기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Image Builder의 자격 증명 및 액세스 관리 통합
**Topics**
+ [대상](#security-iam-audience)
+ [ID를 통한 인증](#security-iam-authentication)
+ [Image Builder가 IAM 정책 및 역할을 사용하는 방법](security_iam_service-with-iam.md)
+ [Image Builder에서 S3 버킷 다운로드 액세스의 데이터 경계 관리](security-iam-data-perimeter.md)
+ [Image Builder 자격 증명 기반 정책](security-iam-identity-based-policies.md)
+ [사용자 지정 워크플로에 대한 IAM 권한](#security-iam-custom-workflows)
+ [Image Builder 리소스 기반 정책](#security-iam-resource-based-policies)
+ [EC2 Image Builder에 대한 AWS 관리형 정책 사용](security-iam-awsmanpol.md)
+ [Image Builder의 IAM 서비스 연결 역할 사용](image-builder-service-linked-role.md)
+ [Image Builder의 IAM 문제 해결](security_iam_troubleshoot.md)
## 대상
AWS Identity and Access Management (IAM)를 사용하는 방법은 역할에 따라 다릅니다.
+ **서비스 사용자** - 기능에 액세스할 수 없는 경우 관리자에게 권한 요청(참조[Image Builder의 IAM 문제 해결](security_iam_troubleshoot.md))
+ **서비스 관리자** - 사용자 액세스 결정 및 권한 요청 제출([Image Builder가 IAM 정책 및 역할을 사용하는 방법](security_iam_service-with-iam.md) 참조)
+ **IAM 관리자** - 액세스를 관리하기 위한 정책 작성([Image Builder 자격 증명 기반 정책](security_iam_service-with-iam.md#security_iam_id-based-policy-examples) 참조)
## ID를 통한 인증
의 사용자 및 프로세스에 인증을 제공하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*의 [자격 증명을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) AWS 계정참조하세요.
## 사용자 지정 워크플로에 대한 IAM 권한
와 같은 특정 단계 작업과 함께 사용자 지정 워크플로를 사용하는 경우 표준 Image Builder 관리형 정책 외에 [RegisterImage](wfdoc-step-actions.md#wfdoc-step-action-register-image)추가 IAM 권한이 필요할 수 있습니다. 이 섹션에서는 사용자 지정 워크플로 단계 작업에 필요한 추가 권한을 설명합니다.
### RegisterImage 단계 작업 권한
`RegisterImage` 단계 작업에는 AMIs 등록하고 선택적으로 스냅샷 태그를 검색하기 위한 특정 Amazon EC2 권한이 필요합니다. `includeSnapshotTags` 파라미터를 사용할 때는 스냅샷을 설명하는 데 추가 권한이 필요합니다.
**RegisterImage 단계 작업에 필요한 권한:**
모든 리소스에 대해 다음 작업을 허용합니다.
+ `ec2:RegisterImage`
+ `ec2:DescribeSnapshots`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RegisterImage",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::image/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "RegisterImage"
}
}
}
]
}
```
**권한 세부 정보:**
+ `ec2:RegisterImage` - 스냅샷에서 새 AMIs 등록하는 데 필요합니다.
+ `ec2:DescribeSnapshots` -를 사용하여 AMI 태그와 병합`includeSnapshotTags: true`하기 위한 스냅샷 태그를 검색할 때 필요합니다.
+ `ec2:CreateTags` - Image Builder 기본 태그와 병합된 스냅샷 태그를 모두 포함하여 등록된 AMI에 태그를 적용하는 데 필요합니다.
**참고**
`ec2:DescribeSnapshots` 권한은 `includeSnapshotTags` 파라미터가 로 설정된 경우에만 사용됩니다`true`. 이 기능을 사용하지 않는 경우이 권한을 생략할 수 있습니다.
**태그 병합 동작:**
`includeSnapshotTags`이 활성화되면 RegisterImage 단계 작업은 다음을 수행합니다.
+ 블록 디바이스 매핑에 지정된 첫 번째 스냅샷에서 태그 검색
+ AWS 예약 태그 제외("aws:"로 시작하는 키가 있는 태그)
+ 스냅샷 태그를 Image Builder의 기본 AMI 등록 태그와 병합
+ 태그 키 충돌 시 Image Builder 태그에 우선 순위 부여
## Image Builder 리소스 기반 정책
구성 요소를 생성하는 방법에 대한 자세한 내용은 [구성 요소를 사용하여 Image Builder 이미지 사용자 지정](manage-components.md)(을)를 참조합니다.
### Image Builder 구성 요소 액세스를 특정 IP 주소로 제한
다음 예에서는 구성 요소에서 모든 Image Builder 작업을 수행할 수 있는 권한을 모든 사용자에게 부여합니다. 하지만 조건에 지정된 IP 주소 범위에서만 요청을 허용해야 합니다.
이 문의 조건은 허용되는 IPv4(인터넷 프로토콜 버전 4) IP 주소의 54.240.143.\$1 범위를 식별하며 단, 한 가지 예외는 54.240.143.188입니다.
`Condition` 블록은 `IpAddress` 및 `NotIpAddress` 조건과 AWS전체 `aws:SourceIp` 조건 키인 조건 키를 사용합니다. 이러한 조건 키에 대한 자세한 내용은 [정책의 조건 지정](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html)을 참조합니다. `aws:sourceIp` IPv4 값은 표준 CIDR 표기법을 사용합니다. 자세한 내용은 *IAM 사용자 설명서*의 [IP 주소 조건 연산자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress)를 참조합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "IBPolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Action": "imagebuilder:GetComponent",
"Resource": "arn:aws:imagebuilder:*::examplecomponent/*",
"Condition": {
"IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
"NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"}
}
}
]
}
```
------