기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 의 자격 증명 및 액세스 관리 AWS DataSync
AWS 는 보안 자격 증명을 사용하여 사용자를 식별하고 리소스에 대한 AWS 액세스 권한을 부여합니다. AWS Identity and Access Management (IAM)의 기능을 사용하면 보안 자격 증명을 공유하지 않고도 다른 사용자, 서비스 및 애플리케이션이 AWS 리소스를 완전히 또는 제한된 방식으로 사용할 수 있습니다.
기본적으로 IAM 자격 증명(사용자, 그룹 및 역할)에는 AWS 리소스를 생성, 확인 또는 수정할 수 있는 권한이 없습니다. 사용자, 그룹 및 역할이 AWS DataSync 리소스에 액세스하고 DataSync 콘솔 및 API와 상호 작용하도록 허용하려면 필요한 특정 리소스 및 API 작업을 사용할 수 있는 권한을 부여하는 IAM 정책을 사용하는 것이 좋습니다. 그런 다음, 액세스가 필요한 IAM 보안 인증에 정책을 연결합니다. 정책의 기본 요소를 개략적으로 살펴보려면 [에 대한 액세스 관리 AWS DataSync](managing-access-overview.md) 섹션을 참조하십시오.
**Topics**
+ [에 대한 액세스 관리 AWS DataSync](managing-access-overview.md)
+ [AWS 에 대한 관리형 정책 AWS DataSync](security-iam-awsmanpol.md)
+ [에 대한 IAM 고객 관리형 정책 AWS DataSync](using-identity-based-policies.md)
+ [DataSync에 서비스 연결 역할 사용](using-service-linked-roles.md)
+ [생성 중 DataSync 리소스에 태그를 지정하는 권한](supported-iam-actions-tagging.md)
+ [교차 서비스 혼동된 대리인 방지](cross-service-confused-deputy-prevention.md)
# 에 대한 액세스 관리 AWS DataSync
모든 AWS 리소스는에서 소유합니다 AWS 계정. 리소스를 생성하고 액세스할 수 있는 권한은 권한 정책에서 관리합니다. 계정 관리자는 AWS Identity and Access Management (IAM) 자격 증명에 권한 정책을 연결할 수 있습니다. 일부 서비스(예: AWS Lambda)는 리소스에 권한 정책 연결도 지원합니다.
**참고**
*계정 관리자*는 AWS 계정에 대한 관리자 권한을 가진 사용자입니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하십시오.
**Topics**
+ [DataSync 리소스 및 작업](#access-control-specify-datasync-actions)
+ [리소스 소유권 이해](#access-control-owner)
+ [리소스 액세스 관리](#access-control-managing-permissions)
+ [정책 요소 지정: 작업, 효과, 리소스, 보안 주체](#policy-elements)
+ [정책에서 조건 지정](#specifying-conditions)
+ [VPC 엔드포인트 정책 생성](#endpoint-policy-example)
## DataSync 리소스 및 작업
DataSync에서 기본 리소스는 에이전트, 위치, 작업 및 작업 실행입니다.
다음 표에서처럼 이러한 리소스에는 고유한 Amazon 리소스 이름(ARN)이 연계됩니다.
| 리소스 유형 | ARN 형식 |
| --- | --- |
| 에이전트 ARN | `arn:aws:datasync:region:account-id:agent/agent-id` |
| 위치 ARN | `arn:aws:datasync:region:account-id:location/location-id` |
| 작업 ARN | `arn:aws:datasync:region:account-id:task/task-id ` |
| 작업 실행 ARN | `arn:aws:datasync:region:account-id:task/task-id/execution/exec-id` |
작업 생성과 같은 특정 API 작업에 대한 권한을 부여하기 위해 DataSync는 권한 정책에서 지정할 수 있는 일련의 작업을 정의합니다. API 작업에는 둘 이상의 작업에 대한 권한이 필요할 수 있습니다.
## 리소스 소유권 이해
*리소스 소유자*는 리소스를 AWS 계정 생성한 입니다. 즉, 리소스 소유자는 리소스를 생성하는 요청을 인증하는 *보안 주체 엔*터티(예: IAM 역할) AWS 계정 의 입니다. 다음 예에서는 이 행동의 작용 방식을 설명합니다.
+ 의 루트 계정 자격 증명을 사용하여 작업을 AWS 계정 생성하는 경우 AWS 계정 는 리소스의 소유자입니다(DataSync에서 리소스는 작업임).
