관리형 정책과 인라인 정책의 선택

관리형 정책과 인라인 정책 중 하나를 결정할 때는 사용 사례를 고려합니다. 대부분 경우 인라인 정책보다는 관리형 정책의 사용을 권장합니다.

참고

관리형 정책과 인라인 정책을 함께 사용하여 보안 주체 엔터티에 대한 공통 및 고유 권한을 정의할 수 있습니다.

관리형 정책은 다음과 같은 기능을 제공합니다.

재사용성

단일 관리형 정책은 다수의 보안 주체 개체(사용자, 그룹 및 역할)에 추가할 수 있습니다. 정책 라이브러리를 생성하여 AWS 계정에 유용한 권한을 정의한 다음 필요에 따라 생성한 정책을 보안 주체 엔터티에 추가할 수 있습니다.

중앙 변경 관리

관리형 정책 변경 시 정책이 추가되어 있는 모든 보안 주체 엔터티에 변경 사항이 적용됩니다. 예를 들어 AWS API 권한을 추가할 경우 고객 관리형 정책을 업데이트하거나 AWS 관리형 정책을 연결하여 권한을 추가할 수 있습니다. AWS 관리형 정책을 사용하는 경우 AWS가 정책을 업데이트합니다. 관리형 정책이 업데이트되면 관리형 정책이 추가되어 있는 모든 보안 주체 엔터티에 변경 사항이 적용됩니다. 이와는 대조적으로 인라인 정책을 변경하려면 인라인 정책이 추가되어 있는 자격 증명을 일일이 편집해야 합니다. 예를 들어 그룹과 역할에 모두 동일한 인라인 정책이 추가되어 있더라도 정책을 변경하기 위해서는 두 보안 주체 개체를 개별적으로 편집해야만 합니다.

버전 관리 및 롤백

고객 관리 정책을 변경할 경우 변경된 정책은 기존 정책을 덮어쓰지 않습니다. 대신 IAM에서 관리형 정책의 새 버전을 생성합니다. IAM은 고객 관리형 정책을 최대 5개 버전까지 저장합니다. 정책 버전은 필요에 따라 정책을 이전 버전으로 되돌리는 데도 사용됩니다.

참고

정책 버전은 Version 정책 요소와 다릅니다. Version 정책 요소는 정책 내에서 사용되며 정책 언어의 버전을 정의합니다. 정책 버전에 대한 자세한 정보는 IAM 정책 버전 관리 섹션을 참조하세요. Version 정책 요소에 대한 자세한 정보는 IAM JSON 정책 요소: Version을 참조하세요.

권한 위임 관리

정책으로 정의한 권한을 지속적으로 제어하면서 AWS 계정에 속한 사용자가 정책을 추가 및 분리하도록 허용할 수 있습니다. 이렇게 하려면 일부 사용자에게는 전체 관리자 권한을 위임합니다. 다시 말해, 전체 관리자란 정책을 생성, 업데이트 및 삭제할 수 있는 것을 말합니다. 제한된 관리자로서 다른 사용자를 지정할 수 있습니다. 그러한 제한된 관리자는 다른 보안 주체 엔터티에 정책을 연결할 수 있지만 이때 정책은 연결하도록 허용된 정책으로 제한됩니다.

권한 위임 관리에 대한 자세한 내용은 정책에 대한 액세스 제어 섹션을 참조하세요.

더 큰 정책 문자 제한

관리형 정책의 최대 문자 크기 제한이 인라인 정책의 문자 제한보다 큽니다. 인라인 정책의 문자 크기 제한에 도달하면 더 많은 IAM 그룹을 생성하고 관리형 정책을 그룹에 연결할 수 있습니다.

할당량과 제한에 대한 자세한 내용은 IAM 및 AWS STS 할당량 섹션을 참조하세요.

AWS 관리형 정책의 자동 업데이트

AWS는 AWS 관리형 정책을 유지하면서 필요에 따라 자동으로 업데이트하기 때문에(예를 들어 새로운 AWS 서비스 권한을 추가하기 위해) 직접 변경할 필요가 없습니다. 업데이트는 AWS 관리형 정책을 추가한 보안 주체 엔터티에게 자동으로 적용됩니다.

인라인 정책 사용

인라인 정책은 정책과 정책이 추가된 자격 증명을 정확히 1대 1 관계로 유지할 때 유용합니다. 정책 권한을 의도하지 않은 자격 증명에 실수로 할당하는 일을 배제하려고 하는 경우를 예로 들어 보겠습니다. 이때 인라인 정책을 사용하면 정책 권한이 잘못된 자격 증명에 실수로 추가되는 일이 사라집니다. 그 밖에도 AWS Management Console을 사용하여 자격 증명을 삭제할 경우 자격 증명에 삽입된 정책 역시 삭제됩니다. 해당 정책은 보안 주체 엔터티의 일부이기 때문입니다.