쿠키 기본 설정 선택

당사는 사이트와 서비스를 제공하는 데 필요한 필수 쿠키 및 유사한 도구를 사용합니다. 고객이 사이트를 어떻게 사용하는지 파악하고 개선할 수 있도록 성능 쿠키를 사용해 익명의 통계를 수집합니다. 필수 쿠키는 비활성화할 수 없지만 '사용자 지정' 또는 ‘거부’를 클릭하여 성능 쿠키를 거부할 수 있습니다.

사용자가 동의하는 경우 AWS와 승인된 제3자도 쿠키를 사용하여 유용한 사이트 기능을 제공하고, 사용자의 기본 설정을 기억하고, 관련 광고를 비롯한 관련 콘텐츠를 표시합니다. 필수가 아닌 모든 쿠키를 수락하거나 거부하려면 ‘수락’ 또는 ‘거부’를 클릭하세요. 더 자세한 내용을 선택하려면 ‘사용자 정의’를 클릭하세요.

Snow Family 디바이스에서 로컬로 IAM 사용

포커스 모드
Snow Family 디바이스에서 로컬로 IAM 사용 - AWS Snowball Edge 개발자 안내서

AWS Identity and Access Management(IAM)를 사용하면 AWS Snowball Edge 디바이스에서 실행하는 AWS 리로스에 대한 액세스를 안전하게 제어할 수 있습니다. IAM을 사용하여 리소스를 사용하도록 인증(로그인) 및 권한 부여(권한 있음)된 대상을 제어합니다.

IAM은 디바이스에서 로컬로 지원됩니다. 로컬 IAM 서비스를 사용하여 새 사용자를 생성하고 사용자에게 IAM 정책을 연결할 수 있습니다. 이러한 정책을 사용하여 할당된 작업을 수행하는 데 필요한 액세스를 허용할 수 있습니다. 예를 들어 사용자에게 데이터를 전송하는 권한을 부여하지만 새 Amazon EC2 호환 인스턴스를 생성하는 권한은 제한할 수 있습니다.

또한 디바이스에서 AWS Security Token Service(AWS STS)를 사용하여 로컬 세션 기반 자격 증명을 생성할 수 있습니다. IAM 서비스에 대한 자세한 내용은 IAM 사용 설명서시작하기 섹션을 참조하세요.

디바이스의 루트 보안 인증 정보는 비활성화할 수 없으며 계정 내의 정책을 사용하여 AWS 계정 루트 사용자의 액세스를 명시적으로 거부할 수 없습니다. 루트 사용자 액세스 키를 보호하고 디바이스와의 일상적인 상호 작용을 위한 사용자 보안 인증 정보를 생성하는 것이 좋습니다.

중요

이 섹션의 내용은 AWS Snowball Edge 디바이스에서 로컬로 IAM를 사용하는 경우에 적용됩니다. AWS 클라우드의 IAM 사용에 대한 자세한 내용은 AWS Snowball의 자격 증명 및 액세스 관리 섹션을 참조하세요.

AWS 서비스가 Snowball Edge에서 제대로 작동하려면 서비스에 필요한 포트를 허용해야 합니다. 세부 정보는 Snow Family 디바이스의 AWS 서비스에 대한 포트 요구 사항을 참조하세요.

Snowball Edge에서 AWS CLI 및 API 작업 사용

AWS CLI 또는 API 작업을 사용하여 Snowball Edge에서 IAM, AWS STS, Amazon S3, Amazon EC2 명령을 실행할 때는 'snow'로 region을 지정해야 합니다. 다음 예시와 같이 aws configure를 사용하거나 명령 내에서 이 작업을 수행할 수 있습니다.

aws configure --profile abc AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE AWS Secret Access Key [None]: 1234567 Default region name [None]: snow Default output format [None]: json

Or

aws iam list-users --profile snowballEdge --endpoint http://192.0.2.0:6078 --region snow
참고

AWS Snowball Edge에서 로컬로 사용되는 액세스 키 ID 및 보안 액세스 키는 AWS 클라우드의 키와 교환할 수 없습니다.

