Storage Gateway에 자격 증명 기반 정책 (IAM 정책) 사용 - AWSStorage Gateway

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Storage Gateway에 자격 증명 기반 정책 (IAM 정책) 사용

이 항목에서는 계정 관리자가 IAM 자격 증명(사용자, 그룹, 역할)에 권한 정책을 연결할 수 있는 자격 증명 기반 정책의 예를 제공합니다.

중요

먼저 Storage Gateway 리소스에 대한 액세스 관리를 위해 제공되는 기본 개념과 옵션 설명에 대한 소개 주제 부분을 우선 읽어 보는 것이 좋습니다. 자세한 정보는 Storage Gateway에 대한 액세스 권한 관리 개요을 참조하십시오.

이 주제의 섹션에서는 다음 내용을 학습합니다.

다음은 권한 정책의 예입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsSpecifiedActionsOnAllGateways", "Effect": "Allow", "Action": [ "storagegateway:ActivateGateway", "storagegateway:ListGateways" ], "Resource": "*" }, { "Sid": "AllowsSpecifiedEC2ActionsOnAllGateways", "Effect": "Allow", "Action": [ "ec2:DescribeSnapshots", "ec2:DeleteSnapshot" ], "Resource": "*" } ] }

정책에는 두 설명문이 있습니다(두 설명문 안의 ActionResource 요소에 주의).

  • 첫 번째 문은 두 Storage Gateway 작업에 대한 권한을 부여합니다.storagegateway:ActivateGatewaystoragegateway:ListGateways) 게이트웨이 리소스에서

    와일드카드 문자 (*) 는 이 문이 어떤 리소스와도 일치할 수 있음을 뜻합니다. 이 경우 이 명령문은 다음을 허용합니다.storagegateway:ActivateGatewaystoragegateway:ListGateways모든 게이트웨이에서 작업을 수행합니다. 와일드카드 문자가 게이트웨이를 생성한 후에라야 리소스 ID를 알 수 있으므로 여기서 와일드카드 문자가 사용됩니다. 정책에서 와일드카드 문자(*)를 사용하는 방법에 대한 정보는 예제 2: 게이트웨이에 대한 읽기 전용 액세스 허용 단원을 참조하십시오.

    참고

    ARN이 고유하게 식별AWS있습니다. 자세한 내용은 AWS General ReferenceAmazon Resource Names (ARNs) and AWS Service Namespaces를 참조하세요.

    특정 작업을 사용할 수 있는 권한을 특정 게이트웨이에만 부여하려면 정책에서 그 작업에 대해 별도의 설명문을 생성하고 그 설명문에 게이트웨이 ID를 지정하십시오.

     

  • 두 번째 설명문은 ec2:DescribeSnapshotsec2:DeleteSnapshot 작업을 사용할 수 있는 권한을 부여합니다. Storage Gateway 게이트웨이에서 생성한 스냅샷은 Amazon EBS (엘라스틱 블록 스토어) 에 저장되고 Amazon EC2 리소스로 관리되므로 이 Amazon 엘라스틱 컴퓨팅 클라우드 (Amazon EC2) 작업을 하려면 권한이 필요하고, 따라서 해당 EC2 작업이 필요합니다. 자세한 내용은 단원을 참조하십시오.작업Amazon EC2 API 레퍼런스. 이러한 Amazon EC2 작업은 리소스 수준 권한을 지원하지 않으므로 정책은 와일드카드 문자 (*) 를Resource게이트웨이 ARN을 지정하는 대신 값입니다.

모든 Storage Gateway API 작업과 해당 작업이 적용되는 리소스를 보여주는 표는 단원을 참조하십시오.Storage Gateway API 권한: 작업, 리소스 및 조건 참조.

Storage Gateway 콘솔 사용에 필요한 권한

Storage Gateway 콘솔을 사용하려면 읽기 전용 권한을 부여해야 합니다. 스냅샷을 설명할 계획이라면 다음 권한 정책과 같이 추가 작업에 대한 권한도 부여해야 합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsSpecifiedEC2ActionOnAllGateways", "Effect": "Allow", "Action": [ "ec2:DescribeSnapshots" ], "Resource": "*" } ] }

이 추가 권한이 필요한 이유는 Storage Gateway 게이트웨이에서 생성한 Amazon EBS 스냅샷이 Amazon EC2 리소스로 관리되기 때문입니다.

Storage Gateway 콘솔을 탐색하는 데 필요한 최소 권한을 설정하려면 단원을 참조하십시오.예제 2: 게이트웨이에 대한 읽기 전용 액세스 허용.

