직무에 관한 AWS 관리형 정책 - AWS Identity and Access Management

직무에 관한 AWS 관리형 정책

최소 권한을 부여하는 정책을 사용하거나 태스크를 수행하는 데 필요한 권한만 부여하는 것이 좋습니다. 최소 권한을 부여하는 가장 안전한 방법은 팀에 필요한 권한만 사용하여 사용자 정의 정책을 작성하는 것입니다. 필요한 경우 팀에서 추가 권한을 요청할 수 있는 프로세스를 만들어야 합니다. 팀에 필요한 권한만 제공하는 IAM 고객 관리형 정책을 생성하려면 시간과 전문 지식이 필요합니다.

IAM ID(사용자, 사용자 그룹 및 역할)에 권한을 추가하기 시작하려면 AWS 관리형 정책을(를) 사용할 수 있습니다. AWS 관리형 정책은 일반적인 사용 사례를 다루며 AWS 계정에서 사용할 수 있습니다. AWS 관리형 정책은 최소 권한을 부여하지 않습니다. 보안 주체가 작업을 수행하는 데 필요한 것보다 더 많은 권한을 부여할 경우 보안 위험을 고려해야 합니다.

직무를 비롯한 AWS 관리형 정책을 모든 IAM 자격 증명에 연결할 수 있습니다. 최소 권한으로 전환하려면 AWS Identity and Access Management 액세스 분석기을(를) 실행하여 AWS 관리형 정책으로 보안 주체를 모니터링할 수 있습니다. 사용 중인 권한을 파악한 후에는 사용자 정의 정책을 작성하거나 팀에 필요한 권한만 포함하는 정책을 생성할 수 있습니다. 이 방법은 안전성이 부족하지만 팀이 AWS을(를) 사용하는 방식을 알게 되기 때문에 유연성이 향상됩니다.

직무에 관한 AWS 관리형 정책은 IT 업계의 일반적인 직무 기능과 긴밀하게 연결되도록 구성됩니다. 이러한 정책을 사용하여 특정 직무 담당자에게 기대되는 태스크 수행에 필요한 권한을 부여할 수 있습니다. 이 정책은 여러 서비스에 대한 권한을 정책 하나에 통합하기 때문에, 여러 정책에 권한이 분산되어 있는 경우보다 업무 절차가 간소합니다.

역할을 이용한 서비스 결합

일부 정책은 IAM 서비스 역할을 이용하여 다른 AWS 서비스에 포함된 기능을 활용할 수 있도록 지원합니다. 이 정책은 iam:passrole에 대한 액세스를 허용하여, 정책에 정의된 사용자가 역할을 AWS 서비스에 전달할 수 있도록 합니다. 이 역할은 AWS 서비스에서 사용자를 대행할 수 있도록 IAM 권한을 위임합니다.

필요에 따라 역할을 만들어야 합니다. 예를 들어 네트워크 관리자 정책의 경우, 정책에 정의된 사용자가 "flow-logs-vpc"라는 역할을 Amazon CloudWatch 서비스로 전달하도록 허용합니다. CloudWatch는 이 역할을 이용해 사용자가 생성한 VPC의 IP 트래픽을 기록하고 캡처합니다.

보안 모범 사례를 따르기 위해 직무 기능에 관한 정책에는 전달할 수 있는 유효한 역할의 이름을 제한하는 필터가 포함되어 있습니다. 따라서 불필요한 권한을 부여할 가능성이 없습니다. 사용자가 선택적 서비스 역할을 필요로 할 경우, 정책에 정의된 명명 규칙에 따라 역할을 만들어야 합니다. 그런 다음 해당 역할에 권한을 부여합니다. 그러면 사용자는 역할이 제공하는 모든 권한을 부여해 서비스에서 이 역할을 사용하도록 구성할 수 있습니다.

다음 섹션에서 각 정책의 이름에는 AWS Management Console의 정책 세부 정보 페이지로 이동하는 링크가 연결되어 있습니다. 해당 페이지에서 정책 문서를 확인하고 부여된 권한을 검토할 수 있습니다.

관리자 직무

AWS 관리형 정책 이름: AdministratorAccess

사용 사례: 이 사용자는 모든 액세스를 가지며 AWS 내 모든 서비스와 리소스에 권한을 위임할 수 있습니다.

정책 업데이트: AWS은(는) 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 정책 버전(Policy versions) 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 직무 기능에 대한 AWS 관리형 정책으로 업데이트 단원을 참조하세요.

