AWS Storage Gateway의 작업, 리소스 및 조건 키
AWS Storage Gateway(서비스 접두사: storagegateway)에서는 IAM 권한 정책에서 사용할 다음과 같은 서비스별 리소스, 작업 및 조건 컨텍스트 키를 제공합니다.
참조:
-
이 서비스를 구성하는 방법을 알아봅니다.
-
이 서비스에 사용 가능한 API 작업의 목록을 봅니다.
-
IAM 권한 정책을 사용하여 이 서비스와 리소스를 보호하는 방법을 알아봅니다.
AWS Storage Gateway에서 정의하는 작업
IAM 정책 설명의 Action 요소에서는 다음 작업을 지정할 수 있습니다. 정책을 사용하여 AWS에서 작업할 수 있는 권한을 부여합니다. 정책에서 작업을 사용하면 일반적으로 이름이 같은 API 작업 또는 CLI 명령에 대한 액세스를 허용하거나 거부합니다. 그러나 경우에 따라 하나의 작업으로 둘 이상의 작업에 대한 액세스가 제어됩니다. 또는 일부 작업을 수행하려면 다양한 작업이 필요합니다.
작업 테이블의 리소스 유형 열에는 각 작업이 리소스 수준 권한을 지원하는지 여부가 표시됩니다. 리소스 열에 값이 없으면 정책 문의 Resource 요소에서 정책이 적용되는 모든 리소스("*")를 지정해야 합니다. 리소스 열에 리소스 유형이 포함되어 있으면 해당 작업 시 문에서 해당 유형의 ARN을 지정할 수 있습니다. 작업에 필요한 리소스가 하나 이상 있는 경우, 호출자에게 해당 리소스와 함께 작업을 사용할 수 있는 권한이 있어야 합니다. 필수 리소스는 테이블에서 별표(*)로 표시됩니다. IAM 정책의 Resource 요소로 리소스 액세스를 제한하는 경우, 각 필수 리소스 유형에 대해 ARN 또는 패턴을 포함해야 합니다. 일부 작업은 다수의 리소스 유형을 지원합니다. 리소스 유형이 옵션(필수 리소스로 표시되지 않은 경우)인 경우에는 선택적 리소스 유형 중 하나를 사용하도록 선택할 수 있습니다.
작업 테이블의 조건 키 열에는 정책 설명의 Condition 요소에서 지정할 수 있는 키가 포함됩니다. 서비스의 리소스와 연결된 조건 키에 대한 자세한 내용은 리소스 유형 테이블의 조건 키 열을 참조하세요.
참고
리소스 조건 키는 리소스 유형 표에 나열되어 있습니다. 작업에 적용되는 리소스 유형에 대한 링크는 리소스 유형(*필수) 작업 표의 열에서 찾을 수 있습니다. 리소스 유형 테이블의 리소스 유형에는 조건 키 열이 포함되고 이는 작업 표의 작업에 적용되는 리소스 조건 키입니다.
다음 테이블의 열에 대한 자세한 내용은 작업 테이블을 참조하세요.
