고객 관리형 정책으로 사용자 지정 IAM 권한 정의
정책은 AWS에서 ID 또는 리소스에 대한 권한을 정의합니다. AWS Management Console, AWS CLI 또는 AWS API를 사용하여 IAM에서 고객 관리형 정책을 생성할 수 있습니다. 고객 관리형 정책은 자체 AWS 계정에서 관리하는 독립형 정책입니다. 그런 다음 정책을 AWS 계정의 자격 증명(사용자, 그룹, 역할)에 연결합니다.
ID 기반 정책은 IAM의 ID에 연결되는 정책입니다. ID 기반 정책에는 AWS 관리형 정책, 고객 관리형 정책 및 인라인 정책이 포함될 수 있습니다. AWS 관리형 정책은 AWS에 의해 생성 및 관리되고, 사용자가 이를 사용할 수는 있지만 관리할 수는 없습니다. 인라인 정책은 사용자가 생성한 정책으로 IAM 사용자 그룹, 사용자 또는 역할에 직접 삽입할 수 있습니다. 인라인 정책은 다른 ID에서 재사용하거나 해당 ID 외부에서 관리할 수 없습니다. 자세한 내용은 IAM 자격 증명 권한 추가 및 제거 단원을 참조하십시오.
인라인 정책이나 AWS 관리형 정책 대신 고객 관리형 정책을 사용하는 것이 좋습니다. AWS 관리형 정책은 일반적으로 광범위한 관리 또는 읽기 전용 권한을 제공합니다. 보안을 극대화하려면 최소 권한을 부여하세요. 즉, 특정 작업을 수행하는 데 필요한 권한만 부여해야 합니다.
IAM 정책을 생성하거나 편집할 때 AWS는 정책 검증을 자동으로 수행하여 최소 권한을 염두에 두고 효과적인 정책을 생성할 수 있습니다. AWS Management Console에서 IAM은 JSON 구문 오류를 식별하는 반면, IAM Access Analyzer는 정책을 더욱 구체화하는 데 도움이 되는 권장 사항과 함께 추가 정책 검사를 제공합니다. 정책 검증에 대한 자세한 내용은 IAM 정책 검증 섹션을 참조하세요. IAM Access Analyzer 정책 확인 및 실행 가능한 권장 사항에 대한 자세한 내용은 IAM Access Analyzer 정책 검증을 참조하세요.
AWS Management Console, AWS CLI 또는 AWS API를 사용하여 IAM에서 고객 관리형 정책을 생성할 수 있습니다. AWS CloudFormation 템플릿을 사용하여 정책을 추가하거나 업데이트하는 방법에 대한 자세한 내용은 AWS CloudFormation 사용 설명서의 AWS Identity and Access Management resource type reference(IAM 리소스 유형 참조)를 참조하세요.
