정책이란 무엇입니까? - AWS RoboMaker
보안 인증 기반 정책 정책 액세스 레벨 분류

지원 종료 알림: 는 2025 AWS 년 9월 10일에 에 대한 지원을 중단합니다 AWS RoboMaker. 2025년 9월 10일 이후에는 AWS RoboMaker 콘솔 또는 AWS RoboMaker 리소스에 더 이상 액세스할 수 없습니다. 컨테이너화된 시뮬레이션 실행을 돕기 AWS Batch 위해 로 전환하는 방법에 대한 자세한 내용은 이 블로그 게시물을 참조하세요.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

정책이란 무엇입니까?

정책을 AWS 생성하고 자격 증명 또는 AWS 리소스에 연결하여 IAM 의 액세스를 제어합니다.

참고

빠르게 시작하려면 AWS RoboMaker에 대한 인증 및 액세스 제어에 나와 있는 기본 정보를 검토한 다음 시작하기 IAM 섹션을 참조하세요.

정책은 엔터티 또는 리소스와 연결된 경우 권한을 정의하는 의 객체입니다. 는 사용자와 같은 보안 주체 AWS 가 요청할 때 이러한 정책을 AWS 평가합니다. 정책에서 권한은 요청이 허용되거나 거부되는 지를 결정합니다. 대부분의 정책은 에 JSON 문서 AWS 로 저장됩니다.

IAM 정책은 작업을 수행하는 데 사용하는 방법에 관계없이 작업에 대한 권한을 정의합니다. 예를 들어 정책에서 GetUser 작업을 허용하는 경우 해당 정책을 사용하는 사용자는 , AWS Management Console AWS CLI또는 에서 사용자 정보를 가져올 수 있습니다 AWS API. IAM 사용자를 생성할 때 콘솔 또는 프로그래밍 방식 액세스를 허용하도록 사용자를 설정할 수 있습니다. IAM 사용자는 사용자 이름과 암호를 사용하여 콘솔에 로그인할 수 있습니다. 또는 액세스 키를 사용하여 CLI 또는 로 작업할 수 있습니다API.

액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요:

  • 의 사용자 및 그룹 AWS IAM Identity Center:

    권한 세트를 생성합니다. AWS IAM Identity Center 사용 설명서권한 세트 생성의 지침을 따릅니다.

  • 자격 증명 공급자를 IAM 통해 에서 관리되는 사용자:

    ID 페더레이션을 위한 역할을 생성합니다. IAM 사용 설명서타사 자격 증명 공급자(페더레이션)에 대한 역할 생성의 지침을 따릅니다.

  • IAM 사용자:

    • 사용자가 맡을 수 있는 역할을 생성합니다. IAM 사용 설명서 IAM 사용자 역할 생성의 지침을 따릅니다.

    • (권장되지 않음)정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. IAM 사용 설명서사용자(콘솔)에 권한 추가의 지침을 따릅니다.

에서 지원되지 않는 정책 AWS RoboMaker

리소스 기반 정책 및 액세스 제어 목록(ACLs)은 에서 지원되지 않습니다 AWS RoboMaker. 자세한 내용은 IAM 사용 설명서정책 유형을 참조하세요.

보안 인증 기반 정책

자격 IAM 증명에 정책을 연결할 수 있습니다. 예를 들어 다음을 수행할 수 있습니다.

  • 계정 내 사용자 또는 그룹에 권한 정책 연결 – 특정 사용자 또는 그 사용자가 속한 그룹에 권한 정책을 연결하여 AWS RoboMaker 리소스(예: 로봇 애플리케이션) 생성 권한을 해당 사용자에게 부여할 수 있습니다.

  • 권한 정책을 역할에 연결(교차 계정 권한 부여) - 자격 증명 기반 권한 정책을 IAM 역할에 연결하여 교차 계정 권한을 부여할 수 있습니다. 예를 들어 계정 A의 관리자는 다음과 같이 다른 AWS 계정(예: 계정 B) 또는 AWS 서비스에 교차 계정 권한을 부여하는 역할을 생성할 수 있습니다.

    1. 계정 A 관리자는 IAM 역할을 생성하고 계정 A의 리소스에 대한 권한을 부여하는 권한 정책을 역할에 연결합니다.

    2. 계정 A 관리자는 계정 B를 역할을 수임할 보안 주체로 식별하는 역할에 신뢰 정책을 연결합니다.

    3. 그런 다음 계정 B 관리자는 계정 B의 모든 사용자에게 역할을 수임할 권한을 위임할 수 있습니다. 이렇게 하면 계정 B의 사용자가 계정 A의 리소스를 생성하거나 액세스할 수 있습니다. 역할을 수임할 수 있는 AWS 서비스 권한을 부여하려는 경우 신뢰 정책의 보안 주체가 AWS 서비스 보안 주체가 될 수도 있습니다.

    를 사용하여 권한을 위임IAM하는 방법에 대한 자세한 내용은 IAM 사용 설명서액세스 관리를 참조하세요.

사용자, 그룹, 역할 및 권한에 대한 자세한 내용은 IAM 사용 설명서자격 증명(사용자, 그룹 및 역할)을 참조하세요.

정책 액세스 레벨 분류

IAM 콘솔에서 작업은 다음 액세스 수준 분류를 사용하여 그룹화됩니다.

  • 나열 – 서비스 내의 리소스를 나열하여 객체가 존재하는지 판단할 수 있는 권한을 제공합니다. 이 액세스 레벨의 작업은 객체를 나열할 수 있으나 리소스의 내용을 확인할 수 없습니다. 액세스 레벨이 나열인 대부분의 작업은 특정 리소스에 대해 수행할 수 없습니다. 이러한 작업에 관련한 정책 설명을 생성할 때 모든 리소스("*")를 지정해야 합니다.

  • 읽기 – 서비스에서 리소스 내용과 속성을 읽을 수 있으나 편집할 수 없는 권한을 제공합니다. 예를 들어 Amazon S3 작업 GetObjectGetBucketLocation의 액세스 수준은 Read입니다.

  • 쓰기 – 서비스에서 리소스를 생성, 삭제하거나 수정할 수 있는 권한을 제공합니다. 예를 들어 Amazon S3 작업 CreateBucket, DeleteBucketPutObject의 액세스 레벨은 쓰기입니다.

  • 권한 관리 – 서비스에서 리소스 권한을 부여하거나 수정할 수 있는 권한을 제공합니다. 예를 들어 대부분의 IAM 및 AWS Organizations 정책 작업에는 권한 관리 액세스 수준이 있습니다.

    도움말

    AWS 계정의 보안을 개선하려면 권한 관리 액세스 수준 분류가 포함된 정책을 제한하거나 정기적으로 모니터링하세요.

  • 태깅 – 서비스에서 리소스에 연결된 태그를 생성, 삭제하거나 수정할 수 있는 권한을 제공합니다. 예를 들어 Amazon EC2 CreateTagsDeleteTags 작업에는 태그 지정 액세스 수준이 있습니다.