+ 에서 IAM 역할을 생성하고 해당 사용자에게 `CreateTask` 작업에 대한 권한을 AWS 계정 부여하는 경우 사용자는 작업을 생성할 수 있습니다. 하지만 해당 사용자가 속한 자신의 AWS 계정이 작업 리소스를 소유합니다.
+ 작업을 생성할 권한이 AWS 계정 있는에서 IAM 역할을 생성하는 경우 해당 역할을 수임할 수 있는 사람은 누구나 작업을 생성할 수 있습니다. 역할 AWS 계정이 속한이 작업 리소스를 소유합니다.
## 리소스 액세스 관리
권한 정책은 누가 무엇에 액세스 할 수 있는지를 나타냅니다. 다음 섹션에서는 권한 정책을 만드는 데 사용 가능한 옵션에 대해 설명합니다.
**참고**
이 섹션에서는 DataSync의 맥락에서의 IAM을 사용을 논의합니다. IAM 서비스에 대한 자세한 내용은 다루지 않습니다. IAM 설명서 전체 내용은 *IAM 사용 설명서*의 [IAM이란 무엇입니까?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 단원을 참조하십시오. IAM 정책 구문과 설명에 대한 자세한 내용은 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)의 *AWS Identity and Access Management 정책 참조* 섹션을 참조하십시오.
IAM 보안 인증에 연결된 정책을 *보안 인증 기반* 정책(IAM 정책)이라 하고, 리소스에 연결된 정책을 *리소스 기반* 정책이라고 합니다. DataSync는 보안 인증 기반 정책(IAM 정책)만 지원합니다.
**Topics**
+ [보안 인증 기반 정책](#identity-based-policies)
+ [리소스 기반 정책](#resource-based-policies)
### 보안 인증 기반 정책
IAM 정책을 사용하여 DataSync 리소스 액세스를 관리할 수 있습니다. 이러한 정책은 AWS 계정 관리자가 DataSync를 사용하여 다음을 수행하는 데 도움이 될 수 있습니다.
+ **DataSync 리소스를 생성하고 관리할 수 있는 권한 부여** -의 IAM 역할이 에이전트, 위치 및 작업과 같은 DataSync 리소스를 생성하고 관리할 AWS 계정 수 있도록 허용하는 IAM 정책을 생성합니다.
+ **다른 AWS 계정 또는의 역할에 권한 부여 AWS 서비스** - 다른 AWS 계정 또는의 IAM 역할에 권한을 부여하는 IAM 정책을 생성합니다 AWS 서비스. 예제:
1. 계정 A 관리자는 IAM 역할을 생성하고 계정 A의 리소스에 대한 권한을 부여하는 역할에 권한 정책을 연결합니다.
1. 계정 A 관리자는 계정 B를 역할을 수임할 보안 주체로 식별하는 역할에 신뢰 정책을 연결합니다.
역할을 수임할 수 있는 AWS 서비스 권한을 부여하기 위해 계정 A 관리자는 신뢰 정책의 보안 주체 AWS 서비스 로를 지정할 수 있습니다.
1. 그런 다음 계정 B 관리자는 계정 B의 모든 사용자에게 역할을 맡을 수 있는 권한을 위임할 수 있습니다. 이렇게 하면 계정 B에서 역할을 사용하는 모든 사용자가 계정 A에서 리소스를 만들거나 액세스할 수 있습니다.
IAM을 사용하여 권한을 위임하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*의 [액세스 관리](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) 단원을 참조하십시오.
다음은 모든 리소스의 모든 `List*`작업에 대한 권한을 부여하는 정책의 예시입니다. 이 작업은 읽기 전용 작업이며 리소스 수정이 허용되지 않습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllListActionsOnAllResources",
"Effect": "Allow",
"Action": [
"datasync:List*"
],
"Resource": "*"
}
]
}
```
------
[DataSync에서 보안 인증 기반 정책을 사용하는 방법에 대한 자세한 내용은 관리형 정책 및 고객 [AWS 관리형](security-iam-awsmanpol.md) 정책을 참조하세요.](using-identity-based-policies.md) IAM에 대한 일반적인 내용은 [https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)를 참조하십시오.
### 리소스 기반 정책
Amazon S3과 같은 다른 서비스는 리소스 기반 권한 정책을 지원합니다. 예를 들어 Amazon S3 버킷에 정책을 연결하여 해당 버킷에 대한 액세스 권한을 관리할 수 있습니다. 그러나 DataSync는 리소스 기반 정책을 지원하지 않습니다.
