메뉴
Amazon Elastic Compute Cloud
User Guide for Linux Instances

Amazon EC2 API 작업에 지원되는 리소스 수준 권한

리소스 수준 권한이란 사용자가 작업을 수행할 수 있는 리소스를 지정하는 기능을 말합니다. Amazon EC2에서는 리소스 수준 권한을 부분적으로 지원합니다. 즉, 필요 조건을 지정하거나 사용 가능한 특정 리소스를 지정하여 사용자가 특정 Amazon EC2 작업을 사용할 수 있는지 여부를 제어할 수 있습니다. 예를 들어 사용자에게 인스턴스 시작 권한을 부여하면서 특정 유형 또는 특정 AMI만 사용하도록 제한할 수 있습니다.

다음 표에서는 현재 리소스 수준 권한을 지원하는 Amazon EC2 API 작업 및 각 작업에 지원되는 리소스, 해당 ARN 및 조건 키를 보여 줍니다. ARN을 지정할 때, 예를 들어, 정확한 리소스 ID를 지정할 수 없거나 지정하길 원치 않는 경우에는 경로에 * 와일드카드를 사용할 수 있습니다. 와일드카드의 용례는 AWS CLI 또는 AWS SDK 작업을 위한 예제 정책 단원을 참조하십시오.

중요

이 표에 기재되지 않은 Amazon EC2 API 작업은 리소스 수준 권한을 지원하지 않습니다. Amazon EC2 API 작업이 리소스 수준 권한을 지원하지 않는 경우 사용자에게 작업 사용 권한을 부여할 때 정책 명령문의 리소스 요소를 *로 지정해야 합니다. 문제 해결 예는 1: 읽기 전용 액세스 단원을 참조하십시오. 현재 리소스 수준 권한을 지원하지 않는 Amazon EC2 API 작업의 목록은 Amazon EC2 API Reference에서 지원되지 않는 리소스 수준 권한을 참조하십시오.

모든 Amazon EC2 작업은 ec2:Region 조건 키를 지원합니다. 문제 해결 예는 2: 특정 리전으로 액세스 제한단원을 참조하십시오.

API 작업 리소스 조건 키
AcceptVpcPeeringConnection

VPC 피어링 연결

arn:aws:ec2:region:account:vpc-peering-connection/*

arn:aws:ec2:region:account:vpc-peering-connection/vpc-peering-connection-id

ec2:AccepterVpc

ec2:Region

ec2:ResourceTag/tag-key

ec2:RequesterVpc

VPC

arn:aws:ec2:region:account:vpc/*

arn:aws:ec2:region:account:vpc/vpc-id

여기에서 vpc-id는 수락자가 소유한 VPC입니다.

ec2:ResourceTag/tag-key

ec2:Region

ec2:Tenancy

AssociateIamInstanceProfile

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

AttachClassicLinkVpc

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

보안 그룹

arn:aws:ec2:region:account:security-group/*

arn:aws:ec2:region:account:security-group/security-group-id

여기에서 보안 그룹은 VPC에 대한 보안 그룹입니다.

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

VPC

arn:aws:ec2:region:account:vpc/*

arn:aws:ec2:region:account:vpc/vpc-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Tenancy

AttachVolume

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

볼륨

arn:aws:ec2:region:account:volume/*

arn:aws:ec2:region:account:volume/volume-id

ec2:AvailabilityZone

ec2:Encrypted

ec2:ParentSnapshot

ec2:Region

ec2:ResourceTag/tag-key

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

AuthorizeSecurityGroupEgress

보안 그룹

arn:aws:ec2:region:account:security-group/*

arn:aws:ec2:region:account:security-group/security-group-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

AuthorizeSecurityGroupIngress

보안 그룹

arn:aws:ec2:region:account:security-group/*

arn:aws:ec2:region:account:security-group/security-group-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

