:ListMigrationProjects', 'glue:GetDataCatalogEncryptionSettings', 'kafkaconnect:DescribeCustomPlugin', 'kafkaconnect:DescribeWorkerConfiguration', 'kafkaconnect:ListCustomPlugins', 'kafkaconnect:ListTagsForResource', 'kafkaconnect:ListWorkerConfigurations', 'lakeformation:DescribeLakeFormationIdentityCenterConfiguration', 'medialive:DescribeMultiplexProgram', 'medialive:ListMultiplexPrograms', 'mediapackagev2:GetChannelGroup', 'mediapackagev2:ListChannelGroups', 'rds:DescribeEngineDefaultParameters', 'rolesanywhere:GetProfile', 'rolesanywhere:GetTrustAnchor', 'rolesanywhere:ListProfiles', 'rolesanywhere:ListTagsForResource', 'rolesanywhere:ListTrustAnchors', 's3:GetAccessGrant', 's3:ListAccessGrants', 'secretsmanager:DescribeSecret', 'securitylake:ListDataLakeExceptions', 'securitylake:ListDataLakes', 'securitylake:ListLogSources', 'servicecatalog:GetAttributeGroup', 'servicecatalog:ListAttributeGroups', 'servicecatalog:ListServiceActions', 'servicecatalog:ListServiceActionsForProvisioningArtifact', 'ses:GetTrafficPolicy', 'ses:ListTagsForResource', 'ses:ListTrafficPolicies', 'xray:GetGroup', 'xray:GetGroups', 'xray:GetSamplingRules', 'xray:ListResourcePolicies', 'xray:ListTagsForResource' 추가 | 이제이 정책은 Amazon Bedrock AWS ARC - Zonal Shift, AWS CloudTrail,, AWS CodeArtifact AWS Deadline Cloud AWS Database Migration Service, AWS Glue,, AWS Identity and Access Management,, Amazon Managed Streaming for Apache Kafka, AWS Lake Formation, Amazon CloudWatch Logs, AWS Elemental MediaLive, AWS Elemental MediaPackage, Amazon Relational Database Service, Amazon Simple Storage Service, AWS Secrets Manager, Amazon Security Lake, AWS Service Catalog Amazon Simple Email Service 및에 대한 추가 권한을 지원합니다 AWS X-Ray. | 2025년 7월 28일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) - 추가 'arc-zonal-shift:GetAutoshiftObserverNotificationStatus', 'bedrock:GetModelInvocationLoggingConfiguration', 'cloudtrail:GetEventConfiguration', 'codeartifact:DescribeDomain', 'codeartifact:GetDomainPermissionsPolicy', 'deadline:GetFleet', 'deadline:GetQueueFleetAssociation', 'deadline:ListFleets', 'deadline:ListQueueFleetAssociations', 'deadline:ListTagsForResource', 'dms:DescribeDataMigrations', 'dms:ListMigrationProjects', 'glue:GetDataCatalogEncryptionSettings', 'iam:ListPolicies', 'kafkaconnect:DescribeCustomPlugin', 'kafkaconnect:DescribeWorkerConfiguration', 'kafkaconnect:ListCustomPlugins', 'kafkaconnect:ListTagsForResource', 'kafkaconnect:ListWorkerConfigurations', 'lakeformation:DescribeLakeFormationIdentityCenterConfiguration', 'logs:DescribeIndexPolicies', 'logs:ListTagsForResource', 'medialive:DescribeMultiplexProgram', 'medialive:ListMultiplexPrograms', 'mediapackagev2:GetChannelGroup', 'mediapackagev2:ListChannelGroups', 'rds:DescribeEngineDefaultParameters', 'rolesanywhere:GetProfile', 'rolesanywhere:GetTrustAnchor', 'rolesanywhere:ListProfiles', 'rolesanywhere:ListTagsForResource', 'rolesanywhere:ListTrustAnchors', 's3:GetAccessGrant', 's3:ListAccessGrants', 'secretsmanager:DescribeSecret', 'securitylake:ListDataLakeExceptions', 'securitylake:ListDataLakes', 'securitylake:ListLogSources', 'servicecatalog:GetAttributeGroup', 'servicecatalog:ListAttributeGroups', 'servicecatalog:ListServiceActions', 'servicecatalog:ListServiceActionsForProvisioningArtifact', 'ses:GetTrafficPolicy', 'ses:ListTagsForResource', 'ses:ListTrafficPolicies', 'xray:GetGroup', 'xray:GetGroups', 'xray:GetSamplingRules', 'xray:ListResourcePolicies', 'xray:ListTagsForResource', 'arn:aws:apigateway:::/account', 'arn:aws:apigateway:::/usageplans', 'arn:aws:apigateway:::/usageplans/'. | 이제이 정책은 Amazon Bedrock AWS ARC - Zonal Shift, AWS CloudTrail,, AWS CodeArtifact AWS Deadline Cloud AWS Database Migration Service, AWS Glue,, AWS Identity and Access Management,,, Amazon Managed Streaming for Apache Kafka, AWS Lake Formation, Amazon CloudWatch Logs, AWS Elemental MediaLive, AWS Elemental MediaPackage,, Amazon Relational Database Service, Amazon Simple Storage Service, AWS Secrets Manager, Amazon Security Lake, AWS Service Catalog, Amazon Simple Email Service AWS X-Ray및 Amazon API Gateway에 대한 추가 권한을 지원합니다. | 2025년 7월 28일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 'backup-gateway:GetHypervisor', 'backup-gateway:ListHypervisors', 'bcm-data-exports:GetExport', 'bcm-data-exports:ListExports', 'bcm-data-exports:ListTagsForResource', 'bedrock:GetAgent', 'bedrock:GetAgentActionGroup', 'bedrock:GetAgentKnowledgeBase', 'bedrock:GetDataSource', 'bedrock:GetFlowAlias', 'bedrock:GetFlowVersion', 'bedrock:ListAgentActionGroups', 'bedrock:ListAgentKnowledgeBases', 'bedrock:ListDataSources', 'bedrock:ListFlowAliases', 'bedrock:ListFlowVersions', 'cloudformation:BatchDescribeTypeConfigurations', 'cloudformation:DescribeStackInstance', 'cloudformation:DescribeStackSet', 'cloudformation:ListStackInstances', 'cloudformation:ListStackSets', 'cloudfront:GetPublicKey', 'cloudfront:GetRealtimeLogConfig', 'cloudfront:ListPublicKeys', 'cloudfront:ListRealtimeLogConfigs', 'entityresolution:GetIdMappingWorkflow', 'entityresolution:GetSchemaMapping', 'entityresolution:ListIdMappingWorkflows', 'entityresolution:ListSchemaMappings', 'entityresolution:ListTagsForResource', 'iotdeviceadvisor:GetSuiteDefinition', 'iotdeviceadvisor:ListSuiteDefinitions', 'lambda:GetEventSourceMapping', 'lambda:ListEventSourceMappings', 'mediapackagev2:GetChannel', 'mediapackagev2:ListChannels', 'networkmanager:GetTransitGatewayPeering', 'networkmanager:ListPeerings', 'pca-connector-ad:GetDirectoryRegistration', 'pca-connector-ad:ListDirectoryRegistrations', 'pca-connector-ad:ListTagsForResource', 'rds:DescribeDBShardGroups', 'rds:DescribeIntegrations', 'redshift:DescribeIntegrations', 's3tables:GetTableBucket', 's3tables:GetTableBucketEncryption', 's3tables:GetTableBucketMaintenanceConfiguration', 's3tables:ListTableBuckets', 'ssm-quicksetup:GetConfigurationManager', 'ssm-quicksetup:ListConfigurationManagers' 추가 | 이제이 정책은 AWS Backup gateway, AWS 결제 및 비용 관리 Amazon Bedrock, AWS CloudFormation, Amazon CloudFront, AWS Entity Resolution, AWS IoT Core Device Advisor, AWS Lambda, AWS Network Manager AWS Private Certificate Authority,, Amazon Relational Database Service, Amazon Redshift, Amazon S3 Tables,에 대한 추가 권한을 지원합니다 AWS Systems Manager 빠른 설정. | 2025년 6월 18일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 'backup-gateway:GetHypervisor', 'backup-gateway:ListHypervisors', 'bcm-data-exports:GetExport', 'bcm-data-exports:ListExports', 'bcm-data-exports:ListTagsForResource', 'bedrock:GetAgent', 'bedrock:GetAgentActionGroup', 'bedrock:GetAgentKnowledgeBase', 'bedrock:GetDataSource', 'bedrock:GetFlowAlias', 'bedrock:GetFlowVersion', 'bedrock:ListAgentActionGroups', 'bedrock:ListAgentKnowledgeBases', 'bedrock:ListDataSources', 'bedrock:ListFlowAliases', 'bedrock:ListFlowVersions', 'cloudformation:BatchDescribeTypeConfigurations', 'cloudformation:DescribeStackInstance', 'cloudformation:DescribeStackSet', 'cloudformation:ListStackInstances', 'cloudformation:ListStackSets', 'cloudfront:GetPublicKey', 'cloudfront:GetRealtimeLogConfig', 'cloudfront:ListPublicKeys', 'cloudfront:ListRealtimeLogConfigs', 'entityresolution:GetIdMappingWorkflow', 'entityresolution:GetSchemaMapping', 'entityresolution:ListIdMappingWorkflows', 'entityresolution:ListSchemaMappings', 'entityresolution:ListTagsForResource', 'iotdeviceadvisor:GetSuiteDefinition', 'iotdeviceadvisor:ListSuiteDefinitions', 'lambda:GetEventSourceMapping', 'lambda:ListEventSourceMappings', 'networkmanager:GetTransitGatewayPeering', 'networkmanager:ListPeerings', 'pca-connector-ad:GetDirectoryRegistration', 'pca-connector-ad:ListDirectoryRegistrations', 'pca-connector-ad:ListTagsForResource', 'rds:DescribeDBShardGroups', 'rds:DescribeIntegrations', 'redshift:DescribeIntegrations', 's3tables:GetTableBucket', 's3tables:GetTableBucketEncryption', 's3tables:GetTableBucketMaintenanceConfiguration', 's3tables:ListTableBuckets', 'ssm-quicksetup:GetConfigurationManager', 'ssm-quicksetup:ListConfigurationManagers' 추가 | 이 정책은 이제 Amazon Bedrock AWS 결제 및 비용 관리, , Amazon AWS CloudFormation Amazon CloudFront AWS Backup gateway,, AWS Entity Resolution, AWS IoT Core Device Advisor AWS Lambda, AWS Network Manager, AWS Private Certificate Authority, Amazon Relational Database Service, Amazon Redshift, Amazon S3 Tables에 대한 추가 권한을 지원합니다 AWS Systems Manager 빠른 설정. | 2025년 6월 18일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – "bedrock:GetGuardrail", "bedrock:GetInferenceProfile", "bedrock:GetKnowledgeBase", "bedrock:ListGuardrails", "bedrock:ListInferenceProfiles", "bedrock:ListKnowledgeBases", "bedrock:ListTagsForResource" 추가 | 이제 이 정책은 Amazon Bedrock에 대한 추가 권한을 지원합니다. | 2025년 5월 27일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – "bedrock:GetGuardrail", "bedrock:GetInferenceProfile", "bedrock:GetKnowledgeBase", "bedrock:ListGuardrails", "bedrock:ListInferenceProfiles", "bedrock:ListKnowledgeBases", "bedrock:ListTagsForResource" 추가 | 이제 이 정책은 Amazon Bedrock에 대한 추가 권한을 지원합니다. | 2025년 5월 27일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – "b2bi:GetPartnership", "b2bi:GetProfile", "b2bi:ListPartnerships", "b2bi:ListProfiles", "bedrock:ListAgents", "cleanrooms:GetConfiguredTable", "cleanrooms:GetConfiguredTableAnalysisRule", "cleanrooms:GetMembership", "cleanrooms:GetPrivacyBudgetTemplate", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMemberships", "cleanrooms:ListPrivacyBudgetTemplates", "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:ListTagsForResource", "directconnect:DescribeConnections", "dms:DescribeReplicationConfigs", "logs:DescribeAccountPolicies", "logs:DescribeResourcePolicies", "macie2:ListAutomatedDiscoveryAccounts", "managedblockchain:GetAccessor", "managedblockchain:ListAccessors", "qbusiness:GetApplication", "qbusiness:ListApplications", "qbusiness:ListTagsForResource", "route53profiles:GetProfile", "route53profiles:GetProfileAssociation", "route53profiles:ListProfileAssociations", "route53profiles:ListProfiles", "route53profiles:ListTagsForResource", "s3:GetAccessGrantsInstance", "s3:GetAccessGrantsLocation", "s3:ListAccessGrantsInstances", "s3:ListAccessGrantsLocations", "sagemaker:DescribeCluster", "sagemaker:DescribeMlflowTrackingServer", "sagemaker:DescribeStudioLifecycleConfig", "sagemaker:ListClusters", "sagemaker:ListMlflowTrackingServers", "sagemaker:ListStudioLifecycleConfigs", "securityhub:DescribeStandardsControls", "securityhub:GetEnabledStandards", "ssm-contacts:GetContact", "ssm-contacts:GetContactChannel", "ssm-contacts:ListContactChannels", "ssm-contacts:ListContacts", "ssm-incidents:GetResponsePlan", "ssm-incidents:ListResponsePlans", "ssm-incidents:ListTagsForResource", "ssm:DescribeInstanceInformation" 추가 | 이제이 정책은 Amazon Bedrock AWS B2B Data Interchange, AWS Clean Rooms, AWS CodeConnections AWS Direct Connect,, AWS Database Migration Service (AWS DMS), Amazon CloudWatch Logs, Amazon Macie, Amazon Managed Blockchain, Amazon Q Business, Route 53 Profiles, Amazon Simple Storage Service(Amazon S3), Amazon SageMaker AI AWS Security Hub CSPM및 AWS Systems Manager Incident Manager연락처 AWS Systems Manager Incident Manager 에 대한 추가 권한을 지원합니다 AWS Systems Manager. | 2025년 4월 8일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – "b2bi:GetPartnership", "b2bi:GetProfile", "b2bi:ListPartnerships", "b2bi:ListProfiles", "bedrock:ListAgents", "cleanrooms:GetConfiguredTable", "cleanrooms:GetConfiguredTableAnalysisRule", "cleanrooms:GetMembership", "cleanrooms:GetPrivacyBudgetTemplate", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMemberships", "cleanrooms:ListPrivacyBudgetTemplates", "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:ListTagsForResource", "directconnect:DescribeConnections", "dms:DescribeReplicationConfigs", "logs:DescribeAccountPolicies", "logs:DescribeResourcePolicies", "macie2:ListAutomatedDiscoveryAccounts", "managedblockchain:GetAccessor", "managedblockchain:ListAccessors", "qbusiness:GetApplication", "qbusiness:ListApplications", "qbusiness:ListTagsForResource", "route53profiles:GetProfile", "route53profiles:GetProfileAssociation", "route53profiles:ListProfileAssociations", "route53profiles:ListProfiles", "route53profiles:ListTagsForResource", "s3:GetAccessGrantsInstance", "s3:GetAccessGrantsLocation", "s3:ListAccessGrantsInstances", "s3:ListAccessGrantsLocations", "sagemaker:DescribeCluster", "sagemaker:DescribeMlflowTrackingServer", "sagemaker:DescribeStudioLifecycleConfig", "sagemaker:ListClusters", "sagemaker:ListMlflowTrackingServers", "sagemaker:ListStudioLifecycleConfigs", "securityhub:DescribeStandardsControls", "securityhub:GetEnabledStandards", "ssm-contacts:GetContact", "ssm-contacts:GetContactChannel", "ssm-contacts:ListContactChannels", "ssm-contacts:ListContacts", "ssm-incidents:GetResponsePlan", "ssm-incidents:ListResponsePlans", "ssm-incidents:ListTagsForResource", "ssm:DescribeInstanceInformation" 추가 | 이제이 정책은 Amazon Bedrock AWS B2B Data Interchange, AWS Clean Rooms, AWS CodeConnections AWS Direct Connect,, AWS Database Migration Service (AWS DMS), Amazon CloudWatch Logs, Amazon Macie, Amazon Managed Blockchain, Amazon Q Business, Route 53 Profiles, Amazon Simple Storage Service(Amazon S3), Amazon SageMaker AI AWS Security Hub CSPM및 AWS Systems Manager Incident Manager연락처 AWS Systems Manager Incident Manager 에 대한 추가 권한을 지원합니다 AWS Systems Manager. 이 정책은 이제 리소스 패턴 '`arn:aws:apigateway:::/domainnames/`'를 포함하여 모든 Amazon API Gateway 도메인 이름에 액세스할 수 있는 권한도 지원합니다. | 2025년 4월 8일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – "ec2:GetAllowedImagesSettings" 추가 | 이제 이 정책은 Amazon Elastic Compute Cloud(Amazon EC2)에 대한 추가 권한을 지원합니다. | 2025년 3월 4일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – "ec2:GetAllowedImagesSettings" 추가 | 이제 이 정책은 Amazon Elastic Compute Cloud(Amazon EC2)에 대한 추가 권한을 지원합니다. | 2025년 3월 4일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – "cleanrooms-ml:GetTrainingDataset", "cleanrooms-ml:ListTrainingDatasets", "comprehend:DescribeFlywheel", "comprehend:ListFlywheels", "comprehend:ListTagsForResource", "ec2:GetSnapshotBlockPublicAccessState", "omics:GetAnnotationStore", "omics:GetRunGroup", "omics:GetSequenceStore", "omics:GetVariantStore", "omics:ListAnnotationStores", "omics:ListRunGroups", "omics:ListSequenceStores", "omics:ListTagsForResource", "omics:ListVariantStores", "s3express:GetEncryptionConfiguration", "s3express:GetLifecycleConfiguration", "ses:GetDedicatedIpPool", "ses:GetDedicatedIps", and "ses:ListDedicatedIpPools" 추가 | 이제이 정책은 Amazon Comprehend AWS Clean Rooms, Amazon Elastic Compute Cloud(Amazon EC2), AWS HealthOmics Amazon Simple Storage Service(Amazon S3) 및 Amazon Simple Email Service(Amazon SES)에 대한 추가 권한을 지원합니다. | 2025년 1월 16일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – "cleanrooms-ml:GetTrainingDataset", "cleanrooms-ml:ListTrainingDatasets", "comprehend:DescribeFlywheel", "comprehend:ListFlywheels", "comprehend:ListTagsForResource", "ec2:GetSnapshotBlockPublicAccessState", "omics:GetAnnotationStore", "omics:GetRunGroup", "omics:GetSequenceStore", "omics:GetVariantStore", "omics:ListAnnotationStores", "omics:ListRunGroups", "omics:ListSequenceStores", "omics:ListTagsForResource", "omics:ListVariantStores", "s3express:GetEncryptionConfiguration", "s3express:GetLifecycleConfiguration", "ses:GetDedicatedIpPool", "ses:GetDedicatedIps", and "ses:ListDedicatedIpPools" 추가 | 이제이 정책은 Amazon Comprehend AWS Clean Rooms, Amazon Elastic Compute Cloud(Amazon EC2), AWS HealthOmics Amazon Simple Storage Service(Amazon S3) 및 Amazon Simple Email Service(Amazon SES)에 대한 추가 권한을 지원합니다. | 2025년 1월 16일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – "organizations:ListAWSServiceAccessForOrganization" 추가 | 이 정책은 이제 AWS Organizations에 대한 추가 권한을 지원합니다. | 2024년 12월 