| 작업 | 설명 | 액세스 레벨 | 리소스 유형(*필수) | 조건 키 | 종속 작업 |
|---|---|---|---|---|---|
| ActivateGateway | 이전에 호스트에 배포한 게이트웨이를 활성화할 수 있는 권한을 부여합니다. | Write | |||
| AddCache | 하나 이상의 게이트웨이 로컬 디스크를 캐싱 볼륨 게이트웨이의 캐시로 구성할 수 있는 권한을 부여합니다. | Write | |||
| AddTagsToResource | 지정된 리소스에 하나 이상의 태그를 추가할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| AddUploadBuffer | 하나 이상의 게이트웨이 로컬 디스크를 지정된 게이트웨이용 업로드 버퍼로 구성할 수 있는 권한을 부여합니다. | Write | |||
| AddWorkingStorage | 하나 이상의 게이트웨이 로컬 디스크를 게이트웨이용 작업 스토리지로 구성할 수 있는 권한을 부여합니다. | Write | |||
| AssignTapePool | 테이프를 지정된 대상 풀로 이동할 수 있는 권한을 부여합니다. | Write | |||
| AssociateFileSystem | Amazon FSx 파일 시스템을 Amazon FSx file 게이트웨이에 연결할 수 있는 권한을 부여합니다. | Write |
ds:DescribeDirectories ec2:DescribeNetworkInterfaces fsx:DescribeFileSystems iam:CreateServiceLinkedRole logs:CreateLogDelivery logs:GetLogDelivery logs:ListLogDeliveries logs:UpdateLogDelivery |
||
| AttachVolume | iSCSI 연결에 볼륨을 연결한 다음 지정된 게이트웨이에 해당 볼륨을 연결할 수 있는 권한을 부여합니다. | Write | |||
| BypassGovernanceRetention | 풀의 거버넌스 보존 잠금을 무시할 수 있는 권한을 부여합니다. | Write | |||
| CancelArchival | 아카이빙 프로세스가 시작된 후 가상 테이프 쉘프(VTS)로의 가상 테이프 아카이빙을 취소할 수 있는 권한을 부여합니다. | Write | |||
| CancelRetrieval | 검색 프로세스가 시작된 후 가상 테이프 쉘프(VTS)에서 게이트웨이로의 가상 테이프 검색을 취소할 수 있는 권한을 부여합니다. | Write | |||
| CreateCachediSCSIVolume | 지정된 캐싱 게이트웨이에 캐싱 볼륨을 생성할 수 있는 권한을 부여합니다. 이 작업은 게이트웨이 캐싱 볼륨 아키텍처에 대해서만 지원됩니다. | Write | |||
| CreateNFSFileShare | 기존 파일 게이트웨이에 NFS 파일 공유를 생성할 수 있는 권한을 부여합니다. | Write | |||
| CreateSMBFileShare | 기존 파일 게이트웨이에 SMB 파일 공유를 생성할 수 있는 권한을 부여합니다. | Write | |||
| CreateSnapshot | 볼륨의 스냅샷을 시작할 수 있는 권한을 부여합니다. | Write | |||
| CreateSnapshotFromVolumeRecoveryPoint | 볼륨 복구 지점에서 게이트웨이의 스냅샷을 시작할 수 있는 권한을 부여합니다. | Write | |||
| CreateStorediSCSIVolume | 지정된 게이트웨이에서 볼륨을 생성할 수 있는 권한을 부여합니다. | Write | |||
| CreateTapePool | 테이프 풀을 생성할 수 있는 권한을 부여합니다. | Write | |||
| CreateTapeWithBarcode | 자체 바코드를 사용하여 가상 테이프를 생성할 수 있는 권한을 부여합니다. | Write | |||
| CreateTapes | 하나 이상의 가상 테이프를 생성할 수 있는 권한을 부여합니다. 가상 테이프에 데이터를 기록한 다음 테이프를 보관합니다. | Write | |||
| DeleteAutomaticTapeCreationPolicy | 게이트웨이 VTL에 구성된 자동 테이프 생성 정책을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteBandwidthRateLimit | 게이트웨이의 대역폭 속도 제한을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteChapCredentials | 지정된 iSCSI 대상 및 초기자 페어에 대한 CHAP(Challenge-Handshake Authentication Protocol) 자격 증명을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteFileShare | 파일 게이트웨이에서 파일 공유를 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteGateway | 게이트웨이를 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteSnapshotSchedule | 볼륨의 스냅샷을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteTape | 지정된 가상 테이프를 