기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 의 보안 AWS Resource Access Manager
의 클라우드 보안 AWS 이 최우선 순위입니다. AWS 고객은 보안에 가장 민감한 조직의 요구 사항을 충족하도록 구축된 데이터 센터 및 네트워크 아키텍처의 이점을 누릴 수 있습니다.
보안은 AWS 와 사용자 간의 공동 책임입니다. [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)은 이를 클라우드*의* 보안과 클라우드 *내* 보안으로 설명합니다.
+ **클라우드 보안 **- AWS 는에서 AWS 서비스를 실행하는 인프라를 보호할 책임이 있습니다 AWS 클라우드. AWS 또한는 안전하게 사용할 수 있는 서비스를 제공합니다. 서드 파티 감사원은 정기적으로 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/)의 일환으로 보안 효과를 테스트하고 검증합니다. AWS Resource Access Manager (AWS RAM)에 적용되는 규정 준수 프로그램에 대해 알아보려면 [규정 준수 프로그램 제공 범위 내AWS 서비스](https://aws.amazon.com/compliance/services-in-scope/)를 참조하십시오.
+ **클라우드의 보안** - 사용자의 책임은 사용하는 AWS 서비스에 따라 결정됩니다. 또한 귀하는 귀사의 데이터 민감도, 귀사의 요구 사항, 관련 법률 및 규정을 비롯한 기타 요소에 대해서도 책임이 있습니다.
이 설명서는를 사용할 때 공동 책임 모델을 적용하는 방법을 이해하는 데 도움이 됩니다 AWS RAM. 다음 주제에서는 보안 및 규정 준수 목표를 충족하도록 AWS RAM 를 구성하는 방법을 보여줍니다. 또한 AWS RAM 리소스를 모니터링하고 보호하는 데 도움이 되는 다른 AWS 서비스를 사용하는 방법을 알아봅니다.
**Topics**
+ [의 데이터 보호 AWS Resource Access Manager](data-protection.md)
+ [에 대한 자격 증명 및 액세스 관리 AWS Resource Access Manager](security-iam.md)
+ [AWS RAM에서 로깅 및 모니터링](security-monitoring.md)
+ [에 대한 규정 준수 검증 AWS Resource Access Manager](compliance-validation.md)
+ [의 복원력 AWS Resource Access Manager](disaster-recovery-resiliency.md)
+ [의 인프라 보안 AWS Resource Access Manager](infrastructure-security.md)
+ [인터페이스 엔드포인트를 AWS Resource Access Manager 사용한 액세스(AWS PrivateLink)](vpc-interface-endpoints.md)
# 의 데이터 보호 AWS Resource Access Manager
AWS [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)의 데이터 보호에 적용됩니다 AWS Resource Access Manager. 이 모델에 설명된 대로 AWS 는 모든를 실행하는 글로벌 인프라를 보호할 책임이 있습니다 AWS 클라우드. 사용자는 이 인프라에 호스팅되는 콘텐츠에 대한 통제 권한을 유지할 책임이 있습니다. 사용하는 AWS 서비스 의 보안 구성과 관리 태스크에 대한 책임도 사용자에게 있습니다. 데이터 프라이버시에 관한 자세한 내용은 [데이터 프라이버시 FAQ](https://aws.amazon.com/compliance/data-privacy-faq/)를 참조하세요. 유럽의 데이터 보호에 대한 자세한 내용은 *AWS 보안 블로그*의 [AWS 공동 책임 모델 및 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 블로그 게시물을 참조하세요.
데이터 보호를 위해 자격 증명을 보호하고 AWS 계정 AWS IAM Identity Center 또는 AWS Identity and Access Management (IAM)를 사용하여 개별 사용자를 설정하는 것이 좋습니다. 이렇게 하면 개별 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.
+ 각 계정에 다중 인증(MFA)을 사용합니다.
+ SSL/TLS를 사용하여 AWS 리소스와 통신합니다. TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ 를 사용하여 API 및 사용자 활동 로깅을 설정합니다 AWS CloudTrail. CloudTrail 추적을 사용하여 AWS 활동을 캡처하는 방법에 대한 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [ CloudTrail 추적 작업을 참조하세요](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html).
+ 내부의 모든 기본 보안 제어와 함께 AWS 암호화 솔루션을 사용합니다 AWS 서비스.
+ Amazon S3에 저장된 민감한 데이터를 검색하고 보호하는 데 도움이 되는 Amazon Macie와 같은 고급 관리형 보안 서비스를 사용합니다.
+ 명령줄 인터페이스 또는 API를 AWS 통해에 액세스할 때 FIPS 140-3 검증 암호화 모듈이 필요한 경우 FIPS 엔드포인트를 사용합니다. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 [연방 정보 처리 표준(FIPS) 140-3](https://aws.amazon.com/compliance/fips/)을 참조하세요.
고객의 이메일 주소와 같은 기밀 정보나 중요한 정보는 태그나 **이름** 필드와 같은 자유 형식 텍스트 필드에 입력하지 않는 것이 좋습니다. 여기에는 AWS RAM 또는 기타 AWS 서비스 에서 콘솔, API AWS CLI또는 AWS SDKs를 사용하여 작업하는 경우가 포함됩니다. 이름에 사용되는 태그 또는 자유 형식 텍스트 필드에 입력하는 모든 데이터는 청구 또는 진단 로그에 사용될 수 있습니다. 외부 서버로 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 자격 증명 정보를 URL에 포함해서는 안 됩니다.
# 에 대한 자격 증명 및 액세스 관리 AWS Resource Access Manager
AWS Identity and Access Management (IAM)는 관리자가 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있도록 지원하는 AWS 서비스입니다. IAM의 관리자는 누가 AWS 리소스를 사용할 수 있는 *인증*(로그인) 및 *권한*(권한 있음)을 받을 수 있는지 제어합니다. IAM을 사용하면에서 역할, 사용자 및 그룹과 같은 보안 주체를 생성할 수 있습니다 AWS 계정. 이러한 보안 주체가 AWS 리소스를 사용하여 작업을 수행하는 데 필요한 권한을 제어합니다. IAM은 추가 요금 없이 사용할 수 있습니다. 사용자 지정 IAM 정책 관리 및 생성에 대한 자세한 내용 IAM 사용 설명서에서 [IAM 정책 관리](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)를 참조하세요.**
**Topics**
+ [AWS RAM 에서 IAM을 사용하는 방법](security-iam-policies.md)
+ [AWS 에 대한 관리형 정책 AWS Resource Access Manager](security-iam-awsmanpol.md)
+ [에 서비스 연결 역할 사용 AWS RAM](using-service-linked-roles.md)
+ [에 대한 IAM 정책 예제 AWS RAM](security-iam-policies-examples.md)
+ [AWS Organizations 및에 대한 서비스 제어 정책 예제 AWS RAM](security-scp.md)
+ [와의 리소스 공유 비활성화 AWS Organizations](security-disable-sharing-with-orgs.md)
# AWS RAM 에서 IAM을 사용하는 방법
기본적으로 IAM 보안 주체는 AWS RAM 리소스를 생성하거나 수정할 권한이 없습니다. IAM 보안 주체가 리소스를 생성 또는 수정하고 작업을 수행할 수 있도록 허용하려면 다음 단계 중 하나를 수행합니다. 이러한 작업은 특정 리소스 및 API 작업을 사용할 수 있는 권한을 부여합니다.
