AWS IAM으로 작업하는 서비스
아래 나열된 AWS 서비스는 알파벳에 따라 그룹화되며, 지원되는 IAM 기능에 대한 정보를 포함합니다.
-
서비스 – 서비스의 이름을 선택하여 해당 서비스의 IAM 권한 부여 및 액세스에 대한 AWS 문서를 볼 수 있습니다.
-
작업 – 정책에서 개별 작업을 지정할 수 있습니다. 서비스에서 이 기능을 지원하지 않는 경우 시각적 편집기에서 모든 작업(All actions)이 선택됩니다. JSON 정책 문서의
*
요소에서Action
를 사용해야 합니다. 각 서비스의 작업 목록을 보려면 AWS 서비스에 사용되는 작업, 리소스 및 조건 키를 참조하세요. -
리소스 수준 권한 – ARN을 사용하여 정책에서 개별 리소스를 지정할 수 있습니다. 서비스에서 이 기능을 지원하지 않는 경우 정책 시각적 편집기에서 모든 리소스(All resources)가 선택됩니다. JSON 정책 문서의
*
요소에서Resource
를 사용해야 합니다.List*
작업과 같은 일부 작업은 ARN 지정을 지원하지 않습니다. 여러 리소스를 반환하기로 설계되었기 때문입니다. 서비스가 일부 리소스에 대해 이 기능을 지원하지만 다른 리소스는 지원하지 않는 경우 표에 부분(Partial)으로 표시됩니다. 자세한 정보는 서비스에 대한 문서 섹션을 참조하세요. -
리소스 기반 정책 – 리소스 기반 정책을 서비스 내 리소스에 연결할 수 있습니다. 리소스 기반 정책은 해당 리소스에 액세스할 수 있는 IAM 자격 증명을 지정하는
Principal
요소를 포함합니다. 자세한 내용은 자격 증명 기반 정책 및 리소스 기반 정책 단원을 참조하세요. -
ABAC(태그 기반 권한 부여) - 태그를 기반으로 액세스를 제어하려면
aws:ResourceTag/
,key-name
aws:RequestTag/
, 또는key-name
aws:TagKeys
조건 키를 사용하여 정책의 조건 요소에 태그 정보를 제공합니다. 서비스가 모든 리소스 유형에 대해 세 가지 조건 키를 모두 지원하는 경우, 값은 서비스에 대해 예입니다. 서비스가 일부 리소스 유형에 대해서만 세 가지 조건 키를 모두 지원하는 경우 값은 부분적입니다. 태그와 같은 속성을 기반으로 권한을 정의하는 방법에 대한 자세한 내용은 ABAC 권한 부여를 통한 속성 기반 권한 정의 섹션을 참조하세요. ABAC 설정 단계가 포함된 자습서를 보려면 ABAC(속성 기반 액세스 제어) 사용을 참조하세요. -
임시 자격 증명 - IAM Identity Center를 사용하여 로그인하거나 콘솔에서 역할을 전환할 때 받거나 AWS CLI 또는 AWS API에서 AWS STS를 사용하여 생성하는 단기 자격 증명을 사용할 수 있습니다. 값이 [아니요(No)]인 서비스에는 장기 IAM 사용자 자격 증명을 사용하는 동안에만 액세스할 수 있습니다. 여기에는 사용자 이름 및 암호 또는 사용자 액세스 키가 포함됩니다. 자세한 내용은 IAM의 임시 보안 자격 증명 섹션을 참조하세요.
-
서비스 연결 역할 – 서비스 연결 역할은 사용자를 대신하여 다른 서비스의 리소스에 액세스할 수 있는 서비스 권한을 부여하는 특별한 유형의 서비스 역할입니다. 이러한 역할을 지원하는 서비스에 대한 설명서를 보려면 예 또는 일부 링크를 선택합니다. 이 열은 서비스가 표준 서비스 역할을 사용하는지 아닌지 나타내지 않습니다. 자세한 내용은 서비스 연결 역할을 참조하세요.
-
추가 정보 – 서비스가 기능을 완전히 지원하지 않는 경우 항목에 대한 각주를 검토하여 제한 사항과 관련 정보의 링크를 볼 수 있습니다.
