에 대한 액세스 관리AWS DataSync - AWS DataSync
DataSync 리소스 및 작업리소스 소유권 이해리소스 액세스 관리정책 요소 지정: 작업, 효과, 리소스, 보안 주체정책에서 조건 지정

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에 대한 액세스 관리AWS DataSync

모든AWS 리소스는 가AWS 계정 소유합니다. 리소스를 생성하고 액세스할 수 있는 권한은 권한 정책에서 관리합니다. 계정 관리자는 권한 정책을AWS Identity and Access Management (IAM) ID에 연결할 수 있습니다. AWS Lambda 같은 일부 서비스에서도 권한 정책을 리소스에 연결할 수 있습니다.

참고

계정 관리자는 에서 관리자 권한이 있는 사용자입니다AWS 계정. 자세한 내용은 IAM 사용 설명서IAM 모범 사례를 참조하세요.

DataSync 리소스 및 작업

에서DataSync 기본 리소스는 에이전트, 위치, 작업 및 작업 실행입니다.

다음 표에서처럼 이러한 리소스에는 고유한 Amazon Resource Name(ARN)이 연결됩니다.

리소스 유형 ARN 형식

에이전트 ARN

arn:aws:datasync:region:account-id:agent/agent-id
위치 ARN

arn:aws:datasync:region:account-id:location/location-id
작업 ARN

arn:aws:datasync:region:account-id:task/task-id

태스크 실행 ARN

arn:aws:datasync:region:account-id:task/task-id/execution/exec-id

특정 API 작업에 대한 권한을 부여하기 위해 권한 정책에서 지정할 수 있는 작업을DataSync 정의합니다. API 작업에는 둘 이상의 작업에 대한 권한이 필요할 수 있습니다. 모든DataSync API 작업 및 해당 작업이 적용되는 리소스 목록은 섹션을 참조하세요DataSyncAPI 권한: 작업 및 리소스.

리소스 소유권 이해

리소스 소유자는 리소스를AWS 계정 생성하는 사람입니다. 즉, 리소스 소유자는 리소스를 생성하는 요청을 인증하는 보안 주체 엔터티 (예: IAM 역할) 입니다.AWS 계정 다음 예시에서는 이러한 동작의 작동 방식을 보여줍니다.

  • 의 루트 계정 자격 증명을 사용하여 작업을 생성하는 경우DataSync, 사용자가AWS 계정 리소스 소유자가 됩니다.AWS 계정

  • 에서 IAM 역할을 생성하고 해당AWS 계정 사용자에게 작업에 대한 권한을 부여하면 해당 사용자가 작업을 생성할 수 있습니다.CreateTask 하지만 태스크 리소스 소유합니다.AWS 계정

  • 작업을 생성할 권한이AWS 계정 있는 IAM 역할을 생성하는 경우 해당 역할을 담당할 수 있으면 누구나 작업을 생성할 수 있습니다. 역할이 속한 사용자가AWS 계정 태스크 리소스를 소유합니다.

리소스 액세스 관리

권한 정책은 누가 무엇에 액세스 할 수 있는지를 나타냅니다. 다음 섹션에서는 권한 정책을 만드는 데 사용 가능한 옵션에 대해 설명합니다.

참고

이 섹션에서는 DataSync의 맥락에서 IAM을 사용하는 방법에 대해 설명하며, IAM 서비스에 대한 자세한 정보는 다루지 않습니다. IAM 설명서 전체 내용은 IAM 사용 설명서IAM이란 무엇인가요? 단원을 참조하세요. IAM 정책 구문과 설명에 대한 자세한 내용은 IAM 사용 가능한 Guide Guide 의 AWS Identity and Access ManagementPolicy Reference 를 참조하십시오.

IAM 자격 증명에 연결된 정책을 자격 증명 기반 정책(IAM 정책)이라 하고, 리소스에 연결된 정책을 리소스 기반 정책이라고 합니다. DataSync은 자격 증명 기반 정책(IAM 정책)만 지원합니다.

자격 증명 기반 정책

IAM 정책으로DataSync 리소스 액세스를 관리할 수 있습니다. 이러한 정책은AWS 계정 관리자가 다음과 같은 작업을 수행하는 데 도움이 될 수 있습니다DataSync.

  • DataSync리소스 생성 및 관리 권한 부여 — IAM 역할을 통해 에이전트, 위치, 작업 등의DataSync 리소스를 생성하고 관리할 수AWS 계정 있는 IAM 정책을 생성합니다.

  • 다른 역할 AWS 계정또는 다른 역할에 권한 부여AWS 서비스 — 다른 역할AWS 계정 또는 다른 역할의 IAM 역할에 권한을 부여하는 IAM 정책을 생성합니다AWS 서비스. 예시:

    1. 계정 A 관리자는 IAM 역할을 생성하고 계정 A의 리소스에 대한 권한을 부여하는 역할에 권한 정책을 연결합니다.

    2. 계정 A 관리자는 계정 B를 해당 역할을 수임할 수 있는 보안 주체로 식별하는 역할에 신뢰 정책을 연결합니다.