## 정책 요소 지정: 작업, 효과, 리소스, 보안 주체
각 DataSync 리소스에 대해, 해당 서비스는 API 작업 세트를 정의합니다([작업](https://docs.aws.amazon.com/datasync/latest/userguide/API_Operations.html) 참조). 이러한 API 작업에 대한 권한을 부여하기 위해 DataSync는 귀하가 정책에서 지정할 수 있는 작업을 정의합니다. 예를 들어 `CreateTask` DataSync 리소스에 대해 `DeleteTask` 및 `DescribeTask`작업을 정의합니다. API 작업을 실시하려면 둘 이상의 작업에 대한 권한이 필요할 수 있습니다.
다음은 가장 기본적인 정책 요소입니다.
+ **리소스** – 정책에서 Amazon 리소스 이름(ARN)을 사용하여 정책을 적용할 리소스를 식별합니다. DataSync 리소스의 경우에는`(*)` IAM 정책에 와일드카드 문자를 사용할 수 있습니다. 자세한 설명은 [DataSync 리소스 및 작업](#access-control-specify-datasync-actions)섹션을 참조하세요.
+ **작업** – 작업 키워드를 사용하여 허용 또는 거부할 리소스 작업을 식별합니다. 예를 들면, 지정된 `Effect`요소에 따라 `datasync:CreateTask`권한은 DataSync `CreateTask`작업을 수행할 수 있는 사용자 권한을 허용하거나 거부합니다.
+ **결과** – 사용자가 특정 작업을 요청하는 경우의 결과를 귀하가 지정합니다. 이는 `Allow`또는 `Deny`중에 하나가 될 수 있습니다. 리소스에 대한 액세스 (`Allow`) 권한을 명시적으로 부여하지 않으면 액세스가 묵시적으로 거부됩니다. 다른 정책에서 액세스 권한을 부여하는 경우라도 귀하는 사용자가 해당 리소스에 액세스할 수 없도록 하기 위해 리소스에 대한 사용자 액세스 권한을 명시적으로 거부할 수도 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [권한 부여](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization)를 참조하십시오.
+ **보안 주체** – 보안 인증 기반 정책(IAM 정책)에서 정책이 연결되는 사용자는 암시적인 보안 주체입니다. 리소스 기반 정책의 경우, 사용자, 계정, 서비스 또는 권한의 수신자인 기타 개체를 지정합니다(리소스 기반 정책에만 해당). DataSync는 리소스 기반 정책을 지원하지 않습니다.
IAM 정책 구문과 설명에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS Identity and Access Management 정책 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)를 참조하십시오.
## 정책에서 조건 지정
권한을 부여할 때 IAM 정책 언어를 사용하여 정책이 적용되는 조건을 지정할 수 있습니다. 예를 들어, 특정 날짜 이후에만 정책을 적용할 수 있습니다. 정책 언어에서의 조건 지정에 관한 자세한 내용은 *IAM 사용 설명서*의 [조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition)을 참조하십시오.
조건을 표시하려면 미리 정의된 조건 키를 사용합니다. DataSync에만 해당되는 특정한 조건 키는 없습니다. 그러나 필요에 따라 사용할 수 있는 AWS 광범위한 조건 키가 있습니다. 전체 AWS 와이드 키 목록은 *IAM 사용 설명서*의 [사용 가능한 키를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) 참조하세요.
## VPC 엔드포인트 정책 생성
VPC 엔드포인트 정책은 DataSync VPC 서비스 엔드포인트 및 FIPS 지원 VPC 서비스 엔드포인트를 통해 DataSync API 작업에 대한 액세스를 제어하는 데 도움이 됩니다. VPC 엔드포인트 정책을 사용하면 `CreateTask` 또는 `StartTaskExecution`과 같은 VPC 서비스 엔드포인트를 통해 액세스하는 특정 DataSync API 작업을 제한할 수 있습니다.
엔드포인트 정책은 다음 정보를 지정합니다.
+ 작업을 수행할 수 있는 보안 주체.
+ 수행할 수 있는 작업
+ 작업을 수행할 수 있는 리소스
자세한 정보는 [엔드포인트 정책을 사용하여 VPC 엔드포인트에 대한 액세스 제어](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)를 참조하세요.