액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요.
+ 의 사용자 및 그룹 AWS IAM Identity Center:
권한 세트를 생성합니다. *AWS IAM Identity Center 사용자 안내서*에서 [권한 세트 생성](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)의 지침을 따릅니다.
+ ID 제공업체를 통해 IAM에서 관리되는 사용자:
ID 페더레이션을 위한 역할을 생성합니다. *IAM 사용자 설명서*의 [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)의 지침을 따릅니다.
+ IAM 사용자:
+ 사용자가 맡을 수 있는 역할을 생성합니다. *IAM 사용자 설명서*에서 [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)의 지침을 따릅니다.
+ (권장되지 않음) 정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. *IAM 사용 설명서*에서 [사용자(콘솔)에 권한 추가](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)의 지침을 따릅니다.
AWS RAM 는 많은 사용자의 요구 사항을 해결하는 데 사용할 수 있는 여러 AWS 관리형 정책을 제공합니다. 이에 대한 자세한 내용은 [AWS 에 대한 관리형 정책 AWS Resource Access Manager](security-iam-awsmanpol.md) 섹션을 참조하세요.
사용자에게 부여하는 권한을 더 세밀하게 제어해야 하는 경우 IAM 콘솔에서 자체 정책을 구성할 수 있습니다. 정책을 생성하여 IAM 역할 및 사용자에게 연결하는 방법에 대한 자세한 내용은AWS Identity and Access Management 사용 설명서에서 [IAM의 정책 및 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)을 참조하세요.**
다음 섹션에서는 IAM 권한 정책을 빌드하기 위한 AWS RAM 특정 세부 정보를 제공합니다.
**Contents**
+ [정책 구조](#structure)
+ [Effect](#iam-policies-effect)
+ [작업](#iam-policies-action)
+ [Resource](#iam-policies-resource)
+ [Condition](#iam-policies-condition)
## 정책 구조
IAM 권한 정책은 Effect, Action, Resource, Condition 문이 포함되어 있는 JSON 문서입니다. IAM 정책의 형식은 일반적으로 다음과 같습니다.
```
{
"Statement":[{
"Effect":"",
"Action":"",
"Resource":"",
"Condition":{
"":{
"":""
}
}
}]
}
```
### Effect
*Effect* 문은 정책에서 보안 주체의 작업 수행 권한을 허용하는지 또는 거부하는지 여부를 나타냅니다. 가능한 값은 `Allow` 및 `Deny`입니다.
### 작업
*작업* 문은 정책이 권한을 허용하거나 거부하는 AWS RAM API 작업을 지정합니다. 허용되는 작업의 전체 목록은 IAM 사용 설명서에서 [AWS Resource Access Manager에서 정의한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-actions-as-permissions)을 참조하세요.**
### Resource
*리소스* 문은 정책의 영향을 받는 AWS RAM 리소스를 지정합니다. 문에서 리소스를 지정하려면 고유한 Amazon 리소스 이름(ARN)을 사용해야 합니다. 허용되는 리소스의 전체 목록은 IAM 사용 설명서에서 [AWS Resource Access Manager에서 정의한 리소스](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-resources-for-iam-policies)를 참조하세요.**
### Condition
*Condition* 문은 선택 사항으로, 정책을 적용하는 조건을 추가로 구체화하는 데 사용할 수 있습니다.는 다음 조건 키를 AWS RAM 지원합니다.
+ `aws:RequestTag/${TagKey}` - 서비스 요청에 지정된 태그 키를 가진 태그가 포함되어 있고 지정된 값을 갖는지 테스트합니다.
+ `aws:ResourceTag/${TagKey}` - 서비스 요청의 영향을 받는 리소스에 정책에 지정된 태그 키와 일치하는 태그가 연결되어 있는지 테스트합니다.
다음 예제 조건은 서비스 요청에 참조된 리소스에 키 이름이 'Owner'이고 값이 'Dev Team'인 태그가 연결되어 있는지 확인합니다.
```
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/Owner" : "Dev Team"
}
}
```
+ `aws:TagKeys` – 리소스 공유를 생성하거나 태그 지정할 때 사용해야 하는 태그 키를 지정합니다.
+ `ram:AllowsExternalPrincipals` - 서비스 요청의 리소스 공유가 외부 보안 주체와의 공유를 허용하는지 테스트합니다. 외부 보안 주체는 조직 AWS 계정 외부의 입니다 AWS Organizations. `False`로 평가되면 이 리소스 공유를 동일한 조직의 계정과만 공유할 수 있습니다.
+ `ram:PermissionArn` - 서비스 요청에 지정된 권한 ARN이 정책에 지정된 ARN 문자열과 일치하는지 테스트합니다.
+ `ram:PermissionResourceType` - 서비스 요청에 지정된 권한이 정책에 지정된 리소스 유형에 유효한지 테스트합니다. [공유 가능한 리소스 유형](shareable.md) 목록에 표시된 형식을 사용하여 리소스 유형을 지정합니다.
+ `ram:Principal` - 서비스 요청에 지정된 보안 주체의 ARN이 정책에 지정된 ARN 문자열과 일치하는지 테스트합니다.
+ `ram:RequestedAllowsExternalPrincipals` - 서비스 요청에 `allowExternalPrincipals` 파라미터가 포함되어 있는지, 해당 파라미터의 인수가 정책에 지정된 값과 일치하는지 테스트합니다.
+ `ram:RequestedResourceType` - 영향을 받는 리소스의 리소스 유형이 정책에 지정된 리소스 유형 문자열과 일치하는지 테스트합니다. [공유 가능한 리소스 유형](shareable.md) 목록에 표시된 형식을 사용하여 리소스 유형을 지정합니다.
