쿠키 기본 설정 선택

당사는 사이트와 서비스를 제공하는 데 필요한 필수 쿠키 및 유사한 도구를 사용합니다. 고객이 사이트를 어떻게 사용하는지 파악하고 개선할 수 있도록 성능 쿠키를 사용해 익명의 통계를 수집합니다. 필수 쿠키는 비활성화할 수 없지만 '사용자 지정' 또는 ‘거부’를 클릭하여 성능 쿠키를 거부할 수 있습니다.

사용자가 동의하는 경우 AWS와 승인된 제3자도 쿠키를 사용하여 유용한 사이트 기능을 제공하고, 사용자의 기본 설정을 기억하고, 관련 광고를 비롯한 관련 콘텐츠를 표시합니다. 필수가 아닌 모든 쿠키를 수락하거나 거부하려면 ‘수락’ 또는 ‘거부’를 클릭하세요. 더 자세한 내용을 선택하려면 ‘사용자 정의’를 클릭하세요.

를 APIs 사용하여 EBS 직접에 대한 액세스 제어 IAM

포커스 모드
를 APIs 사용하여 EBS 직접에 대한 액세스 제어 IAM - Amazon EBS

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

EBS 직접를 사용하려면 사용자에게 다음 정책이 있어야 합니다APIs. 자세한 내용은 IAM 사용자의 권한 변경을 참조하세요.

IAM 권한 정책에 사용할 EBS 직접 APIs 리소스, 작업 및 조건 컨텍스트 키에 대한 자세한 내용은 서비스 권한 부여 참조 Amazon Elastic Block Store에 사용되는 작업, 리소스 및 조건 키를 참조하세요.

중요

사용자에게 다음 정책을 할당할 때는 주의해야 합니다. 이러한 정책을 할당하면 CopySnapshot 또는 CreateVolume 작업APIs과 같은 Amazon EC2를 통해 동일한 리소스에 대한 액세스가 거부된 사용자에게 액세스 권한을 부여할 수 있습니다.

다음 정책은 특정 AWS 리전의 모든 스냅샷에서 읽기 EBS 다이렉트를 APIs 사용하도록 허용합니다. 정책에서를 스냅샷의 리전<Region>으로 바꿉니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }

다음 정책은 읽기 EBS 다이렉트를 특정 키-값 태그가 있는 스냅샷에 사용할 수 APIs 있도록 허용합니다. 정책에서 <Key>를 태그의 키 값으로,를 태그의 <Value> 값으로 바꿉니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }

다음 정책은 모든 읽기 EBS 다이렉트를 특정 시간 범위 내에서만 계정의 모든 스냅샷에 사용할 APIs 수 있도록 허용합니다. 이 정책은 aws:CurrentTime 전역 조건 키를 APIs 기반으로 EBS 다이렉트 사용을 승인합니다. 정책에서 표시된 날짜 및 시간 범위를 정책의 날짜 및 시간 범위로 바꿔야 합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }

자세한 내용은 IAM 사용 설명서사용자에 대한 권한 변경을 참조하세요.

다음 정책은 특정 AWS 리전의 모든 스냅샷에서 읽기 EBS 다이렉트를 APIs 사용하도록 허용합니다. 정책에서를 스냅샷의 리전<Region>으로 바꿉니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }

다음 정책은 읽기 EBS 다이렉트를 특정 키-값 태그가 있는 스냅샷에 사용할 수 APIs 있도록 허용합니다. 정책에서 <Key>를 태그의 키 값으로,를 태그의 <Value> 값으로 바꿉니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }

다음 정책은 모든 읽기 EBS 다이렉트를 특정 시간 범위 내에서만 계정의 모든 스냅샷에 사용할 APIs 수 있도록 허용합니다. 이 정책은 aws:CurrentTime 전역 조건 키를 APIs 기반으로 EBS 다이렉트 사용을 승인합니다. 정책에서 표시된 날짜 및 시간 범위를 정책의 날짜 및 시간 범위로 바꿔야 합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }

자세한 내용은 IAM 사용 설명서사용자에 대한 권한 변경을 참조하세요.

다음 정책은 특정 AWS 리전의 모든 스냅샷에서 직접 쓰기EBSAPIs를 사용하도록 허용합니다. 정책에서를 스냅샷의 리전<Region>으로 바꿉니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }

다음 정책은 쓰기 EBS 다이렉트를 특정 키-값 태그가 있는 스냅샷에 사용할 수 APIs 있도록 허용합니다. 정책에서 <Key>를 태그의 키 값으로,를 태그의 <Value> 값으로 바꿉니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }

다음 정책은 모든 EBS 다이렉트를 APIs 사용하도록 허용합니다. 또한 상위 스냅샷 ID가 지정된 경우에 한해 StartSnapshot 작업을 허용합니다. 즉, 이 정책은 상위 스냅샷을 사용하지 않고는 새 스냅샷을 시작하지 못하도록 차단합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "StringEquals": { "ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*" } } } ] }

다음 정책은 모든 EBS 다이렉트를 APIs 사용하도록 허용합니다. 또한 새 스냅샷에 대해 user 태그 키만 생성할 수 있도록 합니다. 또한 이 정책은 사용자가 태그를 생성할 수 있는 액세스 권한을 갖도록 합니다. StartSnapshot 작업은 태그를 지정할 수 있는 유일한 작업입니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": "user" } } }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "*" } ] }

다음 정책은 모든 쓰기 EBS 다이렉트를 특정 시간 범위 내에서만 계정의 모든 스냅샷에 사용할 APIs 수 있도록 허용합니다. 이 정책은 aws:CurrentTime 전역 조건 키를 APIs 기반으로 EBS 다이렉트 사용을 승인합니다. 정책에서 표시된 날짜 및 시간 범위를 정책의 날짜 및 시간 범위로 바꿔야 합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }

자세한 내용은 IAM 사용 설명서사용자에 대한 권한 변경을 참조하세요.