CreateNetworkInterfacePermission

네트워크 인터페이스

arn:aws:ec2:region:account:network-interface/*

arn:aws:ec2:region:account:network-interface/eni-id

ec2:AuthorizedUser

ec2:AvailabilityZone

ec2:Permission

ec2:Region

ec2:ResourceTag/tag-key

ec2:Subnet

ec2:Vpc

CreateRoute

라우팅 테이블

arn:aws:ec2:region:account:route-table/*

arn:aws:ec2:region:account:route-table/route-table-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

CreateTags

DHCP 옵션 세트

arn:aws:ec2:region:account:dhcp-options/*

arn:aws:ec2:region:account:dhcp-options/dhcp-options-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

이미지

arn:aws:ec2:region::image/*

arn:aws:ec2:region::image/image-id

ec2:CreateAction

ec2:ImageType

ec2:Owner

ec2:Public

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

aws:RequestTag/tag-key

aws:TagKeys

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:CreateAction

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

aws:RequestTag/tag-key

aws:TagKeys

인터넷 게이트웨이

arn:aws:ec2:region:account:internet-gateway/*

arn:aws:ec2:region:account:internet-gateway/igw-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

NAT 게이트웨이

arn:aws:ec2:region:account:natgateway/*

arn:aws:ec2:region:account:natgateway/natgateway-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

네트워크 ACL

arn:aws:ec2:region:account:network-acl/*

arn:aws:ec2:region:account:network-acl/nacl-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

aws:RequestTag/tag-key

aws:TagKeys

네트워크 인터페이스

arn:aws:ec2:region:account:network-interface/*

arn:aws:ec2:region:account:network-interface/eni-id

ec2:AvailabilityZone

ec2:CreateAction

ec2:Region

ec2:Subnet

ec2:ResourceTag/tag-key

ec2:Vpc

aws:RequestTag/tag-key

aws:TagKeys

예약 인스턴스

arn:aws:ec2:region:account:reserved-instances/*

arn:aws:ec2:region:account:reserved-instances/reservation-id

ec2:AvailabilityZone

ec2:CreateAction

ec2:InstanceType

ec2:ReservedInstancesOfferingType

ec2:Region

ec2:ResourceTag/tag-key

ec2:Tenancy

aws:RequestTag/tag-key

aws:TagKeys

라우팅 테이블

arn:aws:ec2:region:account:route-table/*

arn:aws:ec2:region:account:route-table/route-table-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

aws:RequestTag/tag-key

aws:TagKeys

보안 그룹

arn:aws:ec2:region:account:security-group/*

arn:aws:ec2:region:account:security-group/security-group-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

aws:RequestTag/tag-key

aws:TagKeys

스냅샷

arn:aws:ec2:region::snapshot/*

arn:aws:ec2:region::snapshot/snapshot-id

ec2:CreateAction

ec2:Owner

ec2:ParentVolume

ec2:Region

ec2:ResourceTag/tag-key

ec2:SnapshotTime

ec2:VolumeSize

aws:RequestTag/tag-key

aws:TagKeys

스팟 인스턴스 요청

arn:aws:ec2:region:account:spot-instances-request/*

arn:aws:ec2:region:account:spot-instances-request/spot-instance-request-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

서브넷

arn:aws:ec2:region:account:subnet/*

arn:aws:ec2:region:account:subnet/subnet-id

ec2:AvailabilityZone

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

aws:RequestTag/tag-key

aws:TagKeys

볼륨

arn:aws:ec2:region:account:volume/*

arn:aws:ec2:region:account:volume/volume-id

ec2:AvailabilityZone

ec2:CreateAction

ec2:Encrypted

ec2:ParentSnapshot

ec2:Region

ec2:ResourceTag/tag-key

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

aws:RequestTag/tag-key

aws:TagKeys

VPC

arn:aws:ec2:region:account:vpc/*

arn:aws:ec2:region:account:vpc/vpc-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

ec2:Tenancy

aws:RequestTag/tag-key

aws:TagKeys

VPN 연결

arn:aws:ec2:region:account:vpn-connection/*

arn:aws:ec2:region:account:vpn-connection/vpn-connection-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