**예제 정책**
다음은 엔드포인트 정책의 예입니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"datasync:CreateTask",
"datasync:StartTaskExecution",
"datasync:DescribeTask"
],
"Resource": "arn:aws:datasync:us-east-1:123456789012:task/*"
}
]
}
```
# AWS 에 대한 관리형 정책 AWS DataSync
사용자, 그룹 및 역할에 권한을 추가하려면 직접 정책을 작성하는 것보다 AWS 관리형 정책을 사용하는 것이 더 쉽습니다. 팀에 필요한 권한만 제공하는 [IAM 고객 관리형 정책을 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)하기 위해서는 시간과 전문 지식이 필요합니다. 빠르게 시작하려면 AWS 관리형 정책을 사용할 수 있습니다. 이 정책은 일반적인 사용 사례를 다루며 사용자의 AWS 계정에서 사용할 수 있습니다. AWS 관리형 정책에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책을](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) 참조하세요.
AWS 서비스 AWS 관리형 정책을 유지 관리하고 업데이트합니다. AWS 관리형 정책에서는 권한을 변경할 수 없습니다. 서비스에서 때때로 추가 권한을 AWS 관리형 정책에 추가하여 새로운 기능을 지원합니다. 이 유형의 업데이트는 정책이 연결된 모든 ID(사용자, 그룹 및 역할)에 적용됩니다. 서비스는 새로운 기능이 시작되거나 새 작업을 사용할 수 있을 때 AWS 관리형 정책에 업데이트됩니다. 서비스는 AWS 관리형 정책에서 권한을 제거하지 않으므로 정책 업데이트로 인해 기존 권한이 손상되지 않습니다.
또한 여러 서비스에 걸쳐 있는 직무에 대한 관리형 정책을 AWS 지원합니다. 예를 들어 관리`ReadOnlyAccess` AWS 형 정책은 모든 AWS 서비스 및 리소스에 대한 읽기 전용 액세스를 제공합니다. 서비스가 새 기능을 시작하면는 새 작업 및 리소스에 대한 읽기 전용 권한을 AWS 추가합니다. 직무 정책의 목록과 설명은 *IAM 사용 설명서*의 [직무에 관한AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)을 참조하세요.
## AWS 관리형 정책: AWSDataSyncReadOnlyAccess
`AWSDataSyncReadOnlyAccess` 정책을 IAM ID에 연결할 수 있습니다. 이 정책은 DataSync에 대한 읽기 전용 권한을 부여합니다.
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*의 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncReadOnlyAccess.html)를 참조하세요.
## AWS 관리형 정책: AWSDataSyncFullAccess
`AWSDataSyncFullAccess` 정책을 IAM ID에 연결할 수 있습니다. 이 정책은 DataSync에 대한 관리 권한을 부여하며 서비스에 AWS Management Console 액세스하는 데 필요합니다.는 DataSync API 작업 및 관련 리소스(예: Amazon S3 버킷, Amazon EFS 파일 시스템, AWS KMS 키 및 Secrets Manager 보안 암호)와 상호 작용하는 작업에 대한 전체 액세스를 `AWSDataSyncFullAccess` 제공합니다. 또한 이 정책은 로그 그룹 생성, 리소스 정책 생성 또는 업데이트를 포함하여 Amazon CloudWatch에 대한 권한을 부여합니다.
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*의 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncFullAccess.html)를 참조하세요.
## AWS 관리형 정책: AWSDataSyncServiceRolePolicy
`AWSDataSyncServiceRolePolicy` 정책을 IAM 자격 증명에 연결할 수 없습니다. 이 정책은 서비스 연결 역할에 연결되어 DataSync에서 사용자를 대신하여 작업을 수행하도록 허용합니다. 자세한 내용은 [DataSync에 서비스 연결 역할 사용](using-service-linked-roles.md) 단원을 참조하십시오.
이 정책은 관리 권한을 부여하여 서비스 연결 역할이 확장 모드를 사용하여 DataSync 작업에 대한 Amazon CloudWatch Logs를 생성하도록 허용합니다.
