리소스에 대한 액세스를 관리합니다. - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

리소스에 대한 액세스를 관리합니다.

권한 정책은 누가 무엇에 액세스할 수 있는지를 나타냅니다. 다음 섹션에서는 권한 정책을 만드는 데 사용 가능한 옵션에 대해 설명합니다.

참고

이 섹션에서는 AWS Control Tower의 맥락에서 IAM을 사용하는 방법을 설명합니다. IAM 서비스에 대한 자세한 정보는 다루지 않습니다. IAM 설명서 전체 내용은 IAM 사용 설명서IAM이란 무엇입니까? 섹션을 참조하세요. IAM 정책 구문과 설명에 대한 자세한 내용은 IAM 사용 설명서AWS IAM 정책 참조 섹션을 참조하세요.

IAM 자격 증명에 연결된 정책을 자격 증명 기반 정책 (IAM 정책) 이라고 합니다. 리소스에 연결된 정책을 리소스 기반 정책이라고 합니다.

참고

AWS Control Tower는 자격 증명 기반 정책 (IAM 정책) 만 지원합니다.

자격 증명 기반 정책 (IAM 정책) 에 대한 정보

정책을 IAM ID에 연계할 수 있습니다. 예를 들면, 다음을 수행할 수 있습니다:

  • 계정 내 사용자 또는 그룹에 권한 정책 연결 — 사용자에게 AWS Control Tower 리소스를 생성할 수 있는 권한 (예: landing zone 설정) 을 부여하려면 사용자가 속한 사용자 또는 그룹에 권한 정책을 연결할 수 있습니다.

  • 역할에 권한 정책 연결(교차 계정 권한 부여) – ID 기반 권한 정책을 IAM 역할에 연결하여 교차 계정 권한을 부여할 수 있습니다. 예를 들어 한 AWS 계정의 관리자 (계정 A) 가 다른 계정 (계정 B) 에 AWS 계정 간 권한을 부여하는 역할을 만들거나 관리자가 다른 AWS 서비스에 권한을 부여하는 역할을 만들 수 있습니다.

    1. 계정 A 관리자는 IAM 역할을 생성하고 계정 A의 리소스를 관리할 수 있는 권한을 부여하는 역할에 권한 정책을 연결합니다.

    2. 계정 A 관리자는 신뢰 정책을 역할에 연결합니다. 이 정책은 역할을 담당할 수 있는 보안 주체로 계정 B를 식별합니다.

    3. 계정 B 관리자는 계정 B의 모든 사용자에게 역할을 수임할 수 있는 권한을 부여할 수 있습니다. 이 역할을 맡으면 계정 B의 사용자는 계정 A의 리소스를 생성하거나 해당 리소스에 대한 액세스 권한을 얻을 수 있습니다.

    4. AWS 서비스에 역할을 수임할 수 있는 권한 (권한) 을 부여하려면 신뢰 정책에서 지정하는 보안 주체를 AWS 서비스라고 할 수 있습니다.

리소스 기반 정책

Amazon S3과 같은 다른 서비스도 리소스 기반 권한 정책을 지원합니다. 예를 들어, 정책을 S3 버킷에 연결하여 해당 버킷에 대한 액세스 권한을 관리할 수 있습니다. AWS Control Tower는 리소스 기반 정책을 지원하지 않습니다.