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteTapeArchive | 가상 테이프 쉘프(VTS)에서 지정된 가상 테이프를 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteTapePool | 지정된 테이프 풀을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteVolume | CreateCachediSCSIVolume 또는 CreateStorediSCSIVolume API를 사용하여 이전에 생성한 지정된 게이트웨이 볼륨을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DescribeAvailabilityMonitorTest | 게이트웨이에 대해 수행된 최신 고가용성 모니터링 테스트에 대한 정보를 가져올 수 있는 권한을 부여합니다. | Read | |||
| DescribeBandwidthRateLimit | 게이트웨이의 대역폭 속도 제한을 가져올 수 있는 권한을 부여합니다. | Read | |||
| DescribeBandwidthRateLimitSchedule | 게이트웨이의 대역폭 속도 제한 일정을 가져올 수 있는 권한을 부여합니다. | Read | |||
| DescribeCache | 게이트웨이 캐시에 대한 정보를 가져올 수 있는 권한을 부여합니다. 이 작업은 게이트웨이 캐싱 볼륨 아키텍처에 대해서만 지원됩니다. | Read | |||
| DescribeCachediSCSIVolumes | 요청에 지정된 게이트웨이 볼륨에 대한 설명을 가져올 수 있는 권한을 부여합니다. 이 작업은 게이트웨이 캐싱 볼륨 아키텍처에 대해서만 지원됩니다. | Read | |||
| DescribeChapCredentials | 지정된 iSCSI 대상 및 각 대상 초기자 페어에 대한 CHAP(Challenge-Handshake Authentication Protocol) 자격 증명 정보의 배열을 가져올 수 있는 권한을 부여합니다. | Read | |||
| DescribeFileSystemAssociations | 하나 이상의 파일 시스템 연결에 대한 설명을 가져올 수 있는 권한을 부여합니다. | Read | |||
| DescribeGatewayInformation | 이름, 네트워크 인터페이스, 구성된 시간대 및 상태(게이트웨이가 실행 중인지 여부에 관계 없이) 등 게이트웨이에 대한 메타데이터를 가져올 수 있는 권한을 부여합니다. | Read | |||
| DescribeMaintenanceStartTime | 주중의 요일 및 시간을 포함한 게이트웨이의 주별 유지 관리 시작 시간을 가져올 수 있는 권한을 부여합니다. | Read | |||
| DescribeNFSFileShares | 파일 게이트웨이에서 하나 이상의 파일 공유에 대한 설명을 가져올 수 있는 권한을 부여합니다. | Read | |||
| DescribeSMBFileShares | 파일 게이트웨이에서 하나 이상의 파일 공유에 대한 설명을 가져올 수 있는 권한을 부여합니다. | Read | |||
| DescribeSMBSettings | 파일 게이트웨이에서 SMB(Server Message Block) 파일 공유 설정을 가져올 수 있는 권한을 부여합니다. | Read | |||
| DescribeSnapshotSchedule | 지정된 게이트웨이 볼륨의 스냅샷 일정을 설명할 수 있는 권한을 부여합니다. | Read | |||
| DescribeStorediSCSIVolumes | 요청에 지정된 게이트웨이 볼륨에 대한 설명을 가져올 수 있는 권한을 부여합니다. | Read | |||
| DescribeTapeArchives | 가상 테이프 쉘프(VTS)의 지정된 가상 테이프에 대한 설명을 가져올 수 있는 권한을 부여합니다. | Read | |||
| DescribeTapeRecoveryPoints | 지정된 게이트웨이-VTL에 사용 가능한 가상 테이프 복구 시점의 목록을 가져올 수 있는 권한을 부여합니다. | Read | |||
| DescribeTapes | 가상 테이프의 지정된 Amazon 리소스 이름(ARN)에 대한 설명을 가져올 수 있는 권한을 부여합니다. | Read | |||
| DescribeUploadBuffer | 게이트웨이의 업로드 버퍼에 대한 정보를 가져올 수 있는 권한을 부여합니다. | Read | |||
| DescribeVTLDevices | 지정된 게이트웨이의 가상 테이프 라이브러리(VTL) 장치에 대한 설명을 가져올 수 있는 권한을 부여합니다. | Read | |||
| DescribeWorkingStorage | 게이트웨이의 작업 스토리지에 대한 정보를 가져올 수 있는 권한을 부여합니다. | Read | |||
| DetachVolume | iSCSI 연결에서 볼륨을 연결 해제한 다음 지정된 게이트웨이에서 해당 볼륨을 분리할 수 있는 권한을 부여합니다. | Write | |||
| DisableGateway | 게이트웨이가 더 이상 작동하지 않을 때 게이트웨이를 비활성화할 수 있는 권한을 부여합니다. | Write | |||
| DisassociateFileSystem | Amazon FSx 파일 게이트웨이에서 Amazon FSx 파일 시스템의 연결을 해제할 수 있는 권한을 부여합니다. | Write | |||
| JoinDomain | Active Directory 도메인을 조인할 수 있는 권한을 부여합니다. | 쓰기 | |||
