AWS RAM에서 권한 관리 - AWS Resource Access Manager
관리형 권한의 작동 방식관리형 권한의 유형

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS RAM에서 권한 관리

AWS RAM에는 AWS 관리형 권한과 고객 관리형 권한이라는 두 가지 유형의 관리형 권한이 있습니다.

관리형 권한은 소비자가 리소스 공유 내의 리소스에 대해 수행할 수 있는 작업을 정의합니다. 리소스 공유를 생성할 때는 리소스 공유에 포함된 각 리소스 유형에 사용할 관리형 권한을 지정해야 합니다. 관리형 권한의 정책 템플릿에는 보안 주체와 리소스를 제외한 리소스 기반 정책에 필요한 모든 것이 포함되어 있습니다. 리소스의 Amazon 리소스 이름(ARN) 및 리소스 공유와 연결된 보안 주체의 ARN이 리소스 기반 정책의 구성 요소입니다. AWS RAM은 해당 리소스 공유의 모든 리소스에 연결되는 리소스 기반 정책을 작성합니다.

각 관리형 권한에는 하나 이상의 버전이 있을 수 있습니다. 한 버전이 해당 관리형 권한의 기본 버전으로 지정됩니다. AWS에서 새 버전을 생성한 후 해당 새 버전을 기본값으로 지정하여 리소스 유형에 대한 AWS 관리형 권한을 업데이트하는 경우도 있습니다. 사용자가 새 버전을 생성하여 고객 관리형 권한을 업데이트할 수도 있습니다. 리소스 공유에 이미 연결된 관리형 권한은 자동으로 업데이트되지 않습니다. AWS RAM 콘솔에서 새 기본 버전이 사용 가능할 경우 알림이 표시되므로, 사용자는 이전 버전과 비교하여 새 기본 버전의 변경 사항을 검토할 수 있습니다.

참고

가능한 한 빨리 새 버전의 AWS 관리형 권한으로 업데이트하는 것이 좋습니다. 이러한 업데이트에는 일반적으로 AWS RAM을 사용하여 추가 리소스 유형을 공유할 수 있는 신규 또는 업데이트된 AWS 서비스에 대한 지원이 추가되어 있습니다. 새 기본 버전으로 보안 취약성을 해결하고 수정할 수도 있습니다.

중요

새 리소스 공유에는 관리형 권한의 기본 버전만 연결할 수 있습니다.

사용 가능한 관리형 권한 목록은 언제든지 검색할 수 있습니다. 자세한 내용은 관리형 권한 보기 섹션을 참조하세요.

주제

관리형 권한의 작동 방식

간략한 개요를 보려면 관리형 권한을 통해 최소 권한 액세스의 모범 사례를 AWS 리소스에 적용하는 방법을 보여주는 다음 동영상을 시청하세요.

이 동영상에서는 최소 권한 모범 사례에 따라 고객 관리형 권한을 작성하고 연결하는 방법을 보여줍니다. 자세한 내용은 AWS RAM에서 고객 관리형 권한 생성 및 사용 섹션을 참조하세요.

리소스 공유를 생성할 때 공유하려는 각 리소스 유형에 AWS 관리형 권한을 연결합니다. 관리형 권한의 버전이 두 개 이상인 경우 새 리소스 공유에는 항상 기본 버전으로 지정된 버전이 사용됩니다.

리소스 공유를 생성한 후에는 AWS RAM에서 관리형 권한을 사용하여 각 공유 리소스에 연결된 리소스 기반 정책을 생성합니다.

관리형 권한의 정책 템플릿에서는 다음을 지정합니다.

Effect

공유 리소스에 대한 작업을 수행할 수 있는 보안 주체 권한을 Allow 또는 Deny할지 여부를 나타냅니다. 관리형 권한의 경우 effect는 항상 Allow입니다. 자세한 내용은 IAM 사용 설명서에서 Effect 섹션을 참조하세요.

Action

보안 주체에게 수행 권한이 부여된 작업 목록입니다. AWS Management Console에서는 작업(action)이고, AWS Command Line Interface(AWS CLI) 또는 AWS API에서는 작업(operation)일 수 있습니다. 작업은 AWS 권한을 통해 정의됩니다. 자세한 내용은 IAM 사용 설명서에서 Action 섹션을 참조하세요.

Condition

보안 주체가 리소스 공유의 리소스와 상호 작용할 수 있는 시기와 방법입니다. 조건은 공유 리소스에 보안을 한층 더 강화합니다. 조건을 사용하여 민감한 작업에 대한 액세스를 공유 리소스로 제한할 수 있습니다. 예를 들어, 특정 회사 IP 주소 범위에서 작업을 시작하거나 멀티 팩터 인증으로 인증된 사용자가 작업을 수행하도록 요구하는 조건을 포함시킬 수 있습니다. 조건에 대한 자세한 내용은 IAM 사용 설명서에서 AWS 글로벌 조건 컨텍스트 키를 참조하세요. 서비스별 조건에 대한 자세한 내용은 서비스 승인 참조에서 AWS 서비스서비스에 사용되는 작업, 리소스 및 조건 키를 참조하세요.