VPN 게이트웨이

arn:aws:ec2:region:account:vpn-gateway/*

arn:aws:ec2:region:account:vpn-gateway/vpn-gateway-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

CreateVolume

볼륨

arn:aws:ec2:region:account:volume/*

ec2:AvailabilityZone

ec2:Encrypted

ec2:ParentSnapshot

ec2:Region

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

aws:RequestTag/tag-key

aws:TagKeys

CreateVpcPeeringConnection

VPC

arn:aws:ec2:region:account:vpc/*

arn:aws:ec2:region:account:vpc/vpc-id

여기에서 vpc-id는 요청자 VPC입니다.

ec2:ResourceTag/tag-key

ec2:Region

ec2:Tenancy

VPC 피어링 연결

arn:aws:ec2:region:account:vpc-peering-connection/*

ec2:AccepterVpc

ec2:Region

ec2:RequesterVpc

DeleteCustomerGateway

고객 게이트웨이

arn:aws:ec2:region:account:customer-gateway/*

arn:aws:ec2:region:account:customer-gateway/cgw-id

ec2:Region

ec2:ResourceTag/tag-key

DeleteDhcpOptions

DHCP 옵션 세트

arn:aws:ec2:region:account:dhcp-options/*

arn:aws:ec2:region:account:dhcp-options/dhcp-options-id

ec2:Region

ec2:ResourceTag/tag-key

DeleteInternetGateway

인터넷 게이트웨이

arn:aws:ec2:region:account:internet-gateway/*

arn:aws:ec2:region:account:internet-gateway/igw-id

ec2:Region

ec2:ResourceTag/tag-key

DeleteNetworkAcl

네트워크 ACL

arn:aws:ec2:region:account:network-acl/*

arn:aws:ec2:region:account:network-acl/nacl-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

DeleteNetworkAclEntry

네트워크 ACL

arn:aws:ec2:region:account:network-acl/*

arn:aws:ec2:region:account:network-acl/nacl-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

DeleteRoute

라우팅 테이블

arn:aws:ec2:region:account:route-table/*

arn:aws:ec2:region:account:route-table/route-table-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

DeleteRoute

라우팅 테이블

arn:aws:ec2:region:account:route-table/*

arn:aws:ec2:region:account:route-table/route-table-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

DeleteSecurityGroup

보안 그룹

arn:aws:ec2:region:account:security-group/security-group-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

DeleteTags

DHCP 옵션 세트

arn:aws:ec2:region:account:dhcp-options/*

arn:aws:ec2:region:account:dhcp-options/dhcp-options-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

이미지

arn:aws:ec2:region::image/*

arn:aws:ec2:region::image/image-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

인터넷 게이트웨이

arn:aws:ec2:region:account:internet-gateway/*

arn:aws:ec2:region:account:internet-gateway/igw-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

NAT 게이트웨이

arn:aws:ec2:region:account:natgateway/*

arn:aws:ec2:region:account:natgateway/natgateway-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

네트워크 ACL

arn:aws:ec2:region:account:network-acl/*

arn:aws:ec2:region:account:network-acl/nacl-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

네트워크 인터페이스

arn:aws:ec2:region:account:network-interface/*

arn:aws:ec2:region:account:network-interface/eni-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

예약 인스턴스

arn:aws:ec2:region:account:reserved-instances/*

arn:aws:ec2:region:account:reserved-instances/reservation-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

라우팅 테이블

arn:aws:ec2:region:account:route-table/*

arn:aws:ec2:region:account:route-table/route-table-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

보안 그룹

arn:aws:ec2:region:account:security-group/*

arn:aws:ec2:region:account:security-group/security-group-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

스냅샷

arn:aws:ec2:region::snapshot/*

arn:aws:ec2:region::snapshot/snapshot-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