다음 정책은 특정 AWS 리전의 모든 스냅샷에서 직접 쓰기EBSAPIs를 사용하도록 허용합니다. 정책에서를 스냅샷의 리전<Region>으로 바꿉니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }

다음 정책은 쓰기 EBS 다이렉트를 특정 키-값 태그가 있는 스냅샷에 사용할 수 APIs 있도록 허용합니다. 정책에서 <Key>를 태그의 키 값으로,를 태그의 <Value> 값으로 바꿉니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }

다음 정책은 모든 EBS 다이렉트를 APIs 사용하도록 허용합니다. 또한 상위 스냅샷 ID가 지정된 경우에 한해 StartSnapshot 작업을 허용합니다. 즉, 이 정책은 상위 스냅샷을 사용하지 않고는 새 스냅샷을 시작하지 못하도록 차단합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "StringEquals": { "ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*" } } } ] }

다음 정책은 모든 EBS 다이렉트를 APIs 사용하도록 허용합니다. 또한 새 스냅샷에 대해 user 태그 키만 생성할 수 있도록 합니다. 또한 이 정책은 사용자가 태그를 생성할 수 있는 액세스 권한을 갖도록 합니다. StartSnapshot 작업은 태그를 지정할 수 있는 유일한 작업입니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": "user" } } }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "*" } ] }

다음 정책은 모든 쓰기 EBS 다이렉트를 특정 시간 범위 내에서만 계정의 모든 스냅샷에 사용할 APIs 수 있도록 허용합니다. 이 정책은 aws:CurrentTime 전역 조건 키를 APIs 기반으로 EBS 다이렉트 사용을 승인합니다. 정책에서 표시된 날짜 및 시간 범위를 정책의 날짜 및 시간 범위로 바꿔야 합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }

자세한 내용은 IAM 사용 설명서사용자에 대한 권한 변경을 참조하세요.

다음 정책은 특정 KMS 키를 사용하여 암호화된 스냅샷을 해독할 수 있는 권한을 부여합니다. 또한 EBS 암호화를 위한 기본 KMS 키를 사용하여 새 스냅샷을 암호화할 수 있는 권한을 부여합니다. 정책에서 <Region>를 KMS 키의 리전으로,를 KMS 키 계정의 ID<AccountId>로, AWS 를 KMS 키의 ID<KeyId>로 바꿉니다.

참고

기본적으로 계정의 모든 보안 주체는 Amazon EBS 암호화를 위한 기본 AWS 관리형 KMS 키에 액세스할 수 있으며 EBS 암호화 및 복호화 작업에 사용할 수 있습니다. 고객 관리형 키를 사용하는 경우 고객 관리형 키에 대한 보안 주체 액세스 권한을 부여하려면 고객 관리형 키에 대한 새 키 정책을 생성하거나 기존 키 정책을 수정해야 합니다. 자세한 내용은AWS Key Management Service 개발자 안내서AWS KMS의 키 정책을 참조하세요.

작은 정보

최소 권한의 원칙을 따르려면 kms:CreateGrant에 대한 전체 액세스 권한을 허용하지 마세요. 대신 다음 예제와 AWS 같이 kms:GrantIsForAWSResource 조건 키를 사용하여 서비스가 사용자를 대신하여 권한을 생성할 때만 사용자가 KMS 키에 대한 권한 부여를 생성할 수 있도록 허용합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", "kms:CreateGrant", "ec2:CreateTags", "kms:DescribeKey" ], "Resource": "arn:aws:kms:<Region>:<AccountId>:key/<KeyId>", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }

자세한 내용은 IAM 사용 설명서사용자에 대한 권한 변경을 참조하세요.

다음 정책은 특정 KMS 키를 사용하여 암호화된 스냅샷을 해독할 수 있는 권한을 부여합니다. 또한 EBS 암호화를 위한 기본 KMS 키를 사용하여 새 스냅샷을 암호화할 수 있는 권한을 부여합니다. 정책에서 <Region>를 KMS 키의 리전으로,를 KMS 키 계정의 ID<AccountId>로, AWS 를 KMS 키의 ID<KeyId>로 바꿉니다.

참고

기본적으로 계정의 모든 보안 주체는 Amazon EBS 암호화를 위한 기본 AWS 관리형 KMS 키에 액세스할 수 있으며 EBS 암호화 및 복호화 작업에 사용할 수 있습니다. 고객 관리형 키를 사용하는 경우 고객 관리형 키에 대한 보안 주체 액세스 권한을 부여하려면 고객 관리형 키에 대한 새 키 정책을 생성하거나 기존 키 정책을 수정해야 합니다. 자세한 내용은AWS Key Management Service 개발자 안내서AWS KMS의 키 정책을 참조하세요.

작은 정보

최소 권한의 원칙을 따르려면 kms:CreateGrant에 대한 전체 액세스 권한을 허용하지 마세요. 대신 다음 예제와 AWS 같이 kms:GrantIsForAWSResource 조건 키를 사용하여 서비스가 사용자를 대신하여 권한을 생성할 때만 사용자가 KMS 키에 대한 권한 부여를 생성할 수 있도록 허용합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", "kms:CreateGrant", "ec2:CreateTags", "kms:DescribeKey" ], "Resource": "arn:aws:kms:<Region>:<AccountId>:key/<KeyId>", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }

자세한 내용은 IAM 사용 설명서사용자에 대한 권한 변경을 참조하세요.

프라이버시사이트 이용 약관쿠키 기본 설정
© 2025, Amazon Web Services, Inc. 또는 계열사. All rights reserved.