+ `ram:ResourceArn` - 서비스 요청의 영향을 받는 리소스의 ARN이 정책에 지정된 ARN과 일치하는지 테스트합니다.
+ `ram:ResourceShareName` - 서비스 요청의 영향을 받는 리소스 공유의 이름이 정책에 지정된 문자열과 일치하는지 테스트합니다.
+ `ram:ShareOwnerAccountId` - 서비스 요청의 영향을 받는 리소스 공유의 계정 ID 번호가 정책에 지정된 문자열과 일치하는지 테스트합니다.
# AWS 에 대한 관리형 정책 AWS Resource Access Manager
AWS Resource Access Manager 는 현재이 주제에서 설명하는 여러 AWS RAM 관리형 정책을 제공합니다.
**Topics**
+ [AWSResourceAccessManagerReadOnlyAccess](#security-iam-managed-policies-AWSResourceAccessManagerReadOnlyAccess)
+ [AWSResourceAccessManagerFullAccess](#security-iam-managed-policies-AWSResourceAccessManagerFullAccess)
+ [AWSResourceAccessManagerResourceShareParticipantAccess](#security-iam-managed-policies-AWSResourceAccessManagerResourceShareParticipantAccess)
+ [AWSResourceAccessManagerServiceRolePolicy](#security-iam-managed-policies-AWSResourceAccessManagerServiceRolePolicy)
+ [정책 업데이트](#security-iam-awsmanpol-updates)
위 목록에서 처음 세 개의 정책은 IAM 역할, 그룹 및 사용자에 연결하여 권한을 부여할 수 있습니다. 목록의 마지막 정책은 AWS RAM 서비스의 서비스 연결 역할용으로 예약되어 있습니다.
AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 미칩니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 *IAM 사용자 가이드*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.
## AWS 관리형 정책: AWSResourceAccessManagerReadOnlyAccess
`AWSResourceAccessManagerReadOnlyAccess` 정책을 IAM ID에 연결할 수 있습니다.
이 정책은 AWS 계정소유의 리소스 공유에 대한 읽기 전용 권한을 제공합니다.
이를 위해 `Get*` 또는 `List*` 작업의 실행 권한을 부여합니다. 리소스 공유를 수정할 수 있는 기능은 제공하지 않습니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `ram` - 보안 주체가 계정 소유의 리소스 공유에 대한 세부 정보를 볼 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:Get*",
"ram:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS 관리형 정책: AWSResourceAccessManagerFullAccess
`AWSResourceAccessManagerFullAccess` 정책을 IAM ID에 연결할 수 있습니다.
이 정책은 AWS 계정소유의 리소스 공유를 보거나 수정할 수 있는 전체 관리 액세스 권한을 제공합니다.
이를 위해 `ram` 작업 실행 권한을 부여합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `ram` - 보안 주체가 AWS 계정소유의 리소스 공유에 대한 정보를 보거나 수정할 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS 관리형 정책: AWSResourceAccessManagerResourceShareParticipantAccess
`AWSResourceAccessManagerResourceShareParticipantAccess` 정책을 IAM ID에 연결할 수 있습니다.
이 정책은 보안 주체에게이 정책과 공유되는 리소스 공유를 수락 또는 거부 AWS 계정하고 이러한 리소스 공유에 대한 세부 정보를 볼 수 있는 기능을 제공합니다. 이러한 리소스 공유를 수정할 수 있는 기능은 제공하지 않습니다.
이를 위해 일부 `ram` 작업의 실행 권한을 부여합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `ram` - 보안 주체가 리소스 공유 초대를 수락하거나 거부하고 계정과 공유된 리소스 공유에 대한 세부 정보를 볼 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:AcceptResourceShareInvitation",
"ram:GetResourcePolicies",
"ram:GetResourceShareInvitations",
"ram:GetResourceShares",
"ram:ListPendingInvitationResources",
"ram:ListPrincipals",
"ram:ListResources",
"ram:RejectResourceShareInvitation"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS 관리형 정책: AWSResourceAccessManagerServiceRolePolicy
AWS 관리형 정책은 서비스 연결 역할에서만 사용할 `AWSResourceAccessManagerServiceRolePolicy`수 있습니다 AWS RAM. 이 정책은 연결, 분리, 수정 또는 삭제할 수 없습니다.
이 정책은 조직의 구조에 대한 AWS RAM 읽기 전용 액세스를 제공합니다. AWS RAM 와 간의 통합을 활성화하면는 [AWSServiceRoleForResourceAccessManager](https://console.aws.amazon.com/iam/home#/roles/AWSServiceRoleForResourceAccessManager)라는 서비스 연결 역할을 AWS Organizations AWS RAM 자동으로 생성합니다.이 역할은 AWS RAM 콘솔에서 조직의 구조를 볼 때와 같이 조직 및 해당 계정에 대한 정보를 조회해야 할 때 서비스가 수임합니다.
이를 위해 조직의 구조 및 계정에 대한 세부 정보를 제공하는 `organizations:Describe` 및 `organizations:List` 작업을 실행할 수 있는 읽기 전용 권한을 부여합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `organizations` - 보안 주체가 조직 단위 및 조직에 포함된 AWS 계정 을 포함하여 조직의 구조에 대한 정보를 볼 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListRoots"
],
"Resource": "*"
},
{
"Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager",
"Effect": "Allow",
"Action": [
"iam:DeleteRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*"
]
}
]
}
```
------
## AWS RAM AWS 관리형 정책에 대한 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 AWS RAM 이후부터의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 AWS RAM 문서 기록 페이지에서 RSS 피드를 구독하세요.
| 변경 | 설명 | Date |
| --- | --- | --- |
| AWS Resource Access Manager 에서 변경 내용 추적 시작 | AWS RAM 는 기존 관리형 정책을 문서화하고 변경 사항 추적을 시작했습니다. | 2021년 9월 16일 |
# 에 서비스 연결 역할 사용 AWS RAM
AWS Resource Access Manager 는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 AWS RAM 서비스에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은에서 사전 정의 AWS 하며 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 AWS RAM 필요한 모든 권한을 포함합니다.
서비스 연결 역할을 사용하면 필요한 권한을 수동으로 추가할 필요가 없으므로를 더 AWS RAM 쉽게 구성할 수 있습니다.는 서비스 연결 역할의 권한을 AWS RAM 정의하며, 달리 정의되지 않은 한 만 서비스 연결 역할을 수임 AWS RAM 할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 모두 포함되며, 권한 정책은 다른 IAM 개체에 연결할 수 없습니다.