18일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – "app-integrations:GetApplication", "app-integrations:ListApplications", "app-integrations:ListTagsForResource", "appconfig:GetExtension", "appconfig:ListExtensions", "cloudtrail:GetInsightSelectors", "connect:DescribeQueue", "connect:DescribeRoutingProfile", "connect:DescribeSecurityProfile", "connect:ListQueueQuickConnects", "connect:ListQueues", "connect:ListRoutingProfileQueues", "connect:ListRoutingProfiles", "connect:ListSecurityProfileApplications", "connect:ListSecurityProfilePermissions", "connect:ListSecurityProfiles", "datazone:GetDomain", "datazone:ListDomains", "devops-guru:ListNotificationChannels", "glue:GetRegistry", "glue:ListRegistries", "identitystore:DescribeGroup", "identitystore:DescribeGroupMembership" "identitystore:ListGroupMemberships", "identitystore:ListGroups", "iot:DescribeThingGroup", "iot:DescribeThingType", "iot:ListThingGroups", "iot:ListThingTypes", "iotfleetwise:GetDecoderManifest", "iotfleetwise:GetFleet", "iotfleetwise:GetModelManifest", "iotfleetwise:GetSignalCatalog", "iotfleetwise:GetVehicle", "iotfleetwise:ListDecoderManifestNetworkInterfaces", "iotfleetwise:ListDecoderManifests", "iotfleetwise:ListDecoderManifestSignals", "iotfleetwise:ListFleets", "iotfleetwise:ListModelManifestNodes", "iotfleetwise:ListModelManifests", "iotfleetwise:ListSignalCatalogNodes", "iotfleetwise:ListSignalCatalogs", "iotfleetwise:ListTagsForResource", "iotfleetwise:ListVehicles", "iotwireless:GetDestination", "iotwireless:GetDeviceProfile", "iotwireless:GetWirelessGateway", "iotwireless:ListDestinations", "iotwireless:ListDeviceProfiles", "iotwireless:ListWirelessGateways", "ivschat:GetLoggingConfiguration", "ivschat:GetRoom" "ivschat:ListLoggingConfigurations", "ivschat:ListRooms", "ivschat:ListTagsForResource", "logs:GetLogAnomalyDetector", "logs:ListLogAnomalyDetectors", "oam:GetSink" "oam:GetSinkPolicy", "oam:ListSinks", "payment-cryptography:GetAlias", "payment-cryptography:GetKey", "payment-cryptography:ListAliases", "payment-cryptography:ListKeys", "payment-cryptography:ListTagsForResource", "rds:DescribeDBProxyTargetGroups", "rds:DescribeDBProxyTargets", "rekognition:DescribeProjects", "s3:GetStorageLensGroup", "s3:ListStorageLensGroups", "s3:ListTagsForResource", "scheduler:GetScheduleGroup", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "ssm:GetServiceSetting", "vpc-lattice:GetAccessLogSubscription", "vpc-lattice:GetService", "vpc-lattice:GetServiceNetwork", "vpc-lattice:GetTargetGroup", "vpc-lattice:ListAccessLogSubscriptions", "vpc-lattice:ListServiceNetworks", "vpc-lattice:ListServices", "vpc-lattice:ListTagsForResource", "vpc-lattice:ListTargetGroups", and "vpc-lattice:ListTargets" 추가 | 이제이 정책은 AWS AppConfig, AWS CloudTrail Amazon Connect, Amazon DataZone, Amazon DevOps Guru, AWS Glue, Identity Store, AWS IoT, AWS IoT FleetWise, AWS IoT 무선,, Amazon Interactive Video Service(Amazon IVS), Amazon CloudWatch Logs, Amazon CloudWatch Observability Access Manager, AWS Payment Cryptography, Amazon Relational Database Service(RDS), Amazon Rekognition, Amazon Simple Storage Service(Amazon S3), Amazon EventBridge Scheduler AWS Systems Manager및 Amazon VPC Lattice에 대한 추가 권한을 지원합니다. | 2024년 11월 7일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – "app-integrations:GetApplication", "app-integrations:ListApplications", "app-integrations:ListTagsForResource", "appconfig:GetExtension", "appconfig:ListExtensions", "cloudtrail:GetInsightSelectors", "connect:DescribeQueue", "connect:DescribeRoutingProfile", "connect:DescribeSecurityProfile", "connect:ListQueueQuickConnects", "connect:ListQueues", "connect:ListRoutingProfileQueues", "connect:ListRoutingProfiles", "connect:ListSecurityProfileApplications", "connect:ListSecurityProfilePermissions", "connect:ListSecurityProfiles", "datazone:GetDomain", "datazone:ListDomains", "devops-guru:ListNotificationChannels", "glue:GetRegistry", "glue:ListRegistries", "identitystore:DescribeGroup", "identitystore:DescribeGroupMembership" "identitystore:ListGroupMemberships", "identitystore:ListGroups", "iot:DescribeThingGroup", "iot:DescribeThingType", "iot:ListThingGroups", "iot:ListThingTypes", "iotfleetwise:GetDecoderManifest", "iotfleetwise:GetFleet", "iotfleetwise:GetModelManifest", "iotfleetwise:GetSignalCatalog", "iotfleetwise:GetVehicle", "iotfleetwise:ListDecoderManifestNetworkInterfaces", "iotfleetwise:ListDecoderManifests", "iotfleetwise:ListDecoderManifestSignals", "iotfleetwise:ListFleets", "iotfleetwise:ListModelManifestNodes", "iotfleetwise:ListModelManifests", "iotfleetwise:ListSignalCatalogNodes", "iotfleetwise:ListSignalCatalogs", "iotfleetwise:ListTagsForResource", "iotfleetwise:ListVehicles", "iotwireless:GetDestination", "iotwireless:GetDeviceProfile", "iotwireless:GetWirelessGateway", "iotwireless:ListDestinations", "iotwireless:ListDeviceProfiles", "iotwireless:ListWirelessGateways", "ivschat:GetLoggingConfiguration", "ivschat:GetRoom" "ivschat:ListLoggingConfigurations", "ivschat:ListRooms", "ivschat:ListTagsForResource", "logs:GetLogAnomalyDetector", "logs:ListLogAnomalyDetectors", "oam:GetSink" "oam:GetSinkPolicy", "oam:ListSinks", "payment-cryptography:GetAlias", "payment-cryptography:GetKey", "payment-cryptography:ListAliases", "payment-cryptography:ListKeys", "payment-cryptography:ListTagsForResource", "rds:DescribeDBProxyTargetGroups", "rds:DescribeDBProxyTargets", "rekognition:DescribeProjects", "s3:GetStorageLensGroup", "s3:ListStorageLensGroups", "s3:ListTagsForResource", "scheduler:GetScheduleGroup", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "ssm:GetServiceSetting", "vpc-lattice:GetAccessLogSubscription", "vpc-lattice:GetService", "vpc-lattice:GetServiceNetwork", "vpc-lattice:GetTargetGroup", "vpc-lattice:ListAccessLogSubscriptions", "vpc-lattice:ListServiceNetworks", "vpc-lattice:ListServices", "vpc-lattice:ListTagsForResource", "vpc-lattice:ListTargetGroups", and "vpc-lattice:ListTargets" 추가 | 이제이 정책은 AWS AppConfig, AWS CloudTrail Amazon Connect, Amazon DataZone, Amazon DevOps Guru, AWS Glue, Identity Store, AWS IoT, AWS IoT FleetWise, AWS IoT 무선,, Amazon Interactive Video Service(Amazon IVS), Amazon CloudWatch Logs, Amazon CloudWatch Observability Access Manager, AWS Payment Cryptography, Amazon Relational Database Service(RDS), Amazon Rekognition, Amazon Simple Storage Service(Amazon S3), Amazon EventBridge Scheduler AWS Systems Manager및 Amazon VPC Lattice에 대한 추가 권한을 지원합니다. | 2024년 11월 7일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – "aoss:BatchGetCollection," "aoss:BatchGetLifecyclePolicy," "aoss:BatchGetVpcEndpoint," "aoss:GetAccessPolicy," "aoss:GetSecurityConfig," "aoss:GetSecurityPolicy," "aoss:ListAccessPolicies," "aoss:ListCollections," "aoss:ListLifecyclePolicies," "aoss:ListSecurityConfigs," "aoss:ListSecurityPolicies," "aoss:ListVpcEndpoints," "appstream:DescribeAppBlockBuilders," "backup:GetRestoreTestingPlan," "backup:GetRestoreTestingSelection", "backup:ListRestoreTestingPlans," "backup:ListRestoreTestingSelections," "cloudTrail:GetChannel, "cloudTrail:ListChannels," "glue:GetTrigger," "glue:ListTriggers, "imagebuilder:GetLifecyclePolicy," "imagebuilder:ListLifecyclePolicies," "iot:DescribeBillingGroup," "iot:ListBillingGroups," "ivs:GetEncoderConfiguration," "ivs:GetPlaybackRestrictionPolicy," "ivs:GetStage," "ivs:GetStorageConfiguration," "ivs:ListEncoderConfigurations," "ivs:ListPlaybackRestrictionPolicies," "ivs:ListStages," "ivs:ListStorageConfigurations," "mediaconnect:DescribeBridge", "mediaconnect:DescribeGatewa," "mediaconnect:ListBridges," "mediaconnect:ListGateways", "mediatailor:DescribeChannel," "mediatailor:DescribeLiveSource," "mediatailor:DescribeSourceLocation," "mediatailor:DescribeVodSource", "mediatailor:ListChannels," "mediatailor:ListLiveSources", "mediatailor:ListSourceLocations," "mediatailor:ListVodSources," "omics:GetWorkflow," "omics:ListWorkflows," "scheduler:GetSchedule," and "scheduler:ListSchedules" 추가 | 이제이 정책은 Amazon OpenSearch Service Severless, Amazon AppStream, AWS Backup, AWS CloudTrail AWS Glue,, EC2 Image Builder, AWS IoT Amazon Interactive Video Service(Amazon IVS), AWS Elemental MediaConnect, AWS Elemental MediaTailor AWS HealthOmics및 Amazon EventBridge 스케줄러에 대한 추가 권한을 지원합니다. | 2024년 9월 16일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – "aoss:BatchGetCollection," "aoss:BatchGetLifecyclePolicy," "aoss:BatchGetVpcEndpoint," "aoss:GetAccessPolicy," "aoss:GetSecurityConfig," "aoss:GetSecurityPolicy," "aoss:ListAccessPolicies," "aoss:ListCollections," "aoss:ListLifecyclePolicies," "aoss:ListSecurityConfigs," "aoss:ListSecurityPolicies," "aoss:ListVpcEndpoints," "appstream:DescribeAppBlockBuilders," "backup:GetRestoreTestingPlan," "backup:GetRestoreTestingSelection", "backup:ListRestoreTestingPlans," "backup:ListRestoreTestingSelections," "cloudTrail:GetChannel, "cloudTrail:ListChannels," "glue:GetTrigger," "glue:ListTriggers, "imagebuilder:GetLifecyclePolicy," "imagebuilder:ListLifecyclePolicies," "iot:DescribeBillingGroup," "iot:ListBillingGroups," "ivs:GetEncoderConfiguration," "ivs:GetPlaybackRestrictionPolicy," "ivs:GetStage," "ivs:GetStorageConfiguration," "ivs:ListEncoderConfigurations," "ivs:ListPlaybackRestrictionPolicies," "ivs:ListStages," "ivs:ListStorageConfigurations," "mediaconnect:DescribeBridge", "mediaconnect:DescribeGatewa," "mediaconnect:ListBridges," "mediaconnect:ListGateways", "mediatailor:DescribeChannel," "mediatailor:DescribeLiveSource," "mediatailor:DescribeSourceLocation," "mediatailor:DescribeVodSource", "mediatailor:ListChannels," "mediatailor:ListLiveSources", "mediatailor:ListSourceLocations," "mediatailor:ListVodSources," "omics:GetWorkflow," "omics:ListWorkflows," "scheduler:GetSchedule," and "scheduler:ListSchedules" 추가 | 이제이 정책은 Amazon OpenSearch Service Severless, Amazon AppStream, AWS Backup, AWS CloudTrail AWS Glue,, EC2 Image Builder, AWS IoT Amazon Interactive Video Service(Amazon IVS), AWS Elemental MediaConnect, AWS Elemental MediaTailor AWS HealthOmics및 Amazon EventBridge 스케줄러에 대한 추가 권한을 지원합니다. | 2024년 9월 16일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – "elasticfilesystem:DescribeTags," "redshift:DescribeTags," and "ssm-sap:ListTagsForResource" 추가 | 이제이 정책은 Amazon Elastic File System(Amazon EFS), Amazon Redshift 및에 대한 추가 권한을 지원합니다 AWS Systems Manager for SAP. | 2024년 6월 17일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – "elasticfilesystem:DescribeTags," "redshift:DescribeTags," and "ssm-sap:ListTagsForResource" 추가 | 이제이 정책은 Amazon Elastic File System(Amazon EFS), Amazon Redshift 및에 대한 추가 권한을 지원합니다 AWS Systems Manager for SAP. | 2024년 6월 17일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – "aps:DescribeAlertManagerDefinition," "cloudwatch:DescribeAlarmsForMetric," "cognito-identity:DescribeIdentityPool, "cognito-identity:GetPrincipalTagAttributeMap," "elasticache:DescribeCacheSecurityGroups," "elasticache:DescribeUserGroups," "elasticache:DescribeUsers," "elasticache:DescribeGlobalReplicationGroups," "fsx:DescribeDataRepositoryAssociations," "glue:GetDatabase," "glue:GetDatabases," "iam:ListUsers," "lambda:GetLayerVersion," "lambda:ListLayers," "lambda:ListLayerVersions," "ram:GetPermission," "ram:ListPermissionAssociations," "ram:ListPermissions," "ram:ListPermissionVersions," "redshift-serverless:GetNamespace," "redshift-serverless:GetWorkgroup," "redshift-serverless:ListNamespaces," "redshift-serverless:ListTagsForResource," "redshift-serverless:ListWorkgroups," "sagemaker:DescribeInferenceExperiment," "sagemaker:ListInferenceExperiments," and "sns:GetSMSSandboxAccountStatus" 추가 | 이제이 정책은 Amazon Managed Service for Prometheus, Amazon CloudWatch, Amazon Cognito, Amazon ElastiCache, Amazon FSx, AWS Glue, AWS Identity and Access Management (IAM), AWS Lambda, AWS RAM, Amazon Redshift Serverless, Amazon SageMaker AI 및 Amazon Simple Notification Service(Amazon SNS)에 대한 추가 권한을 지원합니다. | 2024년 2월 22일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – "aps:DescribeAlertManagerDefinition," "cloudwatch:DescribeAlarmsForMetric," "cognito-identity:DescribeIdentityPool, "cognito-identity:GetPrincipalTagAttributeMap," "elasticache:DescribeCacheSecurityGroups," "elasticache:DescribeUserGroups," "elasticache:DescribeUsers," "elasticache:DescribeGlobalReplicationGroups," "fsx:DescribeDataRepositoryAssociations," "glue:GetDatabase," "glue:GetDatabases," "iam:ListUsers," "lambda:GetLayerVersion," "lambda:ListLayers," "lambda:ListLayerVersions," "ram:GetPermission," "ram:ListPermissionAssociations," "ram:ListPermissions," "ram:ListPermissionVersions," "redshift-serverless:GetNamespace," "redshift-serverless:GetWorkgroup," "redshift-serverless:ListNamespaces," "redshift-serverless:ListTagsForResource," "redshift-serverless:ListWorkgroups," "sagemaker:DescribeInferenceExperiment," "sagemaker:ListInferenceExperiments," and "sns:GetSMSSandboxAccountStatus" 추가 | 이제이 정책은 Amazon Managed Service for Prometheus, Amazon CloudWatch, Amazon Cognito, Amazon ElastiCache, Amazon FSx, AWS Glue, AWS Identity and Access Management (IAM), AWS Lambda, AWS RAM, Amazon Redshift Serverless, Amazon SageMaker AI 및 Amazon Simple Notification Service(Amazon SNS)에 대한 추가 권한을 지원합니다. | 2024년 2월 22일 |
| [AWSConfigUserAccess](#security-iam-awsmanpol-AWSConfigUserAccess) - AWS Config 이 AWS 관리형 정책에 대한 변경 사항 추적 시작 | 이 정책은 리소스의 태그별 검색 및 모든 태그 읽기 AWS Config를 포함하여 사용할 수 있는 액세스 권한을 제공합니다. 이렇게 하면 관리 권한이 필요한를 구성할 수 AWS Config있는 권한이 제공되지 않습니다. | 2024년 2월 22일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – "appconfig:GetExtensionAssociation," "appconfig:ListExtensionAssociations," "aps:DescribeLoggingConfiguration," "dms:DescribeReplicationTaskAssessmentRuns," "iam:GetOpenIDConnectProvider," "iam:ListOpenIDConnectProviders," "kafka:DescribeVpcConnection," "kafka:GetClusterPolicy," "kafka:ListVpcConnections," "logs:DescribeMetricFilters," "organizations:ListDelegatedAdministrators," "s3:GetBucketPolicyStatus," "s3express:GetBucketPolicy," and "s3express:ListAllMyDirectoryBuckets" 추가 | 이제이 정책은 Amazon Managed Service for Prometheus AWS AppConfig, AWS Database Migration Service (AWS DMS), (AWS Identity and Access Management) IAM, Amazon Managed Streaming for Apache Kafka(Amazon MSK), Amazon CloudWatch Logs AWS Organizations및 Amazon Simple Storage Service(Amazon S3)에 대한 추가 권한을 지원합니다. | 2023년 12월 5일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – "appconfig:GetExtensionAssociation," "appconfig:ListExtensionAssociations," "aps:DescribeLoggingConfiguration," "dms:DescribeReplicationTaskAssessmentRuns," "iam:GetOpenIDConnectProvider," "iam:ListOpenIDConnectProviders," "kafka:DescribeVpcConnection," "kafka:GetClusterPolicy," "kafka:ListVpcConnections," "logs:DescribeMetricFilters," "organizations:ListDelegatedAdministrators," "s3:GetBucketPolicyStatus," "s3express:GetBucketPolicy," and "s3express:ListAllMyDirectoryBuckets" 추가 | 이제이 정책은 Amazon Managed Service for Prometheus AWS AppConfig, AWS Database Migration Service (AWS DMS), (AWS Identity and Access Management) IAM, Amazon Managed Streaming for Apache Kafka(Amazon MSK), Amazon CloudWatch Logs AWS Organizations및 Amazon Simple Storage Service(Amazon S3)에 대한 추가 권한을 지원합니다. | 2023년 12월 5일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – "backup:DescribeProtectedResource," "cognito-identity:GetIdentityPoolRoles," "cognito-identity:ListIdentityPools," "cognito-identity:ListTagsForResource," "cognito-idp:DescribeIdentityProvider," "cognito-idp:DescribeResourceServer," "cognito-idp:DescribeUserPool," "cognito-idp:DescribeUserPoolClient," "cognito-idp:DescribeUserPoolDomain," "cognito-idp:GetGroup," "cognito-idp:GetUserPoolMfaConfig," "cognito-idp:ListGroups," "cognito-idp:ListIdentityProviders," "cognito-idp:ListResourceServers," "cognito-idp:ListUserPoolClients," "cognito-idp:ListUserPools," "cognito-idp:ListTagsForResource," "connect:DescribeEvaluationForm," "connect:DescribeInstanceStorageConfig," "connect:DescribePrompt," "connect:DescribeRule," "connect:DescribeUser," "connect:GetTaskTemplate," "connect:ListApprovedOrigins," "connect:ListEvaluationForms," "connect:ListInstanceStorageConfigs," "connect:ListIntegrationAssociations," "connect:ListPrompts," "connect:ListRules," "connect:ListSecurityKeys," "connect:ListTagsForResource," "connect:ListTaskTemplates," "connect:ListUsers," "emr-containers:DescribeVirtualCluster," "emr-containers:ListVirtualClusters," "emr-serverless:GetApplication," "emr-serverless:ListApplications," "groundstation:GetDataflowEndpointGroup," "groundstation:ListDataflowEndpointGroups," "m2:GetEnvironment," "m2:ListEnvironments," "m2:ListTagsForResource," "memorydb:DescribeAcls," "memorydb:DescribeClusters," "memorydb:DescribeParameterGroups," "memorydb:DescribeParameters," "memorydb:DescribeSubnetGroups," "organizations:ListRoots," "quicksight:DescribeAccountSubscription," "quicksight:DescribeDataSetRefreshProperties," "rds:DescribeEngineDefaultClusterParameters," "redshift:DescribeEndpointAccess," "redshift:DescribeEndpointAuthorization," "route53:GetChange," "route53:ListCidrBlocks," "route53:ListCidrLocations," "serviceCatalog:DescribePortfolioShares," "transfer:DescribeProfile," and "transfer:ListProfiles" 추가 | 이제이 정책은 Amazon Cognito, Amazon Connect, Amazon EMR, AWS Ground Station, AWS Mainframe Modernization, Amazon MemoryDB, AWS Organizations, Amazon Quick, Amazon Relational Database Service(RDS), Amazon Redshift, Amazon Route 53 AWS Service Catalog및에 대한 추가 권한을 지원합니다 AWS Transfer Family. | 2023년 11월 17일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – "Sid": "AWSConfigServiceRolePolicyStatementID," "Sid": "AWSConfigSLRLogStatementID," "Sid": "AWSConfigSLRLogEventStatementID," and "Sid": "AWSConfigSLRApiGatewayStatementID" 추가 | 이 정책은 이제 `AWSConfigServiceRolePolicyStatementID`, `AWSConfigSLRLogStatementID`, `AWSConfigSLRLogEventStatementID`, `AWSConfigSLRApiGatewayStatementID`에 대한 보안 식별자(SID)를 추가합니다. | 2023년 11월 17일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – "backup:DescribeProtectedResource," "cognito-identity:GetIdentityPoolRoles," "cognito-identity:ListIdentityPools," "cognito-identity:ListTagsForResource," "cognito-idp:DescribeIdentityProvider," "cognito-idp:DescribeResourceServer," "cognito-idp:DescribeUserPool," "cognito-idp:DescribeUserPoolClient," "cognito-idp:DescribeUserPoolDomain," "cognito-idp:GetGroup," "cognito-idp:GetUserPoolMfaConfig," "cognito-idp:ListGroups," "cognito-idp:ListIdentityProviders," "cognito-idp:ListResourceServers," "cognito-idp:ListUserPoolClients," "cognito-idp:ListUserPools," "cognito-idp:ListTagsForResource," "connect:DescribeEvaluationForm," "connect:DescribeInstanceStorageConfig," "connect:DescribePrompt," "connect:DescribeRule," "connect:DescribeUser," "connect:GetTaskTemplate," "connect:ListApprovedOrigins," "connect:ListEvaluationForms," "connect:ListInstanceStorageConfigs," "connect:ListIntegrationAssociations," "connect:ListPrompts," "connect:ListRules," "connect:ListSecurityKeys," "connect:ListTagsForResource," "connect:ListTaskTemplates," "connect:ListUsers," "emr-containers:DescribeVirtualCluster," "emr-containers:ListVirtualClusters," "emr-serverless:GetApplication," "emr-serverless:ListApplications," "groundstation:GetDataflowEndpointGroup," "groundstation:ListDataflowEndpointGroups," "m2:GetEnvironment," "m2:ListEnvironments," "m2:ListTagsForResource," "memorydb:DescribeAcls," "memorydb:DescribeClusters," "memorydb:DescribeParameterGroups," "memorydb:DescribeParameters," "memorydb:DescribeSubnetGroups," "organizations:ListRoots," "quicksight:DescribeAccountSubscription," "quicksight:DescribeDataSetRefreshProperties," "rds:DescribeEngineDefaultClusterParameters," "redshift:DescribeEndpointAccess," "redshift:DescribeEndpointAuthorization," "route53:GetChange," "route53:ListCidrBlocks," "route53:ListCidrLocations," "serviceCatalog:DescribePortfolioShares," "transfer:DescribeProfile," and "transfer:ListProfiles" 추가 | 이제이 정책은 Amazon Cognito, Amazon Connect, Amazon EMR, AWS Ground Station, AWS Mainframe Modernization, Amazon MemoryDB, AWS Organizations, Amazon Quick, Amazon Relational Database Service(RDS), Amazon Redshift, Amazon Route 53 AWS Service Catalog및에 대한 추가 권한을 지원합니다 AWS Transfer Family. | 2023년 11월 17일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – "Sid": "AWSConfigServiceRolePolicyStatementID," "Sid": "AWSConfigSLRLogStatementID," "Sid": "AWSConfigSLRLogEventStatementID," and "Sid": "AWSConfigSLRApiGatewayStatementID" 추가 | 이 정책은 이제 `AWSConfigServiceRolePolicyStatementID`, `AWSConfigSLRLogStatementID`, `AWSConfigSLRLogEventStatementID`, `AWSConfigSLRApiGatewayStatementID`에 대한 보안 식별자(SID)를 추가합니다. | 2023년 11월 17일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – "acm-pca:GetCertificateAuthorityCertificate," "appmesh:DescribeMesh," "appmesh:ListGatewayRoutes," "connect:DescribeInstance," "connect:DescribeQuickConnect," "connect:ListQuickConnects," "ecs:DescribeCapacityProviders," "evidently:GetSegment," "evidently:ListSegments," "grafana:DescribeWorkspace," "grafana:DescribeWorkspaceAuthentication," "grafana:DescribeWorkspaceConfiguration," "grafana:DescribeWorkspaceConfiguration," "guardduty:GetMemberDetectors," "inspector2:BatchGetAccountStatus," "inspector2:GetDelegatedAdminAccount," "inspector2:ListMembers," "iot:DescribeCACertificate," "iot:ListCACertificates," "iot:ListTagsForResource," "iottwinmaker:GetSyncJob," "iottwinmaker:ListSyncJobs," "kafka:ListTagsForResource," "kafkaconnect:DescribeConnector," "kafkaconnect:ListConnectors," "lambda:GetCodeSigningConfig," "lambda:ListCodeSigningConfigs," "lambda:ListTags," "networkmanager:GetConnectPeer," "organizations:DescribeOrganization," "organizations:ListTargetsForPolicy," "sagemaker:DescribeDataQualityJob," "sagemaker:DescribeModelExplainabilityJob," "sagemaker:ListDataQualityJob," and "sagemaker:ExplainabilityJob" 추가 | 이제이 정책은 AWS Private CA, AWS App Mesh Amazon Connect, Amazon Elastic Container Service(Amazon ECS), Amazon CloudWatch Evidently, Amazon Managed Grafana, Amazon GuardDuty, Amazon Inspector, AWS IoT AWS IoT TwinMaker, Amazon Managed Streaming for Apache Kafka(Amazon MSK), AWS Lambda AWS Network Manager AWS Organizations, 및 Amazon SageMaker AI에 대한 추가 권한을 지원합니다. | 2023년 10월 4일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – "acm-pca:GetCertificateAuthorityCertificate," "appmesh:DescribeMesh," "appmesh:ListGatewayRoutes," "connect:DescribeInstance," "connect:DescribeQuickConnect," "connect:ListQuickConnects," "ecs:DescribeCapacityProviders," "evidently:GetSegment," "evidently:ListSegments," "grafana:DescribeWorkspace," "grafana:DescribeWorkspaceAuthentication," "grafana:DescribeWorkspaceConfiguration," "grafana:DescribeWorkspaceConfiguration," "guardduty:GetMemberDetectors," "inspector2:BatchGetAccountStatus," "inspector2:GetDelegatedAdminAccount," "inspector2:ListMembers," "iot:DescribeCACertificate," "iot:ListCACertificates," "iot:ListTagsForResource," "iottwinmaker:GetSyncJob," "iottwinmaker:ListSyncJobs," "kafka:ListTagsForResource," "kafkaconnect:DescribeConnector," "kafkaconnect:ListConnectors," "lambda:GetCodeSigningConfig," "lambda:ListCodeSigningConfigs," "lambda:ListTags," "networkmanager:GetConnectPeer," "organizations:DescribeOrganization," "organizations:ListTargetsForPolicy," "sagemaker:DescribeDataQualityJob," "sagemaker:DescribeModelExplainabilityJob," "sagemaker:ListDataQualityJob," and "sagemaker:ExplainabilityJob" 추가 | 이제이 정책은 AWS Private CA, AWS App Mesh Amazon Connect, Amazon Elastic Container Service(Amazon ECS), Amazon CloudWatch Evidently, Amazon Managed Grafana, Amazon GuardDuty, Amazon Inspector, AWS IoT AWS IoT TwinMaker, Amazon Managed Streaming for Apache Kafka(Amazon MSK), AWS Lambda AWS Network Manager AWS Organizations, 및 Amazon SageMaker AI에 대한 추가 권한을 지원합니다. | 2023년 10월 4일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – "ssm:GetParameter" 제거 | 이제이 정책은 AWS Systems Manager (Systems Manager)에 대한 권한을 제거합니다. | 2023년 9월 6일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – "appmesh:DescribeGatewayRoute","appstream:DescribeStacks", "aps:ListTagsForResource", "cloudfront:GetFunction", "cloudfront:GetOriginAccessControl", "cloudfront:ListFunctions", "cloudfront:ListOriginAccessControls", "codeartifact:ListPackages", "codeartifact:ListPackageVersions", "codebuild:BatchGetReportGroups", "codebuild:ListReportGroups", "connect:ListInstanceAttributes", "connect:ListInstances", "glue:GetPartition", "glue:GetPartitions", "guardduty:GetAdministratorAccount", "iam:ListInstanceProfileTags", "inspector2:ListFilters", "iot:DescribeJobTemplate", "iot:DescribeProvisioningTemplate", "iot:ListJobTemplates", "iot:ListProvisioningTemplates", "iottwinmaker:GetComponentType", "iottwinmaker:ListComponentTypes", "iotwireless:GetFuotaTask", "iotwireless:GetMulticastGroup", "iotwireless:ListFuotaTasks", "iotwireless:ListMulticastGroups", "kafka:ListScramSecrets", "macie2:ListTagsForResource", "mediaconnect:ListTagsForResource", "networkmanager:GetConnectPeer", "networkmanager:ListConnectPeers", "organizations:DescribeEffectivePolicy", "organizations:DescribeResourcePolicy", "resource-explorer-2:GetIndex", "resource-explorer-2:ListIndexes", "resource-explorer-2:ListTagsForResource", "route53:ListCidrCollections", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", and "sns:GetDataProtectionPolicy" 추가 | 이제이 정책은 AWS App Mesh, Amazon AWS CloudFormation Amazon CloudFront AWS CodeArtifact, AWS CodeBuild, Amazon Connect, AWS Glue, Amazon GuardDuty, AWS Identity and Access Management (IAM), Amazon Inspector, AWS IoT, AWS IoT TwinMaker, AWS IoT 무선, Amazon Managed Streaming for Apache Kafka, Amazon Macie, AWS Elemental MediaConnect, AWS Network Manager, AWS Organizations AWS Resource Explorer, Amazon Route 53, Amazon Simple Storage Service(Amazon S3), Amazon Simple Notification Service(Amazon SNS)에 대한 추가 권한을 지원합니다. | 2023년 7월 28일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – "appmesh:DescribeGatewayRoute", "appstream:DescribeStacks", "aps:ListTagsForResource", "cloudfront:GetFunction", "cloudfront:GetOriginAccessControl", "cloudfront:ListFunctions", "cloudfront:ListOriginAccessControls", "codeartifact:ListPackages", "codeartifact:ListPackageVersions", "codebuild:BatchGetReportGroups", "codebuild:ListReportGroups", "connect:ListInstanceAttributes", "connect:ListInstances", "glue:GetPartition", "glue:GetPartitions", "guardduty:GetAdministratorAccount", "iam:ListInstanceProfileTags", "inspector2:ListFilters", "iot:DescribeJobTemplate", "iot:DescribeProvisioningTemplate", "iot:ListJobTemplates", "iot:ListProvisioningTemplates", "iottwinmaker:GetComponentType", "iottwinmaker:ListComponentTypes", "iotwireless:GetFuotaTask", "iotwireless:GetMulticastGroup", "iotwireless:ListFuotaTasks", "iotwireless:ListMulticastGroups", "kafka:ListScramSecrets", "macie2:ListTagsForResource", "mediaconnect:ListTagsForResource", "networkmanager:GetConnectPeer", "networkmanager:ListConnectPeers", "organizations:DescribeEffectivePolicy", "organizations:DescribeResourcePolicy", "resource-explorer-2:GetIndex", "resource-explorer-2:ListIndexes", "resource-explorer-2:ListTagsForResource", "route53:ListCidrCollections", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "sns:GetDataProtectionPolicy", "ssm:DescribeParameters", "ssm:GetParameter", and "ssm:ListTagsForResource" 추가 | 이제이 정책은 Amazon WorkSpaces Applications AWS App Mesh, AWS CloudFormation, Amazon CloudFront,, AWS CodeArtifact AWS CodeBuild, Amazon Connect, AWS Glue, Amazon GuardDuty, AWS Identity and Access Management (IAM), Amazon Inspector, AWS IoT, AWS IoT TwinMaker AWS IoT 무선, Amazon Managed Streaming for Apache Kafka, Amazon Macie, AWS Elemental MediaConnect, AWS Network Manager AWS Organizations,, AWS Resource Explorer Amazon Route 53, Amazon Simple Storage Service(Amazon S3), Amazon Simple Notification Service(Amazon SNS) 및 Amazon EC2 Systems Manager(SSM)에 대한 추가 권한을 지원합니다. | 2023년 7월 28일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – "amplify:GetBranch", "amplify:ListBranches", "app-integrations:GetEventIntegration", "app-integrations:ListEventIntegrationAssociations", "app-integrations:ListEventIntegrations", "appmesh:DescribeRoute", "appmesh:ListRoutes", "aps:ListRuleGroupsNamespaces", "athena:GetPreparedStatement", "athena:ListPreparedStatements", "batch:DescribeSchedulingPolicies", "batch:ListSchedulingPolicies", "cloudformation:ListTypes", "cloudtrail:ListTrails", "codeartifact:ListDomains", "codeguru-profiler:DescribeProfilingGroup", "codeguru-profiler:GetNotificationConfiguration", "codeguru-profiler:GetPolicy", "codeguru-profiler:ListProfilingGroups", "ds:DescribeDomainControllers", “dynamodb:DescribeTableReplicaAutoScaling" "dynamodb:DescribeTimeToLive", "ec2:DescribeTrafficMirrorFilters", "evidently:GetLaunch", "evidently:ListLaunches", "forecast:DescribeDatasetGroup", "forecast:ListDatasetGroups", "greengrass:DescribeComponent", "greengrass:GetComponent", "greengrass:ListComponents", "greengrass:ListComponentVersions", "groundstation:GetMissionProfile", "groundstation:ListMissionProfiles", "iam:ListGroups", "iam:ListRoles", "kafka:DescribeConfiguration", "kafka:DescribeConfigurationRevision", "kafka:ListConfigurations", "lightsail:GetRelationalDatabases" "logs:ListTagsLogGroup", "mediaconnect:DescribeFlow", "mediaconnect:ListFlows", "mediatailor:GetPlaybackConfiguration", "mediatailor:ListPlaybackConfigurations", "mobiletargeting:GetApplicationSettings", "mobiletargeting:GetEmailTemplate", "mobiletargeting:GetEventStream", "mobiletargeting:ListTemplates", "networkmanager:GetCustomerGatewayAssociations", "networkmanager:GetLinkAssociations", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "organizations:ListTagsForResource", "personalize:DescribeDataset", "personalize:DescribeDatasetGroup", "personalize:DescribeSchema", "personalize:DescribeSolution", "personalize:ListDatasetGroups", "personalize:ListDatasetImportJobs", "personalize:ListDatasets", "personalize:ListSchemas", "personalize:ListSolutions", "personalize:ListTagsForResource", "quicksight:ListTemplates", "refactor-spaces:GetEnvironment", "refactor-spaces:GetService", "refactor-spaces:ListApplications", "refactor-spaces:ListEnvironments", "refactor-spaces:ListServices", "s3:GetAccessPointPolicyStatusForObjectLambda", "sagemaker:DescribeDeviceFleet", "sagemaker:DescribeFeatureGroup", "sagemaker:ListDeviceFleets", "sagemaker:ListFeatureGroups", "sagemaker:ListModels", and "transfer:ListTagsForResource" 추가 | 이 정책은 이제에 대한 추가 권한을 지원합니다 AWS Amplify. Amazon Connect AWS App Mesh, Amazon Managed Service for Prometheus, Amazon Athena, AWS Batch, AWS CloudFormation, AWS CloudTrail, AWS CodeArtifact, Amazon CodeGuru AWS Directory Service, Amazon DynamoDB, Amazon Elastic Compute Cloud(Amazon EC2), Amazon CloudWatch Evidently, AWS Organizations, Amazon Forecast, AWS IoT Greengrass, AWS Ground Station, AWS Identity and Access Management (IAM), Amazon Managed Streaming for Apache Kafka(Amazon MSK), Amazon Lightsail, Amazon CloudWatch Logs, AWS Elemental MediaConnect, AWS Elemental MediaTailor, Amazon Pinpoint, Amazon Virtual Private Cloud(Amazon VPC), Personalize, Amazon Quick, AWS Migration Hub Refactor Spaces, Amazon Simple Storage Service(Amazon S3), Amazon SageMaker AI, AWS Transfer Family. | 2023년 6월 13일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – "amplify:GetBranch", "amplify:ListBranches", "app-integrations:GetEventIntegration", "app-integrations:ListEventIntegrationAssociations", "app-integrations:ListEventIntegrations", "appmesh:DescribeRoute", "appmesh:ListRoutes", "aps:ListRuleGroupsNamespaces", "athena:GetPreparedStatement", "athena:ListPreparedStatements", "batch:DescribeSchedulingPolicies", "batch:ListSchedulingPolicies", "cloudformation:ListTypes", "cloudtrail:ListTrails", "codeartifact:ListDomains", "codeguru-profiler:DescribeProfilingGroup", "codeguru-profiler:GetNotificationConfiguration", "codeguru-profiler:GetPolicy", "codeguru-profiler:ListProfilingGroups", "ds:DescribeDomainControllers", "dynamodb:DescribeTableReplicaAutoScaling", "dynamodb:DescribeTimeToLive", "ec2:DescribeTrafficMirrorFilters", "evidently:GetLaunch", "evidently:ListLaunches", "forecast:DescribeDatasetGroup", "forecast:ListDatasetGroups", "greengrass:DescribeComponent", "greengrass:GetComponent", "greengrass:ListComponents", "greengrass:ListComponentVersions", "groundstation:GetMissionProfile", "groundstation:ListMissionProfiles", "iam:ListGroups", "iam:ListRoles", "kafka:DescribeConfiguration", "kafka:DescribeConfigurationRevision", "kafka:ListConfigurations", "lightsail:GetRelationalDatabases", "logs:ListTagsLogGroup", "mediaconnect:DescribeFlow", "mediaconnect:ListFlows", "mediatailor:GetPlaybackConfiguration", "mediatailor:ListPlaybackConfigurations", "mobiletargeting:GetApplicationSettings", "mobiletargeting:GetEmailTemplate", "mobiletargeting:GetEventStream", "mobiletargeting:ListTemplates", "networkmanager:GetCustomerGatewayAssociations", "networkmanager:GetLinkAssociations", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "organizations:ListTagsForResource", "personalize:DescribeDataset", "personalize:DescribeDatasetGroup", "personalize:DescribeSchema", "personalize:DescribeSolution", "personalize:ListDatasetGroups", "personalize:ListDatasetImportJobs", "personalize:ListDatasets", "personalize:ListSchemas", "personalize:ListSolutions", "personalize:ListTagsForResource", "quicksight:ListTemplates", "refactor-spaces:GetEnvironment", "refactor-spaces:GetService", "refactor-spaces:ListApplications", "refactor-spaces:ListEnvironments", "refactor-spaces:ListServices", "s3:GetAccessPointPolicyStatusForObjectLambda", "sagemaker:DescribeDeviceFleet", "sagemaker:DescribeFeatureGroup", "sagemaker:ListDeviceFleets", "sagemaker:ListFeatureGroups", "sagemaker:ListModels", and "transfer:ListTagsForResource" 추가 | 이 정책은 이제에 대한 추가 권한을 지원합니다 AWS Amplify. Amazon Connect AWS App Mesh, Amazon Managed Service for Prometheus, Amazon Athena, AWS Batch, AWS CloudFormation, AWS CloudTrail, AWS CodeArtifact, Amazon CodeGuru AWS Directory Service, Amazon DynamoDB, Amazon Elastic Compute Cloud(Amazon EC2), Amazon CloudWatch Evidently, AWS Organizations,Amazon Forecast, AWS IoT Greengrass, AWS Ground Station, AWS Identity and Access Management (IAM), Amazon Managed Streaming for Apache Kafka(Amazon