기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
IAM정책을 사용한 액세스 관리
IAM정책은 작업 및 리소스 사용 권한을 정의하는 JSON 객체입니다.
에서 액세스를 제어할 수 있습니다. AWS 정책을 생성하여 정책에 연결함으로써 AWS ID 또는 리소스 정책은 다음의 객체입니다. AWS 이는 ID 또는 리소스와 연결될 경우 해당 권한을 정의합니다. AWS 보안 주체 (사용자, 루트 사용자 또는 역할 세션) 가 요청할 때 이러한 정책을 평가합니다. 정책에서 권한은 요청이 허용되거나 거부되는 지를 결정합니다. 대부분의 정책은 다음 위치에 저장됩니다. AWS JSON문서로. JSON정책 문서의 구조 및 내용에 대한 자세한 내용은 IAM사용 설명서의 JSON 정책 개요를 참조하십시오.
관리자는 다음을 사용할 수 있습니다. AWS JSON정책을 통해 누가 무엇에 액세스할 수 있는지 지정합니다. 즉, 어떤 보안 주체가 어떤 리소스와 어떤 조건에서 작업을 수행할 수 있는지를 지정할 수 있습니다.
기본적으로, 사용자와 역할에는 어떠한 권한도 없습니다. IAM관리자는 IAM 정책을 생성하여 필요한 리소스에서 작업을 수행할 수 있는 권한을 사용자에게 부여할 수 있습니다. 그러면 관리자가 역할에 IAM 정책을 추가할 수 있으며, 사용자는 역할을 수임할 수 있습니다.
IAM정책은 작업을 수행하는 데 사용하는 방법에 관계없이 작업에 대한 권한을 정의합니다. 예를 들어, iam:GetRole 작업을 허용하는 정책이 있다고 가정합니다. 해당 정책을 사용하는 사용자는 에서 역할 정보를 가져올 수 있습니다. AWS Management Console, AWS CLI, 또는 AWS
API.
자격 증명 기반 정책
ID 기반 정책은 IAM 사용자, 사용자 그룹 또는 역할과 같은 ID에 연결할 수 있는 JSON 권한 정책 문서입니다. 이러한 정책은 사용자와 역할이 어떤 리소스와 어떤 조건에서 어떤 작업을 수행할 수 있는지를 제어합니다. ID 기반 정책을 만드는 방법을 알아보려면 사용 설명서의 IAM정책 생성을 참조하십시오. IAM
보안 인증 기반 정책은 인라인 정책 또는 관리형 정책으로 한층 더 분류할 수 있습니다. 인라인 정책은 단일 사용자, 그룹 또는 역할에 직접 포함됩니다. 관리형 정책은 조직의 여러 사용자, 그룹 및 역할에 연결할 수 있는 독립형 정책입니다. AWS 계정. 관리형 정책에는 다음이 포함됩니다. AWS 관리형 정책 및 고객 관리형 정책. 관리형 정책과 인라인 정책 중에서 선택하는 방법을 알아보려면 IAM사용 설명서의 관리형 정책과 인라인 정책 중 선택을 참조하십시오.
서비스 제어 정책 () SCP 을 다음과 함께 사용 AWS organizations
서비스 제어 정책 (SCPs) 은 조직 또는 OU (조직 구성 단위) 에 대한 최대 권한을 지정하는 JSON 정책입니다. AWS Organizations
Amazon Neptune을 배포하는 고객 AWS 계정 내 계정 AWS 조직은 어떤 계정이 Neptune을 사용할 수 있는지 제어하는 SCPs 데 활용할 수 있습니다. 멤버 계정 내에서 Neptune에 액세스할 수 있도록 하려면 각각 및 를 사용하여 컨트롤 플레인 및 데이터 IAM 플레인 작업 모두에 대한 액세스를 허용해야 합니다. neptune:* neptune-db:*
Amazon Neptune 콘솔 사용에 필요한 권한
Amazon Neptune 콘솔에서 작업하려면 최소한의 권한이 사용자에게 필요합니다. 이러한 권한을 통해 사용자는 자신의 Neptune 리소스를 설명할 수 있습니다. AWS 계정을 생성하고 Amazon EC2 보안 및 네트워크 정보를 비롯한 기타 관련 정보를 제공합니다.
필요한 최소 권한보다 더 제한적인 IAM 정책을 생성하면 해당 IAM 정책을 사용하는 사용자에게 콘솔이 제대로 작동하지 않습니다. 사용자가 Neptune 콘솔을 사용할 수 있도록 하려면 NeptuneReadOnlyAccess 관리형 정책을 사용자에게 연결합니다(AWS Amazon Neptune의 관리형 (사전 정의된) 정책 참조).
콘솔로만 전화를 거는 사용자에게는 최소 콘솔 권한을 허용할 필요가 없습니다. AWS CLI 아니면 아마존 넵튠API.
사용자에게 IAM 정책 연결 IAM
관리형 또는 사용자 지정 정책을 적용하려면 IAM 사용자에게 정책을 연결합니다. 이 주제에 대한 자습서는 IAM사용 설명서의 첫 번째 고객 관리형 정책 생성 및 연결을 참조하십시오.