정책 설명: 이 정책은 모든 AWS 서비스와 계정 내 모든 리소스에 대한 모든 작업을 허용합니다.

참고

IAM 사용자 또는 역할이 이 정책의 권한을 통해 AWS Billing and Cost Management 콘솔에 액세스할 수 있으려면, 먼저 IAM 사용자 및 역할 액세스를 활성화해야 합니다. 이를 위해 결제 콘솔에 액세스를 위임하기 위한 자습서 1단계의 지침을 따르십시오.

청구 직무

AWS 관리형 정책 이름: Billing

사용 사례: 이 사용자는 결제 정보를 확인하고 지불을 설정 및 승인해야 합니다. 사용자가 전체 AWS 서비스에 누적된 비용을 모니터링할 수 있습니다.

정책 업데이트: AWS은(는) 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 정책 버전(Policy versions) 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 직무 기능에 대한 AWS 관리형 정책으로 업데이트 단원을 참조하세요.

정책 설명: 이 정책은 결제 관리, 비용, 결제 방법, 예산, 보고서 등에 필요한 모든 권한을 부여합니다.

참고

IAM 사용자 또는 역할이 이 정책의 권한을 통해 AWS Billing and Cost Management 콘솔에 액세스할 수 있으려면, 먼저 IAM 사용자 및 역할 액세스를 활성화해야 합니다. 이를 위해 결제 콘솔에 액세스를 위임하기 위한 자습서 1단계의 지침을 따르십시오.

데이터베이스 관리자 직무

AWS 관리형 정책 이름: DatabaseAdministrator

사용 사례: 이 사용자는 AWS 클라우드에서 데이터베이스를 설정, 구성, 유지합니다.

정책 업데이트: AWS은(는) 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 정책 버전(Policy versions) 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 직무 기능에 대한 AWS 관리형 정책으로 업데이트 단원을 참조하세요.

정책 설명: 이 정책은 데이터베이스를 생성, 구성, 유지할 수 있는 권한을 부여합니다. 여기에는 Amazon DynamoDB, Amazon Relational Database Service(RDS) 및 Amazon Redshift 등 AWS 데이터베이스 서비스에 대한 액세스가 포함됩니다. 이 정책이 지원하는 데이터베이스 서비스의 전체 목록에 대한 정책을 봅니다.

이 직무 정책은 AWS 서비스로 역할을 전달할 수 있는 기능을 지원합니다. 이 정책은 다음 표에 명시된 역할에만 iam:PassRole 작업을 허용합니다. 자세한 내용은 이 주제의 후반부에서 역할 생성 및 정책 연결(콘솔) 섹션을 참조하세요.

데이터베이스 관리자 직무에 대한 선택적 IAM 서비스 역할
사용 사례 역할 이름(*는 와일드카드) 선택할 서비스 역할 유형 이 AWS 관리형 정책 선택
사용자가 RDS 데이터베이스를 모니터링하도록 허용 rds-monitoring-role Enhanced Monitoring을 위한 Amazon RDS 역할 AmazonRDSEnhancedMonitoringRole
AWS Lambda의 데이터베이스 모니터링과 외부 데이터베이스 액세스를 허용 rdbms-lambda-access Amazon EC2 AWSLambda_FullAccess
Lambda이 DynamoDB를 이용해 Amazon S3와 Amazon Redshift 클러스터에 파일을 업로드하도록 허용 lambda_exec_role AWS Lambda AWS 빅 데이터 블로그에 정의된 대로 새로운 관리형 정책 구성
Lambda 기능이 DynamoDB 테이블의 트리거 역할을 하도록 허용 lambda-dynamodb-* AWS Lambda AWSLambdaDynamoDBExecutionRole
Lambda 기능이 VPC에서 Amazon RDS에 액세스하도록 허용 lambda-vpc-execution-role AWS Lambda Developer Guide에 정의된 대로 신뢰 정책으로 역할 생성 AWSLambdaVPCAccessExecutionRole
AWS Data Pipeline가 AWS 리소스에 액세스하도록 허용 DataPipelineDefaultRole AWS Data Pipeline 개발자 안내서에 정의된 대로 신뢰 정책으로 역할 생성 AWS Data Pipeline 설명서에 이 사용 사례에 필요한 권한이 나와 있습니다. AWS Data Pipeline에 대한 IAM 역할 참조
Amazon EC2 인스턴스에서 실행 중인 애플리케이션이 AWS 리소스에 액세스하도록 허용 DataPipelineDefaultResourceRole AWS Data Pipeline 개발자 안내서에 정의된 대로 신뢰 정책으로 역할 생성 AmazonEC2RoleforDataPipelineRole

데이터 사이언티스트 직무

AWS 관리형 정책 이름: DataScientist

사용 사례: 이 사용자는 Hadoop 작업과 쿼리를 실행합니다. 또한 데이터 분석 및 비즈니스 인텔리전스에 관한 정보에 액세스하고 이를 분석합니다.

