Amazon Elastic Compute Cloud
Linux 인스턴스용 사용 설명서

Amazon EC2 API 작업에 지원되는 리소스 수준 권한

리소스 수준 권한은 사용자가 작업을 수행할 수 있는 리소스를 지정할 수 있는 기능입니다. Amazon EC2는 리소스 수준 권한을 부분적으로 지원합니다. 즉, 필요 조건을 지정하거나 사용 가능한 특정 리소스를 지정하여 사용자가 특정 Amazon EC2 작업을 사용할 수 있는지 여부를 제어할 수 있습니다. 예를 들어 사용자에게 인스턴스 시작 권한을 부여하면서 특정 유형 또는 특정 AMI만 사용하도록 제한할 수 있습니다.

다음 표에서는 현재 리소스 수준 권한을 지원하는 Amazon EC2 API 작업 및 각 작업에 지원되는 리소스, 해당 ARN 및 조건 키를 보여 줍니다. ARN을 지정할 때, 예를 들어, 정확한 리소스 ID를 지정할 수 없거나 지정하길 원치 않는 경우에는 경로에 * 와일드카드를 사용할 수 있습니다. 와일드카드의 용례는 AWS CLI 또는 AWS SDK 작업을 위한 정책 예제 단원을 참조하십시오.

중요

이 표에 기재되지 않은 Amazon EC2 API 작업은 리소스 수준 권한을 지원하지 않습니다. Amazon EC2 API 작업이 리소스 수준 권한을 지원하지 않는 경우 사용자에게 작업 사용 권한을 부여할 때 정책 명령문의 리소스 요소를 *로 지정해야 합니다. 문제 해결 예는 1: 읽기 전용 액세스 단원을 참조하십시오. 현재 리소스 수준 권한을 지원하지 않는 Amazon EC2 API 작업의 목록은 Amazon EC2 API Reference에서 지원되지 않는 리소스 수준 권한을 참조하십시오.

모든 Amazon EC2 작업은 ec2:Region 조건 키를 지원합니다. 문제 해결 예는 2: 특정 리전으로 액세스 제한 단원을 참조하십시오.

API 작업 리소스 조건 키
AcceptVpcPeeringConnection

VPC 피어링 연결

arn:aws:ec2:region:account:vpc-peering-connection/*

arn:aws:ec2:region:account:vpc-peering-connection/vpc-peering-connection-id

ec2:AccepterVpc

ec2:Region

ec2:ResourceTag/tag-key

ec2:RequesterVpc

VPC

arn:aws:ec2:region:account:vpc/*

arn:aws:ec2:region:account:vpc/vpc-id

여기에서 vpc-id는 수락자가 소유한 VPC입니다.

ec2:ResourceTag/tag-key

ec2:Region

ec2:Tenancy

AssociateIamInstanceProfile

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

AttachClassicLinkVpc

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

보안 그룹

arn:aws:ec2:region:account:security-group/*

arn:aws:ec2:region:account:security-group/security-group-id

여기에서 보안 그룹은 VPC에 대한 보안 그룹입니다.

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

VPC

arn:aws:ec2:region:account:vpc/*

arn:aws:ec2:region:account:vpc/vpc-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Tenancy

AttachVolume

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

볼륨

arn:aws:ec2:region:account:volume/*

arn:aws:ec2:region:account:volume/volume-id

ec2:AvailabilityZone

ec2:Encrypted

ec2:ParentSnapshot

ec2:Region

ec2:ResourceTag/tag-key

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

AuthorizeSecurityGroupEgress

보안 그룹

arn:aws:ec2:region:account:security-group/*

arn:aws:ec2:region:account:security-group/security-group-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

AuthorizeSecurityGroupIngress

보안 그룹

arn:aws:ec2:region:account:security-group/*

arn:aws:ec2:region:account:security-group/security-group-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

