서비스 요약(작업 목록) - AWS Identity and Access Management

서비스 요약(작업 목록)

정책은 3가지 테이블, 즉 정책 요약, 서비스 요약, 작업 요약으로 요약됩니다. 서비스 요약 테이블에는 작업 목록과 선택한 서비스의 정책에 의해 정의된 권한의 요약이 포함되어 있습니다.


      3가지 테이블과 관계를 보여 주는 정책 요약 다이어그램 이미지

권한을 부여하는 정책 요약에 나열되어 있는 각 서비스에 대해 서비스 요약을 볼 수 있습니다. 이 테이블은 Uncategorized actions(미분류 작업), Uncategorized resource types(미분류 리소스 유형) 및 액세스 수준 섹션으로 분류되어 있습니다. IAM에서 인식하지 못하는 작업이 정책에 포함되어 있으면 해당 작업은 테이블의 Uncategorized actions(미분류 작업) 섹션에 포함됩니다. IAM에서 작업을 인식하면 해당 작업은 테이블의 액세스 레벨(목록, 읽기, 쓰기, 권한 관리) 섹션 중 하나에 포함됩니다. 서비스의 각 작업에 할당된 액세스 레벨 분류를 보려면 AWS 서비스에 사용되는 작업, 리소스 및 조건 키를 참조하세요.

서비스 요약 보기

정책 페이지에서 관리형 정책에 대한 서비스 요약을 보거나, 사용자 페이지 및 역할을 통해 사용자나 역할에 연결된 인라인 및 관리형 정책에 대한 서비스 요약을 볼 수 있습니다. 단, 관리형 정책의 사용자 페이지 또는 역할 페이지에서 서비스 이름을 선택한 경우에는 정책 페이지로 리디렉션됩니다. 관리형 정책에 대한 서비스 요약은 정책 페이지에서 확인해야 합니다.

관리형 정책의 서비스 요약을 확인하려면

  1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 정책을 선택합니다.

  3. 정책 목록에서 보려는 정책의 이름을 선택합니다.

  4. 정책 요약을 보려면 해당 정책의 요약 페이지에서 권한 탭을 확인합니다.

  5. 정책 요약 서비스 목록에서 확인하려는 서비스의 이름을 선택합니다.

사용자에게 연결된 정책의 서비스 요약을 확인하려면

  1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 사용자 목록에서 정책을 보려는 사용자의 이름을 선택합니다.

  4. 사용자에게 직접 연결되거나 그룹에서 연결된 정책의 목록을 보려면 해당 사용자의 요약 페이지에서 권한 탭을 봅니다.

  5. 사용자에 대한 정책 테이블에서 보려는 정책의 행을 확장합니다.

  6. 정책 요약 서비스 목록에서 확인하려는 서비스의 이름을 선택합니다.

    참고

    선택한 정책이 사용자에게 직접 연결된 인라인 정책인 경우 서비스 요약 테이블이 표시됩니다. 정책이 그룹에서 연결한 인라인 정책인 경우 해당 그룹의 JSON 정책 문서로 자동으로 이동합니다. 정책이 관리형 정책인 경우 정책 페이지에서 해당 정책의 서비스 요약이 게시된 부분으로 자동으로 이동합니다.

역할에 연결된 정책의 서비스 요약 정보를 보려면

  1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 역할을 선택합니다.

  3. 역할 목록에서 정책을 보려는 역할의 이름을 선택합니다.

  4. 역할의 요약 페이지에서 권한 탭을 보고 역할에 연결된 정책 목록을 확인합니다.

  5. 역할에 대한 정책 테이블에서 보려는 정책의 행을 확장합니다.

  6. 정책 요약 서비스 목록에서 확인하려는 서비스의 이름을 선택합니다.

서비스 요약의 요소 이해

아래 예제는 SummaryAllElements 정책 요약에서 허용한 Amazon S3 작업의 서비스 요약입니다(SummaryAllElements JSON 정책 문서 참조). 이 서비스에 대한 작업은 Uncategorized actions(미분류 작업), Uncategorized resource types(미분류 리소스 유형) 및 액세스 레벨로 그룹화됩니다. 예를 들어 서비스에서 이용 가능한 총 21개 쓰기 작업 중에서 2개 쓰기 작업이 정의됩니다.


        서비스 요약 대화 상자 이미지

관리형 정책에 대한 서비스 요약 페이지에 포함되는 정보는 다음과 같습니다.