| ListAutomaticTapeCreationPolicies | 지정된 게이트웨이 VTL 또는 AWS 계정이 소유한 모든 게이트웨이 VTL에 구성된 자동 테이프 생성 정책을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListFileShares | 특정 File Gateway에 대한 파일 공유의 목록 또는 AWS 계정이 소유한 파일 공유의 목록을 가져올 수 있는 권한을 부여합니다. | 나열 | |||
| ListFileSystemAssociations | 지정된 게이트웨이에 대한 파일 시스템 연결 목록을 가져올 수 있는 권한을 부여합니다. | 나열 | |||
| ListGateways | 요청에 지정된 리전의 AWS 계정이 소유한 게이트웨이를 나열할 수 있는 권한을 부여합니다. 반환되는 목록은 게이트웨이 ARN(Amazon 리소스 이름) 순으로 반환됩니다. | 나열 | |||
| ListLocalDisks | 게이트웨이의 로컬 디스크 목록을 가져올 수 있는 권한을 부여합니다. | 나열 | |||
| ListTagsForResource | 지정된 리소스에 추가된 태그를 가져올 수 있는 권한을 부여합니다. | 나열 | |||
| ListTapePools | AWS 계정이 소유한 테이프 풀을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListTapes | 가상 테이프 라이브러리(VTL) 및 가상 테이프 선반(VTS)의 가상 테이프를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListVolumeInitiators | 볼륨에 연결된 iSCSI 이니시에이터를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListVolumeRecoveryPoints | 지정된 게이트웨이의 복구 지점을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListVolumes | 게이트웨이의 iSCSI 저장 볼륨을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| NotifyWhenUploaded | NFS 파일 공유에 기록된 모든 파일이 Amazon S3로 업로드되면 CloudWatch Events를 통해 사용자에게 알림을 보낼 수 있는 권한을 부여합니다. | Write | |||
| RefreshCache | 지정된 파일 공유에 대한 캐시를 새로 고칠 수 있는 권한을 부여합니다. | Write | |||
| RemoveTagsFromResource | 지정된 리소스에서 하나 이상의 태그를 제거할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| ResetCache | 오류가 발생한 모든 캐시 디스크를 재설정하고 디스크를 캐시 스토리지로 재구성에 사용할 수 있게 할 권한을 부여합니다. | Write | |||
| RetrieveTapeArchive | 게이트웨이-VTL에 대한 가상 테이프 선반(VTS)에서 보관된 가상 테이프를 검색할 수 있는 권한을 부여합니다. | Write | |||
| RetrieveTapeRecoveryPoint | 지정된 가상 테이프의 복구 지점을 검색할 수 있는 권한을 부여합니다. | Write | |||
| SetLocalConsolePassword | VM 로컬 콘솔의 암호를 설정할 수 있는 권한을 부여합니다. | Write | |||
| SetSMBGuestPassword | SMB 게스트 사용자의 암호를 설정할 수 있는 권한을 부여합니다. | Write | |||
| ShutdownGateway | 게이트웨이를 종료할 수 있는 권한을 부여합니다. | Write | |||
| StartAvailabilityMonitorTest | 지정된 게이트웨이가 호스트 환경에 고가용성 모니터링을 지원하도록 구성되었는지 확인하는 테스트를 시작할 수 있는 권한을 부여합니다. | Write | |||
| StartGateway | 이전에 종료한 게이트웨이를 시작할 수 있는 권한을 부여합니다. | Write | |||
| UpdateAutomaticTapeCreationPolicy | 게이트웨이 VTL에 구성된 자동 테이프 생성 정책을 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateBandwidthRateLimit | 게이트웨이의 대역폭 속도 제한을 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateBandwidthRateLimitSchedule | 게이트웨이의 대역폭 속도 제한 일정을 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateChapCredentials | 지정된 iSCSI 대상에 대한 CHAP(Challenge-Handshake Authentication Protocol) 자격 증명을 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateFileSystemAssociation | 파일 시스템 연결을 업데이트할 수 있는 권한을 부여합니다. | Write |