CreateLaunchTemplateVersion

시작 템플릿

arn:aws:ec2:region:account:launch-template/*

arn:aws:ec2:region:account:launch-template/launch-template-id

ec2:Region

ec2:ResourceTag/tag-key

CreateNetworkInterfacePermission

네트워크 인터페이스

arn:aws:ec2:region:account:network-interface/*

arn:aws:ec2:region:account:network-interface/eni-id

ec2:AuthorizedUser

ec2:AvailabilityZone

ec2:Permission

ec2:Region

ec2:ResourceTag/tag-key

ec2:Subnet

ec2:Vpc

CreateRoute

라우팅 테이블

arn:aws:ec2:region:account:route-table/*

arn:aws:ec2:region:account:route-table/route-table-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

CreateSnapshot

스냅샷

arn:aws:ec2:region::snapshot/*

ec2:ParentVolume

ec2:Region

aws:RequestTag/tag-key

aws:TagKeys

볼륨

arn:aws:ec2:region:account:volume/*

arn:aws:ec2:region:account:volume/volume-id

ec2:Encrypted

ec2:Region

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

ec2:ResourceTag/tag-key

CreateTags

Amazon FPGA 이미지(AFI)

arn:aws:ec2:region:account:fpga-image/*

arn:aws:ec2:region:account:fpga-image/afi-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

DHCP 옵션 세트

arn:aws:ec2:region:account:dhcp-options/*

arn:aws:ec2:region:account:dhcp-options/dhcp-options-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

이미지

arn:aws:ec2:region::image/*

arn:aws:ec2:region::image/image-id

ec2:CreateAction

ec2:ImageType

ec2:Owner

ec2:Public

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

aws:RequestTag/tag-key

aws:TagKeys

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:CreateAction

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

aws:RequestTag/tag-key

aws:TagKeys

인터넷 게이트웨이

arn:aws:ec2:region:account:internet-gateway/*

arn:aws:ec2:region:account:internet-gateway/igw-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

시작 템플릿

arn:aws:ec2:region:account:launch-template/*

arn:aws:ec2:region:account:launch-template/launch-template-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

NAT 게이트웨이

arn:aws:ec2:region:account:natgateway/*

arn:aws:ec2:region:account:natgateway/natgateway-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

네트워크 ACL

arn:aws:ec2:region:account:network-acl/*

arn:aws:ec2:region:account:network-acl/nacl-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

aws:RequestTag/tag-key

aws:TagKeys

네트워크 인터페이스

arn:aws:ec2:region:account:network-interface/*

arn:aws:ec2:region:account:network-interface/eni-id

ec2:AvailabilityZone

ec2:CreateAction

ec2:Region

ec2:Subnet

ec2:ResourceTag/tag-key

ec2:Vpc

aws:RequestTag/tag-key

aws:TagKeys

예약 인스턴스

arn:aws:ec2:region:account:reserved-instances/*

arn:aws:ec2:region:account:reserved-instances/reservation-id

ec2:AvailabilityZone

ec2:CreateAction

ec2:InstanceType

ec2:ReservedInstancesOfferingType

ec2:Region

ec2:ResourceTag/tag-key

ec2:Tenancy

aws:RequestTag/tag-key

aws:TagKeys

라우팅 테이블

arn:aws:ec2:region:account:route-table/*

arn:aws:ec2:region:account:route-table/route-table-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

aws:RequestTag/tag-key

aws:TagKeys

보안 그룹

arn:aws:ec2:region:account:security-group/*

arn:aws:ec2:region:account:security-group/security-group-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

aws:RequestTag/tag-key

aws:TagKeys

스냅샷

arn:aws:ec2:region::snapshot/*

arn:aws:ec2:region::snapshot/snapshot-id

ec2:CreateAction

ec2:Owner

ec2:ParentVolume

ec2:Region

ec2:ResourceTag/tag-key

ec2:SnapshotTime

ec2:VolumeSize

aws:RequestTag/tag-key

aws:TagKeys

스팟 인스턴스 요청

arn:aws:ec2:region:account:spot-instances-request/*

arn:aws:ec2:region:account:spot-instances-request/spot-instance-request-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