Snowball Edge에서 지원되는 IAM AWS CLI 명령의 목록

다음은 Snowball Edge 디바이스에서 지원되는 IAM용 AWS CLI 명령 및 옵션의 하위 집합에 대한 설명입니다. 아래에 나열되지 않은 명령이나 옵션은 지원되지 않습니다. 명령에 지원되지 않는 파라미터는 별도로 명시되어 있습니다.

  • attach-role-policy - 지정된 관리형 정책을 지정된 IAM 역할에 연결합니다.

  • attach-user-policy - 지정된 관리형 정책을 지정된 사용자에게 연결합니다.

  • create-access-key - 지정된 사용자에 대한 새 로컬 IAM 보안 액세스 키와 해당 AWS 액세스 키 ID를 생성합니다.

  • create-policy - 디바이스에 대한 새 IAM 관리형 정책을 생성합니다.

  • create-role - 디바이스에 대한 새 로컬 IAM 역할을 생성합니다. 다음 파라미터는 지원되지 않습니다.

    • Tags

    • PermissionsBoundary

  • create-user - 디바이스에 대한 새 로컬 IAM 사용자를 생성합니다. 다음 파라미터는 지원되지 않습니다.

    • Tags

    • PermissionsBoundary

  • delete-access-key - 지정된 사용자에 대한 새 로컬 IAM 보안 액세스 키와 해당 AWS 액세스 키 ID를 생성합니다.

  • delete-policy - 지정된 관리형 정책을 삭제합니다.

  • delete-role - 지정된 역할을 삭제합니다.

  • delete-user - 지정된 사용자를 삭제합니다.

  • detach-role-policy - 지정된 역할에서 지정된 관리형 정책을 제거합니다.

  • detach-user-policy - 지정된 사용자에서 지정된 관리형 정책을 제거합니다.

  • get-policy - 정책의 기본 버전과 정책이 연결된 로컬 IAM 사용자, 그룹 및 역할의 총 수를 포함하여 지정된 관리형 정책에 대한 정보를 검색합니다.

  • get-policy-version - 정책 문서를 포함하여 지정된 관리형 정책의 지정된 버전에 대한 정보를 검색합니다.

  • get-role - 역할의 경로, GUID, ARN 및 역할을 수임할 수 있는 권한을 부여하는 역할의 신뢰 정책을 포함하여 지정된 역할에 대한 정보를 검색합니다.

  • get-user - 사용자의 생성 날짜, 경로, 고유 ID, ARN을 포함하여 지정된 IAM 사용자에 대한 정보를 검색합니다.

  • list-access-keys - 지정된 IAM 사용자와 연결된 액세스 키 ID에 대한 정보를 반환합니다.

  • list-attached-role-policies - 지정된 IAM 역할에 연결된 모든 관리형 정책을 나열합니다.

  • list-attached-user-policies - 지정된 IAM 사용자에 연결된 모든 관리형 정책을 나열합니다.

  • list-entities-for-policy - 지정된 관리형 정책이 연결된 모든 로컬 IAM 사용자, 그룹 및 역할을 나열합니다.

    • --EntityFilter: userrole 값만 지원됩니다.

  • list-policies - 로컬 AWS 계정에서 사용 가능한 모든 관리형 정책을 나열합니다. 다음 파라미터는 지원되지 않습니다 .

    • --PolicyUsageFilter

  • list-roles - 지정된 경로 접두사가 있는 로컬 IAM 역할을 나열합니다.

  • list-users - 지정된 경로 접두사가 있는 IAM 사용자를 나열합니다.

  • update-access-key - 지정된 액세스 키의 상태를 활성에서 비활성으로 또는 이와 반대로 변경합니다.

  • update-assume-role-policy - IAM 개체에 역할을 수임할 권한을 부여하는 정책을 업데이트합니다.

  • update-role - 역할의 설명 또는 최대 세션 기간 설정을 업데이트합니다.

  • update-user - 지정된 IAM 사용자의 이름 및/또는 경로를 업데이트합니다.

Snow Family 디바이스에서 지원되는 IAM API 작업

다음은 IAM API 참조의 설명 링크와 함께 Snowball Edge에서 사용할 수 있는 IAM API 작업입니다.

  • AttachRolePolicy - 지정된 관리형 정책을 지정된 IAM 역할에 연결합니다.

