기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
IAM 정책을 사용한 액세스 관리
IAM 정책은 작업 및 리소스 사용 권한을 정의하는 JSON 객체입니다.
정책을 생성하고 이를 AWS ID 또는 리소스에 AWS 연결하여 액세스를 제어할 수 있습니다. 정책은 ID 또는 리소스와 연결될 때 AWS 해당 권한을 정의하는 객체입니다. AWS 주도자 (사용자, 루트 사용자 또는 역할 세션) 가 요청할 때 이러한 정책을 평가합니다. 정책의 권한이 요청 허용 또는 거부 여부를 결정합니다. 대부분의 정책은 JSON 문서로 AWS 저장됩니다. JSON 정책 문서의 구조와 콘텐츠에 대한 자세한 정보는 IAM 사용 설명서의 JSON 정책 개요를 참조하십시오.
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 보안 주체가 어떤 리소스와 어떤 조건에서 작업을 수행할 수 있는지를 지정할 수 있습니다.
기본적으로, 사용자와 역할에는 어떠한 권한도 없습니다. 사용자에게 사용자가 필요한 리소스에서 작업을 수행할 권한을 부여하려면 IAM 관리자가 IAM 정책을 생성하면 됩니다. 그런 다음 관리자가 IAM 정책을 역할에 추가하고, 사용자가 역할을 수임할 수 있습니다.
IAM 정책은 작업을 수행하기 위해 사용하는 방법과 상관없이 작업에 대한 권한을 정의합니다. 예를 들어, iam:GetRole태스크를 허용하는 정책이 있다고 가정합니다. 해당 정책을 사용하는 사용자는 AWS Management Console, AWS CLI, 또는 AWS
API에서 역할 정보를 가져올 수 있습니다.
자격 증명 기반 정책
보안 인증 기반 정책은 IAM 사용자, 사용자 그룹 또는 역할과 같은 보안 인증에 연결할 수 있는 JSON 권한 정책 문서입니다. 이러한 정책은 사용자와 역할이 어떤 리소스와 어떤 조건에서 어떤 작업을 수행할 수 있는지를 제어합니다. 자격 증명 기반 정책을 생성하는 방법을 알아보려면 IAM 사용 설명서의 IAM 정책 생성을 참조하십시오.
자격 증명 기반 정책은 인라인 정책 또는 관리형 정책으로 한층 더 분류할 수 있습니다. 인라인 정책은 단일 사용자, 그룹 또는 역할에 직접 포함됩니다. 관리형 정책은 내 여러 사용자, 그룹 및 역할에 연결할 수 있는 독립형 정책입니다. AWS 계정관리형 정책에는 AWS 관리형 정책과 고객 관리형 정책이 포함됩니다. 관리형 정책 또는 인라인 정책을 선택하는 방법을 알아보려면 IAM 사용 설명서의 관리형 정책과 인라인 정책의 선택을 참조하십시오.
조직에서의 서비스 제어 정책 (SCP) 사용 AWS
서비스 제어 정책 (SCP) 은 조직 또는 조직 단위 (OU) 에 대한 최대 권한을 지정하는 JSON 정책입니다. AWS Organizations
조직 AWS 내 계정에 Amazon Neptune을 배포하는 고객은 SCP를 활용하여 AWS Neptune을 사용할 수 있는 계정을 제어할 수 있습니다. 멤버 계정 내에서 Neptune에 액세스할 수 있도록 하려면 각각 neptune:* 및 neptune-db:*를 사용하여 컨트롤 플레인 및 데이터 플레인 IAM 작업 모두에 대한 액세스를 허용해야 합니다.
Amazon Neptune 콘솔 사용에 필요한 권한
Amazon Neptune 콘솔에서 작업하려면 최소한의 권한이 사용자에게 필요합니다. 이러한 권한이 있어야만 사용자가 자신의 AWS 계정에서 사용할 Neptune 리소스를 설명하고, Amazon EC2 보안 및 네트워크 정보를 포함하는 다른 관련 정보를 제공할 수 있습니다.
최소 필수 권한보다 더 제한적인 IAM 정책을 만들면 콘솔은 해당 IAM 정책에 연결된 사용자에 대해 의도대로 작동하지 않습니다. 사용자가 Neptune 콘솔을 사용할 수 있도록 하려면 NeptuneReadOnlyAccess 관리형 정책을 사용자에게 연결합니다(AWS Amazon Neptune의 관리형 (사전 정의된) 정책 참조).
Amazon Neptune API만 호출하는 사용자에게 최소 콘솔 권한을 허용할 필요는 없습니다. AWS CLI
IAM 정책을 IAM 사용자에게 연결
관리형 정책 또는 사용자 지정 정책을 적용하려면 IAM 사용자에게 연결합니다. 이번 주제에 대한 자습서는 IAM 사용자 안내서의 첫 번째 고객 관리형 정책 생성 및 연결을 참조하세요.
