기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
뷰에 태그 추가
뷰에 태그를 추가하여 분류할 수 있습니다. 태그는 키 이름 문자열 및 연결된 선택적 값 문자열의 형태를 취하는 고객 제공 메타데이터입니다. AWS 리소스 태그 지정에 대한 자세한 내용은 Amazon Web Services 일반 참조의 AWS 리소스 태그 지정 단원을 참조하세요.
뷰에 태그 추가
AWS Management Console을 사용하거나 AWS SDK에서 AWS CLI 명령 또는 동등한 API 작업을 실행하여 Resource Explorer 뷰에 태그를 추가할 수 있습니다.
태그로 권한 제어
태그 지정의 주요 용도 중 하나는 ABAC(속성 기반 액세스 제어) 전략을 지원하는 것입니다. ABAC를 사용하면 리소스에 태그를 지정할 수 있어 권한 관리를 간소화할 수 있습니다. 그런 다음 사용자에게 특정 방식으로 태그가 지정된 리소스에 대한 권한을 부여합니다.
예를 들어 다음 시나리오를 살펴보세요. ViewA이라는 뷰의 경우 태그 environment=prod(키 이름=값)를 연결합니다. 또 다른 ViewB에는 environment=beta 태그가 지정될 수 있습니다. 각 역할 또는 사용자가 액세스할 수 있어야 하는 환경에 따라 역할과 동일한 태그와 값으로 역할과 사용자에게 태그를 지정합니다.
그런 다음 IAM 역할, 그룹 및 사용자에게 AWS Identity and Access Management(IAM) 권한 정책을 할당할 수 있습니다. 정책은 검색을 요청하는 역할 또는 사용자가 뷰에 연결된 environment 태그와 동일한 값을 가진 environment 태그를 가지고 있는 경우에만 뷰를 사용하여 액세스하고 검색할 수 있는 권한을 부여합니다.
이 접근 방식의 이점은 동적이며 누가 어떤 리소스에 액세스할 수 있는지 목록을 관리할 필요가 없다는 것입니다. 대신 모든 리소스(뷰)와 보안 주체(IAM 역할 및 사용자)에 적절한 태그를 지정해야 합니다. 그러면 정책을 변경할 필요 없이 권한이 자동으로 업데이트됩니다.
ABAC 정책에서 태그 참조
뷰에 태그를 지정한 후 해당 태그를 사용하여 해당 뷰에 대한 액세스를 동적으로 제어하도록 선택할 수 있습니다. 다음 예제 정책에서는 IAM 보안 주체와 뷰 모두에 태그 키 environment와 일부 값으로 태그가 지정되어 있다고 가정합니다. 완료되면 다음 예제 정책을 보안 주체에 연결할 수 있습니다. 그러면 역할과 사용자는 보안 주체에 연결된 environment 태그와 정확히 일치하는 environment 태그 값으로 태그가 지정된 모든 뷰를 사용하여 Search할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-explorer-2:GetView", "resource-explorer-2:Search" ], "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*", "Condition": { "ForAnyValue:StringEquals": { "aws:ResourceTag/environment": "${aws:PrincipalTag/environment}" } } } ] }
보안 주체와 뷰 모두에 environment 태그가 있지만 값이 일치하지 않거나 둘 중 하나에 environment 태그가 없는 경우 Resource Explorer는 검색 요청을 거부합니다.
ABAC를 사용하여 리소스에 대한 액세스 권한을 안전하게 부여하는 방법에 대한 자세한 내용은 AWS용 ABAC란 무엇인가요?를 참조하세요.