정책 업데이트: AWS은(는) 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 정책 버전(Policy versions) 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 직무 기능에 대한 AWS 관리형 정책으로 업데이트 단원을 참조하세요.

정책 설명: 이 정책은 Amazon EMR 클러스터에서 쿼리를 생성, 관리, 실행하고 Amazon QuickSight 같은 도구로 데이터 분석을 수행할 수 있는 권한을 부여합니다. 정책에는 AWS Data Pipeline, Amazon EC2, Amazon Kinesis, Amazon Machine Learning 및 SageMaker 등 추가 데이터 과학자 서비스에 대한 액세스가 포함됩니다. 이 정책이 지원하는 데이터 과학자 서비스의 전체 목록에 대한 정책을 봅니다.

이 직무 정책은 AWS 서비스로 역할을 전달할 수 있는 기능을 지원합니다. 한 개의 문이 역할을 SageMaker에 전달하도록 허용합니다. 또 다른 문은 다음 표에 명시된 역할에만 iam:PassRole 작업을 허용합니다. 자세한 내용은 이 주제의 후반부에서 역할 생성 및 정책 연결(콘솔) 섹션을 참조하세요.

데이터 과학자 직무에 대한 선택적 IAM 서비스 역할
사용 사례 역할 이름(*는 와일드카드) 선택할 서비스 역할 유형 선택할 AWS 관리형 정책
클러스터에 적합한 서비스와 리소스에 대한 Amazon EC2 인스턴스 액세스를 허용 EMR-EC2_DefaultRole EC2의 경우 Amazon EMR AmazonElasticMapReduceforEC2Role
클러스터의 Amazon EC2 서비스와 리소스에 액세스할 수 있는 Amazon EMR 액세스를 허용 EMR_DefaultRole Amazon EMR AmazonEMRServicePolicy_v2
Kinesis Kinesis Data Analytics가 스트리밍 데이터 소스에 액세스하도록 허용 kinesis-* AWS 빅 데이터 블로그에 정의된 대로 신뢰 정책으로 역할을 생성합니다. 사용 사례에 따라 네 가지 가능한 옵션을 소개한 AWS 빅 데이터 블로그 참조
AWS Data Pipeline가 AWS 리소스에 액세스하도록 허용 DataPipelineDefaultRole AWS Data Pipeline 개발자 안내서에 정의된 대로 신뢰 정책으로 역할 생성 AWS Data Pipeline 설명서에 이 사용 사례에 필요한 권한이 나와 있습니다. AWS Data Pipeline에 대한 IAM 역할 참조
Amazon EC2 인스턴스에서 실행 중인 애플리케이션이 AWS 리소스에 액세스하도록 허용 DataPipelineDefaultResourceRole AWS Data Pipeline 개발자 안내서에 정의된 대로 신뢰 정책으로 역할 생성 AmazonEC2RoleforDataPipelineRole

개발자 파워 유저 직무

AWS 관리형 정책 이름: PowerUserAccess

사용 사례: 이 사용자는 애플리케이션 개발 작업을 수행하며, AWS 인식 애플리케이션 개발을 지원하는 리소스와 서비스를 생성하고 구성할 수 있습니다.

정책 업데이트: AWS은(는) 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 정책 버전(Policy versions) 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 직무 기능에 대한 AWS 관리형 정책으로 업데이트 단원을 참조하세요.

정책 설명: 이 정책의 첫 번째 설명문은 NotAction 요소를 사용하여 모든 AWS 서비스와 모든 리소스(AWS Identity and Access Management 및 AWS Organizations 제외)에 대해 모든 작업을 허용합니다. 두 번째 설명문은 서비스에 연결된 역할을 생성할 수 잇는 IAM 권한을 부여합니다. 이것은 Amazon S3 버킷처럼 다른 서비스에서 리소스에 액세스해야 하는 서비스에 필요합니다. 또한 Organizations에게 management account 이메일과 조직 한도 등 사용자 조직에 대한 정보를 볼 권한을 부여합니다. 이 정책은 제한 IAM 및 Organizations 액세스를 제한하지만 AWS SSO가 활성화된 경우 사용자가 모든 AWS SSO 작업을 수행할 수 있습니다.