MSK), Amazon Lightsail, Amazon CloudWatch Logs, AWS Elemental MediaConnect, AWS Elemental MediaTailor, Amazon Pinpoint, Amazon Virtual Private Cloud(Amazon VPC), Personalize, Amazon Quick, AWS Migration Hub Refactor Spaces, Amazon Simple Storage Service(Amazon S3), Amazon SageMaker AI, AWS Transfer Family. | 2023년 6월 13일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – amplify:GetApp, amplify:ListApps, appmesh:DescribeVirtualGateway, appmesh:DescribeVirtualNode, appmesh:DescribeVirtualRouter, appmesh:DescribeVirtualService, appmesh:ListMeshes, appmesh:ListTagsForResource, appmesh:ListVirtualGateways, appmesh:ListVirtualNodes, appmesh:ListVirtualRouters, appmesh:ListVirtualServices, apprunner:DescribeVpcConnector, apprunner:ListVpcConnectors, cloudformation:ListTypes, cloudfront:ListResponseHeadersPolicies, codeartifact:ListRepositories, ds:DescribeEventTopics, ds:ListLogSubscriptions, GetInstanceTypesFromInstanceRequirement ec2:GetManagedPrefixListEntries, kendra:DescribeIndex, kendra:ListIndices, kendra:ListTagsForResource, logs:DescribeDestinations, logs:GetDataProtectionPolicy, macie2:DescribeOrganizationConfiguration, macie2:GetAutomatedDiscoveryConfiguration, macie2:GetClassificationExportConfiguration, macie2:GetCustomDataIdentifier, macie2:GetFindingsPublicationConfiguration, macie2:ListCustomDataIdentifiers, mobiletargeting:GetEmailChannel, refactor-spaces:GetEnvironment, refactor-spaces:ListEnvironments, resiliencehub:ListTagsForResource, route53:GetDNSSEC, sagemaker:DescribeDomain, sagemaker:DescribeModelBiasJobDefinition, sagemaker:DescribeModelQualityJobDefinition, sagemaker:DescribePipeline, sagemaker:DescribeProject, sagemaker:ListDomains, sagemaker:ListModelBiasJobDefinitions, sagemaker:ListModelQualityJobDefinitions, sagemaker:ListPipelines, sagemaker:ListProjects, transfer:DescribeAgreement, transfer:DescribeCertificate, transfer:ListAgreements, transfer:ListCertificates, and waf-regional:ListLoggingConfigurations 추가 | 이제이 정책은 Amazon Managed Workflows for AWS Amplify, AWS App Mesh AWS App Runner,,, Amazon CloudFront, AWS CodeArtifact, Amazon Elastic Compute Cloud, Amazon Kendra, Amazon Macie, Amazon Route 53, Amazon SageMaker AI, AWS Transfer Family, Amazon Pinpoint, AWS Migration Hub, AWS Resilience Hub, Amazon CloudWatch, AWS Directory Service 및에 대한 추가 권한을 지원합니다 AWS WAF. | 2023년 4월 13일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – amplify:GetApp, amplify:ListApps, appmesh:DescribeVirtualGateway, appmesh:DescribeVirtualNode, appmesh:DescribeVirtualRouter, appmesh:DescribeVirtualService, appmesh:ListMeshes, appmesh:ListTagsForResource, appmesh:ListVirtualGateways, appmesh:ListVirtualNodes, appmesh:ListVirtualRouters, appmesh:ListVirtualServices, apprunner:DescribeVpcConnector, apprunner:ListVpcConnectors, cloudformation:ListTypes, cloudfront:ListResponseHeadersPolicies, codeartifact:ListRepositories, ds:DescribeEventTopics, ds:ListLogSubscriptions, ec2:GetInstanceTypesFromInstanceRequirement, ec2:GetManagedPrefixListEntries, kendra:DescribeIndex, kendra:ListIndices, kendra:ListTagsForResource, logs:DescribeDestinations, logs:GetDataProtectionPolicy, macie2:DescribeOrganizationConfiguration, macie2:GetAutomatedDiscoveryConfiguration, macie2:GetClassificationExportConfiguration, macie2:GetCustomDataIdentifier, macie2:GetFindingsPublicationConfiguration, macie2:ListCustomDataIdentifiers, mobiletargeting:GetEmailChannel, refactor-spaces:GetEnvironment, refactor-spaces:ListEnvironments, resiliencehub:ListTagsForResource, route53:GetDNSSEC, sagemaker:DescribeDomain, sagemaker:DescribeModelBiasJobDefinition, sagemaker:DescribeModelQualityJobDefinition, sagemaker:DescribePipeline, sagemaker:DescribeProject, sagemaker:ListDomains, sagemaker:ListModelBiasJobDefinitions, sagemaker:ListModelQualityJobDefinitions, sagemaker:ListPipelines, sagemaker:ListProjects, transfer:DescribeAgreement, transfer:DescribeCertificate, transfer:ListAgreements, transfer:ListCertificates, and waf-regional:ListLoggingConfigurations 추가 | 이제이 정책은 Amazon Managed Workflows for AWS Amplify, AWS App Mesh AWS App Runner,,, Amazon CloudFront, AWS CodeArtifact, Amazon Elastic Compute Cloud, Amazon Kendra, Amazon Macie, Amazon Route 53, Amazon SageMaker AI, AWS Transfer Family, Amazon Pinpoint, AWS Migration Hub, AWS Resilience Hub, Amazon CloudWatch, AWS Directory Service 및에 대한 추가 권한을 지원합니다 AWS WAF. | 2023년 4월 13일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – appflow:DescribeFlow, appflow:ListFlows, appflow:ListTagsForResource, apprunner:DescribeService, apprunner:ListServices, apprunner:ListTagsForResource, appstream:DescribeApplications, appstream:DescribeFleets, cloudfront:GetResponseHeadersPolicy, cloudwatch:ListTagsForResource, codeartifact:DescribeRepository, codeartifact:GetRepositoryPermissionsPolicy, codeartifact:ListTagsForResource, codecommit:GetRepository, codecommit:GetRepositoryTriggers, codecommit:ListRepositories, codecommit:ListTagsForResource, devicefarm:GetInstanceProfile, devicefarm:ListInstanceProfiles, devicefarm:ListProjects, evidently:GetProject, evidently:ListProjects, evidently:ListTagsForResource, forecast:DescribeDataset, forecast:ListDatasets, forecast:ListTagsForResource, groundstation:GetConfig, groundstation:ListConfigs, groundstation:ListTagsForResource, iam:GetInstanceProfile, iam:GetSAMLProvider, iam:GetServerCertificate, iam:ListAccessKeys, iam:ListGroups, iam:ListInstanceProfiles, iam:ListMFADevices, iam:ListMFADeviceTags, iam:ListRoles, iam:ListSAMLProviders, iot:DescribeFleetMetric, iot:ListFleetMetrics, memorydb:DescribeUsers, memorydb:ListTags, mobiletargeting:GetApp, mobiletargeting:GetCampaigns, networkmanager:GetDevices, networkmanager:GetLinks, networkmanager:GetSites, panorama:ListNodes, rds:DescribeDBProxyEndpoints, redshift:DescribeScheduledActions, sagemaker:DescribeAppImageConfig, sagemaker:DescribeImage, sagemaker:DescribeImageVersion, sagemaker:ListAppImageConfigs, sagemaker:ListImages, and sagemaker:ListImageVersions 추가 | 이제이 정책은 Amazon Managed Workflows for Amazon AppFlow, AWS App Runner,, Amazon WorkSpaces Applications, Amazon CloudFront, Amazon CloudWatch, AWS CodeArtifact, AWS CodeCommit, AWS Device Farm, Amazon CloudWatch Evidently, Amazon Forecast, AWS Ground Station, AWS Identity and Access Management (IAM), AWS IoT, Amazon MemoryDB, Amazon Pinpoint, AWS Network Manager, AWS Panorama, Amazon Relational Database Service(RDS), Amazon Redshift 및 Amazon SageMaker AI에 대한 추가 권한을 지원합니다. | 2023년 3월 30일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – appflow:DescribeFlow, appflow:ListFlows, appflow:ListTagsForResource, apprunner:DescribeService, apprunner:ListServices, apprunner:ListTagsForResource, appstream:DescribeApplications, appstream:DescribeFleets, cloudformation:ListTypes, cloudfront:GetResponseHeadersPolicy, cloudfront:ListDistributions, cloudwatch:ListTagsForResource, codeartifact:DescribeRepository, codeartifact:GetRepositoryPermissionsPolicy, codeartifact:ListTagsForResource, codecommit:GetRepository, codecommit:GetRepositoryTriggers, codecommit:ListRepositories, codecommit:ListTagsForResource, devicefarm:GetInstanceProfile, devicefarm:ListInstanceProfiles, devicefarm:ListProjects, ec2:DescribeTrafficMirrorFilters, evidently:GetProject, evidently:ListProjects, evidently:ListTagsForResource, forecast:DescribeDataset, forecast:ListDatasets, forecast:ListTagsForResource, groundstation:GetConfig, groundstation:ListConfigs, groundstation:ListTagsForResource, iam:GetInstanceProfile, iam:GetSAMLProvider, iam:GetServerCertificate, iam:ListAccessKeys, iam:ListGroups, iam:ListInstanceProfiles, iam:ListMFADevices, iam:ListMFADeviceTags, iam:ListRoles, iam:ListSAMLProviders, iot:DescribeFleetMetric, iot:ListFleetMetrics, memorydb:DescribeUsers, memorydb:ListTags, mobiletargeting:GetApp, mobiletargeting:GetCampaigns, networkmanager:GetDevices, networkmanager:GetLinks, networkmanager:GetSites, panorama:ListNodes, rds:DescribeDBProxyEndpoints, redshift:DescribeScheduledActions, sagemaker:DescribeAppImageConfig, sagemaker:DescribeImage, sagemaker:DescribeImageVersion, sagemaker:ListAppImageConfigs, sagemaker:ListImages, and sagemaker:ListImageVersions 추가 | 이제이 정책은 Amazon Managed Workflows for Amazon AppFlow, AWS App Runner, Amazon WorkSpaces Applications, AWS CloudFormation, Amazon CloudFront, Amazon CloudWatch, AWS CodeArtifact AWS CodeCommit, AWS Device Farm,, Amazon Elastic Compute Cloud(Amazon EC2), Amazon CloudWatch Evidently, Amazon Forecast AWS Ground Station, AWS Identity and Access Management (IAM), AWS IoT, Amazon MemoryDB, Amazon Pinpoint, AWS Network Manager AWS Panorama, Amazon Relational Database Service(Amazon RDS), Amazon Redshift 및 Amazon SageMaker AI에 대한 추가 권한을 지원합니다. | 2023년 3월 30일 |
| [AWSConfigRulesExecutionRole](#security-iam-awsmanpol-AWSConfigRulesExecutionRole) -이 AWS 관리형 정책에 대한 변경 사항 추적 AWS Config 시작 | 이 정책은 AWS Lambda 함수가 AWS Config API 및가 Amazon S3에 주기적으로 AWS Config 전달하는 구성 스냅샷에 액세스할 수 있도록 허용합니다. 이 액세스는 AWS 사용자 지정 Lambda 규칙에 대한 구성 변경을 평가하는 함수에 필요합니다. | 2023년 3월 7일 |
| [AWSConfigRoleForOrganizations](#security-iam-awsmanpol-AWSConfigRoleForOrganizations) -이 AWS 관리형 정책에 대한 변경 사항 추적을 AWS Config 시작합니다. | 이 정책은가 읽기 전용 AWS Organizations APIs 호출 AWS Config 하도록 허용합니다. | 2023년 3월 7일 |
| [AWSConfigRemediationServiceRolePolicy](#security-iam-awsmanpol-AWSConfigRemediationServiceRolePolicy) -이 AWS 관리형 정책에 대한 변경 사항 추적을 AWS Config 시작합니다. | 이 정책은 AWS Config 가 사용자를 대신하여 `NON_COMPLIANT` 리소스를 수정할 수 있도록 허용합니다. | 2023년 3월 7일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – auditmanager:GetAccountStatus 추가 | 이 정책은 이제 AWS Audit Manager내 계정의 등록 상태를 반환할 수 있는 권한을 부여합니다. | 2023년 3월 3일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – auditmanager:GetAccountStatus 추가 | 이 정책은 이제 AWS Audit Manager내 계정의 등록 상태를 반환할 수 있는 권한을 부여합니다. | 2023년 3월 3일 |
| [AWSConfigMultiAccountSetupPolicy](#security-iam-awsmanpol-AWSConfigMultiAccountSetupPolicy) -이 AWS 관리형 정책에 대한 변경 사항 추적을 AWS Config 시작합니다. | 이 정책은 AWS Config 가 AWS 서비스를 호출하고를 사용하여 조직 전체에 리소스를 배포할 AWS Config 수 있도록 허용합니다 AWS Organizations. | 2023년 2월 27일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries 추가 | 이제이 정책은 Amazon Managed Workflows for Apache Airflow, AWS IoT, Amazon WorkSpaces Applications, Amazon CodeGuru Reviewer, AWS HealthLake, Amazon Kinesis Video Streams, Amazon Application Recovery Controller(ARC), AWS Device Farm Amazon Elastic Compute Cloud(Amazon EC2), Amazon Pinpoint, AWS Identity and Access Management (IAM), Amazon GuardDuty 및 Amazon CloudWatch Logs에 대한 추가 권한을 지원합니다. | 2023년 2월 1일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries 추가 | 이제이 정책은 Amazon Managed Workflows for Apache Airflow, AWS IoT, Amazon WorkSpaces Applications, Amazon CodeGuru Reviewer, AWS HealthLake, Amazon Kinesis Video Streams, Amazon Application Recovery Controller(ARC), AWS Device Farm Amazon Elastic Compute Cloud(Amazon EC2), Amazon Pinpoint, AWS Identity and Access Management (IAM), Amazon GuardDuty 및 Amazon CloudWatch Logs에 대한 추가 권한을 지원합니다. | 2023년 2월 1일 |
| [ConfigConformsServiceRolePolicy](#security-iam-awsmanpol-ConfigConformsServiceRolePolicy) – config:DescribeConfigRules 업데이트 | 보안 모범 사례로서 이 정책은 이제 `config:DescribeConfigRules`에 대한 광범위한 리소스 수준 권한을 제거합니다. | 2023년 1월 12일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, AWS Transfer Family devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource 추가 | 이제이 정책은 Amazon Managed Service for Prometheus, AWS Audit Manager, AWS Device Farm, AWS Database Migration Service (AWS DMS), AWS Directory Service Amazon Elastic Compute Cloud(Amazon EC2), AWS Glue, AWS IoT, Amazon Lightsail, AWS Elemental MediaPackage, AWS Network Manager, Amazon Quick, AWS Resource Access Manager, Amazon Application Recovery Controller(ARC), Amazon Simple Storage Service(Amazon S3) 및 Amazon Timestream에 대한 추가 권한을 지원합니다. | 2022년 12월 15일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource 추가 | 이제이 정책은 Amazon Managed Service for Prometheus, AWS Audit Manager, AWS Device Farm, AWS Database Migration Service (AWS DMS), AWS Directory Service Amazon Elastic Compute Cloud(Amazon EC2), AWS Glue, AWS IoT, Amazon Lightsail, AWS Elemental MediaPackage, AWS Network Manager, Amazon Quick, AWS Resource Access Manager, Amazon Application Recovery Controller(ARC), Amazon Simple Storage Service(Amazon S3) 및 Amazon Timestream에 대한 추가 권한을 지원합니다. | 2022년 12월 15일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – cloudformation:ListStackResources and cloudformation:ListStacks 추가 | 이제이 정책은 지정된 AWS CloudFormation 스택의 모든 리소스에 대한 설명을 반환하고 상태가 지정된와 일치하는 스택에 대한 요약 정보를 반환할 수 있는 권한을 부여합니다StackStatusFilter. | 2022년 11월 7일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – cloudformation:ListStackResources and cloudformation:ListStacks 추가 | 이제이 정책은 지정된 AWS CloudFormation 스택의 모든 리소스에 대한 설명을 반환하고 상태가 지정된와 일치하는 스택에 대한 요약 정보를 반환할 수 있는 권한을 부여합니다StackStatusFilter. | 2022년 11월 7일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups 추가 | 이 정책은 이제에 대한 추가 권한을 지원합니다 AWS Certificate Manager. Amazon Managed Workflows for Apache Airflow, AWS Amplify, AWS AppConfig, Amazon Keyspaces, Amazon CloudWatch, Amazon Connect AWS Glue DataBrew, Amazon Elastic Compute Cloud(Amazon EC2), Amazon Elastic Kubernetes Service(Amazon EKS), Amazon EventBridge, AWS Fault Injection Service, Amazon Fraud Detector, Amazon FSx, Amazon GameLift 서버, Amazon Location Service AWS IoT, Amazon Lex, Amazon Lightsail, Amazon Pinpoint, OpsWorks, AWS Panorama, AWS Resource Access Manager, Amazon Quick, Amazon Relational Database Service(RDS), Amazon Rekognition, AWS RoboMaker, AWS Resource Groups, Amazon Route 53, Amazon Simple Storage Service(Amazon S3), AWS Cloud Map, 및 AWS Security Token Service. | 2022년 10월 19일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups 추가 | 이 정책은 이제에 대한 추가 권한을 지원합니다 AWS Certificate Manager. Amazon Managed Workflows for Apache Airflow, AWS Amplify, AWS AppConfig, Amazon Keyspaces, Amazon CloudWatch, Amazon Connect AWS Glue DataBrew, Amazon Elastic Compute Cloud(Amazon EC2), Amazon Elastic Kubernetes Service(Amazon EKS), Amazon EventBridge, AWS Fault Injection Service, Amazon Fraud Detector, Amazon FSx, Amazon GameLift 서버, Amazon Location Service AWS IoT, Amazon Lex, Amazon Lightsail, Amazon Pinpoint, OpsWorks, AWS Panorama, AWS Resource Access Manager, Amazon Quick, Amazon Relational Database Service(RDS), Amazon Rekognition, AWS RoboMaker, AWS Resource Groups, Amazon Route 53, Amazon Simple Storage Service(Amazon S3), AWS Cloud Map, 및 AWS Security Token Service. | 2022년 10월 19일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Glue::GetTable 추가 | 이제이 정책은 지정된 AWS Glue 테이블에 대해 데이터 카탈로그에서 테이블 정의를 검색할 수 있는 권한을 부여합니다. | 2022년 9월 14일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Glue::GetTable 추가 | 이제이 정책은 지정된 AWS Glue 테이블에 대해 데이터 카탈로그에서 테이블 정의를 검색할 수 있는 권한을 부여합니다. | 2022년 9월 14일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorFilters, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource 추가 | 이 정책은 이제 Amazon AppFlow에 대한 추가 권한을 지원합니다. Amazon CloudWatch, Amazon CloudWatch RUM Amazon CloudWatch Synthetics, Amazon Connect Customer Profiles, Amazon Connect Voice ID, Amazon DevOps Guru, Amazon Elastic Compute Cloud(Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR, Amazon EventBridge, Amazon EventBridge 스키마, Amazon FinSpace, Amazon Fraud Detector, Amazon GameLift 서버, Amazon Interactive Video Service(Amazon IVS), Amazon Managed Service for Apache Flink, EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service, Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon Nimble StudioAmazon Pinpoint, Amazon Quick, Amazon Application Recovery Controller(ARC), Amazon Route 53 Resolver, Amazon Simple Storage Service(Amazon S3), Amazon SimpleDB, Amazon Simple Email Service(Amazon SES), Amazon Timestream, AWS AppConfig, AWS AppSync AWS Auto Scaling, AWS Backup,, AWS Budgets, AWS Cost Explorer, AWS Cloud9 AWS Directory Service, AWS DataSync,,, AWS Elemental MediaPackage AWS Glue, AWS IoT,, AWS IoT Analytics AWS IoT Events AWS IoT SiteWise, AWS IoT TwinMaker,, AWS Lake Formation AWS License Manager,, AWS Resilience Hub AWS Signer, 및 AWS Transfer Family. | 2022년 9월 7일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource 추가 | 이 정책은 이제 Amazon AppFlow에 대한 추가 권한을 지원합니다. Amazon CloudWatch, Amazon CloudWatch RUM Amazon CloudWatch Synthetics, Amazon Connect Customer Profiles, Amazon Connect Voice ID, Amazon DevOps Guru, Amazon Elastic Compute Cloud(Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR, Amazon EventBridge, Amazon EventBridge 스키마, Amazon FinSpace, Amazon Fraud Detector, Amazon GameLift 서버, Amazon Interactive Video Service(Amazon IVS), Amazon Managed Service for Apache Flink, EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service, Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon Nimble StudioAmazon Pinpoint, Amazon Quick, Amazon Application Recovery Controller(ARC), Amazon Route 53 Resolver, Amazon Simple Storage Service(Amazon S3), Amazon SimpleDB, Amazon Simple Email Service(Amazon SES), Amazon Timestream, AWS AppConfig, AWS AppSync AWS Auto Scaling, AWS Backup,, AWS Budgets, AWS Cost Explorer, AWS Cloud9 AWS Directory Service, AWS DataSync,,, AWS Elemental MediaPackage AWS Glue, AWS IoT,, AWS IoT Analytics AWS IoT Events AWS IoT SiteWise, AWS IoT TwinMaker,, AWS Lake Formation AWS License Manager,, AWS Resilience Hub AWS Signer, 및 AWS Transfer Family | 2022년 9월 7일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries 추가 | 이제이 정책은 Amazon Managed Workflows for Apache Airflow, AWS IoT, Amazon WorkSpaces Applications, Amazon CodeGuru Reviewer AWS HealthLake, Amazon Kinesis Video Streams, Amazon Application Recovery Controller(ARC), AWS Device Farm Amazon Elastic Compute Cloud(Amazon EC2), Amazon Pinpoint, AWS Identity and Access Management (IAM), Amazon GuardDuty 및 Amazon CloudWatch Logs에 대한 추가 권한을 지원합니다. | 2023년 2월 1일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries 추가 | 이제이 정책은 Amazon Managed Workflows for Apache Airflow, AWS IoT, Amazon WorkSpaces Applications, Amazon CodeGuru Reviewer, AWS HealthLake, Amazon Kinesis Video Streams, Amazon Application Recovery Controller(ARC), AWS Device Farm Amazon Elastic Compute Cloud(Amazon EC2), Amazon Pinpoint, AWS Identity and Access Management (IAM), Amazon GuardDuty 및 Amazon CloudWatch Logs에 대한 추가 권한을 지원합니다. | 2023년 2월 1일 |