서브넷

arn:aws:ec2:region:account:subnet/*

arn:aws:ec2:region:account:subnet/subnet-id

ec2:AvailabilityZone

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

aws:RequestTag/tag-key

aws:TagKeys

볼륨

arn:aws:ec2:region:account:volume/*

arn:aws:ec2:region:account:volume/volume-id

ec2:AvailabilityZone

ec2:CreateAction

ec2:Encrypted

ec2:ParentSnapshot

ec2:Region

ec2:ResourceTag/tag-key

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

aws:RequestTag/tag-key

aws:TagKeys

VPC

arn:aws:ec2:region:account:vpc/*

arn:aws:ec2:region:account:vpc/vpc-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

ec2:Tenancy

aws:RequestTag/tag-key

aws:TagKeys

VPN 연결

arn:aws:ec2:region:account:vpn-connection/*

arn:aws:ec2:region:account:vpn-connection/vpn-connection-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

VPN 게이트웨이

arn:aws:ec2:region:account:vpn-gateway/*

arn:aws:ec2:region:account:vpn-gateway/vpn-gateway-id

ec2:CreateAction

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

CreateVolume

볼륨

arn:aws:ec2:region:account:volume/*

ec2:AvailabilityZone

ec2:Encrypted

ec2:ParentSnapshot

ec2:Region

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

aws:RequestTag/tag-key

aws:TagKeys

CreateVpcPeeringConnection

VPC

arn:aws:ec2:region:account:vpc/*

arn:aws:ec2:region:account:vpc/vpc-id

여기에서 vpc-id는 요청자 VPC입니다.

ec2:ResourceTag/tag-key

ec2:Region

ec2:Tenancy

VPC 피어링 연결

arn:aws:ec2:region:account:vpc-peering-connection/*

ec2:AccepterVpc

ec2:Region

ec2:RequesterVpc

DeleteCustomerGateway

고객 게이트웨이

arn:aws:ec2:region:account:customer-gateway/*

arn:aws:ec2:region:account:customer-gateway/cgw-id

ec2:Region

ec2:ResourceTag/tag-key

DeleteDhcpOptions

DHCP 옵션 세트

arn:aws:ec2:region:account:dhcp-options/*

arn:aws:ec2:region:account:dhcp-options/dhcp-options-id

ec2:Region

ec2:ResourceTag/tag-key

DeleteInternetGateway

인터넷 게이트웨이

arn:aws:ec2:region:account:internet-gateway/*

arn:aws:ec2:region:account:internet-gateway/igw-id

ec2:Region

ec2:ResourceTag/tag-key

DeleteLaunchTemplate

시작 템플릿

arn:aws:ec2:region:account:launch-template/*

arn:aws:ec2:region:account:launch-template/launch-template-id

ec2:Region

ec2:ResourceTag/tag-key

DeleteLaunchTemplateVersions

시작 템플릿

arn:aws:ec2:region:account:launch-template/*

arn:aws:ec2:region:account:launch-template/launch-template-id

ec2:Region

ec2:ResourceTag/tag-key

DeleteNetworkAcl

네트워크 ACL

arn:aws:ec2:region:account:network-acl/*

arn:aws:ec2:region:account:network-acl/nacl-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

DeleteNetworkAclEntry

네트워크 ACL

arn:aws:ec2:region:account:network-acl/*

arn:aws:ec2:region:account:network-acl/nacl-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

DeleteRoute

라우팅 테이블

arn:aws:ec2:region:account:route-table/*

arn:aws:ec2:region:account:route-table/route-table-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

DeleteRoute

라우팅 테이블

arn:aws:ec2:region:account:route-table/*

arn:aws:ec2:region:account:route-table/route-table-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

