IAM JSON 정책 요소: Action - AWS Identity and Access Management

IAM JSON 정책 요소: Action

Action 요소는 특정 작업의 허용 또는 거부 여부를 지정합니다. 문에는 Action 또는 NotAction 요소가 반드시 추가되어야 합니다. AWS 서비스마다 실행할 수 있는 작업을 설명한 목록이 있습니다. 예를 들어 Amazon S3 작업 목록은 Amazon Simple Storage Service 개발자 가이드정책에서 권한 지정에서, Amazon EC2 작업 목록은 Amazon EC2 API Reference에서, 그리고 AWS Identity and Access Management 작업 목록은 IAM API Reference에서 확인할 수 있습니다. 그 밖에 다른 서비스의 작업 목록은 해당 서비스의 API 참조 설명서를 참조하십시오.

서비스 네임스페이스를 작업 접두사(iam, ec2 sqs, sns, s3 등)로 사용하고 허용 또는 거부할 작업 이름을 사용하여 값을 지정합니다. 이름은 서비스에서 지원되는 작업과 일치해야 합니다. 접두사와 작업 이름은 대/소문자를 구분하지 않습니다. 예를 들어 iam:ListAccessKeysIAM:listaccesskeys와 동일합니다. 다음은 각 서비스의 Action 요소를 나타낸 예제입니다.

Amazon SQS 작업

"Action": "sqs:SendMessage"

Amazon EC2 작업

"Action": "ec2:StartInstances"

IAM 작업

"Action": "iam:ChangePassword"

Amazon S3 작업

"Action": "s3:GetObject"

Action 요소는 다수의 값을 지정할 수도 있습니다.

"Action": [ "sqs:SendMessage", "sqs:ReceiveMessage", "ec2:StartInstances", "iam:ChangePassword", "s3:GetObject" ]

특정 AWS 제품이 제공하는 모든 작업에 대해 액세스 권한을 부여하려면 와일드카드(*)를 사용하면 됩니다. 예를 들어, 다음 Action 요소는 모든 S3 작업에 적용됩니다.

"Action": "s3:*"

와일드카드(*)는 작업 이름에도 사용할 수 있습니다. 예를 들어 다음 Action 요소는 CreateAccessKey, DeleteAccessKey, ListAccessKeys, UpdateAccessKey 등 문자열 AccessKey를 포함하는 IAM 작업 모두에게 적용됩니다.

"Action": "iam:*AccessKey*"

일부 서비스에서는 사용 가능한 작업을 제한할 수도 있습니다. 예를 들어 Amazon SQS에서는 가능한 모든 Amazon SQS 작업의 하위 집합만 사용할 수 있습니다. 이 경우 와일드카드(*)는 대기열 전체를 제어하지 못하고, 공유한 작업의 하위 집합만 제어가 가능합니다. 자세한 내용은 Amazon Simple Queue Service 개발자 안내서Understanding Permissions 단원을 참조하십시오.