자습서를 읽어보면 이번 단원에서 소개하는 정책 예제 중 한 가지를 출발점으로 자신만의 요건에 따라 지정하여 사용할 수 있습니다. 자습서를 끝까지 따르다 보면 연결된 정책을 통해 neptune-db:* 작업이 가능한 IAM 사용자를 얻게 됩니다.
중요
-
IAM 정책에 대한 변경 사항을 지정된 Neptune 리소스에 적용하는 데 최대 10분이 소요됩니다.
-
Neptune DB 클러스터에 적용되는 IAM 정책은 해당 클러스터의 모든 인스턴스에 적용됩니다.
Neptune에 대한 액세스를 제어하는 데 다양한 종류의 IAM 정책 사용
Neptune 관리 작업 또는 Neptune DB 클러스터의 데이터에 대한 액세스를 제공하려면 정책을 IAM 사용자 또는 역할에 연결합니다. IAM 정책을 사용자에게 연결하는 방법에 대한 자세한 내용은 IAM 정책을 IAM 사용자에게 연결을 참조하세요. 역할에 정책을 연결하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 IAM 정책 추가 및 제거를 참조하세요.
Neptune에 대한 일반 액세스의 경우 Neptune의 관리형 정책 중 하나를 사용할 수 있습니다. 액세스를 추가로 제한하려면 Neptune이 지원하는 관리 작업 및 리소스를 사용하여 사용자 지정 정책을 만들 수 있습니다.
사용자 지정 IAM 정책에서는 Neptune DB 클러스터에 대한 다양한 액세스 모드를 제어하는 두 종류의 정책문을 사용할 수 있습니다.
-
관리 정책문 – 관리 정책문은 DB 클러스터와 해당 인스턴스를 생성, 구성 및 관리하는 데 사용하는 Neptune 관리 API에 대한 액세스를 제공합니다.
Neptune은 Amazon RDS와 기능을 공유하므로, Neptune 정책의 관리 작업, 리소스 및 조건 키는 설계상
rds:접두사를 사용합니다. -
데이터 액세스 정책문 – 데이터 액세스 정책문은 데이터 액세스 작업, 리소스 및 조건 키를 사용하여 DB 클러스터에 포함된 데이터에 대한 액세스를 제어합니다.
Neptune 데이터 액세스 작업, 리소스 및 조건 키는
neptune-db:접두사를 사용합니다.
Amazon Neptune에서 IAM 조건 컨텍스트 키 사용
Neptune에 대한 액세스를 제어하는 IAM 정책문에 조건을 지정할 수 있습니다. 이 정책문은 조건이 true일 때만 유효합니다.
예를 들어, 특정 날짜 이후에만 정책문이 적용되기를 원하거나 요청에 특정 값이 있는 경우에만 액세스를 허용하기를 원할 수 있습니다.
조건을 표시하려면 같음, 미만 등 IAM 조건 정책 연산자와 함께 정책문의 Condition 요소에서 미리 정의된 조건 키를 사용합니다.
한 문에서 여러 Condition요소를 지정하거나 단일 Condition요소에서 여러 키를 지정하는 경우 AWS 는 논리적 AND태스크를 사용하여 평가합니다. 단일 조건 키에 여러 값을 지정하는 경우 는 논리적 연산을 사용하여 조건을 AWS 평가합니다. OR 명령문의 권한을 부여하기 전에 모든 조건을 충족해야 합니다.
조건을 지정할 때 자리 표시자 변수를 사용할 수도 있습니다. 예를 들어, IAM 사용자에게 IAM 사용자 이름으로 태그가 지정된 경우에만 리소스에 액세스할 수 있는 권한을 부여할 수 있습니다. 자세한 정보는 IAM 사용 설명서의 IAM 정책 요소: 변수 및 태그를 참조하세요.
조건 키의 데이터 유형은 요청의 값을 정책문의 값과 비교하는 데 사용할 수 있는 조건 연산자를 결정합니다. 해당 데이터 유형과 호환되지 않는 조건 연산자를 사용하면 매치가 항상 실패하고 정책문이 적용되지 않습니다.
Neptune은 관리 정책문에 대해 데이터 액세스 정책문과 다른 조건 키 세트를 지원합니다.
Amazon Neptune의 IAM 정책 및 액세스 제어 기능에 대한 지원
다음 표에는 Neptune이 관리 정책문 및 데이터 액세스 정책문에 지원하는 IAM 기능이 나와 있습니다.
Neptune을 통해 사용할 수 있는 IAM 기능 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| IAM 특성 | 관리 | 데이터 액세스 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
예 |
예 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
아니요 |
아니요 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
예 |
예 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
예 |
예 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
예 |
(하위 세트) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
예 |
아니요 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
아니요 |
아니요 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
예 |
예 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
예 |
아니요 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
IAM 정책 제한
IAM 정책에 대한 변경 사항을 지정된 Neptune 리소스에 적용하는 데 최대 10분이 소요됩니다.
Neptune DB 클러스터에 적용되는 IAM 정책은 해당 클러스터의 모든 인스턴스에 적용됩니다.
Neptune은 현재 크로스 계정 액세스 제어를 지원하지 않습니다.