DeleteSecurityGroup

보안 그룹

arn:aws:ec2:region:account:security-group/security-group-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

DeleteSnapshot

스냅샷

arn:aws:ec2:region::snapshot/*

arn:aws:ec2:region::snapshot/snapshot-id

ec2:Owner

ec2:ParentVolume

ec2:Region

ec2:SnapshotTime

ec2:VolumeSize

ec2:ResourceTag/tag-key

DeleteTags

Amazon FPGA 이미지(AFI)

arn:aws:ec2:region:account:fpga-image/*

arn:aws:ec2:region:account:fpga-image/afi-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

DHCP 옵션 세트

arn:aws:ec2:region:account:dhcp-options/*

arn:aws:ec2:region:account:dhcp-options/dhcp-options-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

이미지

arn:aws:ec2:region::image/*

arn:aws:ec2:region::image/image-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

인터넷 게이트웨이

arn:aws:ec2:region:account:internet-gateway/*

arn:aws:ec2:region:account:internet-gateway/igw-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

시작 템플릿

arn:aws:ec2:region:account:launch-template/*

arn:aws:ec2:region:account:launch-template/launch-template-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

NAT 게이트웨이

arn:aws:ec2:region:account:natgateway/*

arn:aws:ec2:region:account:natgateway/natgateway-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

네트워크 ACL

arn:aws:ec2:region:account:network-acl/*

arn:aws:ec2:region:account:network-acl/nacl-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

네트워크 인터페이스

arn:aws:ec2:region:account:network-interface/*

arn:aws:ec2:region:account:network-interface/eni-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

예약 인스턴스

arn:aws:ec2:region:account:reserved-instances/*

arn:aws:ec2:region:account:reserved-instances/reservation-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

라우팅 테이블

arn:aws:ec2:region:account:route-table/*

arn:aws:ec2:region:account:route-table/route-table-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

보안 그룹

arn:aws:ec2:region:account:security-group/*

arn:aws:ec2:region:account:security-group/security-group-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

스냅샷

arn:aws:ec2:region::snapshot/*

arn:aws:ec2:region::snapshot/snapshot-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

스팟 인스턴스 요청

arn:aws:ec2:region:account:spot-instances-request/*

arn:aws:ec2:region:account:spot-instances-request/spot-instance-request-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

서브넷

arn:aws:ec2:region:account:subnet/*

arn:aws:ec2:region:account:subnet/subnet-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

볼륨

arn:aws:ec2:region:account:volume/*

arn:aws:ec2:region:account:volume/volume-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

VPC

arn:aws:ec2:region:account:vpc/*

arn:aws:ec2:region:account:vpc/vpc-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

VPN 연결

arn:aws:ec2:region:account:vpn-connection/*

arn:aws:ec2:region:account:vpn-connection/vpn-connection-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

VPN 게이트웨이

arn:aws:ec2:region:account:vpn-gateway/*

arn:aws:ec2:region:account:vpn-gateway/vpn-gateway-id

ec2:Region

ec2:ResourceTag/tag-key

aws:RequestTag/tag-key

aws:TagKeys

DeleteVolume

볼륨

arn:aws:ec2:region:account:volume/*

arn:aws:ec2:region:account:volume/volume-id

ec2:AvailabilityZone

ec2:Encrypted

ec2:ParentSnapshot

ec2:Region

ec2:ResourceTag/tag-key

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

DeleteVpcPeeringConnection

VPC 피어링 연결

arn:aws:ec2:region:account:vpc-peering-connection/*

arn:aws:ec2:region:account:vpc-peering-connection/vpc-peering-connection-id

ec2:AccepterVpc

ec2:Region

ec2:ResourceTag/tag-key

ec2:RequesterVpc

DetachClassicLinkVpc

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

VPC

arn:aws:ec2:region:account:vpc/*

arn:aws:ec2:region:account:vpc/vpc-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Tenancy

