기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM 정책을 사용하여 Amazon Neptune 데이터베이스에 대한 액세스 관리

IAM 정책은 작업 및 리소스를 사용할 수 있는 권한을 정의하는 JSON 객체입니다.

정책을 AWS 생성하고 자격 증명 또는 리소스에 연결하여 AWS 에서 액세스를 제어합니다. 정책은 자격 증명 또는 리소스와 연결된 AWS 경우 권한을 정의하는의 객체입니다.는 보안 주체(사용자, 루트 사용자 또는 역할 세션)가 요청할 때 이러한 정책을 AWS 평가합니다. 정책에서 권한은 요청이 허용되거나 거부되는 지를 결정합니다. 대부분의 정책은에 JSON 문서 AWS 로 저장됩니다. JSON 정책 문서의 구조 및 내용에 대한 자세한 내용은 IAM 사용 설명서의 JSON 정책 개요를 참조하세요.

관리자는 정책을 사용하여 AWS JSON 대상에 액세스할 수 있는 사용자를 지정할 수 있습니다. 즉, 어떤 보안 주체가 어떤 리소스와 어떤 조건에서 작업을 수행할 수 있는지를 지정할 수 있습니다.

기본적으로, 사용자 및 역할에는 어떠한 권한도 없습니다. 사용자에게 사용자가 필요한 리소스에서 작업을 수행할 권한을 부여하려면 IAM 관리자가 IAM 정책을 생성하면 됩니다. 그런 다음 관리자가 IAM 정책을 역할에 추가하고, 사용자가 역할을 수임할 수 있습니다.

IAM 정책은 작업을 실행하기 위한 방법과 상관없이 작업을 정의합니다. 예를 들어, iam:GetRole 작업을 허용하는 정책이 있다고 가정합니다. 해당 정책을 사용하는 사용자는 AWS Management Console, AWS CLI또는에서 역할 정보를 가져올 수 있습니다 AWS API.

자격 증명 기반 정책

자격 증명 기반 정책은 IAM 사용자, 사용자 그룹 또는 역할과 같은 자격 증명에 연결할 수 있는 JSON 권한 정책 문서입니다. 이러한 정책은 사용자 및 역할이 어떤 리소스와 어떤 조건에서 어떤 작업을 수행할 수 있는지를 제어합니다. 자격 증명 기반 정책을 생성하는 방법을 알아보려면 IAM 사용 설명서의 고객 관리형 정책을 사용하여 사용자 지정 IAM 권한 정의를 참조하세요.

ID 기반 정책은 인라인 정책 또는 관리형 정책으로 한층 더 분류할 수 있습니다. 인라인 정책은 단일 사용자, 그룹 또는 역할에 직접 포함됩니다. 관리형 정책은의 여러 사용자, 그룹 및 역할에 연결할 수 있는 독립 실행형 정책입니다 AWS 계정. 관리형 정책에는 AWS 관리형 정책 및 고객 관리형 정책이 포함됩니다. 관리형 정책 또는 인라인 정책 중에서 선택하는 방법을 알아보려면 IAM 사용 설명서의 관리형 정책 및 인라인 정책 중에서 선택을 참조하세요.

AWS 조직에서 서비스 제어 정책(SCP) 사용

서비스 제어 정책(SCPs)은의 조직 또는 조직 단위(OU)에 대한 최대 권한을 지정하는 JSON 정책입니다AWS Organizations. AWS Organizations 는 비즈니스가 소유한 여러 AWS 계정을 그룹화하고 중앙에서 관리하는 서비스입니다. 조직의 모든 기능을 활성화하면 일부 또는 모든 계정에 서비스 제어 정책(SCPs)을 적용할 수 있습니다. 는 각 계정 루트 사용자를 포함하여 멤버 AWS 계정의 엔터티에 대한 권한을 SCP 제한합니다. 조직 및에 대한 자세한 내용은 AWS Organizations 사용 설명서의 SCPs 작동 방식을 SCPs참조하세요.

AWS 조직 내 AWS 계정에 Amazon Neptune을 배포하는 고객은 SCPs를 사용하여 Neptune을 사용할 수 있는 계정을 제어할 수 있습니다. 멤버 계정 내에서 Neptune에 액세스하려면 다음을 수행해야 합니다.

Amazon Neptune 콘솔 사용에 필요한 권한

Amazon Neptune 콘솔에서 작업하려면 최소한의 권한이 사용자에게 필요합니다. 이러한 권한을 통해 사용자는 AWS 계정의 Neptune 리소스를 설명하고 Amazon EC2 보안 및 네트워크 정보를 포함한 기타 관련 정보를 제공할 수 있습니다.