서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조해 **서비스 연결 역할** 열이 **예(Yes)**인 서비스를 찾으세요. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예(Yes)** 링크를 선택합니다.
## 에 대한 서비스 연결 역할 권한 AWS RAM
AWS RAM 는 공유를 활성화할 `AWSServiceRoleForResourceAccessManager` 때 라는 서비스 연결 역할을 사용합니다 AWS Organizations. 이 역할은 AWS RAM 서비스에 멤버 계정 목록 및 각 계정의 조직 단위와 같은 조직 세부 정보를 볼 수 있는 권한을 부여합니다.
이 서비스 연결 역할은 역할을 위임하기 위해 다음 서비스를 신뢰합니다.
+ `ram.amazonaws.com`
AWSResourceAccessManagerServiceRolePolicy라는 역할 권한 정책은이 서비스 연결 역할에 연결되며는 지정된 리소스에서 다음 작업을 완료할 수 AWS RAM 있습니다.
+ 작업: 조직 구조에 대한 세부 정보를 검색하는 읽기 전용 작업입니다. 전체 작업 목록은 IAM 콘솔에서 [AWS ResourceAccessManagerServicerPolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceAccessManagerServiceRolePolicy$jsonEditor) 정책을 확인할 수 있습니다.
보안 주체가 조직 내에서 AWS RAM 공유를 켜려면 해당 보안 주체(사용자, 그룹 또는 역할과 같은 IAM 엔터티)에 서비스 연결 역할을 생성할 수 있는 권한이 있어야 합니다. 자세한 내용은 IAM 사용 설명서**의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) 섹션을 참조하세요.
## 에 대한 서비스 연결 역할 생성 AWS RAM
서비스 연결 역할은 수동으로 생성할 필요가 없습니다. 에서 조직 내 공유를 켜 AWS RAM AWS Management Console거나 AWS CLI 또는 AWS API를 사용하여 계정에서 [EnableSharingWithAwsOrganization](https://docs.aws.amazon.com/ram/latest/APIReference/API_EnableSharingWithAwsOrganization.html)을 실행하면가 서비스 연결 역할을 AWS RAM 생성합니다.
`enable-sharing-with-aws-organizations`를 직접적으로 호출하여 계정에서 서비스 연결 역할을 생성합니다.
이 서비스 연결 역할을 삭제하면에 더 이상 조직 구조의 세부 정보를 볼 수 있는 권한이 AWS RAM 없습니다.
## 에 대한 서비스 연결 역할 편집 AWS RAM
AWS RAM 에서는 AWSResourceAccessManagerServiceRolePolicy 서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서**의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
## 에 대한 서비스 연결 역할 삭제 AWS RAM
IAM 콘솔, AWS CLI 또는 AWS API를 사용하여 서비스 연결 역할을 수동으로 삭제할 수 있습니다.
**IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.**
IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 `AWSResourceAccessManagerServiceRolePolicy` 서비스 연결 역할을 삭제합니다. 자세한 내용은 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)의 *서비스 연결 역할 삭제*를 참조하세요.
## AWS RAM 서비스 연결 역할에 지원되는 리전
AWS RAM 는 서비스를 사용할 수 있는 모든 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은Amazon Web Services 일반 참조의 [AWS Regions and endpoints](https://docs.aws.amazon.com/general/latest/gr/rande.html)를 참조하세요.**
# 에 대한 IAM 정책 예제 AWS RAM
이 주제에는 특정 리소스 및 리소스 유형을 공유하고 공유를 제한 AWS RAM 하는 방법을 보여주는에 대한 IAM 정책의 예가 포함되어 있습니다.
**Topics**
+ [특정 리소스 공유 허용](#owner-share-specific-resources)
+ [특정 리소스 유형 공유 허용](#owner-share-resource-types)
+ [외부와의 공유 제한 AWS 계정](#control-access-owner-external)
## 예 1: 특정 리소스 공유 허용
IAM 권한 정책을 사용하여 보안 주체가 특정 리소스만 리소스 공유와 연결하도록 제한할 수 있습니다.
예를 들어, 다음 정책은 보안 주체가 지정된 Amazon 리소스 이름 (ARN)을 사용하는 해석기 규칙만 공유하도록 제한합니다. 요청에 `ResourceArn` 파라미터가 포함되어 있지 않거나 해당 파라미터가 포함되어 있으며 값이 지정된 ARN과 정확히 일치하는 경우 `StringEqualsIfExists` 연산자는 요청을 허용합니다.
`...IfExists` 연산자를 사용하는 시기와 이유에 대한 자세한 내용은 *IAM 사용 설명서*에서 [...IfExists 조건 연산자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists)를 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample"
}
}
}]
}
```
------
## 예 2: 특정 리소스 유형 공유 허용
IAM 정책을 사용하여 보안 주체가 특정 리소스 유형만 리소스 공유와 연결하도록 제한할 수 있습니다.
`AssociateResourceShare` 및 `CreateResourceShare` 작업은 보안 주체 및 `resourceArns`를 독립 입력 파라미터로 받아들일 수 있습니다. 따라서는 각 보안 주체와 리소스를 독립적으로 AWS RAM 승인하므로 여러 [요청 컨텍스트가 있을 수 있습니다](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic_policy-eval-reqcontext.html). 즉, 보안 주체가 AWS RAM 리소스 공유에 연결되어 있는 경우, 요청 콘텍스트에는 `ram:RequestedResourceType` 조건 키가 없습니다. 마찬가지로 리소스가 AWS RAM 리소스 공유에 연결되면 요청 콘텍스트에 `ram:Principal` 조건 키가 없습니다. 따라서 보안 주체를 AWS RAM 리소스 공유에 연결할 `CreateResourceShare` 때 `AssociateResourceShare` 및를 허용하려면 [`Null` 조건 연산](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Null)자를 사용할 수 있습니다.
예를 들어 다음 정책은 보안 주체를 Amazon Route 53 Resolver 규칙만 공유하도록 제한하고 어느 보안 주체든 해당 공유에 연결할 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowOnlySpecificResourceType",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:RequestedResourceType": "route53resolver:ResolverRule"
}
}
},
{
"Sid": "AllowAssociatingPrincipals",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
## 예제 3: 외부와의 공유 제한 AWS 계정
IAM 정책을 사용하여 보안 주체가 AWS 조직 외부에 AWS 계정 있는와 리소스를 공유하지 못하도록 할 수 있습니다.