DetachVolume

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

볼륨

arn:aws:ec2:region:account:volume/*

arn:aws:ec2:region:account:volume/volume-id

ec2:AvailabilityZone

ec2:Encrypted

ec2:ParentSnapshot

ec2:Region

ec2:ResourceTag/tag-key

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

DisableVpcClassicLink

VPC

arn:aws:ec2:region:account:vpc/*

arn:aws:ec2:region:account:vpc/vpc-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Tenancy

DisassociateIamInstanceProfile

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

EnableVpcClassicLink

VPC

arn:aws:ec2:region:account:vpc/*

arn:aws:ec2:region:account:vpc/vpc-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Tenancy

GetConsoleScreenshot

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

ModifyLaunchTemplate

시작 템플릿

arn:aws:ec2:region:account:launch-template/*

arn:aws:ec2:region:account:launch-template/launch-template-id

ec2:Region

ec2:ResourceTag/tag-key

ModifySnapshotAttribute

스냅샷

arn:aws:ec2:region::snapshot/*

arn:aws:ec2:region::snapshot/snapshot-id

ec2:Owner

ec2:ParentVolume

ec2:Region

ec2:SnapshotTime

ec2:VolumeSize

ec2:ResourceTag/tag-key

RebootInstances

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

RejectVpcPeeringConnection

VPC 피어링 연결

arn:aws:ec2:region:account:vpc-peering-connection/*

arn:aws:ec2:region:account:vpc-peering-connection/vpc-peering-connection-id

ec2:AccepterVpc

ec2:Region

ec2:ResourceTag/tag-key

ec2:RequesterVpc

ReplaceIamInstanceProfileAssociation

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

ReplaceRoute

라우팅 테이블

arn:aws:ec2:region:account:route-table/*

arn:aws:ec2:region:account:route-table/route-table-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

RevokeSecurityGroupEgress

보안 그룹

arn:aws:ec2:region:account:security-group/*

arn:aws:ec2:region:account:security-group/security-group-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

RevokeSecurityGroupEgress

보안 그룹

arn:aws:ec2:region:account:security-group/*

arn:aws:ec2:region:account:security-group/security-group-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

