에 대한 IAM 고객 관리형 정책AWS DataSync - AWS DataSync
사용자 지정 정책사용자 지정 정책의 예

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에 대한 IAM 고객 관리형 정책AWS DataSync

AWS관리형 정책 외에도AWS DataSync API 작업을 위한 고유한 ID 기반 정책을 생성하여 해당 권한이 필요한AWS Identity and Access Management (IAM) ID에 연결할 수도 있습니다. 이러한 정책은 자체 에서 관리하는 독립형AWS 계정 정책입니다.

중요

시작하기 전에DataSync 리소스 액세스 관리를 위한 기본 개념과 옵션에 대해 알아보는 것이 좋습니다. 자세한 정보는 에 대한 액세스 관리AWS DataSync을 참조하세요.

사용자 지정 정책

다음 예는 특정DataSync 작업을 사용할 수 있는 권한을 부여하는 정책입니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowsSpecifiedActionsOnAllTasks",
            "Effect": "Allow",
            "Action": [
                "datasync:DescribeTask",
                "datasync:ListTasks"
            ],
            "Resource": "arn:aws:datasync:us-east-2:111222333444:task/*"
        },    
}

정책에는 다음과 같은 작업을 수행하는 하나의 명령문 (설명의ActionResource 요소 참고) 이 있습니다.

  • Amazon 리소스 이름 (ARNdatasync:ListTasks) 을 사용하여 특정 작업 리소스에서 두 가지DataSync 작업 (datasync:DescribeTask및) 을 수행할 수 있는 권한을 부여합니다.

  • IAM 역할은 모든 작업에서 두 작업을 수행할 수 있으므로 작업 ARN에 와일드카드 문자 (*) 를 지정합니다. 작업에 대한 권한을 특정 작업으로 제한하려면 해당 명령문에 와일드카드 문자 대신 작업 ID를 지정하십시오.

사용자 지정 정책의 예

다음 사용자 정책은 다양한DataSync 작업에 대한 권한을 부여합니다. 정책은AWS SDK 또는AWS Command Line Interface (AWS CLI) 를 사용하는 경우 작동합니다. 콘솔에서 이러한 정책을 사용하려면 관리형 정책도 사용해야 합니다AWSDataSyncFullAccess.

예 1: Amazon S3DataSync 버킷에 액세스할 수 있는 신뢰 관계 생성

다음은 DataSync가 IAM 역할을 담당하도록 허용하는 신뢰 정책의 예입니다. 이 역할을 통해 Amazon S3DataSync 버킷에 액세스할 수 있습니다. 서비스 간에 혼동되는 대리인 문제를 방지하려면 정책에서 aws:SourceArnaws:SourceAccount글로벌 조건 컨텍스트 키를 사용하는 것이 좋습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "datasync.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
                }
            }
        }
    ]
}

예제 2: Amazon S3 버킷에 대한 읽기 및 쓰기 허용DataSync

다음 예제 정책은 S3 버킷에 데이터를 읽고 쓸 수 있는 최소 권한을DataSync 부여합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads"
            ],
            "Effect": "Allow",
            "Resource": "YourS3BucketArn"
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListMultipartUploadParts",
                "s3:GetObjectTagging",
                "s3:PutObjectTagging",
                "s3:PutObject"
              ],
            "Effect": "Allow",
            "Resource": "YourS3BucketArn/*"
        }
    ]
}

예 3: 로그 그룹에CloudWatch 로그 업로드 허용DataSync

DataSyncAmazonCloudWatch 로그 그룹에 로그를 업로드할 수 있는 권한이 필요합니다. CloudWatch로그 그룹을 사용하여 작업을 모니터링하고 디버그할 수 있습니다.

이러한 권한을 부여하는 IAM 정책의 예는 을 참조하십시오로그 그룹에CloudWatch 로그 업로드 허용DataSync.