네트워크 관리자 직무

AWS 관리형 정책 이름: NetworkAdministrator

사용 사례: 이 사용자는 AWS 네트워크 리소스를 설정하고 유지하는 작업을 담당합니다.

정책 업데이트: AWS은(는) 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 정책 버전(Policy versions) 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 직무 기능에 대한 AWS 관리형 정책으로 업데이트 단원을 참조하세요.

정책 설명: 이 정책은 Auto Scaling, Amazon EC2, AWS Direct Connect, Route 53, Amazon CloudFront, Elastic Load Balancing, AWS Elastic Beanstalk, Amazon SNS, CloudWatch, CloudWatch Logs, Amazon S3, IAM, Amazon Virtual Private Cloud에서 네트워크 리소스를 생성하고 유지할 수 있는 권한을 부여합니다.

이 직무는 AWS 서비스로 역할을 전달할 수 있는 기능을 필요로 합니다. 이 정책은 다음 표에 명시된 역할에만 iam:GetRoleiam:PassRole을 허용합니다. 자세한 내용은 이 주제의 후반부에서 역할 생성 및 정책 연결(콘솔) 섹션을 참조하세요.

네트워크 관리자 직무에 대한 선택적 IAM 서비스 역할
사용 사례 역할 이름(*는 와일드카드) 선택할 서비스 역할 유형 선택할 AWS 관리형 정책
Amazon VPC가 사용자를 대신해 CloudWatch Logs의 로그를 생성하고 관리하여 VPC로 들어오고 나가는 IP 트래픽을 모니터링하도록 허용 flow-logs-* Amazon VPC 사용 설명서에 정의된 대로 신뢰 정책으로 역할 생성 이 사용 사례에는 기존 AWS 관리형 정책이 없지만 설명서에는 필요한 권한이 나열되어 있습니다. Amazon VPC 사용 설명서 단원을 참조하십시오.

읽기 전용 액세스

AWS 관리형 정책 이름: ReadOnlyAccess

사용 사례: 이 사용자는 AWS 계정의 모든 리소스에 대한 읽기 전용 액세스를 필요로 합니다.

정책 업데이트: AWS은(는) 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 정책 버전(Policy versions) 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 직무 기능에 대한 AWS 관리형 정책으로 업데이트 단원을 참조하세요.

정책 설명: 이 정책은 리소스 및 해당 속성에 대한 나열, 가져오기, 설명 및 보기 권한을 부여합니다. 생성 또는 삭제와 같은 변경 기능은 포함되지 않습니다. 이 정책에는 AWS Identity and Access Management 및 AWS Billing and Cost Management와 같은 보안 관련 AWS 서비스에 대한 읽기 전용 액세스가 포함됩니다. 이 정책이 지원하는 서비스 및 작업의 전체 목록을 정책에서 확인할 수 있습니다.

보안 감사자 직무

AWS 관리형 정책 이름: SecurityAudit

사용 사례: 이 사용자는 보안 요구 사항을 준수하기 위해 계정을 모니터링합니다. 이 사용자는 로그와 이벤트에 액세스하여 잠재적인 보안 위반이나 악의적인 활동을 조사할 수 있습니다.

정책 업데이트: AWS은(는) 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 정책 버전(Policy versions) 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 직무 기능에 대한 AWS 관리형 정책으로 업데이트 단원을 참조하세요.

정책 설명: 이 정책은 많은 AWS 서비스에 대한 구성 데이터를 확인하고, 해당 로그를 검토할 수 있는 권한을 부여합니다.

지원 사용자 직무

AWS 관리형 정책 이름: SupportUser

사용 사례: 이 사용자는 AWS 지원을 통해 지원 사례를 생성하고 기존 사례의 상태를 확인합니다.

정책 업데이트: AWS은(는) 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 정책 버전(Policy versions) 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 직무 기능에 대한 AWS 관리형 정책으로 업데이트 단원을 참조하세요.

정책 설명: 이 정책은 AWS 지원 사례를 생성하고 업데이트할 수 있는 권한을 부여합니다.

시스템 관리자 직무

AWS 관리형 정책 이름: SystemAdministrator

사용 사례: 이 사용자는 개발 작업에 필요한 리소스를 설정하고 유지합니다.

