기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Snowball Edge에서 로컬로 IAM 사용
AWS Identity and Access Management (IAM)를 사용하면 AWS Snowball Edge 디바이스에서 실행되는 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있습니다. IAM을 사용하여 리소스를 사용하도록 인증(로그인) 및 권한 부여(권한 있음)된 대상을 제어합니다.
IAM은 디바이스에서 로컬로 지원됩니다. 로컬 IAM 서비스를 사용하여 새 사용자를 생성하고 사용자에게 IAM 정책을 연결할 수 있습니다. 이러한 정책을 사용하여 할당된 작업을 수행하는 데 필요한 액세스를 허용할 수 있습니다. 예를 들어 사용자에게 데이터를 전송하는 권한을 부여하지만 새 Amazon EC2 호환 인스턴스를 생성하는 권한은 제한할 수 있습니다.
또한 디바이스에서 AWS Security Token Service (AWS STS)를 사용하여 로컬 세션 기반 자격 증명을 생성할 수 있습니다. IAM 서비스에 대한 자세한 내용은 *IAM 사용 설명서*의 [시작하기](https://docs.aws.amazon.com/IAM/latest/GettingStartedGuide/) 섹션을 참조하세요.
디바이스의 루트 자격 증명은 비활성화할 수 없으며 계정 내의 정책을 사용하여 AWS 계정 루트 사용자에 대한 액세스를 명시적으로 거부할 수 없습니다. 루트 사용자 액세스 키를 보호하고 디바이스와의 일상적인 상호 작용을 위한 사용자 보안 인증 정보를 생성하는 것이 좋습니다.
**중요**
이 섹션의 설명서는 AWS Snowball Edge 디바이스에서 로컬로 IAM을 사용하는 데 적용됩니다. 에서 IAM을 사용하는 방법에 대한 자세한 내용은 단원을 AWS 클라우드참조하십시오[의 자격 증명 및 액세스 관리 AWS Snowball Edge](snowball-edge-iam.md).
AWS 서비스가 Snowball Edge에서 제대로 작동하려면 서비스의 포트를 허용해야 합니다. 자세한 내용은 [Snowball Edge의 AWS 서비스에 대한 포트 요구 사항](port-requirements.md)을 참조하세요.
**Topics**
+ [Snowball Edge에서 AWS CLI 및 API 작업 사용](#local-iam-specify-region)
+ [Snowball Edge에서 지원되는 IAM AWS CLI 명령 목록](#local-iam-cli-commands)
+ [Snowball Edge의 IAM 정책 예제](#policy-examples)
+ [Snowball Edge의 TrustPolicy 예제](#role-policy-example-trust)
## Snowball Edge에서 AWS CLI 및 API 작업 사용
AWS CLI 또는 API 작업을 사용하여 Snowball Edge에서 IAM, AWS STS, Amazon S3 및 Amazon EC2 명령을 실행할 때는를 ""`region`로 지정해야 합니다`snow`. 다음 예제와 같이 명령 자체 내에서 `aws configure` 또는를 사용하여이 작업을 수행할 수 있습니다.
```
aws configure --profile abc
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: 1234567
Default region name [None]: snow
Default output format [None]: json
```
Or
```
aws iam list-users --endpoint http://192.0.2.0:6078 --region snow --profile snowballEdge
```
**참고**
에서 AWS Snowball Edge 로컬로 사용되는 액세스 키 ID 및 액세스 보안 키는의 키와 교환할 수 없습니다 AWS 클라우드.
## Snowball Edge에서 지원되는 IAM AWS CLI 명령 목록
다음은 Snowball Edge 디바이스에서 지원되는 IAM에 대한 AWS CLI 명령 및 옵션의 하위 집합에 대한 설명입니다. 아래에 나열되지 않은 명령이나 옵션은 지원되지 않습니다. 명령에 지원되지 않는 파라미터는 별도로 명시되어 있습니다.
+ [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html) - 지정된 관리형 정책을 지정된 IAM 역할에 연결합니다.
+ [attach-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html) - 지정된 관리형 정책을 지정된 사용자에게 연결합니다.
+ [create-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html) - 지정된 사용자에 대한 새 로컬 IAM 보안 액세스 키와 해당 AWS 액세스 키 ID를 생성합니다.