자습서를 읽어보면 이번 단원에서 소개하는 정책 예제 중 한 가지를 출발점으로 자신만의 요건에 따라 지정하여 사용할 수 있습니다. 자습서를 마치면 정책을 연결한 IAM 사용자가 이 neptune-db:* 작업을 사용할 수 있습니다.
중요
-
IAM정책 변경 사항이 지정된 Neptune 리소스에 적용되는 데 최대 10분이 소요됩니다.
-
IAMNeptune DB 클러스터에 적용된 정책은 해당 클러스터의 모든 인스턴스에 적용됩니다.
Neptune에 대한 액세스 제어를 위한 다양한 IAM 정책 사용
Neptune 관리 작업 또는 Neptune DB 클러스터의 데이터에 대한 액세스를 제공하려면 정책을 사용자 또는 역할에 연결합니다. IAM IAM정책을 사용자에게 연결하는 방법에 대한 자세한 내용은 을 참조하십시오. 사용자에게 IAM 정책 연결 IAM 역할에 정책을 연결하는 방법에 대한 자세한 내용은 IAM사용 설명서의 IAM 정책 추가 및 제거를 참조하십시오.
Neptune에 대한 일반 액세스의 경우 Neptune의 관리형 정책 중 하나를 사용할 수 있습니다. 액세스를 추가로 제한하려면 Neptune이 지원하는 관리 작업 및 리소스를 사용하여 사용자 지정 정책을 만들 수 있습니다.
사용자 지정 IAM 정책에서는 Neptune DB 클러스터에 대한 다양한 액세스 모드를 제어하는 두 종류의 정책 설명을 사용할 수 있습니다.
-
관리 정책 설명 — 관리 정책 설명은 DB 클러스터와 해당 인스턴스를 생성, 구성 및 관리하는 데 사용하는 Neptune APIs 관리에 대한 액세스를 제공합니다.
Neptune은 RDS Amazon과 기능을 공유하므로 Neptune 정책의 관리 작업, 리소스 및 조건 키는 설계상 접두사를 사용합니다.
rds: -
데이터 액세스 정책문 – 데이터 액세스 정책문은 데이터 액세스 작업, 리소스 및 조건 키를 사용하여 DB 클러스터에 포함된 데이터에 대한 액세스를 제어합니다.
Neptune 데이터 액세스 작업, 리소스 및 조건 키는
neptune-db:접두사를 사용합니다.
Amazon Neptune에서 IAM 조건 컨텍스트 키 사용
IAM정책 설명에서 Neptune에 대한 액세스를 제어하는 조건을 지정할 수 있습니다. 이 정책문은 조건이 true일 때만 유효합니다.
예를 들어, 특정 날짜 이후에만 정책문이 적용되기를 원하거나 요청에 특정 값이 있는 경우에만 액세스를 허용하기를 원할 수 있습니다.
조건을 표현하려면 같거나 작음과 같은 조건 정책 연산자와 함께 정책 설명의 Condition요소에 사전 정의된 IAM 조건 키를 사용합니다.
명령문에 여러 Condition 요소를 지정하거나 단일 Condition 요소에 여러 키를 지정하는 경우 AWS 논리 AND 연산을 사용하여 요소를 평가합니다. 단일 조건 키에 여러 값을 지정하는 경우 AWS 논리 OR 연산을 사용하여 조건을 평가합니다. 명문의 권한을 부여하기 전에 모든 조건을 충족해야 합니다.
조건을 지정할 때 자리 표시자 변수를 사용할 수도 있습니다. 예를 들어 리소스에 IAM 사용자 이름이 태그가 지정된 경우에만 리소스에 액세스할 수 있는 권한을 IAM 사용자에게 부여할 수 있습니다. 자세한 내용은 IAM사용 설명서의 IAM 정책 요소: 변수 및 태그를 참조하십시오.
조건 키의 데이터 유형은 요청의 값을 정책문의 값과 비교하는 데 사용할 수 있는 조건 연산자를 결정합니다. 해당 데이터 유형과 호환되지 않는 조건 연산자를 사용하면 매치가 항상 실패하고 정책문이 적용되지 않습니다.
Neptune은 관리 정책문에 대해 데이터 액세스 정책문과 다른 조건 키 세트를 지원합니다.
Amazon Neptune의 IAM 정책 및 액세스 제어 기능에 대한 지원
다음 표에는 관리 정책 설명 및 데이터 액세스 정책 설명에 대해 Neptune이 지원하는 IAM 기능이 나와 있습니다.
IAMNeptune과 함께 사용할 수 있는 기능 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| IAM특징 | 관리 | 데이터 액세스 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
예 |
예 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
아니요 |
아니요 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
예 |
예 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
예 |
예 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
예 |
(하위 세트) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
예 |
아니요 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
아니요 |
아니요 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
예 |
예 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
예 |
아니요 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
IAM정책 제한
IAM정책 변경 사항이 지정된 Neptune 리소스에 적용되는 데 최대 10분이 소요됩니다.
IAMNeptune DB 클러스터에 적용된 정책은 해당 클러스터의 모든 인스턴스에 적용됩니다.
Neptune은 현재 크로스 계정 액세스 제어를 지원하지 않습니다.