예를 들어, 다음 IAM 정책은 보안 주체가 리소스 공유 외부를 추가하는 AWS 계정 것을 방지합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ram:CreateResourceShare",
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "false"
}
}
}]
}
```
------
# AWS Organizations 및에 대한 서비스 제어 정책 예제 AWS RAM
AWS RAM 는 서비스 제어 정책(SCPs 지원합니다. SCP는 조직 내 구성 요소에 연결하여 해당 조직 내의 권한을 관리하는 정책입니다. SCP는 AWS 계정 [SCP를 연결하는 요소의 아래에](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html) 적용됩니다. SCP는 조직의 모든 계정에 사용 가능한 최대 권한을 중앙에서 제어합니다. 조직의 액세스 제어 지침을 AWS 계정 준수하는 데 도움이 될 수 있습니다. 자세한 내용은AWS Organizations 사용 설명서의 [서비스 제어 정책](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html)을 참조하세요.**
## 사전 조건
SCP를 사용하려면 먼저 다음 사항을 수행해야 합니다.
+ 조직 내에서 모든 기능을 활성화합니다. 자세한 내용은AWS Organizations 사용 설명서에서 [조직 내 모든 기능 활성화](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)를 참조하세요.**
+ 조직 내에서 사용할 수 있도록 SCP를 활성화합니다. 자세한 내용은AWS Organizations 사용 설명서에서 [정책 유형 활성화 및 비활성화](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html)를 참조하세요.**
+ 필요한 SCP를 생성합니다. SCP를 생성하는 방법에 대한 자세한 내용은AWS Organizations 사용 설명서에서 [SCP 생성 및 업데이트](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html)를 참조하세요.**
## 예제 서비스 제어 정책
**Contents**
+ [예 1: 외부 공유 금지](#example-one)
+ [예 2: 사용자가 조직 외부의 외부 계정으로부터 받은 리소스 공유 초대를 수락하지 못하도록 방지](#example-two)
+ [예 3: 특정 계정에서 특정 리소스 유형 공유 허용](#example-three)
+ [예 4: 전체 조직 또는 조직 단위와의 공유 금지](#example-four)
+ [예 5: 특정 보안 주체와만 공유 허용](#example-five)
+ [예제 6: RetainSharingOnAccountLeaveOrganization이 활성화된 리소스 공유 방지](#example-six)
다음 예에서는 조직에서 리소스 공유의 다양한 측면을 제어할 수 있는 방법을 보여줍니다.
### 예 1: 외부 공유 금지
다음 SCP는 사용자가 공유 사용자의 조직 외부에 있는 보안 주체와의 공유를 허용하는 리소스 공유를 만들지 못하도록 합니다.
AWS RAM 는 호출에 나열된 각 보안 주체 및 리소스에 대해 별도로 APIs를 승인합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
]
}
```
------
### 예 2: 사용자가 조직 외부의 외부 계정으로부터 받은 리소스 공유 초대를 수락하지 못하도록 방지
다음 SCP는 해당 계정의 모든 보안 주체가 리소스 공유 사용 초대를 수락하지 못하도록 차단합니다. 공유 계정과 동일한 조직의 다른 계정으로 공유되는 리소스 공유는 초대가 생성되지 않으므로 이 SCP의 영향을 받지 않습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ram:AcceptResourceShareInvitation",
"Resource": "*"
}
]
}
```
------
### 예 3: 특정 계정에서 특정 리소스 유형 공유 허용
다음 SCP는 `111111111111` 및 `222222222222` 계정*만* Amazon EC2 접두사 목록을 공유하는 새 리소스 공유를 생성하거나 접두사 목록을 기존 리소스 공유와 연결할 수 있도록 허용합니다.
AWS RAM 는 호출에 나열된 각 보안 주체 및 리소스에 대해 별도로 APIs를 승인합니다.
요청에 리소스 유형 파라미터가 포함되어 있지 않거나 해당 파라미터가 포함되어 있으며 값이 지정된 ARN과 정확히 일치하는 경우 `StringEqualsIfExists` 연산자는 요청을 허용합니다. 보안 주체를 포함하는 경우, `...IfExists`가 있어야 합니다.
`...IfExists` 연산자를 사용하는 시기와 이유에 대한 자세한 내용은 *IAM 사용 설명서*에서 [...IfExists 조건 연산자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists)를 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"111111111111",
"222222222222"
]
},
"StringEqualsIfExists": {
"ram:RequestedResourceType": "ec2:PrefixList"
}
}
}
]
}
```
------
### 예 4: 전체 조직 또는 조직 단위와의 공유 금지
다음 SCP는 사용자가 전체 조직 또는 조직 단위와 리소스를 공유하는 리소스 공유를 생성하지 못하도록 합니다. 사용자는 AWS 계정 조직의 개인 또는 IAM 역할 또는 사용자와 공유할 *수* 있습니다.
AWS RAM 는 호출에 나열된 각 보안 주체 및 리소스에 대해 별도로 APIs를 승인합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:organization/*",
"arn:aws:organizations::*:ou/*"
]
}
}
}
]
}
```
------
### 예 5: 특정 보안 주체와만 공유 허용
다음 SCP 예제는 사용자에게 조직 `o-12345abcdef,`, 조직 단위 `ou-98765fedcba`, AWS 계정 `111111111111`과의 리소스 공유*만* 허용합니다.
`StringNotEqualsIfExists`와 같은 부정 조건 연산자와 함께 `"Effect": "Deny"` 요소를 사용하는 경우, 조건 키가 제공되지 않아도 요청이 계속 거부됩니다. `Null` 조건 연산자를 사용하여 권한을 부여하는 시점에 조건 키가 없는지 확인합니다.
AWS RAM 는 호출에 나열된 각 보안 주체 및 리소스에 대해 별도로 APIs를 승인합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": [
"arn:aws:organizations::123456789012:organization/o-12345abcdef",
"arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
"111111111111"
]
},
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
### 예제 6: RetainSharingOnAccountLeaveOrganization이 활성화된 리소스 공유 방지
다음 SCP는 `ram:RetainSharingOnAccountLeaveOrganization` 조건 키가 로 설정된 경우 사용자가 리소스 공유를 생성하거나 수정하지 못하도록 합니다`true`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare",
"ram:DisassociateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RetainSharingOnAccountLeaveOrganization": "true"
}
}
}
]
}
```
# 와의 리소스 공유 비활성화 AWS Organizations
이전에 와의 공유를 활성화 AWS Organizations 했는데 더 이상 전체 조직 또는 조직 단위(OUs)와 리소스를 공유할 필요가 없는 경우 공유를 비활성화할 수 있습니다. 공유를 비활성화하면 생성한 리소스 공유에서 AWS Organizations모든 조직 또는 OUs가 제거되고 공유 리소스에 대한 액세스 권한이 손실됩니다. 외부 계정(초대를 통해 리소스 공유에 추가된 계정)은 영향을 받지 않으며 리소스 공유와 계속 연결됩니다.
