# AWS Lambda의 AWS 관리형 정책
AWS 관리형 정책은 AWS에 의해 생성되고 관리되는 독립 실행형 정책입니다. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있기 때문에 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에서 정의한 권한은 변경할 수 없습니다. 만약 AWS가 AWS 관리형 정책에 정의된 권한을 업데이트할 경우 정책이 연결되어 있는 모든 보안 주체 ID(사용자, 그룹 및 역할)에도 업데이트가 적용됩니다. 새 AWS 서비스을(를) 시작하거나 새 API 작업을 기존 서비스에 이용하는 경우, AWS가 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 *IAM 사용자 가이드*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.
**Topics**
+ [AWS 관리형 정책: AWSLambda\$1FullAccess](#lambda-security-iam-awsmanpol-AWSLambda_FullAccess)
+ [AWS 관리형 정책: AWSLambda\$1ReadOnlyAccess](#lambda-security-iam-awsmanpol-AWSLambda_ReadOnlyAccess)
+ [AWS 관리형 정책: AWSLambdaBasicExecutionRole](#lambda-security-iam-awsmanpol-AWSLambdaBasicExecutionRole)
+ [AWS 관리형 정책: AWSLambdaBasicDurableExecutionRolePolicy](#lambda-security-iam-awsmanpol-AWSLambdaBasicDurableExecutionRolePolicy)
+ [AWS 관리형 정책: AWSLambdaDynamoDBExecutionRole](#lambda-security-iam-awsmanpol-AWSLambdaDynamoDBExecutionRole)
+ [AWS 관리형 정책: AWSLambdaENIManagementAccess](#lambda-security-iam-awsmanpol-AWSLambdaENIManagementAccess)
+ [AWS 관리형 정책: AWSLambdaInvocation-DynamoDB](#lambda-security-iam-awsmanpol-AWSLambdaInvocation-DynamoDB)
+ [AWS 관리형 정책: AWSLambdaKinesisExecutionRole](#lambda-security-iam-awsmanpol-AWSLambdaKinesisExecutionRole)
+ [AWS 관리형 정책: AWSLambdaMSKExecutionRole](#lambda-security-iam-awsmanpol-AWSLambdaMSKExecutionRole)
+ [AWS 관리형 정책: AWSLambdaRole](#lambda-security-iam-awsmanpol-AWSLambdaRole)
+ [AWS 관리형 정책: AWSLambdaSQSQueueExecutionRole](#lambda-security-iam-awsmanpol-AWSLambdaSQSQueueExecutionRole)
+ [AWS 관리형 정책: AWSLambdaVPCAccessExecutionRole](#lambda-security-iam-awsmanpol-AWSLambdaVPCAccessExecutionRole)
+ [AWS 관리형 정책: AWSLambdaManagedEC2ResourceOperator](#lambda-security-iam-awsmanpol-AWSLambdaManagedEC2ResourceOperator)
+ [AWS 관리형 정책: AWSLambdaServiceRolePolicy](#lambda-security-iam-awsmanpol-AWSLambdaServiceRolePolicy)
+ [AWS 관리형 정책에 대한 Lambda 업데이트](#lambda-security-iam-awsmanpol-updates)
## AWS 관리형 정책: AWSLambda\$1FullAccess
이 정책은 Lambda 작업에 대한 전체 액세스 권한을 부여합니다. 또한 Lambda 리소스를 개발하고 유지 관리하는 데 사용되는 다른 AWS 서비스에 대한 권한도 부여합니다.
사용자, 그룹 및 역할에 `AWSLambda_FullAccess` 정책을 연결할 수 있습니다.
** 권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `lambda` – 보안 주체에게 Lambda에 대한 전체 액세스 권한을 허용합니다.
+ `cloudformation` – 보안 주체가 AWS CloudFormation 스택을 설명하고 해당 스택의 리소스를 나열하도록 허용합니다.
+ `cloudwatch` - 보안 주체가 Amazon CloudWatch 지표를 나열하고 지표 데이터를 가져오도록 허용합니다.
+ `ec2` - 보안 주체가 보안 그룹, 서브넷 및 VPC를 설명하도록 허용합니다.