+ [create-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy.html) - 디바이스에 대한 새 IAM 관리형 정책을 생성합니다.
+ [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) - 디바이스에 대한 새 로컬 IAM 역할을 생성합니다. 다음 파라미터는 지원되지 **않습니다**.
+ `Tags`
+ `PermissionsBoundary`
+ [create-user](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html) - 디바이스에 대한 새 로컬 IAM 사용자를 생성합니다. 다음 파라미터는 지원되지 **않습니다**.
+ `Tags`
+ `PermissionsBoundary`
+ [delete-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html) - 지정된 사용자의 새 로컬 IAM 보안 액세스 키와 해당 AWS 액세스 키 ID를 삭제합니다.
+ [delete-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-policy.html) - 지정된 관리형 정책을 삭제합니다.
+ [delete-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html) - 지정된 역할을 삭제합니다.
+ [delete-user](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user.html) - 지정된 사용자를 삭제합니다.
+ [detach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html) - 지정된 역할에서 지정된 관리형 정책을 제거합니다.
+ [detach-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html) - 지정된 사용자에서 지정된 관리형 정책을 제거합니다.
+ [get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html) - 정책의 기본 버전과 정책이 연결된 로컬 IAM 사용자, 그룹 및 역할의 총 수를 포함하여 지정된 관리형 정책에 대한 정보를 검색합니다.
+ [get-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy-version.html) - 정책 문서를 포함하여 지정된 관리형 정책의 지정된 버전에 대한 정보를 검색합니다.
+ [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) - 역할의 경로, GUID, ARN 및 역할을 수임할 수 있는 권한을 부여하는 역할의 신뢰 정책을 포함하여 지정된 역할에 대한 정보를 검색합니다.
+ [get-user](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html) - 사용자의 생성 날짜, 경로, 고유 ID, ARN을 포함하여 지정된 IAM 사용자에 대한 정보를 검색합니다.
+ [list-access-keys](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html) - 지정된 IAM 사용자와 연결된 액세스 키 ID에 대한 정보를 반환합니다.
+ [list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html) - 지정된 IAM 역할에 연결된 모든 관리형 정책을 나열합니다.
+ [list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html) - 지정된 IAM 사용자에 연결된 모든 관리형 정책을 나열합니다.
+ [list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html) - 지정된 관리형 정책이 연결된 모든 로컬 IAM 사용자, 그룹 및 역할을 나열합니다.
+ `--EntityFilter`: `user` 및 `role` 값만 지원됩니다.
+ [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html) - 로컬 AWS 계정에서 사용 가능한 모든 관리형 정책을 나열합니다. 다음 파라미터는 지원되지 **않습니다** .
+ `--PolicyUsageFilter`
+ [list-roles](https://docs.aws.amazon.com/cli/latest/reference/iam/list-roles.html) - 지정된 경로 접두사가 있는 로컬 IAM 역할을 나열합니다.
+ [list-users](https://docs.aws.amazon.com/cli/latest/reference/iam/list-users.html) - 지정된 경로 접두사가 있는 IAM 사용자를 나열합니다.
+ [update-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html) - 지정된 액세스 키의 상태를 활성에서 비활성으로 또는 이와 반대로 변경합니다.
+ [update-assume-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/update-assume-role-policy.html) - IAM 개체에 역할을 수임할 권한을 부여하는 정책을 업데이트합니다.
+ [update-role](https://docs.aws.amazon.com/cli/latest/reference/iam/update-role.html) - 역할의 설명 또는 최대 세션 기간 설정을 업데이트합니다.
+ [update-user](https://docs.aws.amazon.com/cli/latest/reference/iam/update-user.html) - 지정된 IAM 사용자의 이름 및/또는 경로를 업데이트합니다.
### Snowball Edge에서 지원되는 IAM API 작업
다음은 IAM API 참조의 설명 링크와 함께 Snowball Edge에서 사용할 수 있는 IAM API 작업입니다.
+ [AttachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachRolePolicy.html) - 지정된 관리형 정책을 지정된 IAM 역할에 연결합니다.
+ [AttachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachUserPolicy.html) - 지정된 관리형 정책을 지정된 사용자에게 연결합니다.
