기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Directory Service 리소스에 대한 액세스 권한 관리 개요
모든 AWS 리소스는 AWS 계정이 소유합니다. 따라서 리소스를 만들거나 액세스할 수 있는 권한은 권한 정책에 따라 결정됩니다. 하지만 관리자 권한이 있는 사용자인 계정 관리자는 리소스에 권한을 연결할 수 있습니다. 또한 에는 사용자, 그룹 및 역할과 같은 IAM 자격 증명에 권한 정책을 연결하는 기능과 리소스에 권한 정책 연결을 지원하는 등의 일부 서비스가 AWS Lambda 있습니다.
**참고**
계정 관리자 역할에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
**Topics**
+ [Directory Service 리소스 및 작업](#CreatingIAMPolicies_DS)
+ [리소스 소유권 이해](#IAM_Auth_Access_ResourceOwner)
+ [리소스 액세스 관리](#IAM_Auth_Access_ManagingAccess)
+ [정책 요소 지정: 작업, 효과, 리소스, 보안 주체](#SpecifyingIAMPolicyActions_DS)
+ [정책에서 조건 지정](#SpecifyingIAMPolicyConditions_DS)
## Directory Service 리소스 및 작업
에서 Directory Service기본 리소스는 *디렉터리*입니다. Directory Service 는 디렉터리 스냅샷 리소스를 지원하므로 기존 디렉터리의 컨텍스트에서만 스냅샷을 생성할 수 있습니다. 이 스냅샷을 *하위 리소스*라고 합니다.
다음 표에 나와 있는 것처럼 이러한 리소스에는 고유한 Amazon 리소스 이름(ARN)이 연결됩니다.
****
| **리소스 유형** | **ARN 형식** |
| --- | --- |
| 디렉터리 | `arn:aws:ds:region:account-id:directory/external-directory-id` |
| 스냅샷 | `arn:aws:ds:region:account-id:snapshot/external-snapshot-id` |
Directory Service 에는 수행하는 작업 유형에 따라 두 개의 서비스 네임스페이스가 포함되어 있습니다.
+ `ds` 서비스 네임스페이스는 해당 리소스를 처리하기 위한 작업을 제공합니다. 사용 가능한 작업 목록은 [디렉터리 서비스 작업](https://docs.aws.amazon.com//directoryservice/latest/devguide/API_Operations.html)을 참조하세요.
+ `ds-data` 서비스 네임스페이스는 Active Directory 객체에 일련의 작업을 제공합니다. 사용 가능한 작업 목록은 [디렉터리 서비스 데이터 API 참조](https://docs.aws.amazon.com//directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html)를 참조하세요.
## 리소스 소유권 이해
*리소스 소유자*는 리소스를 생성한 AWS 계정입니다. 즉, 리소스 소유자는 리소스를 생성하는 요청을 인증하는 *보안 주체 엔*터티(루트 계정, IAM 사용자 또는 IAM 역할)의 AWS 계정입니다. 다음 예제에서는 이러한 작동 방법을 설명합니다.
+ AWS 계정의 루트 계정 자격 증명을 사용하여 디렉터리와 같은 Directory Service 리소스를 생성하는 경우 AWS 계정은 해당 리소스의 소유자입니다.
+ AWS 계정에서 IAM 사용자를 생성하고 해당 사용자에게 Directory Service 리소스를 생성할 수 있는 권한을 부여하는 경우 해당 사용자는 리소스를 생성할 Directory Service 수도 있습니다. 하지만 사용자가 속한 AWS 계정이 리소스를 소유합니다.
+ AWS 계정에서 Directory Service 리소스를 생성할 권한이 있는 IAM 역할을 생성하는 경우 해당 역할을 수임할 수 있는 사람은 누구나 리소스를 생성할 Directory Service 수 있습니다. 역할이 속한 AWS 계정이 리소스를 소유합니다 Directory Service .
## 리소스 액세스 관리
*권한 정책*은 누가 무엇에 액세스 할 수 있는지를 나타냅니다. 다음 섹션에서는 권한 정책을 만드는 데 사용 가능한 옵션에 대해 설명합니다.
**참고**
이 섹션에서는 컨텍스트에서 IAM을 사용하는 방법에 대해 설명합니다 Directory Service. IAM 서비스에 대한 자세한 내용은 다루지 않습니다. IAM 설명서 전체 내용은 *IAM 사용 설명서*의 [IAM이란 무엇입니까?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)를 참조하세요. IAM 정책 구문과 설명에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)를 참조하세요.
IAM 자격 증명에 연결된 정책을 *자격 증명 기반* 정책(IAM 정책)이라고 하고 리소스에 연결된 정책을 *리소스 기반* 정책이라고 합니다.는 자격 증명 기반 정책(IAM 정책)만 Directory Service 지원합니다.
**Topics**
+ [자격 증명 기반 정책(IAM 정책)](#IAM_Auth_Access_ManagingAccess_IdentityBased)
+ [리소스 기반 정책](#IAM_Auth_Access_ManagingAccess_ResourceBased)
### 자격 증명 기반 정책(IAM 정책)
정책을 IAM 보안 인증에 연결할 수 있습니다. 예를 들면, 다음을 수행할 수 있습니다.