RunInstances

탄력적 GPU

arn:aws:ec2:region:account:elastic-gpu/*

ec2:ElasticGpuType

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Region

이미지

arn:aws:ec2:region::image/*

arn:aws:ec2:region::image/image-id

ec2:ImageType

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Owner

ec2:Public

ec2:Region

ec2:RootDeviceType

ec2:ResourceTag/tag-key

인스턴스

arn:aws:ec2:region:account:instance/*

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceMarketType

ec2:InstanceProfile

ec2:InstanceType

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:PlacementGroup

ec2:Region

ec2:RootDeviceType

ec2:Tenancy

aws:RequestTag/tag-key

aws:TagKeys

키 페어

arn:aws:ec2:region:account:key-pair/*

arn:aws:ec2:region:account:key-pair/key-pair-name

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Region

시작 템플릿

arn:aws:ec2:region:account:launch-template/*

arn:aws:ec2:region:account:launch-template/launch-template-id

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Region

네트워크 인터페이스

arn:aws:ec2:region:account:network-interface/*

arn:aws:ec2:region:account:network-interface/eni-id

ec2:AvailabilityZone

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Region

ec2:Subnet

ec2:ResourceTag/tag-key

ec2:Vpc

배치 그룹

arn:aws:ec2:region:account:placement-group/*

arn:aws:ec2:region:account:placement-group/placement-group-name

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Region

ec2:PlacementGroupStrategy

보안 그룹

arn:aws:ec2:region:account:security-group/*

arn:aws:ec2:region:account:security-group/security-group-id

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

스냅샷

arn:aws:ec2:region::snapshot/*

arn:aws:ec2:region::snapshot/snapshot-id

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Owner

ec2:ParentVolume

ec2:Region

ec2:SnapshotTime

ec2:ResourceTag/tag-key

ec2:VolumeSize

서브넷

arn:aws:ec2:region:account:subnet/*

arn:aws:ec2:region:account:subnet/subnet-id

ec2:AvailabilityZone

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

볼륨

arn:aws:ec2:region:account:volume/*

ec2:AvailabilityZone

ec2:Encrypted

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:ParentSnapshot

ec2:Region

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

aws:RequestTag/tag-key

aws:TagKeys

StartInstances

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

StopInstances

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

TerminateInstances

인스턴스

arn:aws:ec2:region:account:instance/*

arn:aws:ec2:region:account:instance/instance-id

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/tag-key

ec2:RootDeviceType

ec2:Tenancy

UpdateSecurityGroupRuleDescriptionsEgress

보안 그룹

arn:aws:ec2:region:account:security-group/*

arn:aws:ec2:region:account:security-group/security-group-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

UpdateSecurityGroupRuleDescriptionsIngress

보안 그룹

arn:aws:ec2:region:account:security-group/*

arn:aws:ec2:region:account:security-group/security-group-id

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

RunInstances에 대한 리소스 수준의 권한

RunInstances API 작업은 하나 이상의 인스턴스를 시작하고 다수의 Amazon EC2 리소스를 생성 및 사용합니다. 이 작업은 AMI를 필요로 하며 인스턴스를 생성하는데, 인스턴스는 보안 그룹과 연결되어야 합니다. VPC로 시작하는 경우 서브넷을 입력 받아 네트워크 인터페이스를 생성합니다. Amazon EBS 지원 AMI에서 시작하면 볼륨이 생성됩니다. Resource 작업에 리소스 수준 권한을 사용하는 정책의 ec2:RunInstances 요소에서 지정될 수 있도록 사용자가 이들 리소스를 사용할 권한을 보유해야 합니다. ec2:RunInstances 작업에 리소스 수준 권한을 사용하지 않으려면 명령문의 Resource 요소에 개별 ARN 대신 * 와일드카드를 지정할 수 있습니다.

리소스 수준 권한을 사용하는 경우, 다음 표에 ec2:RunInstances 작업을 사용하는 데 필요한 최소 리소스가 설명되어 있습니다.

시작 유형 필요 리소스 조건 키
인스턴스 스토어 기반 AMI를 사용하여 시작

arn:aws:ec2:region:account:instance/*

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceMarketType

ec2:InstanceProfile

ec2:InstanceType

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:PlacementGroup

ec2:Region

ec2:RootDeviceType

ec2:Tenancy

arn:aws:ec2:region::image/*(또는 특정 AMI ID)

ec2:ImageType

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Owner

ec2:Public

ec2:Region

ec2:RootDeviceType

ec2:ResourceTag/tag-key

arn:aws:ec2:region:account:security-group/*(또는 특정 보안 그룹 ID)

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

arn:aws:ec2:region:account:network-interface/*(또는 특정 네트워크 인터페이스 ID)

ec2:AvailabilityZone

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Region

ec2:Subnet

ec2:ResourceTag/tag-key

ec2:Vpc

arn:aws:ec2:region:account:subnet/*(또는 특정 서브넷 ID)

ec2:AvailabilityZone

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

Amazon EBS 지원 AMI를 사용하여 시작

arn:aws:ec2:region:account:instance/*

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceMarketType

ec2:InstanceProfile

ec2:InstanceType

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:PlacementGroup

ec2:Region

ec2:RootDeviceType

ec2:Tenancy

arn:aws:ec2:region::image/*(또는 특정 AMI ID)

ec2:ImageType

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Owner

ec2:Public

ec2:Region

ec2:RootDeviceType

ec2:ResourceTag/tag-key

arn:aws:ec2:region:account:security-group/*(또는 특정 보안 그룹 ID)