+ [CreateAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) - 지정된 사용자에 대한 새 로컬 IAM 보안 액세스 키와 해당 AWS 액세스 키 ID를 생성합니다.
+ [CreatePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicy.html) – 디바이스에 대한 새 IAM 관리형 정책을 생성합니다.
+ [CreateRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateRole.html) – 디바이스에 대한 새 로컬 IAM 역할을 생성합니다.
+ [CreateUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html) – 디바이스에 대한 새 로컬 IAM 사용자를 생성합니다.
다음 파라미터는 지원되지 **않습니다**.
+ `Tags`
+ `PermissionsBoundary`
+ [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html) – 지정된 액세스 키를 삭제합니다.
+ [DeletePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicy.html) - 지정된 관리형 정책을 삭제합니다.
+ [DeleteRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRole.html) - 지정된 역할을 삭제합니다.
+ [DeleteUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html) - 지정된 사용자를 삭제합니다.
+ [DetachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachRolePolicy.html) - 지정된 역할에서 지정된 관리형 정책을 제거합니다.
+ [DetachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html) - 지정된 사용자에서 지정된 관리형 정책을 제거합니다.
+ [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html) - 정책의 기본 버전과 정책이 연결된 로컬 IAM 사용자, 그룹 및 역할의 총 수를 포함하여 지정된 관리형 정책에 대한 정보를 검색합니다.
+ [GetPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicyVersion.html) - 정책 문서를 포함하여 지정된 관리형 정책의 지정된 버전에 대한 정보를 검색합니다.
+ [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) - 역할의 경로, GUID, ARN 및 역할을 수임할 수 있는 권한을 부여하는 역할의 신뢰 정책을 포함하여 지정된 역할에 대한 정보를 검색합니다.
+ [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html) - 사용자의 생성 날짜, 경로, 고유 ID, ARN을 포함하여 지정된 IAM 사용자에 대한 정보를 검색합니다.
+ [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html) - 지정된 IAM 사용자와 연결된 액세스 키 ID에 대한 정보를 반환합니다.
+ [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html) - 지정된 IAM 역할에 연결된 모든 관리형 정책을 나열합니다.
+ [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html) - 지정된 IAM 사용자에 연결된 모든 관리형 정책을 나열합니다.
+ [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html) - 사용자의 생성 날짜, 경로, 고유 ID, ARN을 포함하여 지정된 IAM 사용자에 대한 정보를 검색합니다.
+ `--EntityFilter`: `user` 및 `role` 값만 지원됩니다.
+ [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html) – 로컬 AWS 계정에서 사용 가능한 모든 관리형 정책을 나열합니다. 다음 파라미터는 지원되지 **않습니다** .
+ `--PolicyUsageFilter`
+ [ListRoles](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRoles.html) - 지정된 경로 접두사가 있는 로컬 IAM 역할을 나열합니다.
+ [ListUsers](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html) - 지정된 경로 접두사가 있는 IAM 사용자를 나열합니다.
+ [UpdateAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html) - 지정된 액세스 키의 상태를 활성에서 비활성으로 또는 이와 반대로 변경합니다.
+ [UpdateAssumeRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAssumeRolePolicy.html) - IAM 개체에 역할을 수임할 권한을 부여하는 정책을 업데이트합니다.
+ [UpdateRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRole.html) - 역할의 설명 또는 최대 세션 기간 설정을 업데이트합니다.
+ [UpdateUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html) - 지정된 IAM 사용자의 이름 및/또는 경로를 업데이트합니다.
### Snowball Edge에서 지원되는 IAM 정책 버전 및 문법
다음은 로컬 IAM 지원 버전 2012-10-17의 IAM 정책과 일부 정책 문법입니다.
| 정책 유형 | 지원되는 문법 |
| --- | --- |
| 자격 증명 기반 정책(사용자/역할 정책) | "Effect", "Action" 및 "Resource" 로컬 IAM 정책은 "`Condition`", "`NotAction`", "`NotResource`" 및 "`Principal`"을 지원합니다. |
| 리소스 기반 정책(역할 신뢰 정책) | "Effect", "Action" 및 "Principal" 보안 주체의 경우 AWS 계정 ID 또는 보안 주체 ID만 허용됩니다. |
## Snowball Edge의 IAM 정책 예제
**참고**
AWS Identity and Access Management (IAM) 사용자는 [AWS OpsHub for Snow Family 애플리케이션을](aws-opshub.md) 사용하여 Snowball Edge를 관리할 수 있는 `"snowballdevice:*"` 권한이 필요합니다.