최소 필수 권한보다 더 제한적인 IAM 정책을 만들면 콘솔에서는 해당 IAM 정책에 연결된 사용자에 대해 의도대로 작동하지 않습니다. 사용자가 Neptune 콘솔을 사용할 수 있도록 하려면 NeptuneReadOnlyAccess 관리형 정책을 사용자에게 연결합니다(AWS 관리형 정책을 사용하여 Amazon Neptune 데이터베이스 액세스 참조).

AWS CLI 또는 Amazon Neptune 에만 호출하는 사용자에게 최소 콘솔 권한을 허용할 필요는 없습니다API.

IAM 사용자에게 IAM 정책 연결

관리형 또는 사용자 지정 정책을 적용하려면 IAM 사용자에게 연결합니다. 이 주제에 대한 자습서는 IAM 사용 설명서의 첫 번째 고객 관리형 정책 생성 및 연결을 참조하세요.

자습서를 읽어보면 이번 단원에서 소개하는 정책 예제 중 한 가지를 출발점으로 자신만의 요건에 따라 지정하여 사용할 수 있습니다. 자습서를 끝까지 따르다 보면 연결된 정책을 통해 neptune-db:* 작업이 가능한 IAM 사용자를 얻게 됩니다.

다양한 종류의 IAM 정책을 사용하여 Neptune에 대한 액세스 제어

Neptune 관리 작업 또는 Neptune DB 클러스터의 데이터에 대한 액세스를 제공하려면 정책을 IAM 사용자 또는 역할에 연결합니다. IAM 정책을 사용자에게 연결하는 방법에 대한 자세한 내용은 섹션을 참조하세요IAM 사용자에게 IAM 정책 연결. 역할에 정책을 연결하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 IAM 정책 추가 및 제거를 참조하세요.

Neptune에 대한 일반 액세스의 경우 Neptune의 관리형 정책 중 하나를 사용할 수 있습니다. 액세스를 추가로 제한하려면 Neptune이 지원하는 관리 작업 및 리소스를 사용하여 사용자 지정 정책을 만들 수 있습니다.

사용자 지정 IAM 정책에서는 Neptune DB 클러스터에 대한 다양한 액세스 모드를 제어하는 두 가지 종류의 정책 설명을 사용할 수 있습니다.

Amazon Neptune에서 IAM 조건 컨텍스트 키 사용

IAM 정책 설명에서 Neptune에 대한 액세스를 제어하는 조건을 지정할 수 있습니다. 이 정책문은 조건이 true일 때만 유효합니다.

예를 들어, 특정 날짜 이후에만 정책문이 적용되기를 원하거나 요청에 특정 값이 있는 경우에만 액세스를 허용하기를 원할 수 있습니다.

조건을 표현하려면 정책 설명의 Condition 요소에 미리 정의된 조건 키와 같거나 작은와 같은 IAM 조건 정책 연산자를 사용합니다.

한 문에서 여러 Condition 요소를 지정하거나 단일 Condition 요소에서 여러 키를 지정하는 경우, AWS 는 논리적 AND 작업을 사용하여 평가합니다. 단일 조건 키에 여러 값을 지정하는 경우는 논리적 OR 작업을 사용하여 조건을 AWS 평가합니다. 문의 권한을 부여하기 전에 모든 조건을 충족해야 합니다.

조건을 지정할 때 자리 표시자 변수를 사용할 수도 있습니다. 예를 들어, IAM 사용자에게 IAM 사용자 이름으로 태그가 지정된 경우에만 리소스에 액세스할 수 있는 권한을 부여할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 IAM 정책 요소: 변수 및 태그를 참조하세요.

조건 키의 데이터 유형은 요청의 값을 정책문의 값과 비교하는 데 사용할 수 있는 조건 연산자를 결정합니다. 해당 데이터 유형과 호환되지 않는 조건 연산자를 사용하면 매치가 항상 실패하고 정책문이 적용되지 않습니다.

Neptune은 관리 정책문에 대해 데이터 액세스 정책문과 다른 조건 키 세트를 지원합니다.

Amazon Neptune의 IAM 정책 및 액세스 제어 기능 지원

다음 표는 Neptune이 관리 정책 설명 및 데이터 액세스 정책 설명에 대해 지원하는 IAM 기능을 보여줍니다.

IAM 정책 제한 사항

IAM 정책에 대한 변경 사항이 지정된 Neptune 리소스에 적용되는 데 최대 10분이 걸립니다.

IAM Neptune DB 클러스터에 적용되는 정책은 해당 클러스터의 모든 인스턴스에 적용됩니다.

Neptune은 현재 크로스 계정 액세스 제어를 지원하지 않습니다.