IAM으로 작업하는 서비스
추가 정보
AWS CloudTrail
CloudTrail은 AWS 외부 이벤트 소스와의 CloudTrail Lake 통합에 사용되는 CloudTrail 채널에서만 리소스 기반 정책을 지원합니다.
Amazon CloudWatch
CloudWatch 서비스 연결 역할은 AWS Management Console을 사용하여 생성할 수 없으며 경보 작업 기능만 지원합니다.
AWS CodeBuild
CodeBuild는 AWS RAM을 사용한 크로스 계정 리소스 공유를 지원합니다.
CodeBuild는 프로젝트 기반 작업에 대한 ABAC를 지원합니다.
AWS Config
AWS Config의 경우 다중 계정 다중 리전 데이터 집계 및 AWS Config 규칙에 대한 리소스 수준 권한을 지원합니다. 지원되는 리소스 목록을 보려면 AWS Config API 설명서의 Multi-Account Multi-Region Data Aggregation 섹션과 AWS Config Rules 섹션을 참조하세요.
AWS Database Migration Service
지원되는 대상 엔드포인트로 마이그레이션된 데이터를 암호화하도록 생성한 AWS KMS 암호화 키에 연결된 정책을 생성 및 수정할 수 있습니다. 지원되는 대상 엔드포인트에는 Amazon Redshift 및 Amazon S3 등이 있습니다. 자세한 내용은 AWS Database Migration Service사용 설명서의 Amazon Redshift 대상 데이터를 암호화하는 AWS KMS 키 생성 및 사용, Amazon S3 대상 객체를 암호화하는 AWS KMS 키 생성을 참조하세요.
Amazon Elastic Compute Cloud
Amazon EC2 서비스 연결 역할은 스팟 인스턴스 요청, 스팟 플릿 요청, Amazon EC2 플릿 및 Windows 인스턴스의 빠른 시작 기능에만 사용할 수 있습니다.
Amazon Elastic Container Service
일부 Amazon ECS 작업만 리소스 수준 권한을 지원합니다.
AWS Elemental MediaPackage
MediaPackage는 CloudWatch에 고객 액세스 로그 게시를 위한 서비스 연결 역할을 지원하지만 다른 API 작업을 위한 서비스 연결 역할은 지원하지 않습니다.
AWS Identity and Access Management
IAM은 역할 신뢰 정책이라고 하는 리소스 기반 정책 유형 하나만 지원하며, 이 유형은 IAM 역할에 연결됩니다. 자세한 내용은 사용자에게 역할을 전환할 권한 부여 단원을 참조하세요.
IAM에서는 대부분의 IAM 리소스에 대해서만 태그 기반 액세스 제어를 지원합니다. 자세한 내용은 AWS Identity and Access Management 리소스용 태그 단원을 참조하세요.
IAM 에 대한 일부 API 작업만 임시 보안 인증 정보로 직접적으로 호출할 수 있습니다. 자세한 내용은 API 옵션 비교 섹션을 참조하세요.
AWS IoT
AWS IoT에 연결된 디바이스는 X.509 인증서 또는 Amazon Cognito 자격 증명을 통해 인증됩니다. AWS IoT 정책을 X.509 인증서 또는 Amazon Cognito 자격 증명에 연결하여 디바이스가 어떤 작업을 수행하도록 권한 부여할 것인지 제어할 수 있습니다. 자세한 내용은 AWS IoT 개발자 안내서의 AWS IoT의 보안 및 자격 증명을 참조하세요.
AWS Lambda
Lambda는 Lambda 함수를 필수 리소스로 사용하는 API 작업에 대한 ABAC(속성 기반 액세스 제어)를 지원합니다. 레이어, 이벤트 소스 매핑 및 코드 서명 구성 리소스는 지원되지 않습니다.
Lambda에는 서비스 연결 역할이 없지만 Lambda@Edge에는 있습니다. 자세한 내용은 Amazon CloudFront 개발자 안내서의 Lambda@Edge의 서비스 연결 역할을 참조하세요.
Amazon Lightsail
Lightsail은 리소스 수준 권한 및 ABAC를 부분적으로 지원합니다. 자세한 내용은 Amazon Lightsail를 위한 작업, 리소스 및 조건 키를 참조하세요.
Amazon Managed Streaming for Apache Kafka(MSK)
다중 VPC 연결을 위해 구성된 Amazon MSK 클러스터에 클러스터 정책을 연결할 수 있습니다.