## 정책 업데이트
| 변경 | 설명 | Date |
| --- | --- | --- |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess) - 변경 사항 | DataSync가 `AWSDataSyncFullAccess`에 대한 권한 문을 다음과 같이 수정했습니다. 업데이트된 문은 DataSync가 Secrets Manager 보안 암호 생성 시 사용하는 권한에서 태그 지정 조건을 제거하였습니다. | 2025년 5월 13일 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess) - 변경 사항 | DataSync는 `AWSDataSyncFullAccess`에 새로운 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/datasync/latest/userguide/security-iam-awsmanpol.html) 이러한 권한에 따라 DataSync는 AWS Secrets Manager 보안 암호를 생성, 편집, 삭제할 수 있습니다. | 2025년 5월 7일 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess) - 변경 사항 | DataSync는 `AWSDataSyncFullAccess`에 새로운 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/datasync/latest/userguide/security-iam-awsmanpol.html) 이러한 권한을 통해 DataSync는 AWS KMS 키와 연결된 별칭을 AWS Secrets Manager 포함하여 보안 암호 및 키에 대한 메타데이터를 검색할 수 있습니다. | 2025년 4월 23일 |
| [AWSDataSyncServiceRolePolicy](#security-iam-awsmanpol-awsdatasyncservicerolepolicy) - 변경 사항 | DataSync는 DataSync 서비스 연결 역할 `AWSServiceRoleForDataSync`에서 사용하는 `AWSDataSyncServiceRolePolicy` 정책에 새 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/datasync/latest/userguide/security-iam-awsmanpol.html) 이러한 권한을 통해 DataSync는에서 관리하는 보안 암호의 메타데이터와 값을 읽을 수 있습니다 AWS Secrets Manager. | 2025년 4월 15일 |
| [AWSDataSyncServiceRolePolicy](#security-iam-awsmanpol-awsdatasyncservicerolepolicy) - 새 정책 | DataSync는 DataSync 서비스 연결 역할 `AWSServiceRoleForDataSync`에서 사용하는 정책을 추가했습니다. 이 새로운 관리형 정책은 확장 모드를 사용하는 DataSync 작업에 대해 Amazon CloudWatch Logs를 자동으로 생성합니다. | 2024년 10월 30일 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess) - 변경 사항 | DataSync는 `AWSDataSyncFullAccess`에 새로운 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/datasync/latest/userguide/security-iam-awsmanpol.html) 이 권한에 따라 DataSync는 사용자를 위한 서비스 연결 역할을 생성할 수 있습니다. | 2024년 10월 30일 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess) - 변경 사항 | DataSync는 `AWSDataSyncFullAccess`에 새로운 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/datasync/latest/userguide/security-iam-awsmanpol.html) 이 권한을 사용하면 AWS 리전간 전송을 위한 DataSync 작업을 생성할 때 옵트인 리전을 선택할 수 있습니다. | 2024년 7월 22일 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess) - 변경 사항 | DataSync는 `AWSDataSyncFullAccess`에 새로운 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/datasync/latest/userguide/security-iam-awsmanpol.html) 이 권한을 사용하면 [DataSync 매니페스트](transferring-with-manifest.md)의 특정 버전을 선택할 수 있습니다. | 2024년 2월 16일 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess) - 변경 사항 | DataSync는 `AWSDataSyncFullAccess`에 새로운 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/datasync/latest/userguide/security-iam-awsmanpol.html) 이러한 권한은 Amazon EFS, Amazon FSx for NetApp ONTAP, Amazon S3, S3 on Outposts에 대한 DataSync 에이전트 및 위치를 생성하는 데 도움이 됩니다. | 2023년 5월 2일 |
| DataSync가 변경 사항 추적 시작 | DataSync는 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. | 2021년 3월 1일 |
# 에 대한 IAM 고객 관리형 정책 AWS DataSync
AWS 관리형 정책 외에도에 대한 자체 자격 증명 기반 정책을 생성하고 이러한 권한이 필요한 AWS Identity and Access Management (IAM) 자격 증명에 AWS DataSync 연결할 수도 있습니다. 이들은 *고객 관리형 정책*이라 하며, 이는 귀하가 자신의 AWS 계정에서 관리하는 독립형 정책입니다.
**중요**
시작하기 전에 DataSync 리소스에 대한 액세스 관리를 위한 기본 개념과 옵션에 대해 알아보는 것이 좋습니다. 자세한 내용은 [에 대한 액세스 관리 AWS DataSync](managing-access-overview.md) 단원을 참조하십시오.
고객 관리형 정책을 생성할 때 특정 AWS 리소스에서 사용할 수 있는 DataSync 작업에 대한 문을 포함합니다. 다음 정책 예제에는 두 개의 진술이 있습니다(각 진술 내 `Action`및 `Resource`요소에 주목).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsSpecifiedActionsOnAllTasks",
"Effect": "Allow",
"Action": "datasync:DescribeTask",
"Resource": "arn:aws:datasync:us-east-1:111122223333:task/*"
},
{
"Sid": "ListAllTasks",
"Effect": "Allow",
"Action": "datasync:ListTasks",
"Resource": "*"
}
]
}
```
------
정책의 진술은 다음을 수행합니다.