+ `iam` - 보안 주체가 정책, 정책 버전, 역할, 역할 정책, 연결된 역할 정책 및 역할 목록을 가져오도록 허용합니다. 이 정책은 또한 보안 주체가 Lambda에 역할을 전달할 수 있도록 허용합니다. `PassRole` 권한은 함수에 실행 역할을 할당할 때 사용됩니다. `CreateServiceLinkedRole` 권한은 서비스 연결 역할을 생성할 때 사용됩니다.
+ `kms` – 보안 주체가 볼륨 암호화 별칭을 나열하고 키를 설명할 수 있도록 허용합니다.
+ `logs` - 위탁자가 로그 스트림을 설명하고, 로그 이벤트를 가져오고, 로그 이벤트를 필터링하고, Live Tail 세션을 시작하고 중지할 수 있도록 허용합니다.
+ `states` – 보안 주체가 AWS Step Functions 상태 시스템을 설명하고 나열하도록 허용합니다.
+ `tag` - 보안 주체가 태그를 기반으로 리소스를 가져오도록 허용합니다.
+ `xray` - 보안 주체가 AWS X-Ray 트레이스 요약을 가져오고 ID로 지정된 트레이스 목록을 검색하도록 허용합니다.
JSON 정책 문서와 정책 버전을 비롯한 이 정책에 대한 자세한 내용은 **AWS관리형 정책 참조 가이드의 [AWSLambda\$1FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambda_FullAccess.html)를 참조하세요.
## AWS 관리형 정책: AWSLambda\$1ReadOnlyAccess
이 정책은 Lambda 리소스 및 Lambda 리소스를 개발하고 유지 관리하는 데 사용되는 다른 AWS 서비스에 대한 읽기 전용 액세스 권한을 부여합니다.
사용자, 그룹 및 역할에 `AWSLambda_ReadOnlyAccess` 정책을 연결할 수 있습니다.
** 권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `lambda` - 보안 주체가 모든 리소스를 가져오고 나열하도록 허용합니다.
+ `cloudformation` – 보안 주체가 AWS CloudFormation 스택을 설명 및 나열하고 해당 스택의 리소스를 나열하도록 허용합니다.
+ `cloudwatch` - 보안 주체가 Amazon CloudWatch 지표를 나열하고 지표 데이터를 가져오도록 허용합니다.
+ `ec2` - 보안 주체가 보안 그룹, 서브넷 및 VPC를 설명하도록 허용합니다.
+ `iam` - 보안 주체가 정책, 정책 버전, 역할, 역할 정책, 연결된 역할 정책 및 역할 목록을 가져오도록 허용합니다.
+ `kms` - 보안 주체가 별칭을 나열하도록 허용합니다.
+ `logs` - 위탁자가 로그 스트림을 설명하고, 로그 이벤트를 가져오고, 로그 이벤트를 필터링하고, Live Tail 세션을 시작하고 중지할 수 있도록 허용합니다.
+ `states` – 보안 주체가 AWS Step Functions 상태 시스템을 설명하고 나열하도록 허용합니다.
+ `tag` - 보안 주체가 태그를 기반으로 리소스를 가져오도록 허용합니다.
+ `xray` - 보안 주체가 AWS X-Ray 트레이스 요약을 가져오고 ID로 지정된 트레이스 목록을 검색하도록 허용합니다.
JSON 정책 문서와 정책 버전을 비롯한 이 정책에 대한 자세한 내용은 **AWS관리형 정책 참조 가이드의 [AWSLambda\$1ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambda_ReadOnlyAccess.html)를 참조하세요.
## AWS 관리형 정책: AWSLambdaBasicExecutionRole
이 정책은 CloudWatch Logs에 로그를 업로드할 수 있는 권한을 부여합니다.
사용자, 그룹 및 역할에 `AWSLambdaBasicExecutionRole` 정책을 연결할 수 있습니다.
JSON 정책 문서와 정책 버전을 비롯한 이 정책에 대한 자세한 내용은 **AWS관리형 정책 참조 가이드의 [AWSLambdaBasicExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaBasicExecutionRole.html)을 참조하세요.