logs:CreateLogDelivery logs:DeleteLogDelivery logs:GetLogDelivery logs:ListLogDeliveries logs:UpdateLogDelivery |
||
| UpdateGatewayInformation | 이 작업은 게이트웨이의 이름 및 시간대를 포함하는 게이트웨이의 메타데이터를 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateGatewaySoftwareNow | 게이트웨이 가상 머신(VM) 소프트웨어를 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateMaintenanceStartTime | 주중의 요일 및 시간을 포함한 게이트웨이의 주별 유지 관리 시작 시간 정보를 업데이트할 수 있는 권한을 부여합니다. 유지 관리 시간은 게이트웨이 시간대의 시간입니다. | Write | |||
| UpdateNFSFileShare | NFS 파일 공유를 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateSMBFileShare | SMB 파일 공유를 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateSMBFileShareVisibility | 게이트웨이의 공유가 네트워크 보기 또는 찾아보기 목록에 표시되는지 여부를 업데이트할 수 있는 권한을 부여합니다. | 쓰기 | |||
| UpdateSMBLocalGroups | 게이트웨이에서 SMB 파일 공유에 대한 특별 권한이 있는 Active Directory 사용자 및 그룹 목록을 업데이트할 수 있는 권한을 부여합니다. | 쓰기 | |||
| UpdateSMBSecurityStrategy | 파일 게이트웨이에서 SMB 보안 전략을 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateSnapshotSchedule | 게이트웨이 볼륨에 대해 구성된 스냅샷 일정을 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateVTLDeviceType | 게이트웨이 VTL에서 미디어 체인저 유형을 업데이트할 수 있는 권한을 부여합니다. | 쓰기 |
AWS Storage Gateway에서 정의하는 리소스 유형
이 서비스에서 정의하는 리소스 유형은 다음과 같으며, IAM 권한 정책 설명의 Resource 요소에서 사용할 수 있습니다. 작업 테이블의 각 작업에서 해당 작업으로 지정할 수 있는 리소스 유형을 식별합니다. 리소스 유형은 정책에 포함할 조건 키를 정의할 수도 있습니다. 이러한 키는 리소스 유형 테이블의 마지막 열에 표시됩니다. 다음 테이블의 열에 관한 자세한 내용은 리소스 유형 테이블을 참조하세요.
| 리소스 유형 | ARN | 조건 키 |
|---|---|---|
| device |
arn:${Partition}:storagegateway:${Region}:${Account}:gateway/${GatewayId}/device/${Vtldevice}
|
|
| fs-association |
arn:${Partition}:storagegateway:${Region}:${Account}:fs-association/${FsaId}
|
|
| gateway |
arn:${Partition}:storagegateway:${Region}:${Account}:gateway/${GatewayId}
|
|
| share |
arn:${Partition}:storagegateway:${Region}:${Account}:share/${ShareId}
|
|
| tape |
arn:${Partition}:storagegateway:${Region}:${Account}:tape/${TapeBarcode}
|
|
| tapepool |
arn:${Partition}:storagegateway:${Region}:${Account}:tapepool/${PoolId}
|
|
| target |
arn:${Partition}:storagegateway:${Region}:${Account}:gateway/${GatewayId}/target/${IscsiTarget}
|
|
| volume |
arn:${Partition}:storagegateway:${Region}:${Account}:gateway/${GatewayId}/volume/${VolumeId}
|
AWS Storage Gateway의 조건 키
AWS Storage Gateway에서는 IAM 정책의 Condition 요소에서 사용할 수 있는 다음과 같은 조건 키를 정의합니다. 이러한 키를 사용하여 정책 설명이 적용되는 조건을 보다 상세하게 설정할 수 있습니다. 다음 테이블의 열에 대한 자세한 내용은 조건 키 테이블을 참조하세요.
모든 서비스에 사용할 수 있는 글로벌 조건 키를 보려면 사용 가능한 글로벌 조건 키를 참조하세요.
| 조건 키 | 설명 | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | 각 태그에 허용되는 값 집합을 기준으로 액세스를 필터링합니다. | String |
| aws:ResourceTag/${TagKey} | 리소스와 연결된 태그-값을 기준으로 액세스를 필터링합니다. | String |
| aws:TagKeys | 요청에 필수 태그가 있는지 여부를 기준으로 액세스를 필터링합니다. | ArrayOfString |