| [ConfigConformsServiceRolePolicy](#security-iam-awsmanpol-ConfigConformsServiceRolePolicy) – config:DescribeConfigRules 업데이트 | 보안 모범 사례로서 이 정책은 이제 `config:DescribeConfigRules`에 대한 광범위한 리소스 수준 권한을 제거합니다. | 2023년 1월 12일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, AWS Transfer Family devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource 추가 | 이제이 정책은 Amazon Managed Service for Prometheus, AWS Audit Manager, AWS Device Farm, AWS Database Migration Service (AWS DMS), AWS Directory Service Amazon Elastic Compute Cloud(Amazon EC2), AWS Glue, AWS IoT, Amazon Lightsail, AWS Elemental MediaPackage, AWS Network Manager, Amazon Quick, AWS Resource Access Manager, Amazon Application Recovery Controller(ARC), Amazon Simple Storage Service(Amazon S3) 및 Amazon Timestream에 대한 추가 권한을 지원합니다. | 2022년 12월 15일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource 추가 | 이제이 정책은 Amazon Managed Service for Prometheus, AWS Audit Manager, AWS Device Farm, AWS Database Migration Service (AWS DMS), AWS Directory Service Amazon Elastic Compute Cloud(Amazon EC2), AWS Glue, AWS IoT, Amazon Lightsail, AWS Elemental MediaPackage, AWS Network Manager, Amazon Quick, AWS Resource Access Manager, Amazon Application Recovery Controller(ARC), Amazon Simple Storage Service(Amazon S3) 및 Amazon Timestream에 대한 추가 권한을 지원합니다. | 2022년 12월 15일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – cloudformation:ListStackResources and cloudformation:ListStacks 추가 | 이제이 정책은 지정된 AWS CloudFormation 스택의 모든 리소스에 대한 설명을 반환하고 상태가 지정된와 일치하는 스택에 대한 요약 정보를 반환할 수 있는 권한을 부여합니다StackStatusFilter. | 2022년 11월 7일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – cloudformation:ListStackResources and cloudformation:ListStacks 추가 | 이제이 정책은 지정된 AWS CloudFormation 스택의 모든 리소스에 대한 설명을 반환하고 상태가 지정된와 일치하는 스택에 대한 요약 정보를 반환할 수 있는 권한을 부여합니다StackStatusFilter. | 2022년 11월 7일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups 추가 | 이 정책은 이제에 대한 추가 권한을 지원합니다 AWS Certificate Manager. Amazon Managed Workflows for Apache Airflow, AWS Amplify, AWS AppConfig, Amazon Keyspaces, Amazon CloudWatch, Amazon Connect AWS Glue DataBrew, Amazon Elastic Compute Cloud(Amazon EC2), Amazon Elastic Kubernetes Service(Amazon EKS), Amazon EventBridge, AWS Fault Injection Service, Amazon Fraud Detector, Amazon FSx, Amazon GameLift 서버, Amazon Location Service AWS IoT, Amazon Lex, Amazon Lightsail, Amazon Pinpoint, OpsWorks, AWS Panorama, AWS Resource Access Manager, Amazon Quick, Amazon Relational Database Service(RDS), Amazon Rekognition, AWS RoboMaker, AWS Resource Groups, Amazon Route 53, Amazon Simple Storage Service(Amazon S3), AWS Cloud Map, 및 AWS Security Token Service. | 2022년 10월 19일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups 추가 | 이 정책은 이제에 대한 추가 권한을 지원합니다 AWS Certificate Manager. Amazon Managed Workflows for Apache Airflow, AWS Amplify, AWS AppConfig, Amazon Keyspaces, Amazon CloudWatch, Amazon Connect AWS Glue DataBrew, Amazon Elastic Compute Cloud(Amazon EC2), Amazon Elastic Kubernetes Service(Amazon EKS), Amazon EventBridge, AWS Fault Injection Service, Amazon Fraud Detector, Amazon FSx, Amazon GameLift 서버, Amazon Location Service AWS IoT, Amazon Lex, Amazon Lightsail, Amazon Pinpoint, OpsWorks, AWS Panorama, AWS Resource Access Manager, Amazon Quick, Amazon Relational Database Service(RDS), Amazon Rekognition, AWS RoboMaker, AWS Resource Groups, Amazon Route 53, Amazon Simple Storage Service(Amazon S3), AWS Cloud Map, 및 AWS Security Token Service. | 2022년 10월 19일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Glue::GetTable 추가 | 이제이 정책은 지정된 AWS Glue 테이블에 대해 데이터 카탈로그에서 테이블 정의를 검색할 수 있는 권한을 부여합니다. | 2022년 9월 14일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Glue::GetTable 추가 | 이제이 정책은 지정된 AWS Glue 테이블에 대해 데이터 카탈로그에서 테이블 정의를 검색할 수 있는 권한을 부여합니다. | 2022년 9월 14일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorFilters, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource 추가 | 이 정책은 이제 Amazon AppFlow에 대한 추가 권한을 지원합니다. Amazon CloudWatch, Amazon CloudWatch RUM Amazon CloudWatch Synthetics, Amazon Connect Customer Profiles, Amazon Connect Voice ID, Amazon DevOps Guru, Amazon Elastic Compute Cloud(Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR, Amazon EventBridge, Amazon EventBridge 스키마, Amazon FinSpace, Amazon Fraud Detector, Amazon GameLift 서버, Amazon Interactive Video Service(Amazon IVS), Amazon Managed Service for Apache Flink, EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service, Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon Nimble StudioAmazon Pinpoint, Amazon Quick, Amazon Application Recovery Controller(ARC), Amazon Route 53 Resolver, Amazon Simple Storage Service(Amazon S3), Amazon SimpleDB, Amazon Simple Email Service(Amazon SES), Amazon Timestream, AWS AppConfig, AWS AppSync AWS Auto Scaling, AWS Backup,, AWS Budgets, AWS Cost Explorer, AWS Cloud9 AWS Directory Service, AWS DataSync,,, AWS Elemental MediaPackage AWS Glue, AWS IoT,, AWS IoT Analytics AWS IoT Events AWS IoT SiteWise, AWS IoT TwinMaker,, AWS Lake Formation AWS License Manager,, AWS Resilience Hub AWS Signer, 및 AWS Transfer Family. | 2022년 9월 7일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource 추가 | 이 정책은 이제 Amazon AppFlow에 대한 추가 권한을 지원합니다. Amazon CloudWatch, Amazon CloudWatch RUM Amazon CloudWatch Synthetics, Amazon Connect Customer Profiles, Amazon Connect Voice ID, Amazon DevOps Guru, Amazon Elastic Compute Cloud(Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR, Amazon EventBridge, Amazon EventBridge 스키마, Amazon FinSpace, Amazon Fraud Detector, Amazon GameLift 서버, Amazon Interactive Video Service(Amazon IVS), Amazon Managed Service for Apache Flink, EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service, Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon Nimble StudioAmazon Pinpoint, Amazon Quick, Amazon Application Recovery Controller(ARC), Amazon Route 53 Resolver, Amazon Simple Storage Service(Amazon S3), Amazon SimpleDB, Amazon Simple Email Service(Amazon SES), Amazon Timestream, AWS AppConfig, AWS AppSync AWS Auto Scaling, AWS Backup,, AWS Budgets, AWS Cost Explorer, AWS Cloud9 AWS Directory Service, AWS DataSync,,, AWS Elemental MediaPackage AWS Glue, AWS IoT,, AWS IoT Analytics AWS IoT Events AWS IoT SiteWise, AWS IoT TwinMaker,, AWS Lake Formation AWS License Manager,, AWS Resilience Hub AWS Signer, 및 AWS Transfer Family | 2022년 9월 7일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – datasync:ListAgents, datasync:ListLocations, datasync:ListTasks, servicediscovery:ListNamespaces, servicediscovery:ListServices, and ses:ListContactLists 추가 | 이제이 정책은에서 에이전트, DataSync 소스 및 대상 위치, DataSync 작업 목록을 AWS DataSync 반환하고 AWS 계정,에서 하나 이상의 지정된 네임스페이스와 연결된 네임스페이스 및 서비스에 대한 AWS Cloud Map 요약 정보를 나열하고 AWS 계정,에서 사용할 수 있는 모든 Amazon Simple Email Service(Amazon SES) 연락처 목록을 나열할 수 있는 권한을 부여합니다 AWS 계정. | 2022년 8월 22일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – datasync:ListAgents, datasync:ListLocations, datasync:ListTasks, servicediscovery:ListNamespaces, servicediscovery:ListServices, and ses:ListContactLists 추가 | 이제이 정책은에서 에이전트, DataSync 소스 및 대상 위치, DataSync 작업 목록을 AWS DataSync 반환하고 AWS 계정,에서 하나 이상의 지정된 네임스페이스와 연결된 네임스페이스 및 서비스에 대한 AWS Cloud Map 요약 정보를 나열하고 AWS 계정,에서 사용할 수 있는 모든 Amazon Simple Email Service(Amazon SES) 연락처 목록을 나열할 수 있는 권한을 부여합니다 AWS 계정. | 2022년 8월 22일 |
| [ConfigConformsServiceRolePolicy](#security-iam-awsmanpol-ConfigConformsServiceRolePolicy) – cloudwatch:PutMetricData 추가 | 이 정책은 이제 Amazon CloudWatch에 지표 데이터 포인트를 게시할 수 있는 권한을 부여합니다. | 2022년 7월 25일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – amplifyuibuilder:ExportThemes, amplifyuibuilder:GetTheme, appconfig:GetApplication, appconfig:GetApplication, appconfig:GetConfigurationProfile, appconfig:GetConfigurationProfile, appconfig:GetDeployment, appconfig:GetDeploymentStrategy, appconfig:GetEnvironment, appconfig:GetHostedConfigurationVersion, appconfig:ListTagsForResource, appsync:GetGraphqlApi, appsync:ListGraphqlApis, billingconductor: ListPricingRulesAssociatedToPricingPlan, billingconductor:ListAccountAssociations, billingconductor:ListBillingGroups, billingconductor:ListCustomLineItems, billingconductor:ListPricingPlans, billingconductor:ListPricingRules, billingconductor:ListTagsForResource, datasync:DescribeAgent, datasync:DescribeLocationEfs, datasync:DescribeLocationFsxLustre, datasync:DescribeLocationHdfs, datasync:DescribeLocationNfs, datasync:DescribeLocationObjectStorage, datasync:DescribeLocationS3, datasync:DescribeLocationSmb, datasync:DescribeTask, datasync:ListTagsForResource, ecr:DescribePullThroughCacheRules, ecr:DescribeRegistry, ecr:GetRegistryPolicy, elasticache:DescribeCacheParameters, elasticloadbalancing:DescribeListenerCertificates, elasticloadbalancing:DescribeTargetGroupAttributes, elasticloadbalancing:DescribeTargetGroups, elasticloadbalancing:DescribeTargetHealth, events:DescribeApiDestination, events:DescribeArchive, fms:GetNotificationChannel, fms:GetPolicy, fms:ListPolicies, fms:ListTagsForResource, fsx:DescribeVolumes, geo:DescribeGeofenceCollection, geo:DescribeMap, geo:DescribePlaceIndex, geo:DescribeRouteCalculator, geo:DescribeTracker, geo:ListTrackerConsumers, glue:BatchGetJobs, glue:BatchGetWorkflows, glue:GetCrawler, glue:GetCrawlers, glue:GetJob, glue:GetJobs, glue:GetWorkflow, imagebuilder: GetComponent, imagebuilder: ListComponentBuildVersions, imagebuilder: ListComponents, imagebuilder:GetDistributionConfiguration, imagebuilder:GetInfrastructureConfiguration, imagebuilder:ListDistributionConfigurations, imagebuilder:ListInfrastructureConfigurations, kafka:DescribeClusterV2, kafka:ListClustersV2, kinesisanalytics:DescribeApplication, kinesisanalytics:ListTagsForResource, quicksight:DescribeDataSource, quicksight:DescribeDataSourcePermissions, quicksight:ListTagsForResource, rekognition:DescribeStreamProcessor, rekognition:ListTagsForResource, robomaker:DescribeRobotApplication, robomaker:DescribeSimulationApplication, s3:GetStorageLensConfiguration, s3:GetStorageLensConfigurationTagging, servicediscovery:GetInstance, servicediscovery:GetNamespace, servicediscovery:GetService, servicediscovery:ListTagsForResource, ses:DescribeReceiptRule, ses:DescribeReceiptRuleSet, ses:GetContactList, ses:GetEmailTemplate, ses:GetTemplate, and sso:GetInlinePolicyForPermissionSet 추가 | 이제이 정책은 Amazon Elastic Container Service(Amazon ECS), Amazon ElastiCache, Amazon EventBridge, Amazon FSx, Amazon Managed Service for Apache Flink, Amazon Location Service, Amazon Managed Streaming for Apache Kafka, Amazon Quick, Amazon Rekognition AWS RoboMaker, Amazon Simple Storage Service(Amazon S3), Amazon Simple Email Service(Amazon SES), AWS Amplify, AWS AppConfig,, AWS AppSync, AWS Billing Conductor, AWS Firewall Manager AWS DataSync, AWS Glue, AWS IAM Identity Center (IAM Identity Center), EC2 Image Builder 및 Elastic Load Balancing에 대한 추가 권한을 지원합니다. | 2022년 7월 15일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – amplifyuibuilder:ExportThemes, amplifyuibuilder:GetTheme, appconfig:GetApplication, appconfig:GetApplication, appconfig:GetConfigurationProfile, appconfig:GetConfigurationProfile, appconfig:GetDeployment, appconfig:GetDeploymentStrategy, appconfig:GetEnvironment, appconfig:GetHostedConfigurationVersion, appconfig:ListTagsForResource, appsync:GetGraphqlApi, appsync:ListGraphqlApis, billingconductor: ListPricingRulesAssociatedToPricingPlan, billingconductor:ListAccountAssociations, billingconductor:ListBillingGroups, billingconductor:ListCustomLineItems, billingconductor:ListPricingPlans, billingconductor:ListPricingRules, billingconductor:ListTagsForResource, datasync:DescribeAgent, datasync:DescribeLocationEfs, datasync:DescribeLocationFsxLustre, datasync:DescribeLocationHdfs, datasync:DescribeLocationNfs, datasync:DescribeLocationObjectStorage, datasync:DescribeLocationS3, datasync:DescribeLocationSmb, datasync:DescribeTask, datasync:ListTagsForResource, ecr:DescribePullThroughCacheRules, ecr:DescribeRegistry, ecr:GetRegistryPolicy, elasticache:DescribeCacheParameters, elasticloadbalancing:DescribeListenerCertificates, elasticloadbalancing:DescribeTargetGroupAttributes, elasticloadbalancing:DescribeTargetGroups, elasticloadbalancing:DescribeTargetHealth, events:DescribeApiDestination, events:DescribeArchive, fms:GetNotificationChannel, fms:GetPolicy, fms:ListPolicies, fms:ListTagsForResource, fsx:DescribeVolumes, geo:DescribeGeofenceCollection, geo:DescribeMap, geo:DescribePlaceIndex, geo:DescribeRouteCalculator, geo:DescribeTracker, geo:ListTrackerConsumers, glue:BatchGetJobs, glue:BatchGetWorkflows, glue:GetCrawler, glue:GetCrawlers, glue:GetJob, glue:GetJobs, glue:GetWorkflow, imagebuilder: GetComponent, imagebuilder: ListComponentBuildVersions, imagebuilder: ListComponents, imagebuilder:GetDistributionConfiguration, imagebuilder:GetInfrastructureConfiguration, imagebuilder:ListDistributionConfigurations, imagebuilder:ListInfrastructureConfigurations, kafka:DescribeClusterV2, kafka:ListClustersV2, kinesisanalytics:DescribeApplication, kinesisanalytics:ListTagsForResource, quicksight:DescribeDataSource, quicksight:DescribeDataSourcePermissions, quicksight:ListTagsForResource, rekognition:DescribeStreamProcessor, rekognition:ListTagsForResource, robomaker:DescribeRobotApplication, robomaker:DescribeSimulationApplication, s3:GetStorageLensConfiguration, s3:GetStorageLensConfigurationTagging, servicediscovery:GetInstance, servicediscovery:GetNamespace, servicediscovery:GetService, servicediscovery:ListTagsForResource, ses:DescribeReceiptRule, ses:DescribeReceiptRuleSet, ses:GetContactList, ses:GetEmailTemplate, ses:GetTemplate, and sso:GetInlinePolicyForPermissionSet 추가 | 이제이 정책은 Amazon Elastic Container Service(Amazon ECS), Amazon ElastiCache, Amazon EventBridge, Amazon FSx, Amazon Managed Service for Apache Flink, Amazon Location Service, Amazon Managed Streaming for Apache Kafka, Amazon Quick, Amazon Rekognition AWS RoboMaker, Amazon Simple Storage Service(Amazon S3), Amazon Simple Email Service(Amazon SES), AWS Amplify, AWS AppConfig,, AWS AppSync, AWS Billing Conductor, AWS Firewall Manager AWS DataSync, AWS Glue, AWS IAM Identity Center (IAM Identity Center), EC2 Image Builder 및 Elastic Load Balancing에 대한 추가 권한을 지원합니다. | 2022년 7월 15일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – athena:GetDataCatalog, athena:ListDataCatalogs, athena:ListTagsForResource, detective:ListGraphs, detective:ListTagsForResource, glue:BatchGetDevEndpoints, glue:GetDevEndpoint, glue:GetDevEndpoints, glue:GetSecurityConfiguration, glue:GetSecurityConfigurations, glue:GetTags glue:GetWorkGroup, glue:ListCrawlers, glue:ListDevEndpoints, glue:ListJobs, glue:ListMembers, glue:ListWorkflows, glue:ListWorkGroups, guardduty:GetFilter, guardduty:GetIPSet, guardduty:GetThreatIntelSet, guardduty:GetMembers, guardduty:ListFilters, guardduty:ListIPSets, guardduty:ListTagsForResource, guardduty:ListThreatIntelSets, macie:GetMacieSession, ram:GetResourceShareAssociations, ram:GetResourceShares, ses:GetConfigurationSet, ses:GetConfigurationSetEventDestinations, ses:ListConfigurationSets, sso:DescribeInstanceAccessControlAttributeConfiguration, sso:DescribePermissionSet, sso:ListManagedPoliciesInPermissionSet, sso:ListPermissionSets, and sso:ListTagsForResource 추가 | 이제이 정책은 지정된 Amazon Athena 데이터 카탈로그를 가져올 수 있는 권한을 부여합니다. 