스팟 인스턴스 요청

arn:aws:ec2:region:account:spot-instances-request/*

arn:aws:ec2:region:account:spot-instances-request/spot-instance-request-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

서브넷

arn:aws:ec2:region:account:subnet/*

arn:aws:ec2:region:account:subnet/subnet-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

볼륨

arn:aws:ec2:region:account:volume/*

arn:aws:ec2:region:account:volume/volume-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

VPC

arn:aws:ec2:region:account:vpc/*

arn:aws:ec2:region:account:vpc/vpc-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

VPN 연결

arn:aws:ec2:region:account:vpn-connection/*

arn:aws:ec2:region:account:vpn-connection/vpn-connection-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

VPN 게이트웨이

arn:aws:ec2:region:account:vpn-gateway/*

arn:aws:ec2:region:account:vpn-gateway/vpn-gateway-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

DeleteVolume

볼륨

arn:aws:ec2:region:account:volume/*

arn:aws:ec2:region:account:volume/volume-id

ec2:AvailabilityZone

ec2:Encrypted

ec2:ParentSnapshot

ec2:Region

ec2:ResourceTag/tag-key

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

DeleteVpcPeeringConnection

VPC 피어링 연결

arn:aws:ec2:region:account:vpc-peering-connection/*

arn:aws:ec2:region:account:vpc-peering-connection/vpc-peering-connection-id

ec2:AccepterVpc

ec2:Region

ec2:ResourceTag/tag-key

ec2:RequesterVpc

DetachClassicLinkVpc

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

VPC

arn:aws:ec2:region:account:vpc/*

arn:aws:ec2:region:account:vpc/vpc-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Tenancy

DetachVolume

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

볼륨

arn:aws:ec2:region:account:volume/*

arn:aws:ec2:region:account:volume/volume-id

ec2:AvailabilityZone

ec2:Encrypted

ec2:ParentSnapshot

ec2:Region

ec2:ResourceTag/tag-key

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

DisableVpcClassicLink

VPC

arn:aws:ec2:region:account:vpc/*

arn:aws:ec2:region:account:vpc/vpc-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Tenancy

DisassociateIamInstanceProfile

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

EnableVpcClassicLink

VPC

arn:aws:ec2:region:account:vpc/*

arn:aws:ec2:region:account:vpc/vpc-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Tenancy

GetConsoleScreenshot

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

RebootInstances

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

RejectVpcPeeringConnection

VPC 피어링 연결

arn:aws:ec2:region:account:vpc-peering-connection/*

arn:aws:ec2:region:account:vpc-peering-connection/vpc-peering-connection-id

ec2:AccepterVpc

ec2:Region

ec2:ResourceTag/tag-key

ec2:RequesterVpc

ReplaceIamInstanceProfileAssociation

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

ReplaceRoute

라우팅 테이블

arn:aws:ec2:region:account:route-table/*

arn:aws:ec2:region:account:route-table/route-table-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

RevokeSecurityGroupEgress

보안 그룹

arn:aws:ec2:region:account:security-group/*

arn:aws:ec2:region:account:security-group/security-group-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

RevokeSecurityGroupEgress

보안 그룹

arn:aws:ec2:region:account:security-group/*

arn:aws:ec2:region:account:security-group/security-group-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

RunInstances

엘라스틱 GPU

arn:aws:ec2:region:account:elastic-gpu/*

ec2:ElasticGpuType

ec2:Region

이미지

arn:aws:ec2:region::image/*

arn:aws:ec2:region::image/image-id

ec2:ImageType

ec2:Owner

ec2:Public

ec2:Region

ec2:RootDeviceType

ec2:ResourceTag/tag-key

인스턴스

arn:aws:ec2:region:account:instance/*

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:RootDeviceType

ec2:Tenancy

aws:RequestTag/tag-key

aws:TagKeys

키 페어

arn:aws:ec2:region:account:key-pair/*

arn:aws:ec2:region:account:key-pair/key-pair-name

ec2:Region

네트워크 인터페이스

arn:aws:ec2:region:account:network-interface/*

arn:aws:ec2:region:account:network-interface/eni-id

ec2:AvailabilityZone

ec2:Region

ec2:Subnet

ec2:ResourceTag/tag-key

ec2:Vpc

배치 그룹

arn:aws:ec2:region:account:placement-group/*

arn:aws:ec2:region:account:placement-group/placement-group-name

ec2:Region

ec2:PlacementGroupStrategy

보안 그룹

arn:aws:ec2:region:account:security-group/*

arn:aws:ec2:region:account:security-group/security-group-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