AWSStorage Gateway 대한 관리형 정책

Amazon Web Services Services는 에서 생성하고 관리하는 독립형 IAM 정책을 제공하여 많은 일반 사용 사례를 처리합니다.AWS. 관리형 정책은 사용자가 필요한 권한을 조사할 필요가 없도록 일반 사용 사례에 필요한 권한을 부여합니다. 에 대한 자세한 내용AWS관리 정책 단원을 참조하십시오.AWS관리형 정책IAM 사용 설명서.

다음과 같습니다.AWS계정의 사용자에게 연결할 수 있는 관리형 정책은 Storage Gateway에 고유합니다.

  • AWS스토리지게이트웨일레독으로 액세스— 에 대한 읽기 전용 액세스 권한을 부여합니다.AWS Storage Gateway있습니다.

  • AWS스토리지게이트웨이 풀 액세스— 에 대한 전체 액세스 권한을 부여합니다.AWS Storage Gateway있습니다.

참고

IAM 콘솔에 로그인하고 이 콘솔에서 특정 정책을 검색하여 이러한 권한 정책을 검토할 수 있습니다.

고유의 사용자 지정 IAM 정책을 생성하여 AWS Storage Gateway API 작업에 대한 권한을 허용할 수도 있습니다. 해당 권한이 필요한 IAM 사용자 또는 그룹에 이러한 사용자 지정 정책을 연결할 수 있습니다.

고객 관리형 정책 예

이 단원에서는 다양한 Storage Gateway 작업에 대한 권한을 부여하는 사용자 정책의 예를 제공합니다. 이러한 정책은 사용 중인 경우에 유효합니다.AWSSDK 및AWS CLI. 콘솔을 사용하는 경우 Storage Gateway 콘솔 사용에 필요한 권한의 설명과 같이 콘솔에 특정한 추가 권한을 부여해야 합니다.

참고

모든 예에서는 미국 서부(오리건) 리전(us-west-2)을 사용하며 가상의 계정 ID를 포함합니다.

예제 1: 모든 게이트웨이에서 모든 Storage Gateway 작업 허용

다음 정책은 사용자가 모든 Storage Gateway 작업을 수행할 수 있도록 허용합니다. 이 정책은 사용자가 Amazon EC2 작업을 수행할 수도 있도록 허용합니다.DescribeSnapshotsDeleteSnapshot) Storage Gateway 게이트웨이에서 생성된 Amazon EBS 스냅샷입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsAllAWSStorageGatewayActions", "Action": [ "storagegateway:*" ], "Effect": "Allow", "Resource": "*" }, {You can use Windows ACLs only with file shares that are enabled for Active Directory. "Sid": "AllowsSpecifiedEC2Actions", "Action": [ "ec2:DescribeSnapshots", "ec2:DeleteSnapshot" ], "Effect": "Allow", "Resource": "*" } ] }

예제 2: 게이트웨이에 대한 읽기 전용 액세스 허용

다음의 정책은 모든 리소스에 대한 모든 List*Describe* 작업을 허용합니다. 이 작업들은 읽기 전용 작업임에 유의하십시오. 따라서 정책은 사용자가 리소스의 상태를 변경하도록 허용하지 않습니다. 즉, 정책에서는 사용자가 다음과 같은 작업을 수행하도록 허용하지 않습니다.DeleteGateway,ActivateGateway, 및ShutdownGateway.

이 정책은 DescribeSnapshots Amazon EC2 작업도 허용합니다. 자세한 내용은 단원을 참조하십시오.DescribeSnapshotsAmazon EC2 API 레퍼런스.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowReadOnlyAccessToAllGateways", "Action": [ "storagegateway:List*", "storagegateway:Describe*" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "AllowsUserToDescribeSnapshotsOnAllGateways", "Action": [ "ec2:DescribeSnapshots" ], "Effect": "Allow", "Resource": "*" } ] }

이전 정책에서는 와일드카드 문자(*)를 사용하는 대신에 다음 예시와 같이 정책이 적용되는 리소스를 특정 게이트웨이에 한정할 수 있습니다. 그러면 정책은 특정 게이트웨이에서만 해당 작업을 허용합니다.

"Resource": [ "arn:aws:storagegateway:us-west-2:123456789012:gateway/gateway-id/", "arn:aws:storagegateway:us-west-2:123456789012:gateway/gateway-id/*" ]

게이트웨이 내에서는 다음 예시와 같이 리소스의 범위를 게이트웨이 볼륨만으로 더 제한할 수 있습니다.