다음은 Snowball Edge 디바이스에 권한을 부여하는 정책의 예시입니다.
### IAM API를 통해 Snowball Edge에서 샘플 사용자에 대한 GetUser 호출 허용
다음 정책을 사용하여 IAM API를 통한 샘플 사용자에 대한 GetUser 직접 호출을 허용합니다.
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "iam:GetUser",
"Resource": "arn:aws:iam:::user/example-user"
}
]
}
```
------
### Snowball Edge에서 Amazon S3 API에 대한 전체 액세스 허용
다음 정책을 사용하여 Amazon S3 API에 대한 모든 액세스를 허용합니다.
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "s3:*",
"Resource": "*"
}
]
}
```
------
### Snowball Edge의 Amazon S3 버킷에 대한 읽기 및 쓰기 액세스 허용
다음 정책은 특정 버킷에 대한 읽기 및 쓰기 액세스를 허용합니다.
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ListObjectsInBucket",
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::bucket-name"
},
{
"Sid": "AllObjectActions",
"Effect": "Allow",
"Action": "s3:*Object",
"Resource": "arn:aws:s3:::bucket-name/*"
}
]
}
```
------
### Snowball Edge의 Amazon S3 버킷에 대한 목록, 가져오기 및 액세스 허용
다음 정책을 사용하여 특정 S3 버킷에 대한 나열, 가져오기 및 배치 액세스를 허용합니다.
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:List*"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
### Snowball Edge에서 Amazon EC2 API에 대한 전체 액세스 허용
다음 정책을 사용하여 Amazon EC2에 대한 모든 액세스를 허용합니다.
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*"
}
]
}
```
------
### Snowball Edge에서 Amazon EC2-compatible 인스턴스를 시작하고 중지할 수 있는 액세스 허용
다음 정책을 사용하여 Amazon EC2 인스턴스를 시작 및 중지하는 액세스를 허용합니다.
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "*"
}
]
}
```
------
### DescribeLaunchTemplates에 대한 호출을 거부하지만 Snowball Edge에서 DescribeImages에 대한 모든 호출 허용
다음 정책은 `DescribeLaunchTemplates`에 대한 호출을 거부하고 `DescribeImages`에 대한 모든 호출은 허용합니다.
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ec2:DescribeLaunchTemplates"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages"
],
"Resource": "*"
}
]
}
```
------
### Snowball Edge의 API 호출 정책
고객이 정의한 관리형 정책을 포함하여 Snow 디바이스에서 사용할 수 있는 모든 관리형 정책을 나열합니다. 자세한 내용은 [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html) 섹션을 참조하세요.
```
aws iam list-policies --endpoint http://ip-address:6078 --region snow --profile snowballEdge
{
"Policies": [
{
"PolicyName": "Administrator",
"Description": "Root user admin policy for Account 123456789012",
"CreateDate": "2020-03-04T17:44:59.412Z",
"AttachmentCount": 1,
"IsAttachable": true,
"PolicyId": "policy-id",
"DefaultVersionId": "v1",
"Path": "/",
"Arn": "arn:aws:iam::123456789012:policy/Administrator",
"UpdateDate": "2020-03-04T19:10:45.620Z"
}
]
}
```
## Snowball Edge의 TrustPolicy 예제
신뢰 정책은 일반적으로 액세스할 수 없는 AWS 리소스에 액세스하는 데 사용할 수 있는 임시 보안 자격 증명 세트를 반환합니다. 이러한 임시 보안 인증은 액세스 키 ID, 보안 액세스 키 및 보안 토큰으로 구성됩니다. 일반적으로 계정에서 교차 계정 액세스를 위해 `AssumeRole`을 사용합니다 .
다음은 신뢰 정책의 예입니다. 신뢰 정책에 대한 자세한 내용은 *AWS Security Token Service API Reference*의 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 섹션을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::AccountId:root" //You can use the Principal ID instead of the account ID.
]
},
"Action": [
"sts:AssumeRole"
]
}
]
}
```
------