기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# HealthOmics에 대한 자격 증명 기반 IAM 정책
<a name="permissions-user"></a>

계정의 사용자에게 HealthOmics에 대한 액세스 권한을 부여하려면 AWS Identity and Access Management (IAM)의 자격 증명 기반 정책을 사용합니다. 자격 증명 기반 정책은 IAM 사용자 또는 사용자와 연결된 IAM 그룹 및 역할에 직접 적용할 수 있습니다. 다른 계정의 사용자에게 계정의 역할을 수임하고 HealthOmics 리소스에 액세스할 수 있는 권한을 부여할 수도 있습니다.

사용자가 워크플로 버전에 대한 작업을 수행할 수 있는 권한을 부여하려면 리소스 목록에 워크플로와 특정 워크플로 버전을 추가해야 합니다.

다음 IAM 정책은 사용자가 모든 HealthOmics API 작업에 액세스하고 [서비스 역할을](permissions-service.md) HealthOmics에 전달할 수 있도록 허용합니다.

**Example 사용자 정책**    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "omics:*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "omics.amazonaws.com"
        }
      }
    }
  ]
}
```

HealthOmics를 사용하면 다른 AWS 서비스와도 상호 작용합니다. 이러한 서비스에 액세스하려면 각 서비스에서 제공하는 관리형 정책을 사용합니다. 리소스 하위 집합에 대한 액세스를 제한하려면 관리형 정책을 시작점으로 사용하여 보다 제한적인 자체 정책을 생성할 수 있습니다.

****
+ [AmazonS3FullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonS3FullAccess) - 작업에서 사용하는 Amazon S3 버킷 및 객체에 대한 액세스입니다.

  
+ [AmazonEC2ContainerRegistryFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryFullAccess) - 워크플로 컨테이너 이미지의 Amazon ECR 레지스트리 및 리포지토리에 액세스할 수 있습니다.

  
+ [AWSLakeFormationDataAdmin](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationDataAdmin) - 분석 스토어에서 생성한 Lake Formation 데이터베이스 및 테이블에 대한 액세스입니다.

  
+ [ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess) – HealthOmics 태깅 API 작업으로 HealthOmics 리소스에 태깅합니다.

  

위의 정책은 사용자가 IAM 역할을 생성하도록 허용하지 않습니다. 이러한 권한이 있는 사용자가 작업을 실행하려면 관리자가 HealthOmics에 데이터 소스에 액세스할 수 있는 권한을 부여하는 서비스 역할을 생성해야 합니다. 자세한 내용은 [에 대한 서비스 역할 AWS HealthOmics](permissions-service.md) 단원을 참조하십시오.

## 실행에 대한 사용자 지정 IAM 권한 정의
<a name="permissions-workflow-runs"></a>

권한 부여 요청에 `StartRun` 요청에서 참조하는 워크플로, 실행 또는 실행 그룹을 포함할 수 있습니다. 이렇게 하려면 IAM 정책에서 원하는 워크플로, 실행 또는 실행 그룹 조합을 나열합니다. 예를 들어 워크플로 사용을 특정 실행 또는 실행 그룹으로 제한할 수 있습니다. 워크플로를 실행 그룹에만 사용하도록 지정할 수도 있습니다.

다음은 단일 실행 그룹으로 단일 워크플로를 허용하는 IAM 정책의 예입니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "omics:StartRun"
          ],
          "Resource": [
              "arn:aws:omics:us-west-2:123456789012:workflow/1234567",
              "arn:aws:omics:us-west-2:123456789012:runGroup/2345678"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "omics:StartRun"
          ],
          "Resource": [
              "arn:aws:omics:us-west-2:123456789012:run/*",
              "arn:aws:omics:us-west-2:123456789012:runGroup/2345678"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "omics:GetRun",
              "omics:ListRunTasks",
              "omics:GetRunTask",
              "omics:CancelRun",
              "omics:DeleteRun"
          ],
          "Resource": [
              "arn:aws:omics:us-west-2:123456789012:run/*"
          ]
      }     
  ]
}
```

------