ACM 리소스에 대한 액세스 관리 개요
모든AWS Certificate Manager(ACM) 리소스는 AWS 계정의 소유이고, 리소스 생성 또는 액세스 권한은 해당 계정의 권한 정책에 정의되어 있습니다. 계정 관리자는 IAM 자격 증명(사용자, 그룹 및 역할)에 권한 정책을 연결할 수 있습니다. 일부 서비스(ACM 포함)에서도 권한 정책을 리소스에 연결할 수 있습니다.
계정 관리자(또는 관리자 사용자)는 관리자 권한이 있는 사용자입니다. 자세한 내용은 IAM 사용 설명서의 관리자 사용자 및 그룹 만들기를 참조하세요.
권한을 관리할 때 권한을 받는 사용자, 받는 권한의 대상이 되는 리소스, 허용되는 특정 작업을 결정합니다.
ACM 리소스 및 작업
ACM에서는 인증서가 기본 리소스입니다. 다음 목록에 나와 있는 것처럼 인증서에는 고유한 Amazon 리소스 이름(ARN)이 연결됩니다.
-
ACM 인증서
ARN 형식:
arn:aws:acm:region:account:certificate/certificate_IDARN 예:
arn:aws:acm:us-west-2:123456789012:certificate/12345678-12ab-34cd-56ef-12345678
리소스 소유권 이해
리소스 소유자는 리소스를 만든 AWS계정입니다. 즉, 리소스 소유자는 리소스를 생성하는 요청을 인증하는 보안 주체 엔터티의 AWS 계정입니다. (보안 주체 엔터티는 AWS 계정 루트 사용자, IAM 사용자 또는 IAM 역할이 될 수 있음) 다음 예에서는 이 계정의 작동 방식을 설명합니다.
-
AWS 계정 루트 사용자의 자격 증명을 사용하여 ACM 인증서를 생성하면 해당 AWS 계정이 인증서의 소유자가 됩니다.
-
자신의 AWS 계정에 IAM 사용자를 만들고 그 사용자에게 ACM 인증서 생성 권한을 부여할 수 있습니다. 하지만 해당 사용자가 속한 계정이 인증서를 소유합니다.
-
AWS 계정에서 IAM 역할을 만들고 ACM 인증서 생성 권한을 부여한 경우, 해당 역할을 담당할 수 있는 사람은 누구나 인증서를 만들 수 있습니다. 하지만 해당 역할이 속한 계정이 인증서를 소유합니다.
ACM 인증서 액세스 관리
권한 정책은 누가 무엇에 액세스할 수 있는지를 나타냅니다. 이 단원에서는 권한 정책을 생성하기 위해 사용 가능한 옵션을 설명합니다.
이 섹션에서는 ACM의 맥락에서 IAM을 사용하는 방법에 대해 설명하며, IAM 서비스에 대한 자세한 정보는 다루지 않습니다. IAM 설명서 전체 내용은 IAM 사용 설명서를 참조하세요. IAM 정책 구문과 설명에 대한 자세한 내용은 IAM 정책 참조를 참조하세요.
IAM을 사용하여 IAM 사용자, 그룹 또는 역할에 권한을 적용하는 정책을 만들 수 있습니다. 이를 자격 증명 기반 정책이라고 합니다. IAM은 다음 유형의 자격 증명 기반 정책을 제공합니다.
-
AWS 관리형 정책 - AWS에서 생성 및 관리하는 정책입니다. AWS 계정에 속한 다수의 사용자, 그룹 및 역할에게 독립적으로 추가할 수 있는 정책입니다.
-
고객 관리형 정책 - AWS 계정에서 생성 및 관리하고 여러 사용자, 그룹 및 역할에 연결할 수 있는 정책입니다. 고객 관리형 정책을 사용할 경우에 AWS 관리형 정책을 사용할 때보다 더욱 정밀한 정책 제어가 가능합니다.
-
인라인 정책 - 자신이 생성 및 관리하며, 단일 사용자, 그룹 또는 역할에 직접 포함되는 정책입니다.
Amazon S3과 같은 다른 서비스도 리소스 기반 권한 정책을 지원합니다. 예를 들어 정책을 Amazon S3 버킷에 연결하여 해당 버킷에 대한 액세스 권한을 관리할 수 있습니다. ACM은 리소스 기반 정책을 지원하지 않습니다.
