정책 요약에서 액세스 수준 요약 이해하기 - AWS Identity and Access Management

정책 요약에서 액세스 수준 요약 이해하기

AWS 액세스 수준 요약

정책 요약에는 해당 정책에서 언급된 각 서비스에 정의된 작업 권한을 설명하는 액세스 레벨 요약이 포함됩니다. 정책 요약에 대한 자세한 내용은 정책에 의해 부여된 권한 이해 섹션을 참조하세요. 액세스 레벨 요약은 각 액세스 레벨(List, Read, Tagging, WritePermissions management)의 작업에 정책에서 정의된 Full 또는 Limited 권한이 있는지 여부를 나타냅니다. 서비스의 각 작업에 할당된 액세스 레벨 분류를 보려면 AWS 서비스에 사용되는 작업, 리소스 및 조건 키를 참조하세요.

다음 예제에서는 한 정책이 지정된 서비스에 대해 제공하는 액세스 권한을 설명합니다. 전체 JSON 정책 문서 및 관련 요약의 예는 정책 요약 예시 섹션을 참조하세요.

Service 액세스 레벨 이 정책은 다음을 제공합니다.
IAM 모든 액세스 IAM 서비스 내의 모든 작업에 대한 액세스 권한
CloudWatch 전체: 목록 List 액세스 수준의 모든 CloudWatch 작업에 대한 액세스 권한. 하지만 Read, Write 또는 Permissions management 액세스 수준 분류의 작업에 대한 액세스 권한은 제공하지 않음
Data Pipeline 제한: 목록, 읽기 ListRead 액세스 레벨의 AWS Data Pipeline 작업 하나 이상(모든 작업은 아님)에 대한 액세스 권한. 단, Write 또는 Permissions management 작업에 대한 액세스 권한은 제외됨
EC2 전체: 목록, 읽기 제한: 쓰기 모든 Amazon EC2 ListRead 작업에 대한 액세스 권한, 하나 이상의 Amazon EC2 Write 작업(모든 작업은 아님)에 대한 액세스 권한. 단, Permissions management 액세스 수준 분류의 작업에 대한 액세스 권한은 제외됨
S3 제한: 읽기, 쓰기, 권한 관리 하나 이상의 Amazon S3 Read, WritePermissions management 작업(모든 작업은 아님)에 대한 액세스 권한
CodeDeploy (비어 있음) 알 수 없는 액세스(IAM에서 이 서비스를 인식하지 않음)
API Gateway None 정책에 정의된 액세스 없음
CodeBuild 정의된 작업 없음. 서비스에 대해 작업이 정의되지 않아서 액세스할 수 없습니다. 이 문제를 이해하고 문제를 해결하는 방법을 보려면 정책이 필요한 권한을 부여하지 않음 섹션을 참조하세요.

앞서 언급한 바와 같이, 모든 액세스는 정책이 서비스 내 모든 작업에 대한 액세스를 제공함을 나타냅니다. 서비스의 모든 작업이 아니라 일부에 대한 액세스 권한을 제공하는 정책은 액세스 레벨 분류에 따라 추가로 그룹화됩니다. 이는 다음 액세스 레벨 그룹 중 하나에 의해 표시됩니다.

  • 전체: 정책이 지정된 액세스 레벨 분류의 모든 작업에 대한 액세스 권한을 제공합니다.

  • 제한: 정책이 지정된 액세스 레벨 분류 내 하나 이상의 작업(모든 작업은 아님)에 대한 액세스 권한을 제공합니다.

  • 없음: 정책에서 액세스를 제공하지 않습니다.

  • (비어 있음): IAM 에서 이 서비스를 인식하지 않습니다. 서비스 이름에 오타가 포함되어 있으면 정책은 서비스에 대한 액세스를 제공하지 않습니다. 서비스 이름이 정확하면 서비스는 정책 요약을 지원할 수 없거나 프리뷰에 있을 수 있습니다. 이 경우 정책은 액세스를 제공할 수 있지만 해당 액세스를 정책 요약에 표시할 수 없습니다. 일반적으로 사용할 수 있는(GA) 서비스에 대한 정책 요약 지원을 요청하려면 서비스가 IAM 정책 요약을 지원하지 않음을 참조하세요.

작업에 대한 제한적(부분적) 액세스 권한을 포함하는 액세스 레벨 요약은 AWS 액세스 레벨 분류 List, Read, Tagging, Write 또는 Permissions management을 사용하여 그룹화됩니다.

AWS 액세스 수준

AWS는 서비스의 작업에 대해 다음과 같은 액세스 레벨 분류를 정의합니다.

  • 목록: 서비스의 리소스를 나열하여 객체가 존재하는지 판단할 수 있는 권한입니다. 이 액세스 레벨의 작업은 객체를 나열할 수 있으나 리소스의 내용을 확인할 수 없습니다. 예를 들어 Amazon S3 작업 ListBucket의 액세스 수준은 목록입니다.

  • 읽기: 서비스에서 리소스 내용과 속성을 읽을 수 있으나 편집할 수 없는 권한입니다. 예를 들어 Amazon S3 작업 GetObjectGetBucketLocation의 액세스 수준은 Read입니다.

  • 태그 지정: 리소스 태그의 상태만 변경하는 작업을 수행할 수 있는 권한입니다. 예를 들어 IAM 작업 TagRoleUntagRole은 역할에 대한 태그 지정 또는 태그 취소만 허용하므로 태그 지정 액세스 수준입니다. 그러나 CreateRole 작업은 사용자가 역할을 생성할 때 역할 리소스에 태그를 지정하도록 허용합니다. 이 작업은 태그를 추가하는 것만이 아니므로 Write 액세스 레벨입니다.

  • 쓰기: 서비스에서 리소스를 생성, 삭제하거나 수정할 수 있는 권한입니다. 예를 들어 Amazon S3 작업 CreateBucket, DeleteBucketPutObject쓰기 액세스 수준입니다. Write 작업은 리소스 태그 수정을 허용할 수도 있습니다. 그러나 태그 변경만 허용하는 작업은 Tagging 액세스 레벨입니다.

  • 권한 관리: 서비스에서 리소스 권한을 부여하거나 수정할 수 있는 권한입니다. 예를 들어 대부분의 IAM 및 AWS Organizations 작업과 Amazon S3 작업 PutBucketPolicyDeleteBucketPolicy 등의 액세스 수준은 권한 관리입니다.

    도움말

    AWS 계정의 보안을 개선하려면 권한 관리 액세스 레벨 분류를 포함하는 정책을 제한하거나 정기적으로 모니터링합니다.

서비스의 각 작업에 대한 액세스 수준 분류를 보려면 AWS 서비스에 사용되는 작업, 리소스 및 조건 키를 참조하세요.