"Resource": "arn:aws:storagegateway:us-west-2:123456789012:gateway/gateway-id/volume/*"

예제 3: 특정 게이트웨이에 대한 액세스 허용

다음의 정책은 특정 게이트웨이에서의 모든 작업을 허용합니다. 사용자는 자신이 배포했을 수 있는 기타 게이트웨이에 액세스할 수 없도록 제한을 받습니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowReadOnlyAccessToAllGateways", "Action": [ "storagegateway:List*", "storagegateway:Describe*" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "AllowsUserToDescribeSnapshotsOnAllGateways", "Action": [ "ec2:DescribeSnapshots" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "AllowsAllActionsOnSpecificGateway", "Action": [ "storagegateway:*" ], "Effect": "Allow", "Resource": [ "arn:aws:storagegateway:us-west-2:123456789012:gateway/gateway-id/", "arn:aws:storagegateway:us-west-2:123456789012:gateway/gateway-id/*" ] } ] }

이전의 정책에서는 정책에 연결된 사용자가 API 또는AWS게이트웨이에 액세스하기 위한 SDK입니다. 그러나 사용자가 Storage Gateway 콘솔을 사용하려고 하는 경우에는 를 허용할 수 있는 권한도 부여해야 합니다.ListGateways다음 예제에 표시된 대로 을 사용합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsAllActionsOnSpecificGateway", "Action": [ "storagegateway:*" ], "Effect": "Allow", "Resource": [ "arn:aws:storagegateway:us-west-2:123456789012:gateway/gateway-id/", "arn:aws:storagegateway:us-west-2:123456789012:gateway/gateway-id/*" ] }, { "Sid": "AllowsUserToUseAWSConsole", "Action": [ "storagegateway:ListGateways" ], "Effect": "Allow", "Resource": "*" } ] }

예 4: 사용자가 특정 볼륨에 액세스할 수 있도록 허용

다음 정책은 사용자가 게이트웨이의 특정 볼륨에 대해 모든 작업을 수행하도록 허용합니다. 사용자가 모든 권한을 기본적으로 받는 것은 아니기 때문에 정책은 사용자가 특정 볼륨에만 액세스하도록 제한합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GrantsPermissionsToSpecificVolume", "Action": [ "storagegateway:*" ], "Effect": "Allow", "Resource": "arn:aws:storagegateway:us-west-2:123456789012:gateway/gateway-id/volume/volume-id" }, { "Sid": "GrantsPermissionsToUseStorageGatewayConsole", "Action": [ "storagegateway:ListGateways" ], "Effect": "Allow", "Resource": "*" } ] }

이전의 정책에서는 정책에 연결된 사용자가 API 또는AWS볼륨에 액세스하기 위한 SDK입니다. 그러나 이 사용자가AWS Storage Gateway또한 콘솔을 허용하는 권한을 부여할 수도 있습니다.ListGateways다음 예제에 표시된 대로 을 사용합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GrantsPermissionsToSpecificVolume", "Action": [ "storagegateway:*" ], "Effect": "Allow", "Resource": "arn:aws:storagegateway:us-west-2:123456789012:gateway/gateway-id/volume/volume-id" }, { "Sid": "GrantsPermissionsToUseStorageGatewayConsole", "Action": [ "storagegateway:ListGateways" ], "Effect": "Allow", "Resource": "*" } ] }

예 5: 특정 접두사가 있는 게이트웨이에 대한 모든 작업 허용

다음 정책은 이름이 로 시작하는 게이트웨이에 대해 사용자가 모든 Storage Gateway 작업을 수행하도록 허용합니다.DeptX. 이 정책은 또한 허용합니다.DescribeSnapshots스냅샷을 설명하려는 경우에 필요한 Amazon EC2 작업입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsActionsGatewayWithPrefixDeptX", "Action": [ "storagegateway:*" ], "Effect": "Allow", "Resource": "arn:aws:storagegateway:us-west-2:123456789012:gateway/DeptX" }, { "Sid": "GrantsPermissionsToSpecifiedAction", "Action": [ "ec2:DescribeSnapshots" ], "Effect": "Allow", "Resource": "*" } ] }

이전의 정책에서는 정책에 연결된 사용자가 API 또는AWS게이트웨이에 액세스하기 위한 SDK입니다. 그러나 이 사용자가AWS Storage Gateway콘솔에서 설명한 대로 추가 권한을 부여해야 합니다.예제 3: 특정 게이트웨이에 대한 액세스 허용.