+ **계정의 사용자 또는 그룹에 권한 정책 연결 **- 계정 관리자는 특정 사용자와 연결된 권한 정책을 사용하여 해당 사용자에게 새 디렉터리와 같은 Directory Service 리소스를 생성할 수 있는 권한을 부여할 수 있습니다.
+ **역할에 정책 연결(교차 계정 권한 부여)** – ID 기반 권한 정책을 IAM 역할에 연결하여 교차 계정 권한을 부여할 수 있습니다.
IAM을 사용하여 권한을 위임하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*의 [액세스 관리](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) 단원을 참조하십시오.
다음 권한 정책은 사용자에게 `Describe`로 시작하는 모든 작업을 실행할 수 있는 권한을 부여합니다. 이러한 작업은 디렉터리 또는 스냅샷과 같은 Directory Service 리소스에 대한 정보를 표시합니다. `Resource` 요소의 와일드카드 문자(\$1)는 계정이 소유한 모든 Directory Service 리소스에 대해 작업이 허용됨을 나타냅니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ds:Describe*",
"Resource":"*"
}
]
}
```
------
에서 자격 증명 기반 정책을 사용하는 방법에 대한 자세한 내용은 섹션을 Directory Service참조하세요[에 대한 자격 증명 기반 정책(IAM 정책) 사용 Directory Service](IAM_Auth_Access_IdentityBased.md). 사용자, 그룹, 역할 및 권한에 대한 자세한 내용은 *IAM User Guide*의 [Identities (users, groups, and roles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)를 참조하세요.
### 리소스 기반 정책
Amazon S3과 같은 다른 서비스도 리소스 기반 권한 정책을 지원합니다. 예를 들어 정책을 S3 버킷에 연결하여 해당 버킷에 대한 액세스 권한을 관리할 수 있습니다. Directory Service 는 리소스 기반 정책을 지원하지 않습니다.
## 정책 요소 지정: 작업, 효과, 리소스, 보안 주체
각 Directory Service 리소스에 대해 서비스는 API 작업 세트를 정의합니다. 자세한 내용은 [Directory Service 리소스 및 작업](#CreatingIAMPolicies_DS) 단원을 참조하십시오. 사용 가능한 API 작업 목록은 [디렉터리 서비스 작업](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_Operations.html)을 참조하세요.
이러한 API 작업에 대한 권한을 부여하기 위해는 정책에서 지정할 수 있는 일련의 작업을 Directory Service 정의합니다. API 작업을 수행하려면 둘 이상의 작업에 대한 권한이 필요할 수 있습니다.
다음은 기본 정책 요소입니다.
+ **리소스** – 정책에서 Amazon 리소스 이름(ARN)을 사용하여 정책을 적용할 리소스를 식별합니다. Directory Service 리소스의 경우 항상 IAM 정책에서 와일드카드 문자(\$1)를 사용합니다. 자세한 내용은 [Directory Service 리소스 및 작업](#CreatingIAMPolicies_DS) 단원을 참조하십시오.
+ **작업** – 작업 키워드를 사용하여 허용 또는 거부하려는 리소스 작업을 식별합니다. 예를 들어, `ds:DescribeDirectories` 권한은 사용자에게 Directory Service `DescribeDirectories` 작업 수행 권한을 허용합니다.
+ **결과** – 사용자가 특정 작업을 요청할 때 결과를 지정합니다. 이 값은 허용 또는 거부일 수 있습니다. 명시적으로 리소스에 대한 액세스 권한을 부여(허용)하지 않는 경우, 액세스는 묵시적으로 거부됩니다. 다른 정책에서 액세스 권한을 부여하는 경우라도 사용자가 해당 리소스에 액세스할 수 없도록 하기 위해 리소스에 대한 권한을 명시적으로 거부할 수도 있습니다.
+ **보안 주체** – ID 기반 정책(IAM 정책)에서 정책이 연결되는 사용자는 암시적인 보안 주체입니다. 리소스 기반 정책의 경우 권한을 받을 사용자, 계정, 서비스 또는 기타 엔터티를 지정합니다(리소스 기반 정책에만 적용). Directory Service 는 리소스 기반 정책을 지원하지 않습니다.
IAM 정책 구문 및 설명에 대해 자세히 알아보려면 *IAM 사용 설명서*의 [ IAM JSON 정책 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) 단원을 참조하세요.
모든 Directory Service API 작업과 해당 작업이 적용되는 리소스를 보여주는 표는 섹션을 참조하세요[Directory Service API 권한: 작업, 리소스 및 조건 참조](UsingWithDS_IAM_ResourcePermissions.md).
## 정책에서 조건 지정
권한을 부여할 때 액세스 정책 언어를 사용하여 조건이 적용되는 조건을 지정할 수 있습니다. 예를 들어, 특정 날짜 이후에만 정책을 적용할 수 있습니다. 정책 언어에서의 조건 지정에 관한 자세한 내용은 *IAM 사용 설명서*의 [조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하십시오.
조건을 표시하려면 미리 정의된 조건 키를 사용합니다. Directory Service에만 해당되는 특정한 조건 키는 없습니다. 그러나 필요에 따라 사용할 수 있는 AWS 조건 키가 있습니다. AWS 키의 전체 목록은 *IAM 사용 설명서*의 [사용 가능한 전역 조건 키를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys) 참조하세요.