참고

고객 관리형 권한에는 조건을, AWS 관리형 권한에는 지원되는 리소스 유형을 사용할 수 있습니다.

고객 관리형 권한 사용에서 제외되는 조건에 대한 자세한 내용은 AWS RAM에서 고객 관리형 권한을 사용할 때 고려할 사항 섹션을 참조하세요.

관리형 권한의 유형

리소스 공유를 생성할 때 리소스 공유에 포함된 각 리소스 유형과 연결할 관리형 권한을 선택하세요. AWS 관리형 권한은 AWS 리소스 소유 서비스에서 정의하고 AWS RAM에서 관리합니다. 고객 관리형 권한은 사용자가 직접 작성하고 유지 관리합니다.

  • AWS관리형 권한 - AWS RAM에서 지원하는 모든 리소스 유형에 대해 하나의 기본 관리형 권한을 사용할 수 있습니다. 명시적으로 관리형 권한 중 하나를 추가로 선택하지 않는 한 기본 관리형 권한이 리소스 유형에 사용됩니다. 기본 관리형 권한은 지정된 유형의 리소스를 공유하는 가장 일반적인 고객 시나리오를 지원하기 위한 것입니다. 기본 관리형 권한을 사용하면 해당 리소스 유형에 대해 서비스에서 정의한 특정 작업을 보안 주체가 수행할 수 있습니다. 예를 들어, Amazon VPC ec2:Subnet 리소스 유형의 경우 기본 관리형 권한을 통해 보안 주체가 다음 작업을 수행할 수 있습니다.

    • ec2:RunInstances

    • ec2:CreateNetworkInterface

    • ec2:DescribeSubnets

    기본 AWS 관리형 권한의 이름은 AWSRAMDefaultPermissionShareableResourceType 형식을 사용합니다. 예를 들어 ec2:Subnet 리소스 유형의 경우 기본 AWS 관리형 권한의 이름은 AWSRAMDefaultPermissionSubnet입니다.

    참고

    기본 관리형 권한은 관리형 권한의 기본 버전과는 다릅니다. 기본 권한이든 일부 리소스 유형에서 지원하는 추가 관리형 권한 중 하나이든 관계없이 모든 관리형 권한은 별도의 완전한 권한으로, 읽기-쓰기 액세스와 읽기 전용 액세스 등 다양한 공유 시나리오를 지원하는 다양한 효과와 작업을 제공합니다. AWS 관리형 권한이든 고객 관리형 권한이든지 간에 모든 관리형 권한에는 여러 버전이 있을 수 있으며, 그 중 하나가 해당 권한의 기본 버전이 됩니다.

    예를 들어 전체 액세스(ReadWrite) 관리형 권한과 읽기 전용 관리형 권한을 모두 지원하는 리소스 유형을 공유하는 경우 전체 액세스 관리형 권한을 가진 관리자를 위한 하나의 리소스 공유를 생성할 수 있습니다. 그런 다음 최소 권한 부여 방식에 따라 읽기 전용 관리형 권한을 사용하여 다른 개발자를 위한 별도의 리소스 공유를 생성할 수 있습니다.

    참고

    AWS RAM과 함께 작동하는 모든 AWS 서비스는 기본 관리형 권한을 적어도 한 개 지원합니다. 각 AWS 서비스에 사용할 수 있는 권한은 관리형 권한 라이브러리 페이지에서 확인할 수 있습니다. 이 페이지에서는 사용 가능한 각 관리형 권한에 대한 세부 정보를 제공합니다. 여기에는 현재 권한과 연결된 리소스 공유, 외부 보안 주체와의 공유 허용 여부(해당하는 경우) 등이 포함됩니다. 자세한 내용은 관리형 권한 보기 섹션을 참조하세요.

    추가 관리형 권한을 지원하지 않는 서비스의 경우 리소스 공유를 생성하면 선택한 리소스 유형에 대해 정의된 기본 권한을 AWS RAM에서 자동으로 적용합니다. 지원되는 경우 관리형 권한 연결 페이지에서 고객 관리형 권한 생성을 선택할 수도 있습니다.

  • 고객 관리형 권한 - 고객 관리형 권한은 AWS RAM을 사용하여 공유되는 리소스에 대해 어떤 조건에서 어떤 작업을 수행할 수 있는지 정확하게 지정하여 작성하고 유지 관리하는 관리형 권한입니다. 예를 들어, 대규모로 IP 주소를 관리하는 데 도움이 되도록 Amazon VPC IP 주소 관리자(IPAM) 풀에 대한 읽기 액세스를 제한하려고 합니다. 개발자가 IP 주소를 할당할 수 있는 고객 관리형 권한을 생성할 수 있지만, 다른 개발자 계정이 할당하는 IP 주소 범위를 볼 수는 없습니다. 최소 권한 모범 사례에 따라 공유 리소스에 대한 작업을 수행하는 데 필요한 권한만 부여할 수 있습니다.