권한을 사용하면 AWS 리소스에 대한 액세스를 지정할 수 있습니다. 권한은 IAM 엔터티(사용자, 그룹 및 역할)에 부여되며 기본적으로 이러한 엔터티는 아무런 권한이 없는 상태로 시작됩니다. 즉, 여러분이 원하는 권한을 IAM 엔터티에 부여할 때까지 IAM 엔터티는 AWS에서 아무 작업도 수행할 수 없습니다. 엔터티에 권한을 부여하려면 액세스 유형, 수행할 수 있는 작업, 작업을 수행할 수 있는 리소스를 지정하는 정책을 연결하면 됩니다. 또한 액세스를 허용 또는 거부하기 위해 설정해야 하는 조건을 지정할 수 있습니다.

Become an IAM policy master in 60 minutes or less(55:35)

사용자, 그룹, 역할 또는 리소스에 권한을 할당하려면 다음을 지정할 수 있는 정책을 생성합니다.

  • 작업 – 사용자가 허용하는 AWS 서비스 작업. 예를 들어, 사용자가 Amazon S3 ListBucket 작업을 호출하도록 허용할 수 있습니다. 명시적으로 허용하지 않은 작업은 모두 거부됩니다.
  • 리소스 – 해당 작업을 수행할 수 있는 AWS 리소스. 예를 들어, 어느 Amazon S3 버킷에서 사용자가 ListBucket 작업을 수행할 수 있도록 허용할 것인지를 지정합니다. 사용자는 권한이 명시적으로 부여되지 않은 리소스에는 액세스할 수 없습니다.
  • 효과 – 액세스를 허용할지, 거부할지 여부. 기본 설정이 액세스 거부이므로 대개 정책을 작성할 때는 효과가 액세스 허용인 정책을 작성합니다.
  • 조건 – 정책이 적용되기 위해 필요한 조건. 예를 들어, 사용자가 특정 IP 범위에서 연결하거나 로그인할 때 Multi-Factor Authentication을 사용한 경우 특정 S3 버킷에만 액세스하도록 허용할 수 있습니다.

시각 편집기 또는 JSON을 사용하여 정책을 생성합니다. 정책은 하나 이상의 명령문으로 구성되며 각 명령문은 하나의 권한 집합을 설명합니다. 정책 언어에 대해 자세히 알아보려면 AWS IAM 정책 참조를 참조하십시오.

시각 편집기는 JSON으로 정책으로 작성할 필요 없이 IAM 정책을 사용하여 권한을 부여하는 방법을 안내합니다(원하는 경우 여전히 JSON으로 정책을 작성 및 편집할 수 있음). 아래 스크린샷의 정책은 시각 편집기로 작성한 것입니다. 접두사가 MyPrefix로 시작하는 경우 SampleBucket의 S3 버킷과 객체에 5가지 Amazon S3 나열읽기 작업 권한을 부여합니다.

ManagePermissions_JC_1117_a

AWS Management Console을 사용하여 권한을 관리하는 경우 정책 요약을 볼 수 있습니다. 정책 요약은 정책에 정의된 각 서비스의 액세스 수준, 리소스 및 조건을 나열합니다(예는 아래 스크린샷 참조). 정책에 정의된 권한을 이해하는 데 도움이 되도록 각 AWS 서비스의 작업나열, 읽기, 쓰기권한 관리라는 4개의 액세스 수준으로 분류됩니다.

JC1final-UPDATED031017-a

AWS에서 관리하는 사전 정의된 정책을 선택하거나 본인만의 정책 생성기를 사용해 정책을 만들 수 있습니다. 자세한 내용은 IAM 사용 설명서IAM 정책 개요 섹션을 참조하십시오.

AWS IAM 자격 증명을 관리하는 방법 알아보기

자격 증명 관리 페이지로 이동하기
구축할 준비가 되셨습니까?
AWS IAM 시작하기
추가 질문이 있으십니까?
AWS에 문의