ID 기반 정책 및 리소스 기반 정책 - AWS Identity and Access Management

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

ID 기반 정책 및 리소스 기반 정책

정책은 자격 증명 또는 리소스에 연결될 때 해당 권한을 정의하는 AWS의 객체입니다. 리소스에 대한 액세스를 제한하는 권한 정책을 생성할 때 자격 증명 기반 정책 또는 리소스 기반 정책을 선택할 수 있습니다.

자격 증명 기반 정책은 IAM 사용자, 그룹 또는 역할에 연결됩니다. 이러한 정책으로 자격 증명이 수행할 수 있는 작업(권한)을 지정할 수 있습니다. 예를 들어, John이라는 IAM 사용자에게 Amazon EC2 RunInstances 작업을 수행하도록 허용하는 정책을 연결할 수 있습니다. 이 정책은 John이 Amazon DynamoDB 테이블 이름 MyCompany. 또한 존이 자신의 IAM 보안 자격 증명. 자격 증명 기반 정책은 관리형 권한 또는 인라인 권한이 될 수 있습니다.

리소스 기반 정책은 리소스에 연결됩니다. 예를 들어, Amazon S3 버킷, Amazon SQS 대기열 및 AWS Key Management Service 암호화 키에 리소스 기반 정책을 연결할 수 있습니다. 리소스 기반 정책을 지원하는 서비스 목록은 AWS 서비스 제공 IAM 단원을 참조하십시오.

리소스 기반 정책을 사용하면 리소스에 액세스할 수 있는 사용자와 해당 리소스에서 수행할 수 있는 작업을 지정할 수 있습니다. 해당 신뢰 영역(신뢰할 수 있는 조직 또는 계정) 외의 계정 내 보안 주체가 역할을 수임하는 권한이 있는지 자세히 알고 싶다면, IAM Access Analyzer란 무엇일까요? 단원을 참조하십시오. 리소스 기반 정책은 인라인만 있고 관리형은 없습니다.

참고

리소스 기반 정책은 리소스 수준 권한과 다릅니다. 이 주제에서 설명한 바와 같이 리소스 기반 정책을 리소스에 직접 연결할 수 있습니다. 리소스 수준 권한이란 ARN을 사용하여 정책에서 개별 리소스를 지정하는 기능을 말합니다. 리소스 기반 정책은 일부 AWS 서비스에서만 지원됩니다. 리소스 기반 정책 및 리소스 수준 권한을 지원하는 서비스 목록은 AWS 서비스 제공 IAM 단원을 참조하십시오.

이러한 개념에 대한 이해도를 높이려면 다음 그림 단원을 참조하십시오. 123456789012 계정의 관리자는 JohnSmith, CarlosSalazarMaryMajor 사용자에게 자격 증명 기반 정책을 연결했습니다. 이 정책의 일부 작업은 특정 리소스에서 수행할 수 있습니다. 예를 들어, JohnSmith 일부 작업을 수행할 수 있습니다. Resource X. 이것은 리소스 수준 권한 ID 기반 정책에서. 관리자가 또한 다음을 추가했습니다. 리소스 기반 정책 ~까지 Resource X, Resource Y, 및 Resource Z. 리소스 기반 정책을 사용하면 해당 리소스에 액세스할 수 있는 사용자를 지정할 수 있습니다. 예를 들어 Resource X의 리소스 기반 정책은 JohnSmithMaryMajor 사용자 목록을 표시하고 리소스에 대한 읽기 권한을 허용합니다.


         자격 증명 기반 정책과 리소스 기반 정책

123456789012 계정의 예를 사용하면 다음 사용자가 나열된 작업을 수행할 수 있습니다.

  • 존스미스 – John은 Resource X. 그는 사용자에 대한 ID 기반 정책과 에 대한 리소스 기반 정책에 의해 이 권한을 부여받았습니다. Resource X.

  • 카를로스살라자르 – Carlos는 다음에 대한 목록, 읽기 및 쓰기 작업을 수행할 수 있습니다. Resource Y, 에 대한 액세스가 거부되었습니다. Resource Z. 카를로스에 대한 ID 기반 정책을 통해 카를로스는 Resource Y. 더 Resource Y 리소스 기반 정책에서는 쓰기 권한도 허용합니다. 그러나 자격 증명 기반 정책을 통해 Resource Z에 대한 액세스가 허용되더라도 Resource Z 리소스 기반 정책으로 인해 해당 액세스가 거부됩니다. 명시적 DenyAllow를 재정의하므로 Carlos의 Resource Z에 대한 액세스가 거부됩니다. 자세한 정보는 정책 평가 로직 단원을 참조하십시오.

  • 메리 메이저 – Mary는 Resource X, Resource Y, 및 Resource Z. 그녀의 ID 기반 정책은 리소스 기반 정책보다 더 많은 리소스에 대한 더 많은 작업을 허용하지만, 그 중 누구도 액세스를 거부하지 않습니다.

  • 장웨이 – Zhang은 Resource Z. Zhang에는 ID 기반 정책이 없지만 Resource Z 리소스 기반 정책을 통해 리소스에 대한 모든 액세스를 허용합니다. Zhang은 Resource Y에서 나열 및 읽기 작업을 수행할 수도 있습니다.

자격 증명 기반 정책과 리소스 기반 정책은 모두 권한 정책이며 함께 평가됩니다. 권한 정책만 적용되는 요청의 경우 AWS 먼저 Deny. 요청이 있는 경우 요청이 거부됩니다. 그런 다음 AWS 각 수표 Allow. 하나 이상의 정책 문이 요청에서 동작을 허용하는 경우 요청이 허용됩니다. Allow가 자격 증명 기반 정책인지 리소스 기반 정책인지는 중요하지 않습니다.

중요

이 논리는 요청이 하나의 AWS 계정에서 이루어진 경우에만 적용됩니다. 한 계정에서 다른 계정으로 이루어진 요청의 경우 요청자는 Account A 에 있는 리소스에 요청할 수 있는 ID 기반 정책이 있어야 합니다. Account B. 또한 Account B 요청자가 Account A 리소스 에 액세스합니다. 두 계정 모두에 작업을 허용하는 정책이 있어야 합니다. 그렇지 않으면 요청이 실패합니다. 교차 계정 액세스에 대해 리소스 기반 정책을 사용하는 방법에 대한 자세한 정보는 방법 IAM 역할은 리소스 기반 정책과 다릅니다. 단원을 참조하십시오.

특정 권한이 있는 사용자는 해당 권한에 연결된 권한 정책이 있는 리소스를 요청할 수 있습니다. 이 경우 AWS는 해당 리소스에 대한 액세스 권한을 부여할지 여부를 결정할 때 두 권한 세트를 모두 평가합니다. 정책이 평가되는 방식에 대한 자세한 정보는 정책 평가 로직 단원을 참조하십시오.

참고

Amazon S3는 자격 증명 기반 정책 및 리소스 기반 정책(버킷 정책이라고 함)을 지원합니다. 또한 Amazon S3은 IAM 정책 및 권한과 독립적인 ACL(액세스 제어 목록)이라는 권한 메커니즘을 지원합니다. IAM 정책을 Amazon S3 ACL과 함께 사용할 수 있습니다. 자세한 내용은 https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingAuthAccess.html의 Amazon Simple Storage Service 개발자 가이드액세스 제어를 참조하십시오.