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

arn:aws:ec2:region:account:network-interface/*(또는 특정 네트워크 인터페이스 ID)

ec2:AvailabilityZone

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Region

ec2:Subnet

ec2:ResourceTag/tag-key

ec2:Vpc

arn:aws:ec2:region:account:volume/*

ec2:AvailabilityZone

ec2:Encrypted

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:ParentSnapshot

ec2:Region

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

arn:aws:ec2:region:account:subnet/*(또는 특정 서브넷 ID)

ec2:AvailabilityZone

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

정책에서 키 페어 리소스도 지정할 것을 권장합니다. 인스턴스를 시작하는 데는 필요하지 않지만 키 페어가 없으면 인스턴스에 연결할 수 없습니다. ec2:RunInstances 작업에서 리소스 수준 권한을 사용하는 예제는 6: 인스턴스 시작(RunInstances) 단원을 참조하십시오.

Amazon EC2의 리소스 수준 권한에 대한 자세한 정보는 AWS 보안 블로그 게시물 Demystifying EC2 Resource-Level Permissions 단원을 참조하십시오.

RunInstances 및 시작 템플릿을 위한 리소스 수준 권한

인스턴스를 시작하기 위한 파라미터가 포함된 시작 템플릿을 생성할 수 있습니다. ec2:RunInstances 작업을 사용할 때 사용자는 인스턴스 시작에 사용할 시작 템플릿을 지정할 수 있습니다. ec2:RunInstances 작업을 위한 시작 템플릿 리소스에 리소스 수준 권한을 적용할 수 있습니다. 예를 들어 사용자가 시작 템플릿을 통해서는 인스턴스를 시작만 할 수 있고 특정한 시작 템플릿을 사용하도록 지정할 수 있습니다. 또한 사용자가 시작 템플릿에서 파라미터를 재정의할 수 있는지 여부를 제어할 수도 있습니다. 이렇게 하면 IAM 정책보다는 시작 템플릿에서 인스턴스를 시작할 수 있도록 파라미터를 관리할 수 있습니다. 예제 정책은 시작 템플릿 단원을 참조하십시오.

태그 지정을 위한 리소스 수준 권한

일부 리소스 생성 Amazon EC2 API 작업에서는 리소스를 생성할 때 태그를 지정할 수 있습니다. 자세한 정보는 리소스에 태그 지정 단원을 참조하십시오.

사용자가 생성 시 리소스에 태그를 지정할 수 있으려면 리소스를 생성하는 작업을 사용할 권한이 있어야 합니다(예: ec2:RunInstances 또는 ec2:CreateVolume). 리소스 생성 작업에서 태그가 지정되면 Amazon은 ec2:CreateTags 작업에서 추가 권한 부여를 수행해 사용자에게 태그를 생성할 권한이 있는지 확인합니다. 따라서 사용자는 ec2:CreateTags 작업을 사용할 명시적 권한도 가지고 있어야 합니다.

ec2:CreateTags 작업의 경우, ec2:CreateAction 조건 키를 사용하여 태그 지정 권한을 리소스 생성 작업으로만 제한할 수 있습니다. 예를 들어 다음 정책은 사용자가 인스턴스를 시작하고 시작 도중 인스턴스와 볼륨에 임의의 태그를 적용하는 것을 허용합니다. 사용자는 기존 리소스에 태그를 지정할 수 없습니다(ec2:CreateTags 작업을 직접 호출할 수 없습니다).

{ "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region:account:*/*", "Condition": { "StringEquals": { "ec2:CreateAction" : "RunInstances" } } } ] }

마찬가지로 다음 정책은 사용자가 볼륨을 생성하고 볼륨 생성 도중 볼륨에 임의의 태그를 적용하는 것을 허용합니다. 사용자는 기존 리소스에 태그를 지정할 수 없습니다(ec2:CreateTags 작업을 직접 호출할 수 없습니다).