  1. 정책에서 정책의 서비스에 대해 정의된 일부 작업, 리소스 및 조건에 권한을 부여하지 않는 경우 페이지 상단에 경고 배너가 나타납니다. 그런 다음 서비스 요약에 문제에 대한 세부 정보가 포함됩니다. 정책 요약이 정책에서 부여하는 권한을 이해하고 문제를 해결하는 데 얼마나 도움이 되는지 알아보려면 정책이 필요한 권한을 부여하지 않음 단원을 참조하십시오.

  2. 뒤로 링크 옆에 서비스 이름(이 경우 S3)이 표시됩니다. 이 서비스의 서비스 요약에는 정책에서 정의한 허용되는 작업의 목록이 수록되어 있습니다. 그 대신, 서비스 이름 옆에 (명시적으로 거부됨) 텍스트가 표시된 경우 서비스 요약 테이블에 나열된 작업은 명시적으로 거부됩니다.

  3. { } JSON을 선택하면 정책에 대한 추가 세부 정보를 볼 수 있습니다. 이를 통해 작업에 적용된 모든 조건을 볼 수 있습니다. (사용자에게 직접 연결된 인라인 정책의 서비스 요약을 보려면 서비스 요약 대화 상자를 닫고 정책 요약으로 돌아가 JSON 정책 문서에 액세스해야 합니다.)

  4. 특정 작업의 요약을 보려면 검색 상자에 키워드를 입력하여, 사용할 수 있는 작업의 목록을 줄이십시오.

  5. 작업(69개 중 2개 작업) – 이 열에는 정책 내에 정의된 작업이 나열되고 각 작업에 해당하는 리소스와 조건이 제시됩니다. 정책에서 작업에 권한을 부여한 경우 작업 이름이 작업 요약 테이블에 링크됩니다. 개수는 권한을 제공하는 인식할 수 있는 작업의 수를 나타냅니다. 총계는 서비스에 대해 알려진 작업의 수입니다. 이 예제에서는 총 69개의 알려진 S3 작업에서 2개의 작업이 권한을 제공합니다.

  6. Show/Hide remaining 67(나머지 67개 작업 보기/숨기기) – 알려졌지만 이 서비스에 대한 권한을 제공하지 않는 작업을 포함하는 테이블을 확장하거나 숨기려면 이 링크를 선택합니다. 링크를 확장하면 권한을 제공하지 않는 모든 요소에 대해 경고가 표시됩니다.

  7. Unrecognized resource types(인식되지 않은 리소스 유형) – 이 정책에, 이 서비스에 대한 정책 내에서 인식되지 않은 리소스 유형이 한 개 이상 있습니다. 이 경고를 사용하여 리소스 유형에 오타가 포함되어 있는지 확인할 수 있습니다. 리소스 유형이 정확하면 서비스는 정책 요약을 완전히 지원할 수 없거나 프리뷰에 있거나 사용자 지정 서비스일 수 있습니다. 일반적으로 사용할 수 있는(GA) 서비스에서 특정 리소스 유형에 대한 정책 요약 지원을 요청하려면 서비스가 IAM 정책 요약을 지원하지 않음을 참조하십시오. 이 예제에서는 autoscling 서비스 이름에 a가 누락되었습니다.

  8. Unrecognized actions(인식되지 않은 작업) – 이 정책에, 이 서비스에 대한 정책 내에서 인식되지 않은 작업이 한 개 이상 있습니다. 이 경고를 사용하여 작업에 오타가 포함되어 있는지 확인할 수 있습니다. 작업 이름이 정확하면 서비스는 정책 요약을 완전히 지원할 수 없거나 프리뷰에 있거나 사용자 지정 서비스일 수 있습니다. 일반적으로 사용할 수 있는(GA) 서비스에서 특정 작업에 대한 정책 요약 지원을 요청하려면 서비스가 IAM 정책 요약을 지원하지 않음을 참조하십시오. 이 예제에서는 DeletObject 작업에 e가 누락되었습니다.

    참고

    IAM은 정책 요약을 지원하는 서비스의 이름, 작업 및 리소스 유형을 검토합니다. 그러나 존재하지 않는 리소스 값이나 조건이 정책 요약에 포함될 수 있습니다. 항상 정책 시뮬레이터로 정책을 테스트합니다.

  9. IAM에서 인식하는 해당 작업의 경우 테이블은 정책이 허용하거나 거부하는 액세스 레벨에 따라 최소 1개 이상에서 최대 4개의 섹션으로 이러한 작업을 그룹화합니다. 섹션은 목록, 읽기, 쓰기, 권한 관리입니다. 각 액세스 레벨 내에서 사용할 수 있는 총 작업 수로부터 정의된 작업 수도 확인할 수 있습니다. 서비스의 각 작업에 할당된 액세스 레벨 분류를 보려면 AWS 서비스에 사용되는 작업, 리소스 및 조건 키를 참조하세요.