      역할을 수임할AWS 서비스 권한을 부여하기 위해 계정 A 관리자는 신뢰 정책에서 를 보안AWS 서비스 주체로 지정할 수 있습니다.

    3. 계정 B 관리자는 계정 B의 사용자에게 역할을 수임할 수 있습니다. 그러면 계정 B의 역할을 사용하는 사람은 계정 A에서 리소스를 생성하거나 액세스할 수 있습니다.

    IAM을 사용하여 권한을 위임하는 방법에 대한 자세한 내용은 IAM 사용 설명서액세스 관리 단원을 참조하세요.

다음 정책 예에서는 모든 리소스의 모든List* 작업에 대한 권한을 부여합니다. 이 작업은 읽기 전용 작업이며 리소스 수정을 허용하지 않습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllListActionsOnAllResources",
            "Effect": "Allow",
            "Action": [
                "datasync:List*"
            ],
            "Resource": "*"
        }
    ]
}

에서 자격 증명 기반 정책을 사용하는 방법에 대한 자세한 내용은 AWS관리형 정책고객 관리형 정책을 참조하세요.DataSync IAM ID에 대한 자세한 내용은 IAM 사용 설명서를 참조하십시오.

리소스 기반 정책

Amazon S3와 같은 다른 서비스도 리소스 기반 권한 정책을 지원합니다. 예를 들어 Amazon S3 버킷에 정책을 연결하여 해당 버킷에 대한 액세스 권한을 관리할 수 있습니다. 하지만 리소스 기반 정책은DataSync 지원하지 않습니다.

정책 요소 지정: 작업, 효과, 리소스, 보안 주체

각 DataSync 리소스(DataSyncAPI 권한: 작업 및 리소스 참조)에 대해 서비스는 API 작업을 정의합니다(작업 참조). 이러한 API 작업에 대한 권한을 부여하기 위해 DataSync에서는 정책에서 지정할 수 있는 작업을 정의합니다. 예를 들어 DataSync 리소스에 대해서는 CreateTask, DeleteTaskDescribeTask 작업이 각각 정의됩니다. API 작업을 실시하려면 둘 이상의 작업에 대한 권한이 필요할 수 있습니다.

다음은 가장 기본적인 정책 요소입니다.

  • 리소스 – 정책에서 Amazon 리소스 이름(ARN)을 사용하여 정책을 적용할 리소스를 식별합니다. DataSync 리소스의 경우에는 IAM 정책에 와일드카드 문자(*)를 사용할 수 있습니다. 자세한 정보는 DataSync 리소스 및 작업을 참조하세요.

  • 작업 – 작업 키워드를 사용하여 허용 또는 거부할 리소스 작업을 식별합니다. 예를 들어, 지정된Effect 요소에 따라 권한은 부여되거나DataSyncCreateTask 거부합니다.datasync:CreateTask

  • 결과 — 사용자가 특정 작업을 요청하는 경우의 결과를 지정합니다. 이 효과는Allow 또는 중에 하나가 될 수 있습니다Deny. 명시적으로 리소스 (Allow) 에 대한 액세스 권한을 부여하지 않으면 액세스가 암시적으로 거부됩니다. 다른 정책에서 해당 사용자에게 액세스 권한을 부여하더라도 사용자가 해당 리소스에 액세스할 수 없도록 하기 위해 리소스에 대한 액세스 권한을 명시적으로 거부할 수도 있습니다. 자세한 내용은 IAM 사용 설명서의 권한 부여를 참조하십시오.

  • 보안 주체 – 자격 증명 기반 정책(IAM 정책)에서 정책이 연결되는 사용자는 암시적인 보안 주체입니다. 리소스 기반 정책의 경우 사용자, 계정, 서비스 또는 권한의 수신자인 기타 개체를 지정합니다(리소스 기반 정책에만 해당). DataSync에서는 리소스 기반 정책을 지원하지 않습니다.

IAM 정책 구문과 설명에 대한 자세한 내용은 IAM 사용 가능한 Guide GuideAWS Identity and Access ManagementPolicy Reference 를 참조하세요.

모든 DataSync API 작업을 보여 주는 표는 DataSyncAPI 권한: 작업 및 리소스 섹션을 참조하십시오.

정책에서 조건 지정

권한을 부여할 때 IAM 정책 언어를 사용하여 정책이 적용되는 조건을 지정할 수 있습니다. 예를 들어, 특정 날짜 이후에만 정책을 적용할 수 있습니다. 정책 언어에서의 조건 지정에 관한 자세한 내용은 IAM 사용 가능한 Guide조건 을 참조하십시오.

조건을 표시하려면 미리 정의된 조건 키를 사용합니다. DataSync에만 해당되는 특정한 조건 키는 없습니다. 하지만 필요에 따라 사용할 수 있는AWS 다양한 조건 키는 있습니다. 차원 키의AWS 전체 목록은 IAM 사용 가능한 키를 참조하십시오.