## AWS 관리형 정책: AWSLambdaBasicDurableExecutionRolePolicy
이 정책은 CloudWatch Logs에 대한 쓰기 권한과 Lambda 지속성 함수에서 사용하는 지속 실행 API에 대한 읽기/쓰기 권한을 제공합니다. 이 정책은 Lambda 지속성 함수에 필요한 필수 권한을 제공하며, 지속 실행 API를 사용하여 함수 간접 호출 전반에서 진행 상황과 상태를 유지합니다.
사용자, 그룹 및 역할에 `AWSLambdaBasicDurableExecutionRolePolicy` 정책을 연결할 수 있습니다.
** 권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `logs` - 보안 주체가 로그 그룹 및 로그 스트림을 생성하고, 로그 이벤트를 CloudWatch Logs에 쓸 수 있습니다.
+ `lambda` - 보안 주체가 지속 실행 상태에 체크포인트를 지정하고 Lambda 지속성 함수의 지속 실행 상태를 검색할 수 있습니다.
최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSLambdaBasicDurableExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaBasicDurableExecutionRolePolicy.html)를 참조하세요.
## AWS 관리형 정책: AWSLambdaDynamoDBExecutionRole
이 정책은 Amazon DynamoDB Stream에서 레코드를 읽고 CloudWatch Logs에 쓸 수 있는 권한을 부여합니다.
사용자, 그룹 및 역할에 `AWSLambdaDynamoDBExecutionRole` 정책을 연결할 수 있습니다.
JSON 정책 문서와 정책 버전을 비롯한 이 정책에 대한 자세한 내용은 **AWS관리형 정책 참조 가이드의 [AWSLambdaDynamoDBExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaDynamoDBExecutionRole.html)을 참조하세요.
## AWS 관리형 정책: AWSLambdaENIManagementAccess
이 정책은 VPC 지원 Lambda 함수에서 사용하는 탄력적 네트워크 인터페이스를 생성, 설명 및 삭제할 권한을 부여합니다.
사용자, 그룹 및 역할에 `AWSLambdaENIManagementAccess` 정책을 연결할 수 있습니다.
JSON 정책 문서와 정책 버전을 비롯한 이 정책에 대한 자세한 내용은 **AWS관리형 정책 참조 가이드의 [AWSLambdaENIManagementAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaENIManagementAccess.html)를 참조하세요.
## AWS 관리형 정책: AWSLambdaInvocation-DynamoDB
이 정책은 Amazon DynamoDB Streams에 대한 읽기 액세스 권한을 부여합니다.
사용자, 그룹 및 역할에 `AWSLambdaInvocation-DynamoDB` 정책을 연결할 수 있습니다.
JSON 정책 문서와 정책 버전을 비롯한 이 정책에 대한 자세한 내용은 **AWS관리형 정책 참조 가이드의 [AWSLambdaInvocation-DynamoDB](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaInvocation-DynamoDB.html)를 참조하세요.
## AWS 관리형 정책: AWSLambdaKinesisExecutionRole
이 정책은 Amazon Kinesis 데이터 스트림에서 이벤트를 읽고 CloudWatch Logs에 쓸 수 있는 권한을 부여합니다.
사용자, 그룹 및 역할에 `AWSLambdaKinesisExecutionRole` 정책을 연결할 수 있습니다.
JSON 정책 문서와 정책 버전을 비롯한 이 정책에 대한 자세한 내용은 **AWS관리형 정책 참조 가이드의 [AWSLambdaKinesisExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaKinesisExecutionRole.html)을 참조하세요.
## AWS 관리형 정책: AWSLambdaMSKExecutionRole
이 정책은 Amazon Managed Streaming for Apache Kafka 클러스터에서 레코드를 읽고 액세스하고, 탄력적 네트워크 인터페이스를 관리하고, CloudWatch Logs에 쓸 수 있는 권한을 부여합니다.
사용자, 그룹 및 역할에 `AWSLambdaMSKExecutionRole` 정책을 연결할 수 있습니다.
JSON 정책 문서와 정책 버전을 비롯한 이 정책에 대한 자세한 내용은 **AWS관리형 정책 참조 가이드의 [AWSLambdaMSKExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaMSKExecutionRole.html)을 참조하세요.