  • AttachUserPolicy - 지정된 관리형 정책을 지정된 사용자에게 연결합니다.

  • CreateAccessKey - 지정된 사용자에 대한 새 로컬 IAM 보안 액세스 키와 해당 AWS 액세스 키 ID를 생성합니다.

  • CreatePolicy – 디바이스에 대한 새 IAM 관리형 정책을 생성합니다.

  • CreateRole – 디바이스에 대한 새 로컬 IAM 역할을 생성합니다.

  • CreateUser – 디바이스에 대한 새 로컬 IAM 사용자를 생성합니다.

    다음 파라미터는 지원되지 않습니다.

    • Tags

    • PermissionsBoundary

  • DeleteAccessKey – 지정된 액세스 키를 삭제합니다.

  • DeletePolicy - 지정된 관리형 정책을 삭제합니다.

  • DeleteRole - 지정된 역할을 삭제합니다.

  • DeleteUser - 지정된 사용자를 삭제합니다.

  • DetachRolePolicy - 지정된 역할에서 지정된 관리형 정책을 제거합니다.

  • DetachUserPolicy - 지정된 사용자에서 지정된 관리형 정책을 제거합니다.

  • GetPolicy - 정책의 기본 버전과 정책이 연결된 로컬 IAM 사용자, 그룹 및 역할의 총 수를 포함하여 지정된 관리형 정책에 대한 정보를 검색합니다.

  • GetPolicyVersion - 정책 문서를 포함하여 지정된 관리형 정책의 지정된 버전에 대한 정보를 검색합니다.

  • GetRole - 역할의 경로, GUID, ARN 및 역할을 수임할 수 있는 권한을 부여하는 역할의 신뢰 정책을 포함하여 지정된 역할에 대한 정보를 검색합니다.

  • GetUser - 사용자의 생성 날짜, 경로, 고유 ID, ARN을 포함하여 지정된 IAM 사용자에 대한 정보를 검색합니다.

  • ListAccessKeys - 지정된 IAM 사용자와 연결된 액세스 키 ID에 대한 정보를 반환합니다.

  • ListAttachedRolePolicies - 지정된 IAM 역할에 연결된 모든 관리형 정책을 나열합니다.

  • ListAttachedUserPolicies - 지정된 IAM 사용자에 연결된 모든 관리형 정책을 나열합니다.

  • ListEntitiesForPolicy - 사용자의 생성 날짜, 경로, 고유 ID, ARN을 포함하여 지정된 IAM 사용자에 대한 정보를 검색합니다.

    • --EntityFilter: userrole 값만 지원됩니다.

  • ListPolicies – 로컬 AWS 계정에서 사용 가능한 모든 관리형 정책을 나열합니다. 다음 파라미터는 지원되지 않습니다 .

    • --PolicyUsageFilter

  • ListRoles - 지정된 경로 접두사가 있는 로컬 IAM 역할을 나열합니다.

  • ListUsers - 지정된 경로 접두사가 있는 IAM 사용자를 나열합니다.

  • UpdateAccessKey - 지정된 액세스 키의 상태를 활성에서 비활성으로 또는 이와 반대로 변경합니다.

  • UpdateAssumeRolePolicy - IAM 개체에 역할을 수임할 권한을 부여하는 정책을 업데이트합니다.

  • UpdateRole - 역할의 설명 또는 최대 세션 기간 설정을 업데이트합니다.

  • UpdateUser - 지정된 IAM 사용자의 이름 및/또는 경로를 업데이트합니다.

Snow Family 디바이스에서 지원되는 IAM 정책 버전 및 문법

다음은 로컬 IAM 지원 버전 2012-10-17의 IAM 정책과 일부 정책 문법입니다.

정책 유형 지원되는 문법
자격 증명 기반 정책(사용자/역할 정책) "Effect", "Action" 및 "Resource"
참고

로컬 IAM 정책은 "Condition", "NotAction", "NotResource" 및 "Principal"을 지원합니다.

리소스 기반 정책(역할 신뢰 정책) "Effect", "Action" 및 "Principal"
참고

Principal의 경우 AWS 계정 ID 또는 보안 주체 ID만 허용됩니다.