  10. 줄임표(…)는 모든 작업이 페이지에 포함되었지만 이 정책과 관련된 정보가 있는 행만 표시되었음을 나타냅니다. AWS Management 콘솔에서 이 페이지를 보면 서비스에 대한 모든 작업을 볼 수 있습니다.

  11. (No access)(액세스 권한 없음) – 이 정책에 권한을 제공하지 않는 작업이 한 개 있습니다.

  12. 권한을 제공하지 않는 작업에는 작업 요약에 대한 링크가 포함됩니다.

  13. 리소스 – 이 열은 정책이 서비스에 대해 정의한 리소스를 보여줍니다. IAM은 리소스가 각 작업에 적용되는지 여부를 확인하지 않습니다. 이 예제에서는 S3 서비스의 작업이 developer_bucket Amazon S3 버킷 리소스에서만 허용됩니다. 서비스가 IAM에 제공하는 정보에 따라 arn:aws:s3:::developer_bucket/* 등의 ARN이 표시되거나 BucketName = developer_bucket 등의 정의된 리소스 유형이 표시될 수 있습니다.

    참고

    이 열은 다른 서비스의 리소스를 포함할 수 있습니다. 리소스를 포함하는 정책 설명에 동일한 서비스의 작업과 리소스를 모두 포함하지 않으면 정책에 일치하지 않는 리소스가 포함됩니다. IAM은 정책을 생성하거나 정책 요약에서 정책을 볼 때 일치하지 않는 리소스에 대해 경고하지 않습니다. 또한 IAM은 작업이 리소스에 적용되는지 여부는 나타내지 않고 서비스가 일치하는지 여부만 나타냅니다. 이 열에 일치하지 않는 리소스가 포함되어 있으면 정책에 오류가 있는지 검토해야 합니다. 정책을 더 잘 이해하려면 항상 정책 시뮬레이터로 테스트합니다.

  14. 리소스 경고 – 전체 권한을 제공하지 않는 리소스를 포함하는 작업의 경우 다음 경고 중 하나가 나타납니다.

    • This action does not support resource-level permissions. 리소스에 대하여 와일드카드(*)가 필요합니다. – 정책에 리소스 수준 권한이 있지만, 이 작업에 대한 권한을 제공하려면 "Resource": ["*"]를 포함해야 함을 의미합니다.

    • 이 작업은 적용할 리소스가 없습니다. – 지원되는 리소스 없이 작업이 정책에 포함됨을 의미합니다.

    • 이 작업은 적용할 리소스 및 조건이 없습니다. – 지원되는 리소스 및 조건 없이 작업이 정책에 포함됨을 의미합니다. 이 경우 이 서비스의 정책에 포함된 조건도 있지만 이 작업에 적용되는 조건은 없습니다.

    ListAllMyBuckets 작업의 경우 리소스 수준 권한을 지원하지 않고 s3:x-amz-acl 조건 키를 지원하지 않기 때문에 이 정책에 마지막 경고가 포함됩니다. 리소스 문제나 조건 문제를 수정한 경우 나머지 문제가 세부 경고에 나타납니다.

  15. Request condition(요청 조건) – 이 열은 리소스와 연결된 작업에 조건이 적용되는지 여부를 나타냅니다. 이러한 조건에 대해 자세히 알아보려면 { } JSON을 선택하여 JSON 정책 문서를 검토합니다.

  16. Condition warning(조건 경고) – 전체 권한을 제공하지 않는 조건을 포함하는 작업의 경우 다음 경고 중 하나가 나타납니다.

    • <CONDITION_KEY>는 이 작업에 대해 지원되는 조건 키가 아닙니다. – 정책에 이 작업에 지원되지 않는 서비스 조건 키가 한 개 있습니다.

    • 해당 작업은 여러 개의 조건 키를 지원하지 않습니다. – 정책에 이 작업에 지원되지 않는 서비스 조건 키가 두 개 이상 있습니다.

    GetObject의 경우 이 정책에 s3:x-amz-acl 조건 키가 포함되며 이 키는 이 작업에서 작동하지 않습니다. 작업이 리소스를 지원하더라도, 조건이 이 작업에 대해 true가 되지 않기 때문에 정책에서 이 작업을 위한 권한을 부여하지 않습니다.