+ 첫 번째 진술은 Amazon 리소스 이름(ARN)을 와일드카드 문자(`*`)로 지정하여 특정 전송 작업 리소스에서 `datasync:DescribeTask`작업을 수행할 권한을 부여합니다.
+ 두 번째 진술은 와일드카드 문자(`*`)만 지정하여 모든 작업에 대해 `datasync:ListTasks`작업을 수행할 권한을 부여합니다.
## 고객 관리형 정책에 대한 예제입니다.
다음은 다양한 DataSync 작업에 대한 권한을 부여하는 고객 관리형 정책의 예입니다. 정책은 AWS Command Line Interface (AWS CLI) 또는 AWS SDK를 사용하는 경우 작동합니다. 콘솔에서 이러한 정책을 사용하려면 관리형 정책`AWSDataSyncFullAccess`도 사용해야 합니다.
**Topics**
+ [예제 1: DataSync가 Amazon S3버킷에 액세스할 수 있도록 허용하는 신뢰 관계 생성](#datasync-example1)
+ [예제 2: DataSync가 Amazon S3 버킷에 읽기 및 쓰기를 할 수 있도록 허용](#datasync-example2)
+ [예제 3: DataSync가 CloudWatch 로그 그룹에 로그를 업로드하도록 허용](#datasync-example4)
### 예제 1: DataSync가 Amazon S3버킷에 액세스할 수 있도록 허용하는 신뢰 관계 생성
다음은 DataSync가 IAM 역할을 담당하도록 허용하는 신뢰 정책의 예입니다. 이 역할을 통해 DataSync는 Amazon S3 버킷에 액세스할 수 있습니다. [서비스 간 혼동되는 대리인 문제](cross-service-confused-deputy-prevention.md)를 방지하려면 정책에서 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)및 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)글로벌 조건 컨텍스트 키를 사용하는 것이 좋습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111111111111"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-1:111111111111:*"
}
}
}
]
}
```
------
### 예제 2: DataSync가 Amazon S3 버킷에 읽기 및 쓰기를 할 수 있도록 허용
다음 예제 정책은 DataSync에 대상 위치로 사용되는 S3 버킷에 데이터를 읽고 쓸 수 있는 최소 권한을 부여합니다.
**참고**
`aws:ResourceAccount`의 값은 정책에 명시된 Amazon S3 버킷을 소유한 계정의 ID여야 합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectTagging"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
### 예제 3: DataSync가 CloudWatch 로그 그룹에 로그를 업로드하도록 허용
DataSync는 로그를 Amazon CloudWatch Logs 그룹에 업로드할 수 있는 권한을 요구합니다. CloudWatch 로그 그룹을 사용하면 작업을 모니터링하고 디버깅할 수 있습니다.
이러한 권한을 부여하는 IAM 정책의 예는 [DataSync가 CloudWatch 로그 그룹에 로그를 업로드하도록 허용](configure-logging.md#cloudwatchlogs)섹션을 참조하십시오.
# DataSync에 서비스 연결 역할 사용
AWS DataSync 는 AWS Identity and Access Management (IAM) [ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 DataSync에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 DataSync에서 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
**Topics**
+ [DataSync에 역할 사용](using-service-linked-roles-service-action-2.md)
# DataSync에 역할 사용
AWS DataSync 는 AWS Identity and Access Management (IAM) [서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 DataSync에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 DataSync에서 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
서비스 연결 역할을 사용하면 필요한 권한을 수동으로 추가할 필요가 없으므로 DataSync를 더 쉽게 설정할 수 있습니다. DataSync에서 서비스 연결 역할의 권한을 정의하므로 다르게 정의되지 않은 한, DataSync만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
먼저 관련 리소스를 삭제한 후에만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 부주의로 삭제할 수 없기 때문에 DataSync 리소스가 보호됩니다.
서비스 연결 역할을 지원하는 다른 서비스에 대한 자세한 내용은 [AWS IAM으로 작업하는 서비스를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 참조하고 **서비스 연결 역할** 열에서 **예**인 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예** 링크를 선택합니다.
## DataSync에 대한 서비스 연결 역할 권한
DataSync는 **AWSServiceRoleForDataSync**라는 서비스 연결 역할을 사용합니다. DataSync는에서 보안 암호 읽기 AWS Secrets Manager, CloudWatch 로그 그룹 및 이벤트 생성 등 전송 작업 실행에 필요한 작업을 수행할 수 있습니다.