Snow Family 디바이스의 IAM 정책 예제

참고

AWS Identity and Access Management(IAM) 사용자는 AWS OpsHub for Snow Family 애플리케이션을 사용하여 Snow Family 디바이스를 관리할 수 있는 "snowballdevice:*" 권한이 필요합니다.

다음은 Snowball Edge 디바이스에 권한을 부여하는 정책의 예시입니다.

IAM API를 통해 Snow Family 디바이스에서 샘플 사용자에 대한 GetUser 직접 호출 허용

다음 정책을 사용하여 IAM API를 통한 샘플 사용자에 대한 GetUser 직접 호출을 허용합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "iam:GetUser", "Resource": "arn:aws:iam:::user/example-user" } ] }

Snow Family 디바이스에서 Amazon S3 API에 대한 전체 액세스 허용

다음 정책을 사용하여 Amazon S3 API에 대한 모든 액세스를 허용합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "s3:*", "Resource": "*" } ] }

Snow Family 디바이스에서 Amazon S3 버킷에 대한 읽기 및 쓰기 액세스 허용

다음 정책은 특정 버킷에 대한 읽기 및 쓰기 액세스를 허용합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListObjectsInBucket", "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::bucket-name" }, { "Sid": "AllObjectActions", "Effect": "Allow", "Action": "s3:*Object", "Resource": "arn:aws:s3:::bucket-name/*" } ] }

Snow Family 디바이스의 Amazon S3 버킷에 대한 목록, 가져오기 및 입력 액세스 허용

다음 정책을 사용하여 특정 S3 버킷에 대한 나열, 가져오기 및 배치 액세스를 허용합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:List*" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" } ] }

Snow Family 디바이스에서 Amazon EC2 API에 대한 전체 액세스 허용

다음 정책을 사용하여 Amazon EC2에 대한 모든 액세스를 허용합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:*", "Resource": "*" } ] }

Snow Family 디바이스에서 Amazon EC2-compatible 인스턴스를 시작하고 중지할 수 있는 액세스 허용

다음 정책을 사용하여 Amazon EC2 인스턴스를 시작 및 중지하는 액세스를 허용합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": "*" } ] }

DescribeLaunchTemplates에 대한 직접 호출을 거부하지만 Snow Family 디바이스에서 DescribeImages에 대한 모든 직접 호출 허용

다음 정책은 DescribeLaunchTemplates에 대한 호출을 거부하고 DescribeImages에 대한 모든 호출은 허용합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ec2:DescribeLaunchTemplates" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages" ], "Resource": "*" } ] }

Snow Family 디바이스의 API 직접 호출 정책

고객이 정의한 관리형 정책을 포함하여 Snow 디바이스에서 사용할 수 있는 모든 관리형 정책을 나열합니다. 자세한 내용은 list-policies 섹션을 참조하세요.

aws iam list-policies --endpoint http://ip-address:6078 --profile snowballEdge --region snow { "Policies": [ { "PolicyName": "Administrator", "Description": "Root user admin policy for Account 123456789012", "CreateDate": "2020-03-04T17:44:59.412Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "policy-id", "DefaultVersionId": "v1", "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/Administrator", "UpdateDate": "2020-03-04T19:10:45.620Z" } ] }

Snow Family 디바이스의 TrustPolicy 예제

신뢰 정책은 평소에는 액세스 권한이 없을 수 있는 AWS 리소스에 액세스하기 위해 사용할 수 있는 일련의 임시 보안 인증 정보를 반환합니다. 이러한 임시 보안 인증은 액세스 키 ID, 보안 액세스 키 및 보안 토큰으로 구성됩니다. 일반적으로 계정에서 교차 계정 액세스를 위해 AssumeRole을 사용합니다 .

다음은 신뢰 정책의 예입니다. 신뢰 정책에 대한 자세한 내용은 AWS Security Token Service API ReferenceAssumeRole 섹션을 참조하세요.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::AccountId:root" //You can use the Principal ID instead of the account ID. ] }, "Action": [ "sts:AssumeRole" ] } ] }
프라이버시사이트 이용 약관쿠키 기본 설정
© 2025, Amazon Web Services, Inc. 또는 계열사. All rights reserved.