AWS Network Manager
AWS Cloud WAN에서는 서비스 연결 역할도 지원합니다. 자세한 내용은 Amazon VPC AWS 클라우드 WAN 가이드의 AWS 클라우드 WAN 서비스 연결 역할을 참조하세요.
Amazon Relational Database Service
Amazon Aurora는 MySQL 및 PostgreSQL과 호환되는 완전 관리형 관계형 데이터베이스 엔진입니다. Amazon RDS를 통해 새 데이터베이스 서버를 설정할 때 Aurora MySQL 또는 Aurora PostgreSQL을 DB 엔진 옵션으로 선택할 수 있습니다. 자세한 내용은 Amazon Aurora 사용 설명서의 Amazon Aurora ID 및 액세스 관리를 참조하세요.
Amazon Rekognition
리소스 기반 정책은 Amazon Rekognition Custom Labels 모델을 복사하는 경우에만 지원됩니다.
AWS Resource Groups
사용자는 Resource Groups 작업을 허용하는 정책이 있는 역할을 수임할 수 있습니다.
Amazon SageMaker
서비스 연결 역할은 현재 SageMaker Studio 및 SageMaker 교육 작업에 사용할 수 있습니다.
AWS Security Token Service
AWS STS는 ‘리소스’가 없지만 유사한 방식으로 사용자에 대한 액세스를 제한할 수 있습니다. 자세한 정보는 이름을 사용한 임시 보안 자격 증명 액세스 거부 섹션을 참조하세요.
AWS STS에 대한 일부 API 작업만 임시 보안 인증 정보를 통한 직접 호출을 지원합니다. 자세한 내용은 API 옵션 비교 섹션을 참조하세요.
Amazon Simple Email Service
ses:SendEmail
또는 ses:SendRawEmail
등과 같이 이메일 전송과 관련된 작업을 참조하는 정책 설명의 리소스 수준 권한만 사용할 수 있습니다. 기타 다른 작업을 참조하는 정책 설명의 경우 리소스 요소에 *
만 포함될 수 있습니다.
Amazon SES API만 임시 보안 인증 정보를 지원합니다. Amazon SES SMTP 인터페이스는 임시 보안 자격 증명에서 파생된 SMTP 자격 증명을 지원하지 않습니다.
Amazon Simple Storage Service(S3)
Amazon S3에서는 객체 리소스에 대해서만 태그 기반 승인을 지원합니다.
Amazon S3는 Amazon S3 Storage Lens 대한 서비스 연결 역할을 지원합니다.
AWS Trusted Advisor
Trusted Advisor에 대한 API 액세스는 AWS Support API를 통해 이루어지며 AWS Support IAM 정책으로 제어합니다.
Amazon Virtual Private Cloud
IAM 사용자 정책에서는 특정 Amazon VPC 엔드포인트에 대해 권한을 제한할 수 없습니다. Action
또는 ec2:*VpcEndpoint*
API 작업을 포함하는 모든 ec2:DescribePrefixLists
요소는 ""Resource":
"*"
"를 포함해야 합니다. 자세한 내용은 AWS PrivateLink 가이드의 VPC 엔드포인트 및 VPC 엔드포인트 서비스에 대한 ID 및 액세스 관리 섹션을 참조하세요.
Amazon VPC에서는 단일 리소스 정책을 VPC 엔드포인트에 연결하여 해당 엔드포인트를 통해 액세스 가능한 대상을 제한할 수 있도록 지원합니다. 특정 Amazon VPC 엔드포인트의 리소스에 대한 액세스를 제어하기 위해 리소스 기반 정책을 사용하는 방법에 대한 자세한 정보는 AWS PrivateLink 가이드의 엔드포인트 정책을 사용하여 서비스에 대한 액세스 제어 섹션을 참조하세요.
Amazon VPC에는 서비스 연결 역할이 없지만 AWS Transit Gateway에는 있습니다. 자세한 내용은 Amazon VPC AWS Transit Gateway 사용 설명서의 전송 게이트웨이에 대한 서비스 연결 역할 사용을 참조하세요.
AWS X-Ray
X-Ray는 모든 작업에 대해 리소스 수준 권한을 지원하지는 않습니다.
X-Ray는 그룹 및 샘플링 규칙에 대해 태그 기반 액세스 제어를 지원합니다.