AWSServiceRoleForDataSync 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `datasync.amazonaws.com`
서비스 연결 역할은 [AWSDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdatasyncservicerolepolicy)라는 AWS 관리형 정책을 사용하며, 이를 통해 DataSync는 지정된 리소스에서 다음 작업을 완료할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "DataSyncCloudWatchLogCreateAccess",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream"
],
"Resource": [
"arn:*:logs:*:*:log-group:/aws/datasync*"
]
},
{
"Sid": "DataSyncCloudWatchLogStreamUpdateAccess",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:*:logs:*:*:log-group:/aws/datasync*:log-stream:*"
]
},
{
"Sid": "DataSyncSecretsManagerReadAccess",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:*:secretsmanager:*:*:secret:aws-datasync!*"
],
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/aws:secretsmanager:owningService": "aws-datasync",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
사용자, 그룹 또는 역할이 서비스 연결 역할을 생성, 편집 또는 삭제할 수 있도록 사용 권한을 구성해야 합니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)을 참조하세요.
## DataSyn 에 대한 서비스 연결 역할 생성
서비스 연결 역할은 수동으로 생성할 필요가 없습니다. AWS Management Console AWS CLI, 또는 AWS API에서 DataSync 작업을 생성하면 DataSync가 서비스 연결 역할을 생성합니다.
AWS CLI 또는 AWS API에서 서비스 이름으로 `datasync.amazonaws.com` 서비스 연결 역할을 생성할 수 있습니다. 자세한 내용은 *IAM 사용자 설명서*의 [서비스 연결 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) 섹션을 참조하세요. 이 서비스 연결 역할을 삭제하면 동일한 프로세스를 사용하여 역할을 다시 생성할 수 있습니다.
이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. DataSync 작업을 생성할 때 DataSync는 사용자를 위해 서비스 연결 역할을 다시 생성합니다.
이 서비스 연결 역할을 삭제한 후 동일한 IAM 프로세스를 사용하여 역할을 다시 생성할 수 있습니다.
## DataSync에 대한 서비스 연결 역할 편집
DataSync는 AWSServiceRoleForDataSync 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
## DataSync에 대한 서비스 연결 역할 삭제
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 연결 역할을 정리해야 수동으로 삭제할 수 있습니다.
### 서비스 연결 역할을 정리
IAM을 사용하여 서비스 연결 역할을 삭제하기 전에 먼저 역할에서 사용되는 리소스를 삭제해야 합니다.
**참고**
리소스를 삭제하려 할 때 DataSync 서비스가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.
**AWSServiceRoleForDataSync에서 사용하는 DataSync 리소스를 삭제하는 방법**
1. 작업에서 사용하는 [DataSync 에이전트를 삭제](clean-up.md#deleting-agent)합니다(있는 경우).
1. [작업의 위치를 삭제](clean-up.md#deleting-location)합니다.
1. [작업을 삭제](clean-up.md#delete-task)합니다.
### 수동으로 서비스 연결 역할 삭제
IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 AWSServiceRoleForDataSync 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)**를 참조하십시오.
## DataSync 서비스 연결 역할이 지원되는 리전
DataSync는 서비스를 사용할 수 있는 모든 리전에 서비스 연결 역할을 사용하도록 지원합니다. 자세한 내용은 [AWS 리전 및 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/rande.html) 단원을 참조하세요.
# 생성 중 DataSync 리소스에 태그를 지정하는 권한
일부 리소스 생성 AWS DataSync API 작업을 사용하면 리소스를 생성할 때 태그를 지정할 수 있습니다. 리소스 태그를 사용하여 속성 기반 액세스 제어(ABAC)를 구현할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [ ABAC란 무엇입니까 AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)를 참조하세요.
사용자가 생성 시 리소스에 태그를 지정할 수 있으려면 리소스를 생성하는 작업을 사용할 권한이 있어야 합니다(예: `datasync:CreateAgent`또는 `datasync:CreateTask`). 리소스 생성 작업에서 태그가 지정되면 사용자는 `datasync:TagResource`작업을 사용할 명시적 권한도 가지고 있어야 합니다.
`datasync:TagResource` 작업은 리소스 생성 작업 도중 태그가 적용되는 경우에만 평가됩니다. 따라서 리소스를 생성할 권한이 있는 사용자(태그 지정 조건은 없다고 가정)는 요청에서 태그가 지정되지 않은 경우, `datasync:TagResource`작업을 사용할 권한이 필요하지 않습니다.
하지만 사용자가 태그를 사용하여 리소스 생성을 시도하는 경우, 사용자에게 `datasync:TagResource`작업을 사용할 권한이 없다면 요청은 실패합니다.