**와의 공유를 비활성화하려면 AWS Organizations**
1. the AWS Organizations [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) AWS CLI 명령을 AWS Organizations 사용하여에 대한 신뢰할 수 있는 액세스를 비활성화합니다.
```
$ aws organizations disable-aws-service-access --service-principal ram.amazonaws.com
```
**중요**
에 대한 신뢰할 수 있는 액세스를 비활성화하면 조직 내 AWS Organizations보안 주체가 모든 리소스 공유에서 제거되고 해당 공유 리소스에 대한 액세스 권한이 상실됩니다.
1. IAM 콘솔 AWS CLI, 또는 IAM API 작업을 사용하여 **AWSServiceRoleForResourceAccessManager** 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서에서 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)를 참조하세요.**
# AWS RAM에서 로깅 및 모니터링
모니터링은 AWS RAM와 사용자 AWS 솔루션의 신뢰성, 가용성 및 성능을 유지하는 중요한 역할을 합니다. 다중 지점 실패가 발생할 경우 보다 쉽게 디버깅할 수 있도록 AWS 솔루션의 모든 부분으로부터 모니터링 데이터를 수집해야 합니다. AWS는 AWS RAM 리소스를 모니터링하고 잠재적 인시던트에 대응하기 위한 여러 도구를 제공합니다.
**Amazon EventBridge**
AWS 리소스의 변경 사항을 설명하는 실시간에 가까운 시스템 이벤트 스트림을 제공합니다. EventBridge는 특정 이벤트를 감시하는 규칙을 작성하고 이러한 이벤트가 발생할 때 다른 AWS 서비스에서 자동화된 작업을 트리거할 수 있으므로 자동화된 이벤트 기반 컴퓨팅이 가능합니다. 자세한 내용은 [EventBridge AWS RAM 를 사용한 모니터링](using-eventbridge.md) 섹션을 참조하세요.
**AWS CloudTrail**
직접 수행하거나 AWS 계정을 대신하여 수행한 API 호출 및 관련 이벤트를 캡처하고 지정한 Amazon S3 버킷에 로그 파일을 전송합니다. 어떤 사용자 및 계정이 AWS를 호출했는지 어떤 소스 IP 주소에 호출이 이루어졌는지 언제 호출이 발생했는지 확인할 수 있습니다. 자세한 내용은 [를 사용하여 AWS RAM API 호출 로깅 AWS CloudTrail](cloudtrail-logging.md) 섹션을 참조하세요.
# EventBridge AWS RAM 를 사용한 모니터링
Amazon EventBridge를 사용하면 AWS RAM의 특정 이벤트에 대한 자동 알림을 설정할 수 있습니다. 의 이벤트 AWS RAM 는 거의 실시간으로 EventBridge로 전달됩니다. 리소스 공유의 변경을 나타내는 이벤트에 대한 응답으로 이벤트를 모니터링하고 대상을 간접적으로 호출하도록 EventBridge를 구성할 수 있습니다. 리소스 공유를 변경하면 리소스 공유 소유자와 리소스 공유에 대한 액세스 권한이 부여된 보안 주체 모두에게 이벤트가 트리거됩니다.
이벤트 패턴을 생성할 때 소스는 `aws.ram`입니다.
**참고**
이러한 이벤트에 의존하는 코드는 주의해서 작성하세요. 이러한 이벤트는 보장되지 않지만 최상의 노력에 따라 발생됩니다. 가 이벤트를 내보내 AWS RAM 려고 할 때 오류가 발생하면 서비스가 여러 번 더 시도합니다. 하지만 시간이 초과되어 특정 이벤트가 손실될 수 있습니다.
자세한 내용은 Amazon EventBridge 사용 설명서를 참조하세요.
## 예: 리소스 공유 실패에 대한 알림
Amazon EC2 용량 예약을 조직의 다른 계정과 공유하려는 시나리오를 생각해 보세요. 이렇게 하면 비용을 절감할 수 있습니다.
하지만 [용량 예약 공유를 위한 사전 조건](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-reservation-sharing.html#sharing-cr-prereq)을 모두 충족하지 못할 경우 리소스 공유와 관련된 비동기 작업이 자동으로 수행되지 않을 수 있습니다. 공유 작업이 실패하고 다른 계정의 사용자가 해당 용량 예약 중 하나를 사용하여 인스턴스를 시작하려고 하면 Amazon EC2는 용량 예약이 꽉 찬 것처럼 작동하고 대신 해당 인스턴스를 온디맨드 인스턴스로 시작합니다. 이로 인해 비용이 예상보다 높아질 수 있습니다.
리소스 공유 실패를 모니터링하려면 AWS RAM 리소스 공유가 실패할 때마다 경고하는 Amazon EventBridge 규칙을 설정합니다. 다음 자습서 절차에서는 Amazon Simple Notification Service(SNS) 주제를 사용하여 EventBridge에서 리소스 공유 실패를 발견할 때마다 모든 주제 구독자에게 알립니다. Amazon SNS에 대한 자세한 내용은 [Amazon Simple Notification Service 개발자 안내서](https://docs.aws.amazon.com/sns/latest/dg/)를 참조하세요.
**리소스 공유 실패 시 알려주는 규칙을 만들려면**
1. [Amazon EventBridge 콘솔](https://console.aws.amazon.com/events)을 엽니다.
1. 탐색 창에서 **규칙**을 선택한 다음 **규칙** 목록에서 **규칙 생성**을 선택합니다.
1. 규칙의 이름과 설명(선택 사항)을 입력하고 **다음**을 선택합니다.
1. **이벤트 패턴** 상자까지 아래로 스크롤하여 **사용자 지정 패턴(JSON 편집기)**을 선택합니다.
1. 다음 이벤트 패턴을 복사하여 붙여넣습니다.
```
{
"source": ["aws.ram"],
"detail-type": ["Resource Sharing State Change"],
"detail": {
"event": ["Resource Share Association"],
"status": ["failed"]
}
}
```
1. **다음**을 선택합니다.
1. **대상 1**의 **대상 선택**에서 **AWS 서비스**를 선택합니다.
1. **대상 선택**에서 **SNS 주제**를 선택합니다.