## AWS 관리형 정책: AWSLambdaRole
이 정책은 Lambda 함수를 간접적으로 간접 호출할 수 있는 권한을 부여합니다.
사용자, 그룹 및 역할에 `AWSLambdaRole` 정책을 연결할 수 있습니다.
JSON 정책 문서와 정책 버전을 비롯한 이 정책에 대한 자세한 내용은 **AWS관리형 정책 참조 가이드의 [AWSLambdaRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaRole.html)을 참조하세요.
## AWS 관리형 정책: AWSLambdaSQSQueueExecutionRole
이 정책은 Amazon Simple Queue Service(Amazon SQS) 대기열에서 메시지를 읽고 삭제하고 CloudWatch Logs에 쓸 수 있는 권한을 부여합니다.
사용자, 그룹 및 역할에 `AWSLambdaSQSQueueExecutionRole` 정책을 연결할 수 있습니다.
JSON 정책 문서와 정책 버전을 비롯한 이 정책에 대한 자세한 내용은 **AWS관리형 정책 참조 가이드의 [AWSLambdaSQSQueueExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaSQSQueueExecutionRole.html)을 참조하세요.
## AWS 관리형 정책: AWSLambdaVPCAccessExecutionRole
이 정책은 Amazon Virtual Private Cloud 내에서 탄력적 네트워크 인터페이스를 관리하고 CloudWatch Logs에 쓸 수 있는 권한을 부여합니다.
사용자, 그룹 및 역할에 `AWSLambdaVPCAccessExecutionRole` 정책을 연결할 수 있습니다.
JSON 정책 문서와 정책 버전을 비롯한 이 정책에 대한 자세한 내용은 **AWS관리형 정책 참조 가이드의 [AWSLambdaVPCAccessExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaVPCAccessExecutionRole.html)을 참조하세요.
## AWS 관리형 정책: AWSLambdaManagedEC2ResourceOperator
이 정책은 Lambda 용량 공급자에 대해 자동화된 Amazon Elastic Compute Cloud 인스턴스 관리를 활성화합니다. Lambda 스케일러 서비스에 사용자를 대신하여 인스턴스 수명 주기 작업을 수행할 권한을 부여합니다.
사용자, 그룹 및 역할에 `AWSLambdaManagedEC2ResourceOperator` 정책을 연결할 수 있습니다.
** 권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `ec2:RunInstances` - ec2:ManagedResourceOperator가 scaler.lambda.amazonaws.com과 같고 AMI 사용을 Amazon 소유 이미지로만 제한하는 조건으로 Lambda의 새 Amazon EC2 인스턴스 시작을 허용합니다.
+ `ec2:DescribeInstances` 및 `ec2:DescribeInstanceStatus` - Lambda의 인스턴스 상태 모니터링 및 인스턴스 정보 검색을 허용합니다.
+ `ec2:CreateTags` -관리 및 식별 목적으로 Lambda가 Amazon EC2 리소스에 태그를 지정할 수 있도록 허용합니다.
+ `ec2:DescribeAvailabilityZones` - 인스턴스 배치 결정을 위해 Lambda가 사용 가능한 영역을 볼 수 있도록 허용합니다.
+ `ec2:DescribeCapacityReservations` - 최적의 인스턴스 배치를 위해 Lambda가 용량 예약을 확인할 수 있도록 허용합니다.
+ `ec2:DescribeInstanceTypes` 및 `ec2:DescribeInstanceTypeOfferings` - Lambda의 사용 가능한 인스턴스 유형 및 해당 제품 검토를 허용합니다.
+ `ec2:DescribeSubnets` - 네트워크 계획을 위해 Lambda가 서브넷 구성을 검사할 수 있도록 허용합니다.
+ `ec2:DescribeSecurityGroups` - Lambda가 네트워크 인터페이스 구성에 대한 보안 그룹 정보를 검색할 수 있도록 허용합니다.
+ `ec2:CreateNetworkInterface` - Lambda의 네트워크 인터페이스 생성 및 서브넷과 보안 그룹 연결 관리를 허용합니다.