## IAM 정책 진술의 예제
다음 예제 IAM 정책 문을 사용하여 DataSync 리소스를 생성하는 사용자에게 `TagResource`권한을 부여합니다.
다음 명령문을 사용하면 에이전트를 생성할 때 DataSync 에이전트에 태그를 지정할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:444455556666:agent/*"
}
]
}
```
------
다음 명령문을 사용하면 위치를 생성할 때 DataSync 위치에 태그를 지정할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:111122223333:location/*"
}
]
}
```
------
다음 명령문을 사용하면 사용자가 작업을 생성할 때 DataSync 작업에 태그를 지정할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:444455556666:task/*"
}
]
}
```
------
# 교차 서비스 혼동된 대리인 방지
혼동된 대리자 문제는 작업을 수행할 권한이 없는 엔터티가 권한이 더 많은 엔터티에게 작업을 수행하도록 강요할 수 있는 보안 문제입니다. 에서 AWS교차 서비스 가장은 혼동된 대리자 문제를 초래할 수 있습니다. 교차 서비스 가장은 한 서비스(*직접 호출하는 서비스*)가 다른 서비스(*직접 호출되는 서비스*)를 직접 호출할 때 발생할 수 있습니다. 직접 호출하는 서비스는 다른 고객의 리소스에 대해 액세스 권한이 없는 방식으로 작동하게 권한을 사용하도록 조작될 수 있습니다. 이를 방지하기 위해 AWS 에서는 계정의 리소스에 대한 액세스 권한이 부여된 서비스 위탁자를 사용하여 모든 서비스에 대한 데이터를 보호하는 데 도움이 되는 도구를 제공합니다.
리소스 정책에서 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 및 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 전역 조건 컨텍스트 키를 사용하여 리소스에 다른 서비스를 AWS DataSync 제공하는 권한을 제한하는 것이 좋습니다. 두 전역 조건 컨텍스트 키와 계정을 포함한 `aws:SourceArn` 값을 모두 사용하는 경우, `aws:SourceAccount` 값 및 `aws:SourceArn` 값의 계정은 동일한 정책 명령문에서 사용할 경우 반드시 동일한 계정 ID를 사용해야 합니다. 하나의 리소스만 교차 서비스 액세스와 연결되도록 허용하려는 경우 `aws:SourceArn`을 사용하세요. 해당 계정의 모든 리소스가 교차 서비스 사용과 연결되도록 하려면 `aws:SourceAccount`를 사용하세요.
`aws:SourceArn`의 값에는 DataSync가 IAM 역할을 수임할 수 있도록 허용되는 DataSync 위치 ARN이 포함되어야 합니다.
혼동된 대리자 문제로부터 보호하는 가장 효과적인 방법은 리소스의 전체 ARN이 포함된 `aws:SourceArn` 키를 사용하는 것입니다. 전체 ARN을 모르거나 여러 리소스를 지정하는 경우, 알 수 없는 부분에 대해 와일드카드 문자(`*`)를 사용합니다. 다음은 DataSync에서 사용하는 방법의 예입니다.
+ 신뢰 정책을 기존 DataSync 위치로 제한하려면 정책에 전체 위치 ARN을 포함합니다. DataSync는 특정 위치를 처리할 때만 IAM 역할을 맡습니다.
+ DataSync용 Amazon S3 위치를 생성할 때는 해당 위치의 ARN을 알 수 없습니다. 이러한 시나리오에서는 `aws:SourceArn`키에 다음 형식을 사용하세요: `arn:aws:datasync:us-east-2:123456789012:*`. 이 형식은 파티션(`aws`), 계정 ID 및 리전의 유효성을 검사합니다.
다음 전체 예는 신뢰 정책에 `aws:SourceArn`및 `aws:SourceAccount`전역 조건 컨텍스트 키를 DataSync와 함께 사용하여 혼동된 대리인 문제를 방지하는 방법을 보여줍니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
}
}
}
]
}
```
------
`aws:SourceArn` 및 `aws:SourceAccount`전역 조건 컨텍스트 키를 DataSync와 함께 사용하는 방법을 보여주는 추가 예는 다음 주제를 참조하세요.
+ [DataSync가 사용자 Amazon S3 버킷에 액세스할 수 있도록 허용하는 신뢰 관계 생성](using-identity-based-policies.md#datasync-example1)
+ [Amazon S3 버킷에 액세스할 IAM 역할을 구성합니다](create-s3-location.md#create-role-manually)