1. **주제**에서 알림을 게시할 SNS 주제를 선택합니다. 이미 있는 주제여야 합니다.
1. **다음**을 선택한 후 **다음**을 다시 선택하여 구성을 검토합니다.
1. 옵션이 만족스러우면 **규칙 생성**을 선택합니다.
1. **규칙** 페이지로 돌아가서 새 규칙이 **활성화됨**으로 표시되었는지 확인합니다. 필요한 경우 규칙 이름 옆에 있는 라디오 버튼을 선택한 다음 **활성화**를 선택합니다.
해당 규칙이 활성화되어 있는 한 실패한 AWS RAM 리소스 공유는 게시한 주제의 수신자에게 SNS 알림을 생성합니다.
또한 공유 용량 예약을 공유한 계정에서 공유 용량 예약에 액세스할 수 있는지 확인하려면 [해당 계정을 통해 Amazon EC2 콘솔에서 확인](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-reservation-sharing.html#identifying-shared-cr)을 시도하면 됩니다.
# 를 사용하여 AWS RAM API 호출 로깅 AWS CloudTrail
AWS RAM 는 사용자 AWS CloudTrail, 역할 또는 서비스가 수행한 작업에 대한 레코드를 제공하는 AWS 서비스와 통합됩니다 AWS RAM. CloudTrail은 AWS RAM 에 대한 모든 API 직접 호출을 이벤트로 캡처합니다. 캡처되는 호출에는 AWS RAM 콘솔로부터의 호출과 AWS RAM API 작업에 대한 코드 호출이 포함됩니다. 추적을 생성하면 AWS RAM이벤트를 포함한 CloudTrail 이벤트를 지정한 Amazon S3 버킷에 지속적으로 배포할 수 있습니다. 추적을 구성하지 않은 경우에도 **이벤트 기록**에서 CloudTrail 콘솔의 최신 이벤트를 볼 수 있습니다. CloudTrail에서 수집한 정보를 사용하여에 수행된 요청 AWS RAM, 요청 IP 주소, 요청자, 요청이 수행된 시간 및 추가 세부 정보를 확인합니다.
CloudTrail에 대한 자세한 내용은 [AWS CloudTrail 사용자 안내서](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)를 참조하세요.
## AWS RAM CloudTrail의 정보
CloudTrail은 계정을 생성할 AWS 계정 때에서 활성화됩니다. 활동이 발생하면 AWS RAM해당 활동이 **이벤트 기록**의 다른 AWS 서비스 이벤트와 함께 CloudTrail 이벤트에 기록됩니다. 에서 최근 이벤트를 보고 검색하고 다운로드할 수 있습니다 AWS 계정. 자세한 설명은 [CloudTrail 이벤트 기록으로 이벤트 보기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)를 참조하세요.
AWS RAM에 대한 이벤트를 포함하여 AWS 계정에 이벤트를 지속적으로 기록하려면 추적을 생성합니다. CloudTrail은 *추적*을 사용하여 Amazon S3 버킷으로 로그 파일을 전송할 수 있습니다. 기본적으로 콘솔에서 추적을 생성하면 추적이 모든 AWS 리전에 적용됩니다. 추적은 AWS 파티션에 있는 모든 리전의 이벤트를 로깅하고 지정된 Amazon S3 버킷으로 로그 파일을 전송합니다. 또한 CloudTrail 로그에서 수집된 이벤트 데이터를 추가로 분석하고 조치를 취하도록 다른 AWS 서비스를 구성할 수 있습니다. 자세한 내용은 다음을 참조하세요.
+ [에 대한 추적 생성 AWS 계정](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [AWS 서비스 CloudTrail 로그와 통합](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [CloudTrail에서 Amazon SNS 알림 구성](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [여러 리전에서 CloudTrail 로그 파일 수신](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) 및 [여러 계정에서 CloudTrail 로그 파일 수신](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
모든 AWS RAM 작업은 CloudTrail에서 로깅되며 [AWS RAM API 참조](https://docs.aws.amazon.com/ram/latest/APIReference/)에 문서화됩니다. 예를 들어 `CreateResourceShare`, `AssociateResourceShare` 및 `EnableSharingWithAwsOrganization` 작업을 직접적으로 호출하면 CloudTrail 로그 파일에 항목이 생성됩니다.
모든 이벤트 또는 로그 항목에는 누가 요청했는지 확인하는 데 도움이 되는 정보가 포함되어 있습니다.
+ AWS 계정 루트 자격 증명
+ AWS Identity and Access Management (IAM) 역할 또는 페더레이션 사용자의 임시 보안 자격 증명입니다.
+ IAM 사용자의 장기 보안 보안 인증.
+ 다른 AWS 서비스.
자세한 내용은 [CloudTrail userIdentity 요소](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)를 참조하세요.
## AWS RAM 로그 파일 항목 이해
트레일이란 지정한 S3 버킷에 이벤트를 로그 파일로 입력할 수 있게 하는 구성입니다. CloudTrail 로그 파일에는 하나 이상의 로그 항목이 포함될 수 있습니다. 이벤트는 모든 소스로부터의 단일 요청을 나타내며 요청 작업, 작업 날짜와 시간, 요청 파라미터 등에 대한 정보가 들어 있습니다. CloudTrail 로그 파일은 퍼블릭 API 직접 호출의 주문 스택 트레이스가 아니므로 특정 순서로 표시되지 않습니다.
다음 예제는 `CreateResourceShare` 작업에 대한 CloudTrail 로그 항목을 표시합니다.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "NOPIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/admin",
"accountId": "111122223333",
"accessKeyId": "BCDIOSFODNN7EXAMPLE",
"userName": "admin"
},
"eventTime": "2018-11-03T04:23:19Z",
"eventSource": "ram.amazonaws.com",
"eventName": "CreateResourceShare",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.1.0",
"userAgent": "aws-cli/1.16.2 Python/2.7.10 Darwin/16.7.0 botocore/1.11.2",
"requestParameters": {
"name": "foo"
},
"responseElements": {
"resourceShare": {
"allowExternalPrincipals": true,
"name": "foo",
"owningAccountId": "111122223333",
"resourceShareArn": "arn:aws:ram:us-east-1:111122223333:resource-share/EXAMPLE0-1234-abcd-1212-987656789098",
"status": "ACTIVE"
}
},
"requestID": "EXAMPLE0-abcd-1234-mnop-987654567876",
"eventID": "EXAMPLE0-1234-abcd-hijk-543234565434",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# 에 대한 규정 준수 검증 AWS Resource Access Manager
AWS 서비스 가 특정 규정 준수 프로그램의 범위 내에 있는지 알아보려면 [AWS 서비스 규정 준수 프로그램 제공 범위 내](https://aws.amazon.com/compliance/services-in-scope/)를 참조하고 관심 있는 규정 준수 프로그램을 선택합니다. 일반 정보는 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/).