스냅샷

arn:aws:ec2:region::snapshot/*

arn:aws:ec2:region::snapshot/snapshot-id

ec2:Owner

ec2:ParentVolume

ec2:Region

ec2:SnapshotTime

ec2:ResourceTag/tag-key

ec2:VolumeSize

서브넷

arn:aws:ec2:region:account:subnet/*

arn:aws:ec2:region:account:subnet/subnet-id

ec2:AvailabilityZone

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

볼륨

arn:aws:ec2:region:account:volume/*

ec2:AvailabilityZone

ec2:Encrypted

ec2:ParentSnapshot

ec2:Region

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

aws:RequestTag/tag-key

aws:TagKeys

StartInstances

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

StopInstances

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

TerminateInstances

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

UpdateSecurityGroupRuleDescriptionsEgress

보안 그룹

arn:aws:ec2:region:account:security-group/*

arn:aws:ec2:region:account:security-group/security-group-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

UpdateSecurityGroupRuleDescriptionsIngress

보안 그룹

arn:aws:ec2:region:account:security-group/*

arn:aws:ec2:region:account:security-group/security-group-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

RunInstances에 대한 리소스 수준의 권한

RunInstances API 작업은 하나 이상의 인스턴스를 시작하고 다수의 Amazon EC2 리소스를 생성 및 사용합니다. 이 작업은 AMI를 필요로 하며 인스턴스를 생성하는데, 인스턴스는 보안 그룹과 연결되어야 합니다. VPC로 시작하는 경우 서브넷을 입력 받아 네트워크 인터페이스를 생성합니다. Amazon EBS 지원 AMI에서 시작하면 볼륨이 생성됩니다. ec2:RunInstances 작업에 리소스 수준 권한을 사용하는 정책의 Resource 요소에서 지정될 수 있도록 사용자가 이들 리소스를 사용할 권한을 보유해야 합니다. ec2:RunInstances 작업에 리소스 수준 권한을 사용하지 않으려면 명령문의 Resource 요소에 개별 ARN 대신 * 와일드카드를 지정할 수 있습니다.

리소스 수준 권한을 사용하는 경우, 다음 표에 ec2:RunInstances 작업을 사용하는 데 필요한 최소 리소스가 설명되어 있습니다.

시작 유형 필요 리소스 조건 키
인스턴스 스토어 기반 AMI를 사용하는 EC2-Classic으로 시작

arn:aws:ec2:region:account:instance/*

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:RootDeviceType

ec2:Tenancy

arn:aws:ec2:region::image/*(또는 특정 AMI ID)

ec2:ImageType

ec2:Owner

ec2:Public

ec2:Region

ec2:RootDeviceType

ec2:ResourceTag/tag-key

arn:aws:ec2:region:account:security-group/*(또는 특정 보안 그룹 ID)

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

Amazon EBS 기반 AMI를 사용하는 EC2-Classic으로 시작

arn:aws:ec2:region:account:instance/*

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:RootDeviceType

ec2:Tenancy

arn:aws:ec2:region::image/*(또는 특정 AMI ID)

ec2:ImageType

ec2:Owner

ec2:Public

ec2:Region

ec2:RootDeviceType

ec2:ResourceTag/tag-key

arn:aws:ec2:region:account:security-group/*(또는 특정 보안 그룹 ID)

