에서 를 AWS RAM 사용하는 방법 IAM - AWS Resource Access Manager
정책 구조

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에서 를 AWS RAM 사용하는 방법 IAM

기본적으로 IAM 보안 주체는 AWS RAM 리소스를 생성하거나 수정할 권한이 없습니다. IAM 보안 주체가 리소스를 생성 또는 수정하고 작업을 수행하도록 허용하려면 다음 단계 중 하나를 수행합니다. 이러한 작업은 특정 리소스 및 API 작업을 사용할 수 있는 권한을 부여합니다.

액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요:

  • 의 사용자 및 그룹 AWS IAM Identity Center:

    권한 세트를 생성합니다. AWS IAM Identity Center 사용 설명서권한 세트 생성의 지침을 따릅니다.

  • 자격 증명 공급자를 IAM 통해 에서 관리되는 사용자:

    ID 페더레이션을 위한 역할을 생성합니다. IAM 사용 설명서타사 자격 증명 공급자(페더레이션)에 대한 역할 생성의 지침을 따릅니다.

  • IAM 사용자:

    • 사용자가 맡을 수 있는 역할을 생성합니다. IAM 사용 설명서 IAM 사용자 역할 생성의 지침을 따릅니다.

    • (권장되지 않음)정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. IAM 사용 설명서사용자(콘솔)에 권한 추가의 지침을 따릅니다.

AWS RAM 는 많은 사용자의 요구 사항을 해결하는 데 사용할 수 있는 여러 AWS 관리형 정책을 제공합니다. 이에 대한 자세한 내용은 AWS RAM의 AWS 관리형 정책 단원을 참조하세요.

사용자에게 부여하는 권한을 더 세밀하게 제어해야 하는 경우 IAM 콘솔에서 자체 정책을 구성할 수 있습니다. 정책을 생성하고 이를 IAM 역할 및 사용자에게 연결하는 방법에 대한 자세한 내용은 AWS Identity and Access Management 사용 설명서의 에서 정책 및 권한을 IAM 참조하세요.

다음 섹션에서는 IAM 권한 정책을 빌드하기 위한 AWS RAM 구체적인 세부 정보를 제공합니다.

정책 구조

IAM 권한 정책은 효과, 작업, 리소스 및 조건과 같은 문이 포함된 JSON 문서입니다. IAM 정책은 일반적으로 다음과 같은 형태를 취합니다.

{
    "Statement":[{
        "Effect":"<effect>",
        "Action":"<action>",
        "Resource":"<arn>",
        "Condition":{
            "<comparison-operator>":{
                "<key>":"<value>"
            }
        }
    }]
}

Effect

Effect 문은 정책에서 보안 주체의 작업 수행 권한을 허용하는지 또는 거부하는지 여부를 나타냅니다. 가능한 값은 AllowDeny입니다.

작업

작업 문은 정책이 권한을 허용하거나 거부하는 작업을 지정합니다 AWS RAM API. 허용되는 작업의 전체 목록은 IAM 사용 설명서의 에서 정의한 작업을 AWS Resource Access Manager 참조하세요.

Resource

리소스 문은 정책의 영향을 받는 AWS RAM 리소스를 지정합니다. 문에서 리소스를 지정하려면 고유한 Amazon 리소스 이름()을 사용해야 합니다ARN. 허용되는 리소스의 전체 목록은 IAM 사용 설명서의 에서 정의한 리소스를 AWS Resource Access Manager 참조하세요.

Condition

Condition 문은 선택 사항으로, 정책을 적용하는 조건을 추가로 구체화하는 데 사용할 수 있습니다. 는 다음 조건 키를 AWS RAM 지원합니다.

  • aws:RequestTag/${TagKey} - 서비스 요청에 지정된 태그 키를 가진 태그가 포함되어 있고 지정된 값을 갖는지 테스트합니다.

  • aws:ResourceTag/${TagKey} - 서비스 요청의 영향을 받는 리소스에 정책에 지정된 태그 키와 일치하는 태그가 연결되어 있는지 테스트합니다.

    다음 예제 조건은 서비스 요청에 참조된 리소스에 키 이름이 'Owner'이고 값이 'Dev Team'인 태그가 연결되어 있는지 확인합니다.

    "Condition" : { 
    "StringEquals" : {
        "aws:ResourceTag/Owner" : "Dev Team" 
    } 
}

  • aws:TagKeys – 리소스 공유를 생성하거나 태그 지정할 때 사용해야 하는 태그 키를 지정합니다.

  • ram:AllowsExternalPrincipals - 서비스 요청의 리소스 공유가 외부 보안 주체와의 공유를 허용하는지 테스트합니다. 외부 보안 주체는 의 조직 AWS 계정 외부에 있습니다 AWS Organizations. False로 평가되면 이 리소스 공유를 동일한 조직의 계정과만 공유할 수 있습니다.

  • ram:PermissionArn - 서비스 요청에 ARN 지정된 권한이 정책에서 지정한 ARN 문자열과 일치하는지 테스트합니다.

  • ram:PermissionResourceType - 서비스 요청에 지정된 권한이 정책에 지정된 리소스 유형에 유효한지 테스트합니다. 공유 가능한 리소스 유형 목록에 표시된 형식을 사용하여 리소스 유형을 지정합니다.

  • ram:Principal - 서비스 요청에 지정된 보안 주체ARN의 이 정책에서 지정한 ARN 문자열과 일치하는지 테스트합니다.

  • ram:RequestedAllowsExternalPrincipals - 서비스 요청에 allowExternalPrincipals 파라미터가 포함되어 있는지, 해당 파라미터의 인수가 정책에 지정된 값과 일치하는지 테스트합니다.

  • ram:RequestedResourceType - 영향을 받는 리소스의 리소스 유형이 정책에 지정된 리소스 유형 문자열과 일치하는지 테스트합니다. 공유 가능한 리소스 유형 목록에 표시된 형식을 사용하여 리소스 유형을 지정합니다.

  • ram:ResourceArn - 서비스 요청에 의해 처리되는 리소스ARN의 이 정책에서 지정한 ARN 과 일치하는지 테스트합니다.

  • ram:ResourceShareName - 서비스 요청의 영향을 받는 리소스 공유의 이름이 정책에 지정된 문자열과 일치하는지 테스트합니다.

  • ram:ShareOwnerAccountId - 서비스 요청의 영향을 받는 리소스 공유의 계정 ID 번호가 정책에 지정된 문자열과 일치하는지 테스트합니다.