에 Athena 데이터 카탈로그 나열 AWS 계정및 Athena 작업 그룹 또는 데이터 카탈로그 리소스와 연결된 태그 나열 Amazon Detective 동작 그래프 목록을 가져오고 Detective 동작 그래프의 태그를 나열하려면 지정된 AWS Glue 개발 엔드포인트 이름 목록에 대한 리소스 메타데이터 목록 가져오기 지정된 AWS Glue 개발 엔드포인트에 대한 정보 가져오기 에서 AWS Glue 모든 개발 엔드포인트 가져오기 AWS 계정지정된 AWS Glue 보안 구성을 검색합니다. 모든 AWS Glue 보안 구성 가져오기 AWS Glue 리소스와 연결된 태그 목록 가져오기 지정된 이름의 AWS Glue 작업 그룹에 대한 정보를 가져옵니다. 계정에 있는 AWS 모든 AWS Glue 크롤러 리소스의 이름을 검색합니다. 에 있는 모든 AWS Glue `DevEndpoint` 리소스의 이름을 가져옵니다 AWS 계정. 에 있는 모든 AWS Glue 작업 리소스의 이름을 나열합니다 AWS 계정. AWS Glue 멤버 계정에 대한 세부 정보 가져오기 계정에서 생성된 AWS Glue 워크플로의 목록 이름 및 계정에 사용 가능한 AWS Glue 작업 그룹 나열 Amazon GuardDuty 필터에 대한 세부 정보를 검색하려면 GuardDuty IPSet 검색 GuardDuty ThreatIntelSet 검색 GuardDuty 멤버 계정 검색 GuardDuty 필터 목록 가져오기 GuardDuty 서비스의 IPSets를 가져옵니다. GuardDuty Service에 대한 태그 검색 및 GuardDuty 서비스의 ThreatIntelSets 가져오기 Amazon Macie 계정의 현재 상태 및 구성 설정을 가져오는 방법 AWS Resource Access Manager (AWS RAM) 리소스 공유에 대한 리소스 및 보안 주체 연결을 검색하고 리소스 공유에 대한 AWS RAM 세부 정보를 검색합니다. Amazon Simple Email Service(Amazon SES) 기존 구성 세트에 대한 정보를 가져오려면 Amazon SES 구성 세트와 연결된 이벤트 대상 목록 가져오기 및는 Amazon SES 계정과 연결된 모든 구성 세트를 나열합니다. Identity Center 디렉터리 속성 목록을 가져오려면 AWS IAM Identity Center 권한 세트의 세부 정보를 가져옵니다. 지정된 IAM Identity Center 권한 세트에 연결된 IAM 관리형 정책을 가져옵니다. IAM Identity Center 인스턴스에 대해 설정된 권한 가져오기 및 IAM Identity Center 리소스에 대한 태그를 가져옵니다. | 2022년 5월 31일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – athena:GetDataCatalog, athena:ListDataCatalogs, athena:ListTagsForResource, detective:ListGraphs, detective:ListTagsForResource, glue:BatchGetDevEndpoints, glue:GetDevEndpoint, glue:GetDevEndpoints, glue:GetSecurityConfiguration, glue:GetSecurityConfigurations, glue:GetTags glue:GetWorkGroup, glue:ListCrawlers, glue:ListDevEndpoints, glue:ListJobs, glue:ListMembers, glue:ListWorkflows, glue:ListWorkGroups, guardduty:GetFilter, guardduty:GetIPSet, guardduty:GetThreatIntelSet, guardduty:GetMembers, guardduty:ListFilters, guardduty:ListIPSets, guardduty:ListTagsForResource, guardduty:ListThreatIntelSets, macie:GetMacieSession, ram:GetResourceShareAssociations, ram:GetResourceShares, ses:GetConfigurationSet, ses:GetConfigurationSetEventDestinations, ses:ListConfigurationSets, sso:DescribeInstanceAccessControlAttributeConfiguration, sso:DescribePermissionSet, sso:ListManagedPoliciesInPermissionSet, sso:ListPermissionSets, and sso:ListTagsForResource 추가 | 이제이 정책은 지정된 Amazon Athena 데이터 카탈로그를 가져올 수 있는 권한을 부여합니다. 에 Athena 데이터 카탈로그 나열 AWS 계정및 Athena 작업 그룹 또는 데이터 카탈로그 리소스와 연결된 태그 나열 Amazon Detective 동작 그래프 목록을 가져오고 Detective 동작 그래프의 태그를 나열하려면 지정된 AWS Glue 개발 엔드포인트 이름 목록에 대한 리소스 메타데이터 목록 가져오기 지정된 AWS Glue 개발 엔드포인트에 대한 정보 가져오기 에서 AWS Glue 모든 개발 엔드포인트 가져오기 AWS 계정지정된 AWS Glue 보안 구성을 검색합니다. 모든 AWS Glue 보안 구성 가져오기 AWS Glue 리소스와 연결된 태그 목록 가져오기 지정된 이름의 AWS Glue 작업 그룹에 대한 정보를 가져옵니다. 계정에 있는 AWS 모든 AWS Glue 크롤러 리소스의 이름을 검색합니다. 에 있는 모든 AWS Glue `DevEndpoint` 리소스의 이름을 가져옵니다 AWS 계정. 에 있는 모든 AWS Glue 작업 리소스의 이름을 나열합니다 AWS 계정. AWS Glue 멤버 계정에 대한 세부 정보 가져오기 계정에서 생성된 AWS Glue 워크플로의 목록 이름 및 계정에 사용 가능한 AWS Glue 작업 그룹 나열 Amazon GuardDuty 필터에 대한 세부 정보를 검색하려면 GuardDuty IPSet 검색 GuardDuty ThreatIntelSet 검색 GuardDuty 멤버 계정 검색 GuardDuty 필터 목록 가져오기 GuardDuty 서비스의 IPSets를 가져옵니다. GuardDuty Service에 대한 태그 검색 및 GuardDuty 서비스의 ThreatIntelSets 가져오기 Amazon Macie 계정의 현재 상태 및 구성 설정을 가져오는 방법 AWS Resource Access Manager (AWS RAM) 리소스 공유에 대한 리소스 및 보안 주체 연결을 검색하고 리소스 공유에 대한 AWS RAM 세부 정보를 검색합니다. Amazon Simple Email Service(Amazon SES) 기존 구성 세트에 대한 정보를 가져오려면 Amazon SES 구성 세트와 연결된 이벤트 대상 목록 가져오기 및는 Amazon SES 계정과 연결된 모든 구성 세트를 나열합니다. Identity Center 디렉터리 속성 목록을 가져오려면 AWS IAM Identity Center 권한 세트의 세부 정보를 가져옵니다. 지정된 IAM Identity Center 권한 세트에 연결된 IAM 관리형 정책을 가져옵니다. IAM Identity Center 인스턴스에 대해 설정된 권한 가져오기 및 IAM Identity Center 리소스에 대한 태그를 가져옵니다. | 2022년 5월 31일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – cloudformation:GetResource, cloudformation:ListResources, cloudtrail:GetEventDataStore, cloudtrail:ListEventDataStores, dax:DescribeParameterGroups, dax:DescribeParameters, dax:DescribeSubnetGroups, DMS:DescribeReplicationTasks, and organizations:ListPolicies 추가 | 이제이 정책은 전체 또는 지정된 AWS CloudTrail 이벤트 데이터 스토어(EDS)에 대한 정보를 가져오고, 전체 또는 지정된 AWS CloudFormation 리소스에 대한 정보를 가져오고, DynamoDB Accelerator(DAX) 파라미터 그룹 또는 서브넷 그룹의 목록을 가져오고, 액세스 중인 현재 리전의 계정에 대한 AWS Database Migration Service (AWS DMS) 복제 작업에 대한 정보를 가져오고, 지정된 유형의에 있는 모든 정책 목록을 가져올 수 AWS Organizations 있는 권한을 부여합니다. | 2022년 4월 7일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – cloudformation:GetResource, cloudformation:ListResources, cloudtrail:GetEventDataStore, cloudtrail:ListEventDataStores, dax:DescribeParameterGroups, dax:DescribeParameters, dax:DescribeSubnetGroups, DMS:DescribeReplicationTasks, and organizations:ListPolicies 추가 | 이제이 정책은 전체 또는 지정된 AWS CloudTrail 이벤트 데이터 스토어(EDS)에 대한 정보를 가져오고, 전체 또는 지정된 AWS CloudFormation 리소스에 대한 정보를 가져오고, DynamoDB Accelerator(DAX) 파라미터 그룹 또는 서브넷 그룹의 목록을 가져오고, 액세스 중인 현재 리전의 계정에 대한 AWS Database Migration Service (AWS DMS) 복제 작업에 대한 정보를 가져오고, 지정된 유형의에 있는 모든 정책 목록을 가져올 수 AWS Organizations 있는 권한을 부여합니다. | 2022년 4월 7일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – backup-gateway:ListTagsForResource, backup-gateway:ListVirtualMachines, batch:DescribeComputeEnvironments, batch:DescribeJobQueues, batch:ListTagsForResource, dax:ListTags, dms:DescribeCertificates, dynamodb:DescribeGlobalTable, dynamodb:DescribeGlobalTableSettings, ec2:DescribeClientVpnAuthorizationRules, ec2:DescribeClientVpnEndpoints, ec2:DescribeDhcpOptions, ec2:DescribeFleets, ec2:DescribeNetworkAcls, ec2:DescribePlacementGroups, ec2:DescribeSpotFleetRequests, ec2:DescribeVolumeAttribute, ec2:DescribeVolumes, eks:DescribeFargateProfile, eks:ListFargateProfiles, eks:ListTagsForResource, fsx:ListTagsForResource, guardduty:ListOrganizationAdminAccounts, kms:ListAliases, opsworks:DescribeLayers, opsworks:DescribeStacks, opsworks:ListTags, rds:DescribeDBClusterParameterGroups, rds:DescribeDBClusterParameters, states:DescribeActivity, states:ListActivities, wafv2:GetRuleGroup, wafv2:ListRuleGroups, wafv2:ListTagsForResource, workspaces:DescribeConnectionAliases, workspaces:DescribeTags, and workspaces:DescribeWorkspaces 추가 | 이제이 정책은 AWS Backup AWS Batch, DynamoDB Accelerator, AWS Database Migration Service Amazon DynamoDB, Amazon Elastic Compute Cloud(Amazon EC2), Amazon Elastic Kubernetes Service, Amazon FSx, Amazon GuardDuty, AWS Key Management Service AWS OpsWorks, Amazon Relational Database Service, AWS WAF V2 및 Amazon WorkSpaces에 대한 추가 권한을 지원합니다. | 2022년 3월 14일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – backup-gateway:ListTagsForResource, backup-gateway:ListVirtualMachines, batch:DescribeComputeEnvironments, batch:DescribeJobQueues, batch:ListTagsForResource, dax:ListTags, dms:DescribeCertificates, dynamodb:DescribeGlobalTable, dynamodb:DescribeGlobalTableSettings, ec2:DescribeClientVpnAuthorizationRules, ec2:DescribeClientVpnEndpoints, ec2:DescribeDhcpOptions, ec2:DescribeFleets, ec2:DescribeNetworkAcls, ec2:DescribePlacementGroups, ec2:DescribeSpotFleetRequests, ec2:DescribeVolumeAttribute, ec2:DescribeVolumes, eks:DescribeFargateProfile, eks:ListFargateProfiles, eks:ListTagsForResource, fsx:ListTagsForResource, guardduty:ListOrganizationAdminAccounts, kms:ListAliases, opsworks:DescribeLayers, opsworks:DescribeStacks, opsworks:ListTags, rds:DescribeDBClusterParameterGroups, rds:DescribeDBClusterParameters, states:DescribeActivity, states:ListActivities, wafv2:GetRuleGroup, wafv2:ListRuleGroups, wafv2:ListTagsForResource, workspaces:DescribeConnectionAliases, workspaces:DescribeTags, and workspaces:DescribeWorkspaces 추가 | 이제이 정책은 AWS Backup AWS Batch, DynamoDB Accelerator, AWS Database Migration Service Amazon DynamoDB, Amazon Elastic Compute Cloud(Amazon EC2), Amazon Elastic Kubernetes Service, Amazon FSx, Amazon GuardDuty, AWS Key Management Service AWS OpsWorks, Amazon Relational Database Service, AWS WAF V2 및 Amazon WorkSpaces에 대한 추가 권한을 지원합니다. | 2022년 3월 14일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – elasticbeanstalk:DescribeEnvironments, elasticbeanstalk:DescribeConfigurationSettings, account:GetAlternateContact, organizations:DescribePolicy, organizations:ListParents, organizations:ListPoliciesForTarget, es:GetCompatibleElasticsearchVersions, rds:DescribeOptionGroups, rds:DescribeOptionGroups, es:GetCompatibleVersions, codedeploy:GetDeploymentConfig, ecr-public:GetRepositoryPolicy, access-analyzer:GetArchiveRule, and ecs:ListTaskDefinitionFamilies 추가 | 이 정책은 이제 Elastic Beanstalk 환경에 대한 세부 정보 및 지정된 Elastic Beanstalk 구성 세트의 설정에 대한 설명을 가져오고, OpenSearch 또는 Elasticsearch 버전의 맵을 가져오고, 데이터베이스에 사용할 수 있는 Amazon RDS 옵션 그룹을 설명하고, CodeDeploy 배포 구성에 대한 정보를 가져올 수 있는 권한을 부여합니다. 또한이 정책은에 연결된 지정된 대체 연락처를 검색하고 AWS 계정, AWS Organizations 정책에 대한 정보를 검색하고, Amazon ECR 리포지토리 정책을 검색하고, 아카이브된 AWS Config 규칙에 대한 정보를 검색하고, Amazon ECS 태스크 정의 패밀리 목록을 검색하고, 지정된 하위 OUs 또는 계정의 루트 또는 상위 조직 단위(OU)를 나열하고, 지정된 대상 루트, 조직 단위 또는 계정에 연결된 정책을 나열할 수 있는 권한을 부여합니다. | 2022년 2월 10일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – elasticbeanstalk:DescribeEnvironments, elasticbeanstalk:DescribeConfigurationSettings, account:GetAlternateContact, organizations:DescribePolicy, organizations:ListParents, organizations:ListPoliciesForTarget, es:GetCompatibleElasticsearchVersions, rds:DescribeOptionGroups, rds:DescribeOptionGroups, es:GetCompatibleVersions, codedeploy:GetDeploymentConfig, ecr-public:GetRepositoryPolicy, access-analyzer:GetArchiveRule, and ecs:ListTaskDefinitionFamilies 추가 | 이 정책은 이제 Elastic Beanstalk 환경에 대한 세부 정보 및 지정된 Elastic Beanstalk 구성 세트의 설정에 대한 설명을 가져오고, OpenSearch 또는 Elasticsearch 버전의 맵을 가져오고, 데이터베이스에 사용할 수 있는 Amazon RDS 옵션 그룹을 설명하고, CodeDeploy 배포 구성에 대한 정보를 가져올 수 있는 권한을 부여합니다. 또한이 정책은에 연결된 지정된 대체 연락처를 검색하고 AWS 계정, AWS Organizations 정책에 대한 정보를 검색하고, Amazon ECR 리포지토리 정책을 검색하고, 아카이브된 AWS Config 규칙에 대한 정보를 검색하고, Amazon ECS 태스크 정의 패밀리 목록을 검색하고, 지정된 하위 OUs 또는 계정의 루트 또는 상위 조직 단위(OU)를 나열하고, 지정된 대상 루트, 조직 단위 또는 계정에 연결된 정책을 나열할 수 있는 권한을 부여합니다. | 2022년 2월 10일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – logs:CreateLogStream, logs:CreateLogGroup, and logs:PutLogEvent 추가 | 이 정책은 이제 Amazon CloudWatch 로그 그룹 및 스트림을 생성하고 생성된 로그 스트림에 로그를 쓸 수 있는 권한을 부여합니다. | 2021년 12월 15일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – logs:CreateLogStream, logs:CreateLogGroup, and logs:PutLogEvent 추가 | 이 정책은 이제 Amazon CloudWatch 로그 그룹 및 스트림을 생성하고 생성된 로그 스트림에 로그를 쓸 수 있는 권한을 부여합니다. | 2021년 12월 15일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – es:DescribeDomain, es:DescribeDomains, rds:DescribeDBParameters, and, elasticache:DescribeSnapshots 추가 | 이 정책은 이제 Amazon OpenSearch Service(OpenSearch Service) 도메인에 대한 세부 정보를 가져오고 특정 Amazon Relational Database Service(Amazon RDS) DB 파라미터 그룹에 대한 세부 파라미터 목록을 가져올 수 있는 권한을 부여합니다. 또한 이 정책은 Amazon ElastiCache 스냅샷에 대한 세부 정보를 가져올 수 있는 권한을 부여합니다. | 2021년 9월 8일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – es:DescribeDomain, es:DescribeDomains, rds:DescribeDBParameters, and, elasticache:DescribeSnapshots 추가 | 이 정책은 이제 Amazon OpenSearch Service(OpenSearch Service) 도메인에 대한 세부 정보를 가져오고 특정 Amazon Relational Database Service(Amazon RDS) DB 파라미터 그룹에 대한 세부 파라미터 목록을 가져올 수 있는 권한을 부여합니다. 또한 이 정책은 Amazon ElastiCache 스냅샷에 대한 세부 정보를 가져올 수 있는 권한을 부여합니다. | 2021년 9월 8일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) - logs:ListTagsLogGroup, states:ListTagsForResource, states:ListStateMachines, states:DescribeStateMachine, 리소스 AWS 유형에 대한 추가 권한 추가 | 이 정책은 이제 로그 그룹의 태그를 나열하고, 상태 시스템의 태그를 나열하고, 모든 상태 시스템을 나열할 수 있는 권한을 부여합니다. 이 정책은 이제 상태 시스템에 대한 세부 정보를 가져올 수 있는 권한을 부여합니다. 이 정책은 이제 Amazon EC2 Systems Manager(SSM), Amazon Elastic Container Registry, Amazon FSx, Amazon Data Firehose, Amazon Managed Streaming for Apache Kafka(Amazon MSK), Amazon Relational Database Service(RDS), Amazon Route 53, Amazon SageMaker AI, Amazon Simple Notification Service AWS Database Migration Service, 및 AWS Global Accelerator에 대한 추가 권한도 지원합니다 AWS Storage Gateway. | 2021년 7월 28일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) - AWS 리소스 유형에 대한 l ogs:ListTagsLogGroup, states:ListTagsForResource, states:ListStateMachines, states:DescribeStateMachine및 추가 권한 추가 | 이 정책은 이제 로그 그룹의 태그를 나열하고, 상태 시스템의 태그를 나열하고, 모든 상태 시스템을 나열할 수 있는 권한을 부여합니다. 이 정책은 이제 상태 시스템에 대한 세부 정보를 가져올 수 있는 권한을 부여합니다. 이 정책은 이제 Amazon EC2 Systems Manager(SSM), Amazon Elastic Container Registry, Amazon FSx, Amazon Data Firehose, Amazon Managed Streaming for Apache Kafka(Amazon MSK), Amazon Relational Database Service(RDS), Amazon Route 53, Amazon SageMaker AI, Amazon Simple Notification Service AWS Database Migration Service, 및 AWS Global Accelerator에 대한 추가 권한도 지원합니다 AWS Storage Gateway. | 2021년 7월 28일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) - AWS 리소스 유형에 대한 ssm:DescribeDocumentPermission 및 추가 권한 추가 | 이 정책은 이제 AWS Systems Manager 문서의 권한 및 IAM Access Analyzer에 대한 정보를 볼 수 있는 권한을 부여합니다. 이제이 정책은 Amazon Kinesis, Amazon ElastiCache, Amazon EMR AWS Network Firewall, Amazon Route 53 및 Amazon Relational Database Service(RDS)에 대한 추가 AWS 리소스 유형을 지원합니다. 이러한 권한 변경을 통해는 이러한 리소스 유형을 지원하는 데 필요한 읽기 전용 APIs AWS Config 호출할 수 있습니다. 이 정책은 이제 [lambda-inside-vpc](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) 관리형 규칙에 대한 Lambda AWS Config @Edge 함수 필터링도 지원합니다. | 2021년 6월 8일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) - AWS 리소스 유형에 대한 ssm:DescribeDocumentPermission 및 추가 권한 추가 | 이 정책은 이제 AWS Systems Manager 문서의 권한 및 IAM Access Analyzer에 대한 정보를 볼 수 있는 권한을 부여합니다. 이제이 정책은 Amazon Kinesis, Amazon ElastiCache, Amazon EMR AWS Network Firewall, Amazon Route 53 및 Amazon Relational Database Service(RDS)에 대한 추가 AWS 리소스 유형을 지원합니다. 이러한 권한 변경을 통해는 이러한 리소스 유형을 지원하는 데 필요한 읽기 전용 APIs AWS Config 호출할 수 있습니다. 이 정책은 이제 [lambda-inside-vpc](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) 관리형 규칙에 대한 Lambda AWS Config @Edge 함수 필터링도 지원합니다. | 2021년 6월 8일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) - API Gateway에 읽기 전용 GET 직접 호출을 수행할 수 있는 apigateway:GET 권한 및 Amazon S3 읽기 전용 API를 간접 호출할 수 있는 s3:GetAccessPointPolicy 권한 및 s3:GetAccessPointPolicyStatus 권한을 추가 | 이제이 정책은가 API Gateway AWS Config 에 대한 AWS Config 규칙을 지원하기 위해 API Gateway에 대한 읽기 전용 GET 호출을 수행할 수 있는 권한을 부여합니다. 또한이 정책은가 새 `AWS::S3::AccessPoint` 리소스 유형을 지원하는 AWS Config 데 필요한 Amazon Simple Storage Service(Amazon S3) 읽기 전용 APIs를 호출할 수 있는 권한을 추가합니다. | 2021년 5월 10일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) - API Gateway에 읽기 전용 GET 호출을 수행할 수 있는 apigateway:GET 권한 및 Amazon S3 읽기 전용 API를 간접 호출할 수 있는 s3:GetAccessPointPolicy 권한 및 s3:GetAccessPointPolicyStatus 권한을 추가 | 이제이 정책은가 API Gateway AWS Config 용 AWS Config 를 지원하기 위해 API Gateway에 대한 읽기 전용 GET 호출을 수행할 수 있는 권한을 부여합니다. 또한이 정책은가 새 `AWS::S3::AccessPoint` 리소스 유형을 지원하는 AWS Config 데 필요한 Amazon Simple Storage Service(Amazon S3) 읽기 전용 APIs를 호출할 수 있는 권한을 추가합니다. | 2021년 5월 10일 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) - AWS 리소스 유형에 대한 ssm:ListDocuments 권한 및 추가 권한 추가 | 이 정책은 이제 AWS Systems Manager 에서 지정된 문서에 대한 정보를 볼 수 있는 권한을 부여합니다. 이 정책은 이제 Amazon Elastic File System AWS Backup, Amazon ElastiCache, Amazon Simple Storage Service(Amazon S3), Amazon Elastic Compute Cloud(Amazon EC2), Amazon Kinesis, Amazon SageMaker AI AWS Database Migration Service및 Amazon Route 53에 대한 추가 AWS 리소스 유형도 지원합니다. 이러한 권한 변경을 통해는 이러한 리소스 유형을 지원하는 데 필요한 읽기 전용 APIs AWS Config 호출할 수 있습니다. | 2021년 4월 1일 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) - AWS 리소스 유형에 대한 ssm:ListDocuments 권한 및 추가 권한 추가 | 이 정책은 이제 AWS Systems Manager 에서 지정된 문서에 대한 정보를 볼 수 있는 권한을 부여합니다. 이 정책은 이제 Amazon Elastic File System AWS Backup, Amazon ElastiCache, Amazon Simple Storage Service(Amazon S3), Amazon Elastic Compute Cloud(Amazon EC2), Amazon Kinesis, Amazon SageMaker AI AWS Database Migration Service및 Amazon Route 53에 대한 추가 AWS 리소스 유형도 지원합니다. 이러한 권한 변경을 통해는 이러한 리소스 유형을 지원하는 데 필요한 읽기 전용 APIs AWS Config 호출할 수 있습니다. | 2021년 4월 1일 |
| `AWSConfigRole`은 더 이상 사용되지 않습니다. | `AWSConfigRole`은 더 이상 사용되지 않습니다. 대체 정책은 `AWS_ConfigRole`입니다. | 2021년 4월 1일 |
| AWS Config 에서 변경 내용 추적 시작 | AWS Config 가 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다. | 2021년 4월 1일 |
# 에 할당된 IAM 역할에 대한 권한 AWS Config
IAM 역할을 사용하면 권한 세트를 정의할 수 있습니다.는 S3 버킷에 쓰고, SNS 주제에 게시하고, AWS 리소스에 대한 구성 세부 정보를 가져오기 위해 `Describe` 또는 `List` API 요청을 하기 위해 할당한 역할을 수 AWS Config 임합니다. IAM 역할에 대한 자세한 내용은 IAM 사용 설명서의 [IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/WorkingWithRoles.html) 섹션을 참조하세요.**
AWS Config 콘솔을 사용하여 IAM 역할을 생성하거나 업데이트하면가 필요한 권한을 AWS Config 자동으로 연결합니다. 자세한 내용은 [콘솔을 사용하여 AWS Config 설정](gs-console.md) 단원을 참조하십시오.