를 사용하여 타사 감사 보고서를 다운로드할 수 있습니다 AWS Artifact. 자세한 내용은 [Downloading Reports inDownloading AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)을 참조하세요.
사용 시 규정 준수 책임은 데이터의 민감도, 회사의 규정 준수 목표 및 관련 법률과 규정에 따라 AWS 서비스 결정됩니다. 사용 시 규정 준수 책임에 대한 자세한 내용은 [AWS 보안 설명서를](https://docs.aws.amazon.com/security/) AWS 서비스참조하세요.
# 의 복원력 AWS Resource Access Manager
AWS 글로벌 인프라는 AWS 리전 및 가용 영역을 중심으로 구축됩니다.는 물리적으로 분리되고 격리된 여러 가용 영역을 AWS 리전 제공하며,이 가용 영역은 지연 시간이 짧고 처리량이 높으며 중복성이 높은 네트워킹과 연결됩니다. 가용 영역을 사용하면 중단 없이 가용 영역 간에 자동으로 장애 조치가 이루어지는 애플리케이션 및 데이터베이스를 설계하고 운영할 수 있습니다. 가용 영역은 기존의 단일 또는 복수 데이터 센터 인프라보다 가용성, 내결함성, 확장성이 뛰어납니다.
AWS 리전 및 가용 영역에 대한 자세한 내용은 [AWS 글로벌 인프라를](https://aws.amazon.com/about-aws/global-infrastructure/) 참조하세요.
# 의 인프라 보안 AWS Resource Access Manager
관리형 서비스인는 AWS 글로벌 네트워크 보안으로 보호 AWS Resource Access Manager 됩니다. AWS 보안 서비스 및가 인프라를 AWS 보호하는 방법에 대한 자세한 내용은 [AWS 클라우드 보안을](https://aws.amazon.com/security/) 참조하세요. 인프라 보안 모범 사례를 사용하여 환경을 설계하려면 *보안 원칙 AWS Well‐Architected Framework*의 [인프라 보호를](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) 참조하세요 AWS .
AWS 에서 게시한 API 호출을 사용하여 네트워크를 AWS RAM 통해에 액세스합니다. 클라이언트는 다음을 지원해야 합니다.
+ Transport Layer Security(TLS). TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)와 같은 완전 전송 보안(PFS)이 포함된 암호 제품군. Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.
# 인터페이스 엔드포인트를 AWS Resource Access Manager 사용한 액세스(AWS PrivateLink)
AWS PrivateLink 를 사용하여 VPC와 간에 프라이빗 연결을 생성할 수 있습니다 AWS Resource Access Manager. 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 Direct Connect 연결을 사용하지 않고 VPC에 있는 AWS RAM 것처럼에 액세스할 수 있습니다. VPC의 인스턴스에서 AWS RAM API에 액세스하는 데는 퍼블릭 IP 주소가 필요하지 않습니다.
AWS PrivateLink에서 제공되는 *인터페이스 엔드포인트*를 생성하여 이 프라이빗 연결을 설정합니다. 인터페이스 엔드포인트에 대해 사용 설정하는 각 서브넷에서 엔드포인트 네트워크 인터페이스를 생성합니다. 이는 AWS RAM로 향하는 트래픽의 진입점 역할을 하는 요청자 관리형 네트워크 인터페이스입니다.
자세한 내용은 *AWS PrivateLink 안내서*의 [AWS PrivateLink를 통해 AWS 서비스 에 액세스](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)를 참조하세요.
## 에 대한 고려 사항 AWS RAM
에 대한 인터페이스 엔드포인트를 설정하기 전에 *AWS PrivateLink 가이드*의 [고려 사항을](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) AWS RAM검토하세요.
AWS RAM 는 인터페이스 엔드포인트를 통해 모든 API 작업을 호출할 수 있도록 지원합니다.
VPC 엔드포인트 정책은에 대해 지원됩니다 AWS RAM. 기본적으로 인터페이서 엔드포인트를 통해 AWS RAM 에 대한 전체 액세스가 허용됩니다.
## 에 대한 인터페이스 엔드포인트 생성 AWS RAM
Amazon VPC 콘솔 또는 AWS Command Line Interface ()를 AWS RAM 사용하여 용 인터페이스 엔드포인트를 생성할 수 있습니다AWS CLI. 자세한 내용은 *AWS PrivateLink 안내서*의 [인터페이스 엔드포인트 생성](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)을 참조하세요.
다음 서비스 이름을 AWS RAM 사용하여 용 인터페이스 엔드포인트를 생성합니다.
```
com.amazonaws.region.ram
```
인터페이스 엔드포인트에 프라이빗 DNS를 사용하도록 설정하는 경우, 리전에 대한 기본 DNS 이름(예: AWS RAM )을 사용하여 에 API 요청을 할 수 있습니다. 예를 들어 `ram.us-east-1.amazonaws.com`입니다.
## 엔드포인트의 엔드포인트 정책 생성
엔드포인트 정책은 인터페이스 엔드포인트에 연결할 수 있는 IAM 리소스입니다. 기본 엔드포인트 정책은 인터페이스 엔드포인트를 AWS RAM 통해에 대한 전체 액세스를 허용합니다. VPC AWS RAM 에서에 허용되는 액세스를 제어하려면 인터페이스 엔드포인트에 사용자 지정 엔드포인트 정책을 연결합니다.
엔드포인트 정책은 다음 정보를 지정합니다.
+ 작업을 수행할 수 있는 위탁자(AWS 계정, IAM 사용자, IAM 역할)
+ 수행할 수 있는 작업
+ 작업을 수행할 수 있는 리소스.
자세한 내용은 *AWS PrivateLink 안내서*의 [엔드포인트 정책을 사용하여 서비스에 대한 액세스 제어](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)를 참조하세요.
**예: AWS RAM 작업에 대한 VPC 엔드포인트 정책**
다음은 사용자 지정 엔드포인트 정책의 예입니다. 이 정책을 인터페이스 엔드포인트에 연결하면 모든 리소스의 모든 보안 주체에 대해 나열된 AWS RAM 작업에 대한 액세스 권한이 부여됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"ram:CreateResourceShare"
],
"Resource": "*"
}
]
}
```
------