정책 업데이트: AWS은(는) 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 정책 버전(Policy versions) 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 직무 기능에 대한 AWS 관리형 정책으로 업데이트 단원을 참조하세요.

정책 설명: 이 정책은 AWS CloudTrail, Amazon CloudWatch, AWS CodeCommit, AWS CodeDeploy, AWS Config, AWS Directory Service, Amazon EC2, AWS Identity and Access Management, AWS Key Management Service, AWS Lambda, Amazon RDS, Route 53, Amazon S3, Amazon SES, Amazon SQS, AWS Trusted Advisor, Amazon VPC 등 다양한 AWS 서비스에서 리소스를 생성하고 유지할 수 있는 권한을 부여합니다.

이 직무는 AWS 서비스로 역할을 전달할 수 있는 기능을 필요로 합니다. 이 정책은 다음 표에 명시된 역할에만 iam:GetRoleiam:PassRole을 허용합니다. 자세한 내용은 이 주제의 후반부에서 역할 생성 및 정책 연결(콘솔) 섹션을 참조하세요.

시스템 관리자 직무에 대한 선택적 IAM 서비스 역할
사용 사례 역할 이름(*는 와일드카드) 선택할 서비스 역할 유형 선택할 AWS 관리형 정책
Amazon ECS 클러스터 내 EC2 인스턴스에서 실행 중인 앱이 Amazon ECS에 액세스하도록 허용 ecr-sysadmin-* EC2 Container Service에 대한 Amazon EC2 역할 AmazonEC2ContainerServiceforEC2Role
사용자가 데이터베이스를 모니터링하도록 허용 rds-monitoring-role Enhanced Monitoring을 위한 Amazon RDS 역할 AmazonRDSEnhancedMonitoringRole
EC2 인스턴스에서 실행 중인 앱이 AWS 리소스에 액세스하도록 허용합니다. ec2-sysadmin-* Amazon EC2 Linux 인스턴스용 Amazon EC2 사용 설명서에서와 같이 S3 버킷에 대한 액세스를 부여하는 역할의 정책 표본. 필요에 따라 사용자 지정
Lambda이 DynamoDB 스트림을 읽고 CloudWatch 로그에 기록하도록 허용 lambda-sysadmin-* AWS Lambda AWSLambdaDynamoDBExecutionRole

보기 전용 사용자 직무

AWS 관리형 정책 이름: ViewOnlyAccess

사용 사례: 이 사용자는 모든 서비스에 걸쳐 계정 내 AWS 리소스와 기본 메타데이터 목록을 확인할 수 있습니다. 하지만 할당량을 초과하는 리소스 콘텐츠나 메타데이터, 리소스의 목록 정보를 읽을 수 없습니다.

정책 업데이트: AWS은(는) 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 정책 버전(Policy versions) 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 직무 기능에 대한 AWS 관리형 정책으로 업데이트 단원을 참조하세요.

정책 설명: 이 정책은 대부분의 AWS 서비스 리소스에 대한 List*, Describe*, Get*, View*, Lookup* 액세스를 부여합니다. 각 서비스에 대해 이 정책에 포함된 작업을 보려면 ViewOnlyAccess 단원을 참조하십시오.

직무 기능에 대한 AWS 관리형 정책으로 업데이트

이러한 정책은 모두 AWS에 의해 유지 관리됩니다. AWS 서비스에 의해 정책이 추가되면 새로운 서비스와 새로운 기능에 대한 지원을 포함하여 모든 정책을 최신 상태로 유지합니다. 이러한 정책은 고객이 수정할 수 없습니다. 정책 사본을 만든 후 이를 수정할 수 있으나 AWS가 새로운 서비스와 API 작업을 도입할 때 이 사본이 자동으로 업데이트되지는 않습니다.

작업 기능 정책의 경우 IAM 콘솔에서 버전 기록 및 각 업데이트의 시간 및 날짜를 볼 수 있습니다. 이렇게 하려면 이 페이지의 링크를 사용하여 정책 세부 정보를 봅니다. 그런 다음 [정책 버전(Policy versions)] 탭을 선택하여 버전을 봅니다. 이 페이지에는 정책의 마지막 25개 버전이 표시됩니다. 정책의 모든 버전을 보려면 get-policy-version AWS CLI 명령 또는 GetPolicyVersion API 작업을 호출합니다.

참고

고객 관리형 정책은 최대 5개까지 보유할 수 있지만 AWS에서는 AWS 관리형 정책의 전체 버전 기록은 보존됩니다.