**정책 및 규정 준수 결과**
[IAM 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) 및 [AWS Organizations에서 관리되는 기타 정책](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html)은 AWS Config 에 리소스에 대한 구성 변경을 기록할 권한이 있는지 여부에 영향을 미칠 수 있습니다. 또한 규칙은 리소스의 구성을 직접 평가하며, 규칙은 평가를 실행할 때 이러한 정책을 고려하지 않습니다. 적용 중인 정책이 AWS Config사용 의도와 일치하는지 확인합니다.
**Contents**
+ [IAM 역할 정책 생성](#iam-role-policies)
+ [역할에 IAM 신뢰 정책 추가](#iam-trust-policy)
+ [S3 버킷에 대한 IAM 역할 정책](#iam-role-policies-S3-bucket)
+ [KMS 키에 대한 IAM 역할 정책](#iam-role-policies-S3-kms-key)
+ [Amazon SNS 주제에 대한 IAM 역할 정책](#iam-role-policies-sns-topic)
+ [구성 세부 정보를 가져오기 위한 IAM 역할 정책](#iam-role-policies-describe-apis)
+ [S3 버킷 기록에 대한 권한 관리](#troubleshooting-recording-s3-bucket-policy)
## IAM 역할 정책 생성
AWS Config 콘솔을 사용하여 IAM 역할을 생성하면가 필요한 권한을 역할에 AWS Config 자동으로 연결합니다.
를 사용하여 AWS CLI 를 설정 AWS Config 하거나 기존 IAM 역할을 업데이트하는 경우가 S3 버킷에 AWS Config 액세스하고 SNS 주제에 게시하며 리소스에 대한 구성 세부 정보를 가져올 수 있도록 정책을 수동으로 업데이트해야 합니다.
### 역할에 IAM 신뢰 정책 추가
가 역할을 AWS Config 수임하고 이를 사용하여 리소스를 추적하도록 허용하는 IAM 신뢰 정책을 생성할 수 있습니다. 신뢰 정책에 대한 자세한 내용은 **IAM 사용 설명서의 [역할 용어 및 개념](https://docs.aws.amazon.com/IAM/latest/UserGuide/d_roles_terms-and-concepts.html)을 참조하세요.
다음은 AWS Config 역할에 대한 신뢰 정책의 예입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
------
위의 IAM 역할 신뢰 관계의 `AWS:SourceAccount` 조건을 사용하여 특정 계정을 대신하여 작업을 수행할 때 Config 서비스 보안 주체가 AWS IAM 역할과만 상호 작용하도록 제한할 수 있습니다.
AWS Config 는 소유 계정을 대신하여 작업을 수행할 때 Config 서비스 보안 주체가 IAM 역할만 수임하도록 제한하는 `AWS:SourceArn` 조건도 지원합니다. AWS Config 서비스 보안 주체를 사용할 때 `AWS:SourceArn` 속성은 항상 로 설정됩니다. `arn:aws:config:sourceRegion:sourceAccountID:*` 여기서 `sourceRegion`는 고객 관리형 구성 레코더의 리전이고 `sourceAccountID`는 고객 관리형 구성 레코더가 포함된 계정의 ID입니다.
예를 들어, 다음 조건을 추가하여 Config 서비스 위탁자가 `123456789012`: `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}` 계정의 `us-east-1` 리전 내 고객 관리형 구성 레코더를 대신해서만 IAM 역할을 수임하도록 제한할 수 있습니다.
### S3 버킷에 대한 IAM 역할 정책
다음 예제 정책은 S3 버킷에 액세스할 수 있는 AWS Config 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*"
],
"Condition":{
"StringLike":{
"s3:x-amz-acl":"bucket-owner-full-control"
}
}
},
{
"Effect":"Allow",
"Action":[
"s3:GetBucketAcl"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
}
]
}
```
------
### KMS 키에 대한 IAM 역할 정책
다음 예제 정책은 S3 버킷 전송을 위해 새 객체에 KMS 기반 암호화를 사용할 수 있는 AWS Config 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
}
]
}
```
------
### Amazon SNS 주제에 대한 IAM 역할 정책
다음 예제 정책은 SNS 주제에 액세스할 수 있는 AWS Config 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect":"Allow",
"Action":"sns:Publish",
"Resource":"arn:aws:sns:us-east-1:123456789012:MyTopic"
}
]
}
```
------
SNS 주제가 암호화된 경우 추가 설정 지침은 **Amazon Simple Notification Service 개발자 안내서의 [AWS KMS 권한 구성](https://docs.aws.amazon.com/sns/latest/dg/sns-server-side-encryption.html#sns-what-permissions-for-sse)을 참조하세요.
### 구성 세부 정보를 가져오기 위한 IAM 역할 정책
AWS Config 서비스 연결 역할인를 사용하는 것이 좋습니다`AWSServiceRoleForConfig`. 서비스 연결 역할은 사전 정의되며가 다른를 호출하는 데 AWS Config 필요한 모든 권한을 포함합니다 AWS 서비스. AWS Config 서비스 연결 구성 레코더에는 서비스 연결 역할이 필요합니다. 자세한 내용은 [AWS Config에 대한 서비스 연결 역할 사용](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html)을 참조하십시오.
콘솔을 사용하여 역할을 생성하거나 업데이트하면 AWS Config 가 **AWSServiceRoleForConfig**를 연결합니다.
를 사용하는 경우 `attach-role-policy` 명령을 AWS CLI사용하고 **AWSServiceRoleForConfig**의 Amazon 리소스 이름(ARN)을 지정합니다.
```
$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForConfig
```
### S3 버킷 기록에 대한 권한 관리
AWS Config 는 S3 버킷이 생성, 업데이트 또는 삭제될 때 알림을 기록하고 전송합니다.
AWS Config 서비스 연결 역할인를 사용하는 것이 좋습니다`AWSServiceRoleForConfig`. 서비스 연결 역할은 사전 정의되며가 다른를 호출하는 데 AWS Config 필요한 모든 권한을 포함합니다 AWS 서비스. AWS Config 서비스 연결 구성 레코더에는 서비스 연결 역할이 필요합니다. 자세한 내용은 [AWS Config에 대한 서비스 연결 역할 사용](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html)을 참조하십시오.
# 고객 관리형 구성 레코더의 IAM 역할 업데이트
고객 관리형 구성 레코더에서 사용하는 IAM 역할을 업데이트할 수 있습니다. IAM 역할을 업데이트하기 전에 이전 역할을 대체하는 새 역할을 생성해야 합니다. 구성을 기록하고 전송 채널로 전달할 수 있는 권한을 AWS Config 에 부여하는 정책을 새 역할에 연결해야 합니다.
IAM 역할을 생성하고 IAM 역할에 필요한 정책을 연결하는 방법에 대한 자세한 내용은 [3단계: IAM 역할 생성](gs-cli-prereq.md#gs-cli-create-iamrole) 섹션을 참조하세요.
**참고**
기존 IAM 역할의 ARN을 찾으려면 IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))로 이동합니다. 탐색 창에서 **역할**을 선택합니다. 그런 다음 원하는 역할 이름을 선택하고 **요약** 페이지 상단에서 해당 ARN을 찾습니다.
## IAM 역할 업데이트
AWS Management Console 또는를 사용하여 IAM 역할을 업데이트할 수 있습니다 AWS CLI.
------
#### [ To update the IAM role (Console) ]
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) AWS Config 콘솔을 엽니다.
1. 탐색 창에서 **설정**을 선택합니다.
1. **고객 관리형 레코더** 탭의 설정 페이지에서 **편집**을 선택합니다.
1. **데이터 거버넌스** 섹션에서 AWS Config다음에 대한 IAM 역할을 선택합니다.
+ **기존 AWS Config 서비스 연결 역할 사용 -** 필요한 권한이 있는 역할을 AWS Config 생성합니다.
+ **계정에서 역할 선택** - 계정에서 **기존 역할**에 대한 IAM 역할을 선택합니다.
1. **저장**을 선택합니다.
------
#### [ To update the IAM role (AWS CLI) ]
[https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html) 명령을 사용하여 새 역할의 Amazon 리소스 이름(ARN)을 지정합니다.
```
$ aws configservice put-configuration-recorder --configuration-recorder name=configRecorderName,roleARN=arn:aws:iam::012345678912:role/myConfigRole
```
------
# AWS Config 전송 채널에 대한 Amazon S3 버킷에 대한 권한
**중요**
이 페이지에서는 AWS Config 전송 채널에 대한 Amazon S3 버킷을 설정합니다. 이 페이지는 AWS Config 구성 레코더가 기록할 수 있는 `AWS::S3::Bucket` 리소스 유형에 대한 것이 아닙니다.
기본적으로 Amazon S3 버킷 및 객체는 프라이빗입니다. 버킷 AWS 계정 (리소스 소유자)을 생성한 에만 액세스 권한이 있습니다. 리소스 소유자는 액세스 정책을 생성하여 다른 리소스 및 사용자에게 액세스 권한을 부여할 수 있습니다.
가 AWS Config 자동으로 S3 버킷을 생성하면 필요한 권한이 추가됩니다. 그러나 기존 S3 버킷을 지정하는 경우 이러한 권한을 수동으로 추가해야 합니다.
**Topics**
+ [IAM 역할 사용 시](#required-permissions-in-another-account)
+ [서비스 연결 역할 사용 시](#required-permissions-using-servicelinkedrole)
+ [AWS Config 액세스 권한 부여](#granting-access-in-another-account)
+ [교차 계정 전송](#required-permissions-cross-account)
## IAM 역할을 사용할 때 Amazon S3 버킷에 필요한 권한
AWS Config 는 구성 레코더에 할당한 IAM 역할을 사용하여 계정의 S3 버킷에 구성 기록 및 스냅샷을 전달합니다. 교차 계정 전송의 경우 AWS Config 먼저 할당된 IAM 역할을 사용하려고 시도합니다. 버킷 정책이 IAM 역할에 `WRITE` 액세스 권한을 부여하지 않으면 AWS Config 는 `config.amazonaws.com` 서비스 위탁자를 사용합니다. 버킷 정책은 전송을 완료하기 위해 `config.amazonaws.com`에 `WRITE` 액세스 권한을 부여해야 합니다. 전송에 성공하면는 교차 계정 S3 버킷에 전달하는 모든 객체의 소유권을 AWS Config 유지합니다.
AWS Config 는 구성 레코더에 할당한 IAM 역할로 Amazon S3 [HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RESTBucketHEAD.html) API를 호출하여 S3 버킷의 존재 여부와 위치를 확인합니다. 에서 확인하는 AWS Config 데 필요한 권한이 없는 경우 AWS CloudTrail 로그에 `AccessDenied` 오류가 표시됩니다. 그러나 AWS Config 가 S3 버킷의 존재 여부와 위치를 확인하는 데 필요한 권한이 없더라도는 구성 기록과 스냅샷을 AWS Config 전달할 수 있습니다.
**최소 권한**
Amazon S3 `HeadBucket` API에는 `s3:ListBucket` 작업이 필요합니다.
## 서비스 연결 역할을 사용할 때 Amazon S3 버킷에 필요한 권한
AWS Config 서비스 연결 역할에는 Amazon S3 버킷에 객체를 넣을 수 있는 권한이 없습니다. 서비스 연결 역할을 AWS Config 사용하여를 설정하면 AWS Config 는 `config.amazonaws.com` 서비스 보안 주체를 사용하여 구성 기록 및 스냅샷을 제공합니다. 계정 또는 교차 계정 대상의 S3 버킷 정책에는 AWS Config 서비스 보안 주체가 객체를 작성할 수 있는 권한이 포함되어야 합니다.
## Amazon S3 버킷에 대한 AWS Config 액세스 권한 부여
다음 단계를 완료 AWS Config 하면가 Amazon S3 버킷에 구성 기록 및 스냅샷을 전달할 수 있습니다.
1. S3 버킷이 있는 계정을 AWS Management Console 사용하여에 로그인합니다.
1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 S3 콘솔을 엽니다.
1. 구성 항목을 전달하는 데 사용할 버킷 AWS Config 을 선택한 다음 **속성을** 선택합니다.
1. **권한**을 선택합니다.
1. [**Edit Bucket Policy**]를 선택합니다.
1. 다음 정책을 **버킷 정책 편집기** 창으로 복사합니다.
**보안 모범 사례**
`AWS:SourceAccount` 조건으로 버킷 정책의 액세스를 제한하는 것이 좋습니다. 이렇게 하면 AWS Config 가 예상 사용자만을 대신하여 액세스 권한을 부여받습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSConfigBucketPermissionsCheck",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
},
{
"Sid": "AWSConfigBucketExistenceCheck",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
},
{
"Sid": "AWSConfigBucketDelivery",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
------
1. 버킷 정책에서 다음 값을 바꿉니다.
+ *amzn-s3-demo-bucket* - AWS Config 가 구성 기록 및 스냅샷을 제공하는 Amazon S3 버킷의 이름입니다.
+ *[선택 사항] prefix* - Amazon S3 버킷 안에 폴더 같은 조직을 만들기 위해 객체 키에 선택적으로 추가할 수 있습니다.
+ *sourceAccountID* - AWS Config 가 구성 기록 및 스냅샷을 전송하는 계정의 ID입니다.
1. **저장**을 선택한 후 **닫기**를 선택합니다.
`AWS:SourceAccount` 조건은 AWS Config 작업을 지정으로 제한합니다 AWS 계정. 단일 S3 버킷에 전달하는 조직 내 다중 계정 구성의 경우 서비스 연결 역할 대신 AWS Organizations 조건 키가 있는 IAM 역할을 사용합니다. 예를 들어 `AWS:PrincipalOrgID`입니다. 자세한 내용은 *AWS Organizations 사용 설명서*의 [조직 내 액세스 권한 관리](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html) 섹션을 참조하세요.
`AWS:SourceArn` 조건은 지정된 전송 채널로 AWS Config 작업을 제한합니다. `AWS:SourceArn` 형식은 `arn:aws:config:sourceRegion:123456789012`입니다.
예를 들어 계정 123456789012의 미국 동부(버지니아 북부) 리전에 있는 전송 채널에 대한 S3 버킷 액세스를 제한하려면 다음 조건을 추가합니다.
```
"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:"}
```
## 교차 계정을 전송할 때 Amazon S3 버킷에 필요한 권한
AWS Config 가 구성 기록과 스냅샷을 다른 계정의 Amazon S3 버킷에 전송하도록 구성된 경우(교차 계정 설정), 전송 채널에 지정된 구성 레코더와 S3 버킷이 서로 다른 경우 AWS 계정다음 권한이 필요합니다.
+ 구성 레코더에 할당하는 IAM 역할에는 `s3:ListBucket` 작업을 수행할 수 있는 명시적 권한이 필요합니다. 이는가이 IAM 역할로 Amazon S3 [HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RESTBucketHEAD.html) API를 AWS Config 호출하여 버킷 위치를 결정하기 때문입니다.
+ S3 버킷 정책에는 구성 레코더에 할당된 IAM 역할에 대한 권한이 포함되어야 합니다.
다음은 버킷 정책 구성의 예제입니다.
```
{
"Sid": "AWSConfigBucketExistenceCheck",
"Effect": "Allow",
"Principal": {
"AWS": "IAM Role-Arn assigned to the configuration recorder"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
}
```
# AWS Config 전송 채널의 KMS 키에 대한 권한
S3 버킷 전송을 위해에서 제공하는 객체에 KMS 기반 암호화를 사용할 수 있도록 S3 버킷 AWS Config 의 AWS KMS 키에 대한 정책을 생성하려면이 주제의 정보를 사용합니다.
**Contents**
+ [IAM 역할을 사용할 때 KMS 키에 필요한 권한(S3 버킷 전송)](#required-permissions-s3-kms-key-using-iam-role)
+ [서비스 연결 역할을 사용할 때 AWS KMS 키에 필요한 권한(S3 버킷 전송)](#required-permissions-s3-kms-key-using-servicelinkedrole)
+ [AWS KMS 키에 대한 AWS Config 액세스 권한 부여](#granting-access-s3-kms-key)
## IAM 역할을 사용할 때 KMS 키에 필요한 권한(S3 버킷 전송)
IAM 역할을 AWS Config 사용하여를 설정하는 경우 KMS 키에 다음 권한 정책을 연결할 수 있습니다.
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigKMSPolicy",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Effect": "Allow",
"Resource": "*myKMSKeyARN*",
"Principal": {
"AWS": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
]
}
```
**참고**
IAM 역할, Amazon S3 버킷 정책 또는 AWS KMS 키가에 대한 적절한 액세스를 제공하지 않으면 Amazon S3 버킷으로 구성 정보를 보내 AWS Config AWS Config려는 시도가 실패합니다. 이 경우는 이번에는 AWS Config 서비스 보안 주체로 정보를 다시 AWS Config 전송합니다. 이 경우 아래에 언급된 권한 정책을 AWS KMS 키에 연결하여 Amazon S3 버킷에 정보를 전송할 때 키를 사용할 수 있는 AWS Config 액세스 권한을 부여해야 합니다.
## 서비스 연결 역할을 사용할 때 AWS KMS 키에 필요한 권한(S3 버킷 전송)
AWS Config 서비스 연결 역할에는 AWS KMS 키에 액세스할 수 있는 권한이 없습니다. 따라서 서비스 연결 역할을 AWS Config 사용하여를 설정하면 AWS Config 가 대신 서비스 보안 주체로 AWS Config 정보를 전송합니다. Amazon S3 버킷에 정보를 전송할 때 AWS KMS 키를 사용할 수 있는 액세스 권한을 부여하려면 아래에 언급된 AWS Config 액세스 정책을 AWS KMS 키에 연결해야 합니다.
## AWS KMS 키에 대한 AWS Config 액세스 권한 부여
이 정책은가 Amazon S3 버킷 AWS Config 에 정보를 전송할 때 AWS KMS 키를 사용하도록 허용합니다.
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigKMSPolicy",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "myKMSKeyARN",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
키 정책에서 다음 값을 바꿉니다.
+ *myKMSKeyARN* - 구성 항목을 전달할 Amazon S3 버킷의 데이터를 암호화하는 데 사용되는 AWS KMS 키의 ARN AWS Config 입니다.
+ *sourceAccountID* - AWS Config 가 구성 항목을 전송할 계정의 ID입니다.
위의 AWS KMS 키 정책의 `AWS:SourceAccount` 조건을 사용하여 특정 계정을 대신하여 작업을 수행할 때 Config 서비스 보안 주체가 AWS KMS 키와만 상호 작용하도록 제한할 수 있습니다.
AWS Config 는 특정 AWS Config 전송 채널을 대신하여 작업을 수행할 때 Config 서비스 보안 주체가 Amazon S3 버킷과만 상호 작용하도록 제한하는 `AWS:SourceArn` 조건도 지원합니다. AWS Config 서비스 보안 주체를 사용할 때 `AWS:SourceArn` 속성은 항상 로 설정됩니다. `arn:aws:config:sourceRegion:sourceAccountID:*` 여기서 `sourceRegion`는 전송 채널의 리전이고 `sourceAccountID`는 전송 채널이 포함된 계정의 ID입니다. AWS Config 전송 채널에 대한 자세한 내용은 [전송 채널 관리를 참조하세요](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html). 예를 들어, 다음 조건을 추가하여 Config 서비스 보안 주체가 `123456789012` 계정의 `us-east-1` 리전 전송 채널을 대신해서만 Amazon S3 버킷과 상호 작용하도록 제한할 수 있습니다. `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`.
# Amazon SNS 주제에 대한 권한
**암호화된 Amazon SNS는 지원되지 않음**
AWS Config 는 암호화된 Amazon SNS 주제를 지원하지 않습니다.
이 주제에서는 다른 계정이 소유한 Amazon SNS 주제를 전달 AWS Config 하도록를 구성하는 방법을 설명합니다. Amazon SNS 주제에 알림을 보내는 데 필요한 권한이 있어야 AWS Config 합니다.
AWS Config 콘솔에서 새 Amazon SNS 주제를 생성하면는 필요한 권한을 AWS Config 부여합니다. 기존 Amazon SNS 주제를 선택하는 경우 Amazon SNS 주제에 필요한 권한이 포함되어 있고 보안 모범 사례를 따르는지 확인합니다.
**지원되지 않는 교차 리전 Amazon SNS 주제**
AWS Config 는 현재 동일한 및 계정 AWS 리전 간 액세스만 지원합니다.
**Contents**
+ [IAM 역할을 사용할 때 Amazon SNS 주제에 필요한 권한](#required-permissions-snstopic-in-another-account)
+ [서비스 연결 역할을 사용할 때 Amazon SNS 주제에 필요한 권한](#required-permissions-snstopic-using-servicelinkedrole)
+ [Amazon SNS 주제에 대한 AWS Config 액세스 권한 부여](#granting-access-snstopic)
+ [Amazon SNS 주제 문제 해결](#troubleshooting-for-snstopic-using-servicelinkedrole)
## IAM 역할을 사용할 때 Amazon SNS 주제에 필요한 권한
다른 계정에서 소유한 Amazon SNS 주제에 권한 정책을 연결할 수 있습니다. 다른 계정의 Amazon SNS 주제를 사용하고자 하는 경우, 기존 Amazon SNS 주제에 다음 정책을 연결해야 합니다.