+ `ec2:AttachNetworkInterface` - `ec2:ManagedResourceOperator`가 [scaler.lambda.amazonaws.com](http://scaler.lambda.amazonaws.com/)과 같은 조건에서 Lambda가 Amazon EC2 인스턴스에 네트워크 인터페이스를 연결할 수 있도록 허용합니다.
JSON 정책 문서와 정책 버전을 비롯한 이 정책에 대한 자세한 내용은 *AWS 관리형 정책 참조 가이드*의 [AWSLambdaManagedEC2ResourceOperator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaManagedEC2ResourceOperator.html)를 참조하세요.
## AWS 관리형 정책: AWSLambdaServiceRolePolicy
이 정책은 Lambda가 Lambda 용량 공급자의 일부로 관리되는 인스턴스를 종료할 수 있도록 AWSServiceRoleForLambda라는 서비스 연결 역할에 연결됩니다.
** 권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `ec2:TerminateInstances` - ec2:ManagedResourceOperator가 scaler.lambda.amazonaws.com과 같은 조건으로 Lambda의 EC2 인스턴스 종료를 허용합니다.
+ `ec2:DescribeInstanceStatus` 및 `ec2:DescribeInstances` - Lambda가 EC2 인스턴스를 설명할 수 있도록 허용합니다.
이 정책에 대한 자세한 내용은 [Lambda의 서비스 연결 역할 사용](using-service-linked-roles.md)을 참조하세요.
## AWS 관리형 정책에 대한 Lambda 업데이트
| 변경 | 설명 | 날짜 |
| --- | --- | --- |
| [AWSLambdaManagedEC2ResourceOperator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaManagedEC2ResourceOperator.html) – 새 정책 | Lambda에서 스케일러 서비스가 인스턴스 수명 주기 작업을 수행할 수 있도록 Lambda 용량 공급자에 대한 자동화된 Amazon EC2 인스턴스 관리를 활성화하는 새 관리형 정책이 추가되었습니다. | 2025년 11월 30일 |
| [AWSLambdaServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaServiceRolePolicy.html) – 새 정책 | Lambda가 Lambda 용량 공급자의 일부로 관리되는 인스턴스를 종료할 수 있도록 서비스 연결 역할에 새 관리형 정책이 추가되었습니다. | 2025년 11월 30일 |
| [AWSLambda\$1FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambda_FullAccess.html) – 변경 | `kms:DescribeKey` 및 `iam:CreateServiceLinkedRole` 작업을 허용하도록 `AWSLambda_FullAccess` 정책이 업데이트되었습니다. | 2025년 11월 30일 |
| [AWSLambdaBasicDurableExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaBasicDurableExecutionRolePolicy.html) – 새 관리형 정책 | CloudWatch Logs에 대한 쓰기 권한과 Lambda 지속성 함수에서 사용하는 지속 실행 API에 대한 읽기/쓰기 권한을 제공하는 새 관리형 정책인 `AWSLambdaBasicDurableExecutionRolePolicy`가 릴리스되었습니다. | 2025년 12월 1일 |
| [AWSLambda\$1ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambda_ReadOnlyAccess.html) 및 [AWSLambda\$1FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambda_FullAccess.html) – 변경 | Lambda는 `logs:StartLiveTail` 및 `logs:StopLiveTail` 작업을 허용하도록 `AWSLambda_ReadOnlyAccess` 및 `AWSLambda_FullAccess` 정책을 업데이트했습니다. | 2025년 3월 17일 |
| [AWSLambdaVPCAccessExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaVPCAccessExecutionRole.html) - 변경 | Lambda는 `ec2:DescribeSubnets` 작업을 허용하도록 `AWSLambdaVPCAccessExecutionRole` 정책을 업데이트했습니다. | 2024년 1월 5일 |
| [AWSLambda\$1ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambda_ReadOnlyAccess.html) – 변경 | Lambda는 보안 주체가 CloudFormation 스택을 나열할 수 있도록 `AWSLambda_ReadOnlyAccess` 정책을 업데이트했습니다. | 2023년 7월 27일 |
| AWS Lambda에서 변경 사항 추적 시작 | AWS Lambda에서 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다. | 2023년 7월 27일 |