{ "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateVolume" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region:account:*/*", "Condition": { "StringEquals": { "ec2:CreateAction" : "CreateVolume" } } } ] }

ec2:CreateTags 작업은 리소스 생성 작업 도중 태그가 적용되는 경우에만 평가됩니다. 따라서 리소스를 생성할 권한이 있는 사용자(태그 지정 조건은 없다고 가정)는 요청에서 태그가 지정되지 않은 경우, ec2:CreateTags 작업을 사용할 권한이 필요하지 않습니다. 하지만 사용자가 태그를 사용하여 리소스 생성을 시도하는 경우, 사용자에게 ec2:CreateTags 작업을 사용할 권한이 없다면 요청은 실패합니다.

시작 템플릿에 태그가 제공되고 시작 템플릿이 ec2:CreateTags 작업에서 지정된 경우에는 ec2:RunInstances 작업도 평가가 됩니다. 정책에 대한 예는 시작 템플릿에서 태그 적용을 참조하십시오.

다음 조건 키를 사용하여 리소스에 적용되는 태그 키와 값을 제어할 수 있습니다.

  • aws:RequestTag: 특정 태그 키 또는 태그 키 및 값이 요청에 존재해야 함을 표시. 요청에서 다른 태그도 지정할 수 있습니다.

    • 특정한 태그와 키 및 가치의 조합을 적용하려면(예를 들어 태그 StringEquals=cost-center:를 적용하려면) cc123 조건 연산자와 함께 사용하십시오.

      "StringEquals": { "aws:RequestTag/cost-center": "cc123" }
    • 요청에서 특정 태그 키를 적용하려면(예를 들어 태그 키 StringLike:를 적용하려면) purpose 조건 연산자와 함께 사용하십시오.

      "StringLike": { "aws:RequestTag/purpose": "*" }
  • aws:TagKeys: 요청에서 사용되는 태그 키를 적용.

    • 요청 시 지정하려면 ForAllValues 변경자와 함께 특정 태그 키를 적용하십시오(요청에서 태그가 지정되면 특정 태그 키만 허용되고 다른 태그는 허용되지 않습니다). 예를 들어 태그 키 environment 또는 cost-center가 허용됩니다.

      "ForAllValues:StringEquals": { "aws:TagKeys": ["environment","cost-center"] }
    • 요청에서 지정된 태그 키 중 최소한 1개의 존재를 적용하려면 ForAnyValue 변경자와 함께 사용하십시오. 예를 들어 요청:에 태그 키 environment 또는 webserver 중 최소한 1개가 존재해야 합니다.

      "ForAnyValue:StringEquals": { "aws:TagKeys": ["environment","webserver"] }

이들 조건 키는 ec2:CreateTagsec2:DeleteTags 작업뿐 아니라 태그 지정을 지원하는 리소스 생성 작업에 적용될 수 있습니다.

사용자가 리소스를 생성할 때 강제로 태그를 지정하도록 하려면 리소스 생성 작업에서aws:RequestTag 조건 키 또는 aws:TagKeys 조건 키를 ForAnyValue 변경자와 함께 사용해야 합니다. 이때 사용자가 리소스 생성 시 태그를 지정하지 않으면 ec2:CreateTags 작업이 평가되지 않습니다.

조건의 경우 조건 키는 대소문자를 구분하지 않고 조건 값은 대소문자를 구분합니다. 따라서 태그 키의 대소문자 구별을 설정하려면 태그 키가 조건의 값으로 지정된 aws:TagKeys 조건 키를 사용합니다.

다중 값 조건에 대한 자세한 정보는 IAM 사용 설명서다중 키 값을 테스트하는 조건 생성 단원을 참조하십시오. 예제 IAM 정책은 AWS CLI 또는 AWS SDK 작업을 위한 정책 예제 단원을 참조하십시오.