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigSNSPolicy",
"Action": [
"sns:Publish"
],
"Effect": "Allow",
"Resource": "arn:aws:sns:region:account-id:myTopic",
"Principal": {
"AWS": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
]
}
```
`Resource` 키의 경우, *account-id*는 주제 소유자의 AWS 계정 번호입니다. *account-id1*, *account-id2* 및 *account-id3*의 경우 Amazon SNS 주제로 데이터를 전송할 AWS 계정 을 사용합니다. *region* 및 *myTopic*을 적절한 값으로 바꿀 수 있습니다.
가 Amazon SNS 주제에 알림을 AWS Config 보낼 때 먼저 IAM 역할을 사용하려고 시도하지만 역할 또는에 주제에 게시할 권한이 없는 경우이 시도 AWS 계정 는 실패합니다. 이 경우는 이번에는 AWS Config 서비스 보안 주체 이름(SPN)으로 알림을 다시 AWS Config 보냅니다. 게시가 성공하려면 먼저 주제의 액세스 정책이 `sns:Publish`에게 `config.amazonaws.com` 보안 주체 이름에 액세스할 수 있는 권한을 부여해야 합니다. IAM 역할이 주제에 게시할 권한이 없는 경우 다음 섹션에서 설명하는 액세스 정책을 Amazon SNS 주제에 연결하여 AWS Config 에게 Amazon SNS 주제에 액세스할 수 있는 권한을 부여해야 합니다.
## 서비스 연결 역할을 사용할 때 Amazon SNS 주제에 필요한 권한
AWS Config 서비스 연결 역할에는 Amazon SNS 주제에 액세스할 수 있는 권한이 없습니다. 따라서 서비스 연결 역할(SLR)을 AWS Config 사용하여를 설정하면 AWS Config 가 대신 서비스 보안 주체로 AWS Config 정보를 전송합니다. Amazon SNS 주제에 정보를 전송할 수 있는 액세스 권한을 부여하려면 아래에 언급된 AWS Config 액세스 정책을 Amazon SNS 주제에 연결해야 합니다.
동일 계정 설정의 경우, Amazon SNS 주제와 SLR이 동일한 계정에 있고 Amazon SNS 정책이 SLR에게 ‘`sns:Publish`’ 권한을 부여하면 AWS Config SPN을 사용할 필요가 없습니다. 아래의 권한 정책 및 보안 모범 사례 권장 사항은 교차 계정 설정을 위한 것입니다.
## Amazon SNS 주제에 대한 AWS Config 액세스 권한 부여
이 정책은가 Amazon SNS 주제에 알림을 AWS Config 보내도록 허용합니다. 다른 계정에서 Amazon SNS 주제에 대한 AWS Config 액세스 권한을 부여하려면 다음 권한 정책을 연결해야 합니다.
**참고**
보안 모범 사례로 조건에 나열된 계정에 대한 액세스를 제한하여 AWS Config 가 예상 사용자를 대신하여 리소스에 액세스하는지 확인하는 것이 좋습니다`AWS:SourceAccount`.
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigSNSPolicy",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:region:account-id:myTopic",
"Condition" : {
"StringEquals": {
"AWS:SourceAccount": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
}
]
}
```
`Resource` 키의 경우, *account-id*는 주제 소유자의 AWS 계정 번호입니다. *account-id1*, *account-id2* 및 *account-id3*의 경우 Amazon SNS 주제로 데이터를 전송할 AWS 계정 을 사용합니다. *region* 및 *myTopic*을 적절한 값으로 바꿀 수 있습니다.
이전 Amazon SNS 주제 정책의 `AWS:SourceAccount` 조건을 사용하여 특정 계정을 대신하여 작업을 수행할 때 AWS Config 서비스 보안 주체 이름(SPN)이 Amazon SNS 주제와만 상호 작용하도록 제한할 수 있습니다.
AWS Config 는 특정 AWS Config 전송 채널을 대신하여 작업을 수행할 때 서비스 보안 주체 이름(SPN)이 S3 버킷과만 상호 작용하도록 제한 AWS Config 하는 `AWS:SourceArn` 조건도 지원합니다. AWS Config 서비스 보안 주체 이름(SPN)을 사용하는 경우 `AWS:SourceArn` 속성은 항상 로 설정됩니다. `arn:aws:config:sourceRegion:sourceAccountID:*` 여기서 `sourceRegion`는 전송 채널의 리전이고 `sourceAccountID`는 전송 채널이 포함된 계정의 ID입니다. AWS Config 전송 채널에 대한 자세한 내용은 [전송 채널 관리를 참조하세요](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html). 예를 들어, AWS Config 서비스 보안 주체 이름(SPN)이 계정의 `us-east-1` 리전에 있는 전송 채널을 대신하여만 S3 버킷과 상호 작용하도록 제한하려면 다음 조건을 추가합니다`123456789012``"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`.
## Amazon SNS 주제 문제 해결
AWS Config 에는 Amazon SNS 주제에 알림을 보낼 수 있는 권한이 있어야 합니다. Amazon SNS 주제가 알림을 수신할 수 없는 경우 AWS Config 수임 중인 IAM 역할에 필요한 `sns:Publish` 권한이 있는지 확인합니다.
# AWS Config 자격 증명 및 액세스 문제 해결
다음 정보를 사용하여 및 IAM으로 작업할 때 발생할 수 있는 일반적인 문제를 진단 AWS Config 하고 수정할 수 있습니다.
**Topics**
+ [에서 작업을 수행할 권한이 없음 AWS Config](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole을 수행하도록 인증되지 않음](#security_iam_troubleshoot-passrole)
+ [내 외부의 사람이 내 AWS Config 리소스에 액세스 AWS 계정 하도록 허용하고 싶습니다.](#security_iam_troubleshoot-cross-account-access)
## 에서 작업을 수행할 권한이 없음 AWS Config
작업을 수행할 권한이 없다는 오류가 표시되면 작업을 수행할 수 있도록 정책을 업데이트해야 합니다.
다음 예제 오류는 `mateojackson` IAM 사용자가 콘솔을 사용하여 가상 `my-example-widget` 리소스에 대한 세부 정보를 보려고 하지만 가상 `config:GetWidget` 권한이 없을 때 발생합니다.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: config:GetWidget on resource: my-example-widget
```
이 경우 Mateo의 정책은 `config:GetWidget` 작업을 사용하여 `my-example-widget` 리소스에 액세스하도록 허용하도록 업데이트해야 합니다.
도움이 필요한 경우 AWS 관리자에게 문의하세요. 관리자는 로그인 자격 증명을 제공한 사람입니다.
## iam:PassRole을 수행하도록 인증되지 않음
`iam:PassRole` 작업을 수행할 수 있는 권한이 없다는 오류가 수신되면 AWS Config에 역할을 전달할 수 있도록 정책을 업데이트해야 합니다.
일부 AWS 서비스 에서는 새 서비스 역할 또는 서비스 연결 역할을 생성하는 대신 기존 역할을 해당 서비스에 전달할 수 있습니다. 이렇게 하려면 역할을 서비스에 전달할 권한이 있어야 합니다.
다음 예 오류는 `marymajor`라는 IAM 사용자가 콘솔을 사용하여 AWS Config에서 작업을 수행하려고 하는 경우에 발생합니다. 하지만 작업을 수행하려면 서비스 역할이 부여한 권한이 서비스에 있어야 합니다. Mary는 서비스에 역할을 전달할 권한이 없습니다.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
이 경우, Mary가 `iam:PassRole`작업을 수행할 수 있도록 Mary의 정책을 업데이트해야 합니다.
도움이 필요한 경우 AWS 관리자에게 문의하세요. 관리자는 로그인 자격 증명을 제공한 사람입니다.
## 내 외부의 사람이 내 AWS Config 리소스에 액세스 AWS 계정 하도록 허용하고 싶습니다.
다른 계정의 사용자 또는 조직 외부의 사람이 리소스에 액세스할 때 사용할 수 있는 역할을 생성할 수 있습니다. 역할을 수임할 신뢰할 수 있는 사람을 지정할 수 있습니다. 리소스 기반 정책 또는 액세스 제어 목록(ACL)을 지원하는 서비스의 경우, 이러한 정책을 사용하여 다른 사람에게 리소스에 대한 액세스 권한을 부여할 수 있습니다.
자세한 내용은 다음을 참조하세요.
+ 에서 이러한 기능을 AWS Config 지원하는지 여부를 알아보려면 섹션을 참조하세요[AWS Config 에서 IAM을 사용하는 방법](security_iam_service-with-iam.md).
+ 소유 AWS 계정 한의 리소스에 대한 액세스 권한을 제공하는 방법을 알아보려면 [IAM 사용 설명서의 소유한 다른의 IAM 사용자에게 액세스 권한 제공을 참조 AWS 계정 하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html). **
+ 타사에 리소스에 대한 액세스 권한을 제공하는 방법을 알아보려면 *IAM 사용 설명서*의 [타사가 AWS 계정 소유한에 대한 액세스 권한 제공을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) AWS 계정참조하세요.
+ ID 페더레이션을 통해 액세스 권한을 제공하는 방법을 알아보려면 *IAM 사용 설명서*의 [외부에서 인증된 사용자에게 액세스 권한 제공(ID 페더레이션)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)을 참조하세요.
+ 크로스 계정 액세스에 대한 역할과 리소스 기반 정책 사용의 차이점을 알아보려면 *IAM 사용 설명서*의 [IAM의 크로스 계정 리소스 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)를 참조하세요.
# 에 서비스 연결 역할 사용 AWS Config
AWS Config 는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 직접 연결된 고유한 유형의 IAM 역할입니다 AWS Config. 서비스 연결 역할은에서 사전 정의 AWS Config 하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할을 더 AWS Config 쉽게 설정할 수 있습니다.는 서비스 연결 역할의 권한을 AWS Config 정의하며, 달리 정의되지 않은 한 만 해당 역할을 수임 AWS Config 할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조하고 **Service-Linked Role(서비스 연결 역할)** 열에 **Yes(예)**가 있는 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예(Yes)** 링크를 선택합니다.
## 에 대한 서비스 연결 역할 권한 AWS Config
AWS Config 는 **AwsServiceRoleForConfig**라는 서비스 연결 역할을 사용합니다.는이 서비스 연결 역할을 AWS Config 사용하여 사용자를 대신하여 다른 AWS 서비스를 호출합니다. 최신 업데이트를 보려면 [AWS Config AWS 관리형 정책에 대한 업데이트](security-iam-awsmanpol.md#security-iam-awsmanpol-updates) 섹션을 참조하세요.
**AwsServiceRoleForConfig** 서비스 연결 역할은 해당 역할을 수임하는 `config.amazonaws.com` 서비스를 신뢰합니다.
`AwsServiceRoleForConfig` 역할에 대한 권한 정책에는 AWS Config 리소스에 대한 읽기 전용 및 쓰기 전용 권한과가 AWS Config 지원하는 다른 서비스의 리소스에 대한 읽기 전용 권한이 포함됩니다. **AwsServiceRoleForConfig**의 관리형 정책을 보려면 [AWS Config용AWS 관리형 정책](https://docs.aws.amazon.com/config/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSConfigServiceRolePolicy) 섹션을 참조하세요.
IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서**의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) 섹션을 참조하세요.
에서 서비스 연결 역할을 사용하려면 Amazon S3 버킷 및 Amazon SNS 주제에 대한 권한을 구성 AWS Config해야 합니다. 자세한 내용은 [서비스 연결 역할을 사용할 때 Amazon S3 버킷에 필요한 권한교차 계정을 전송할 때 Amazon S3 버킷에 필요한 권한](s3-bucket-policy.md#required-permissions-using-servicelinkedrole), [서비스 연결 역할을 사용할 때 AWS KMS 키에 필요한 권한(S3 버킷 전송)](s3-kms-key-policy.md#required-permissions-s3-kms-key-using-servicelinkedrole), [서비스 연결 역할을 사용할 때 Amazon SNS 주제에 필요한 권한](sns-topic-policy.md#required-permissions-snstopic-using-servicelinkedrole) 섹션을 참조하세요.
## 에 대한 서비스 연결 역할 생성 AWS Config
IAM CLI 또는 IAM API에서 `config.amazonaws.com` 서비스 이름의 서비스 연결 역할을 생성합니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) 섹션을 참조하세요. 이 서비스 연결 역할을 삭제하면 동일한 프로세스를 사용하여 역할을 다시 생성할 수 있습니다.
## 에 대한 서비스 연결 역할 편집 AWS Config
AWS Config 에서는 **AwsServiceRoleForConfig** 서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서**의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
## 에 대한 서비스 연결 역할 삭제 AWS Config
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.
**참고**
리소스를 삭제하려고 할 때 AWS Config 서비스가 역할을 사용하는 경우 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.
****AwsServiceRoleForConfig**에서 사용하는 AWS Config 리소스를 삭제하려면**
따라서 서비스 연결 역할을 사용하여 `ConfigurationRecorders` 이 없는지 확인합니다. AWS Config 콘솔을 사용하여 구성 레코더를 중지할 수 있습니다. 기록을 중지하려면 **Recording is on** 아래에서 **Turn off**를 선택합니다.
AWS Config API를 `ConfigurationRecorder` 사용하여를 삭제할 수 있습니다. 삭제하려면 `delete-configuration-recorder` 명령을 사용합니다.
```
$ aws configservice delete-configuration-recorder --configuration-recorder-name default
```
**IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.**
IAM 콘솔, IAM CLI 또는 IAM API를 사용하여 AwsServiceRoleForConfig 서비스 연결 역할을 삭제합니다. 자세한 내용은 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)의 *서비스 연결 역할 삭제*를 참조하세요.
# 의 인시던트 대응 AWS Config
AWS에서는 보안을 가장 중요하게 생각합니다. AWS 클라우드 [공동 책임 모델의](https://aws.amazon.com/compliance/shared-responsibility-model) 일환으로는 보안에 가장 민감한 조직의 요구 사항을 충족하는 데이터 센터, 네트워크 및 소프트웨어 아키텍처를 AWS 관리합니다. AWS 는 AWS Config 서비스 자체와 관련된 모든 인시던트 대응을 담당합니다. 또한 AWS 고객은 클라우드에서 보안을 유지할 책임이 있습니다. 즉, 액세스 권한이 있는 AWS 도구 및 기능에서 구현하도록 선택한 보안을 제어하고 공동 책임 모델의 사용자 측에서 인시던트 대응을 담당합니다.
클라우드에서 실행되는 애플리케이션의 목표를 충족하는 보안 기준을 설정하면 대응할 수 있는 편차를 감지할 수 있습니다. 보안 인시던트 대응은 복잡한 주제일 수 있으므로 인시던트 대응(IR)과 선택 사항이 기업 목표에 미치는 영향을 더 잘 이해할 수 있도록 다음 리소스를 검토하는 것이 좋습니다. [AWS 보안 인시던트 대응 가이드](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html), [AWS 보안 모범 사례](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc) 백서, [AWS 클라우드 채택 프레임워크(CAF)의 보안 관점 ](https://d1.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf)백서.
# 에 대한 규정 준수 검증 AWS Config
타사 감사자는 여러 AWS 규정 준수 프로그램의 AWS Config 일환으로의 보안 및 규정 준수를 평가합니다. 여기에는 SOC, PCI, FedRAMP, HIPAA 등이 포함됩니다.
AWS 서비스 가 특정 규정 준수 프로그램의 범위 내에 있는지 알아보려면 [AWS 서비스 규정 준수 프로그램 범위 내](https://aws.amazon.com/compliance/services-in-scope/) 참조하고 관심 있는 규정 준수 프로그램을 선택합니다. 일반 정보는 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/).
를 사용하여 타사 감사 보고서를 다운로드할 수 있습니다 AWS Artifact. 자세한 내용은 [Downloading Reports inDownloading AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)을 참조하세요.
사용 시 규정 준수 책임은 데이터의 민감도, 회사의 규정 준수 목표 및 관련 법률과 규정에 따라 AWS 서비스 결정됩니다. 사용 시 규정 준수 책임에 대한 자세한 내용은 [AWS 보안 설명서를](https://docs.aws.amazon.com/security/) AWS 서비스참조하세요.
# 의 복원력 AWS Config
AWS 글로벌 인프라는 AWS 리전 및 가용 영역을 중심으로 구축됩니다. AWS 리전은 물리적으로 분리되고 격리된 여러 가용 영역을 제공하며,이 가용 영역은 지연 시간이 짧고 처리량이 높으며 중복성이 높은 네트워킹과 연결됩니다. 가용 영역을 사용하면 중단 없이 영역 간에 자동으로 장애 극복 조치가 이루어지는 애플리케이션 및 데이터베이스를 설계하고 운영할 수 있습니다. 가용 영역은 기존의 단일 또는 다중 데이터 센터 인프라보다 가용성, 내결함성, 확장성이 뛰어납니다.
AWS 리전 및 가용 영역에 대한 자세한 내용은 [AWS 글로벌 인프라를](https://aws.amazon.com/about-aws/global-infrastructure/) 참조하세요.
# 의 인프라 보안 AWS Config
관리형 서비스인는 AWS 글로벌 네트워크 보안으로 보호 AWS Config 됩니다. AWS 보안 서비스 및가 인프라를 AWS 보호하는 방법에 대한 자세한 내용은 [AWS 클라우드 보안을](https://aws.amazon.com/security/) 참조하세요. 인프라 보안 모범 사례를 사용하여 환경을 설계하려면 *보안 원칙 AWS Well‐Architected Framework*의 [인프라 보호를](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) 참조하세요 AWS .
AWS 게시된 API 호출을 사용하여 네트워크를 AWS Config 통해에 액세스합니다. 클라이언트는 다음을 지원해야 합니다.
+ Transport Layer Security(TLS). TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)와 같은 완전 전송 보안(PFS)이 포함된 암호 제품군. Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.
## 구성 및 취약성 분석
의 경우 게스트 운영 체제(OS) 및 데이터베이스 패치, 방화벽 구성, 재해 복구와 같은 기본 보안 작업을 AWS Config AWS 처리합니다.
# 교차 서비스 혼동된 대리자 방지
혼동된 대리자 문제는 작업을 수행할 권한이 없는 엔터티가 권한이 더 많은 엔터티에게 작업을 수행하도록 강요할 수 있는 보안 문제입니다. 에서 AWS교차 서비스 가장은 혼동된 대리자 문제를 초래할 수 있습니다. 교차 서비스 가장은 한 서비스(*직접 호출하는 서비스*)가 다른 서비스(*직접 호출되는 서비스*)를 직접 호출할 때 발생할 수 있습니다. 직접 호출하는 서비스는 다른 고객의 리소스에 대해 액세스 권한이 없는 방식으로 작동하게 권한을 사용하도록 조작될 수 있습니다. 이를 방지하기 위해 AWS 에서는 계정의 리소스에 대한 액세스 권한이 부여된 서비스 위탁자를 사용하여 모든 서비스에 대한 데이터를 보호하는 데 도움이 되는 도구를 제공합니다.
리소스 정책에서 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 및 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 전역 조건 컨텍스트 키를 사용하여 리소스에 다른 서비스를 AWS Config 제공하는 권한을 제한하는 것이 좋습니다. 하나의 리소스만 교차 서비스 액세스와 연결되도록 허용하려는 경우 `aws:SourceArn`을 사용하세요. 해당 계정의 모든 리소스가 교차 서비스 사용과 연결되도록 허용하려는 경우 `aws:SourceAccount`을(를) 사용합니다.
혼동된 대리자 문제로부터 보호하는 가장 효과적인 방법은 리소스의 전체 ARN이 포함된 `aws:SourceArn` 전역 조건 컨텍스트 키를 사용하는 것입니다. 리소스의 전체 ARN을 모르거나 여러 리소스를 지정하는 경우, ARN의 알 수 없는 부분에 대해 와일드카드 문자(`*`)를 포함한 `aws:SourceArn` 글로벌 조건 컨텍스트 키를 사용합니다. 예를 들어 `arn:aws:servicename:*:123456789012:*`입니다.
만약 `aws:SourceArn` 값에 Amazon S3 버킷 ARN과 같은 계정 ID가 포함되어 있지 않은 경우, 권한을 제한하려면 두 글로벌 조건 컨텍스트 키를 모두 사용해야 합니다.
다음 예제에서는의 `aws:SourceArn` 및 `aws:SourceAccount` 전역 조건 컨텍스트 키를 사용하여 혼동된 대리자 문제를 AWS Config 방지하는 방법을 보여줍니다. [ Amazon S3 버킷에 AWS Config 대한 액세스 권한 부여](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-policy.html).
# 에 대한 보안 모범 사례 AWS Config
AWS Config 는 자체 보안 정책을 개발하고 구현할 때 고려해야 할 여러 보안 기능을 제공합니다. 다음 모범 사례는 일반적인 지침이며 완벽한 보안 솔루션을 나타내지는 않습니다. 이러한 모범 사례는 사용자의 환경에 적절하지 않거나 충분하지 않을 수 있으므로 규정이 아닌 참고용으로만 사용하세요.
+ 태깅을 활용하여 리소스를 AWS Config더 쉽게 관리, 검색 및 필터링할 수 있습니다.
+ [전송 채널](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html)이 제대로 설정되었는지 확인하고 확인되면 AWS Config 가 [제대로 기록](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)되고 있는지 확인합니다.
자세한 내용은 [AWS Config 모범 사례](https://aws.amazon.com/blogs/mt/aws-config-best-practices/) 블로그를 참조하세요.