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

arn:aws:ec2:region:account:volume/*

ec2:AvailabilityZone

ec2:ParentSnapshot

ec2:Region

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

인스턴스 스토어 기반 AMI를 사용하는 VPC로 시작

arn:aws:ec2:region:account:instance/*

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:RootDeviceType

ec2:Tenancy

arn:aws:ec2:region::image/*(또는 특정 AMI ID)

ec2:ImageType

ec2:Owner

ec2:Public

ec2:Region

ec2:RootDeviceType

ec2:ResourceTag/tag-key

arn:aws:ec2:region:account:security-group/*(또는 특정 보안 그룹 ID)

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

arn:aws:ec2:region:account:network-interface/*(또는 특정 네트워크 인터페이스 ID)

ec2:AvailabilityZone

ec2:Region

ec2:Subnet

ec2:ResourceTag/tag-key

ec2:Vpc

arn:aws:ec2:region:account:subnet/*(또는 특정 서브넷 ID)

ec2:AvailabilityZone

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

Amazon EBS 기반 AMI를 사용하는 VPC로 시작

arn:aws:ec2:region:account:instance/*

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:RootDeviceType

ec2:Tenancy

arn:aws:ec2:region::image/*(또는 특정 AMI ID)

ec2:ImageType

ec2:Owner

ec2:Public

ec2:Region

ec2:RootDeviceType

ec2:ResourceTag/tag-key

arn:aws:ec2:region:account:security-group/*(또는 특정 보안 그룹 ID)

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

arn:aws:ec2:region:account:network-interface/*(또는 특정 네트워크 인터페이스 ID)

ec2:AvailabilityZone

ec2:Region

ec2:Subnet

ec2:ResourceTag/tag-key

ec2:Vpc

arn:aws:ec2:region:account:volume/*

ec2:AvailabilityZone

ec2:Encrypted

ec2:ParentSnapshot

ec2:Region

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

arn:aws:ec2:region:account:subnet/*(또는 특정 서브넷 ID)

ec2:AvailabilityZone

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

정책에서 키 페어 리소스도 지정할 것을 권장합니다. — 인스턴스를 시작하는 데는 필요하지 않지만 키 페어가 없으면 인스턴스에 연결할 수 없습니다. ec2:RunInstances 작업에서 리소스 수준 권한을 사용하는 예제는 5: 인스턴스 시작(RunInstances) 단원을 참조하십시오.

Amazon EC2의 리소스 수준 권한에 대한 자세한 내용은 AWS 보안 블로그 게시물 Demystifying EC2 Resource-Level Permissions 단원을 참조하십시오.

태그 지정을 위한 리소스 수준 권한

일부 리소스 생성 Amazon EC2 API 작업에서는 리소스를 생성할 때 태그를 지정할 수 있습니다. 자세한 내용은 리소스에 태그 지정 단원을 참조하십시오.

사용자가 생성 시 리소스에 태그를 지정할 수 있으려면 리소스를 생성하는 작업을 사용할 권한이 있어야 합니다(예: ec2:RunInstances 또는 ec2:CreateVolume). 리소스 생성 작업에서 태그가 지정되면 Amazon은 ec2:CreateTags 작업에서 추가 권한 부여를 수행해 사용자에게 태그를 생성할 권한이 있는지 확인합니다. 따라서 사용자는 ec2:CreateTags 작업을 사용할 명시적 권한도 가지고 있어야 합니다.

ec2:CreateTags 작업의 경우, ec2:CreateAction 조건 키를 사용하여 태그 지정 권한을 리소스 생성 작업으로만 제한할 수 있습니다. 예를 들어 다음 정책은 사용자가 인스턴스를 시작하고 시작 도중 인스턴스와 볼륨에 임의의 태그를 적용하는 것을 허용합니다. 사용자는 기존 리소스에 태그를 지정할 수 없습니다(ec2:CreateTags 작업을 직접 호출할 수 없습니다).

Copy
{ "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region:account:*/*", "Condition": { "StringEquals": { "ec2:CreateAction" : "RunInstances" } } } ] }

마찬가지로 다음 정책은 사용자가 볼륨을 생성하고 볼륨 생성 도중 볼륨에 임의의 태그를 적용하는 것을 허용합니다. 사용자는 기존 리소스에 태그를 지정할 수 없습니다(ec2:CreateTags 작업을 직접 호출할 수 없습니다).

Copy
{ "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateVolume" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region:account:*/*", "Condition": { "StringEquals": { "ec2:CreateAction" : "CreateVolume" } } } ] }

ec2:CreateTags 작업은 리소스 생성 작업 도중 태그가 적용되는 경우에만 평가됩니다. 따라서 리소스를 생성할 권한이 있는 사용자(태그 지정 조건은 없다고 가정)는 요청에서 태그가 지정되지 않은 경우, ec2:CreateTags 작업을 사용할 권한이 필요하지 않습니다. 하지만 사용자가 태그를 사용하여 리소스 생성을 시도하는 경우, 사용자에게 ec2:CreateTags 작업을 사용할 권한이 없다면 요청은 실패합니다.

다음 조건 키를 사용하여 리소스에 적용되는 태그 키와 값을 제어할 수 있습니다.

  • aws:RequestTag: 특정 태그 키 또는 태그 키 및 값이 요청에 존재해야 함을 표시. 요청에서 다른 태그도 지정할 수 있습니다.

    • 특정한 태그와 키 및 가치의 조합을 적용하려면(예를 들어 태그 StringEquals=cost-center:를 적용하려면) cc123 조건 연산자와 함께 사용하십시오.

      "StringEquals": { "aws:RequestTag/cost-center": "cc123" }
    • 요청에서 특정 태그 키를 적용하려면(예를 들어 태그 키 purpose:를 적용하려면) StringLike 조건 연산자와 함께 사용하십시오.

      "StringLike": { "aws:RequestTag/purpose": "*" }
  • aws:TagKeys: 요청에서 사용되는 태그 키를 적용.

    • 요청 시 지정하려면 ForAllValues 변경자와 함께 특정 태그 키를 적용하십시오(요청에서 태그가 지정되면 특정 태그 키만 허용되고 다른 태그는 허용되지 않습니다). 예를 들어 태그 키 environment 또는 cost-center가 허용됩니다.

      "ForAllValues:StringEquals": { "aws:TagKeys": ["environment","cost-center"] }
    • 요청에서 지정된 태그 키 중 최소한 1개의 존재를 적용하려면 ForAnyValue 변경자와 함께 사용하십시오. 예를 들어 요청:에 태그 키 environment 또는 webserver 중 최소한 1개가 존재해야 합니다.

      "ForAnyValue:StringEquals": { "aws:TagKeys": ["environment","webserver"] }

이들 조건 키는 ec2:CreateTagsec2:DeleteTags 작업뿐 아니라 태그 지정을 지원하는 리소스 생성 작업에 적용될 수 있습니다.

사용자가 리소스를 생성할 때 강제로 태그를 지정하도록 하려면 리소스 생성 작업에서aws:RequestTag 조건 키 또는 aws:TagKeys 조건 키를 ForAnyValue 변경자와 함께 사용해야 합니다. 이때 사용자가 리소스 생성 시 태그를 지정하지 않으면 ec2:CreateTags 작업이 평가되지 않습니다.

조건의 경우 조건 키는 대소문자를 구분하지 않고 조건 값은 대소문자를 구분합니다. 따라서 태그 키의 대소문자 구별을 설정하려면 태그 키가 조건의 값으로 지정된 aws:TagKeys 조건 키를 사용합니다.

다중 값 조건에 대한 자세한 내용은 IAM 사용 설명서다중 키 값을 테스트하는 조건 생성 단원을 참조하십시오. 예제 IAM 정책은 AWS CLI 또는 AWS SDK 작업을 위한 예제 정책 단원을 참조하십시오.