기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Service Catalog에 사용되는 작업, 리소스 및 조건 키
AWS Service Catalog(서비스 접두사: servicecatalog)는 IAM 권한 정책에 사용할 수 있는 다음과 같은 서비스별 리소스, 작업 및 조건 컨텍스트 키를 제공합니다.
참조:
-
이 서비스를 구성하는 방법을 알아봅니다.
-
이 서비스에 사용 가능한 API 작업의 목록을 봅니다.
-
IAM 권한 정책을 사용하여 이 서비스와 리소스를 보호하는 방법을 알아봅니다.
AWS Service Catalog에서 정의한 작업
IAM 정책 설명의 Action 요소에서 다음 작업을 지정할 수 있습니다. 정책을 사용하여 AWS에서 작업할 수 있는 권한을 부여합니다. 정책에서 작업을 사용하면 일반적으로 이름이 같은 API 작업 또는 CLI 명령에 대한 액세스를 허용하거나 거부합니다. 그러나 경우에 따라 하나의 작업으로 둘 이상의 작업에 대한 액세스가 제어됩니다. 또는 일부 작업을 수행하려면 다양한 작업이 필요합니다.
작업 테이블의 리소스 유형 열에는 각 작업이 리소스 수준 권한을 지원하는지 여부가 표시됩니다. 리소스 열에 값이 없으면 정책 문의 Resource 요소에서 정책이 적용되는 모든 리소스("*")를 지정해야 합니다. 리소스 열에 리소스 유형이 포함되어 있으면 해당 작업 시 문에서 해당 유형의 ARN을 지정할 수 있습니다. 작업에 필요한 리소스가 하나 이상 있는 경우, 호출자에게 해당 리소스와 함께 작업을 사용할 수 있는 권한이 있어야 합니다. 필수 리소스는 테이블에서 별표(*)로 표시됩니다. IAM 정책의 Resource 요소로 리소스 액세스를 제한하는 경우, 각 필수 리소스 유형에 대해 ARN 또는 패턴을 포함해야 합니다. 일부 작업은 다수의 리소스 유형을 지원합니다. 리소스 유형이 옵션(필수 리소스로 표시되지 않은 경우)인 경우에는 선택적 리소스 유형 중 하나를 사용하도록 선택할 수 있습니다.
작업 테이블의 조건 키 열에는 정책 설명의 Condition 요소에서 지정할 수 있는 키가 포함됩니다. 서비스의 리소스와 연결된 조건 키에 대한 자세한 내용은 리소스 유형 테이블의 조건 키 열을 참조하세요.
참고
리소스 조건 키는 리소스 유형 표에 나열되어 있습니다. 작업에 적용되는 리소스 유형에 대한 링크는 리소스 유형(*필수) 작업 표의 열에서 찾을 수 있습니다. 리소스 유형 테이블의 리소스 유형에는 조건 키 열이 포함되고 이는 작업 표의 작업에 적용되는 리소스 조건 키입니다.
다음 테이블의 열에 대한 자세한 내용은 작업 테이블을 참조하세요.
| 작업 | 설명 | 액세스 레벨 | 리소스 유형(*필수) | 조건 키 | 종속 작업 |
|---|---|---|---|---|---|
| AcceptPortfolioShare | 사용자와 공유된 포트폴리오를 수락할 수 있는 권한을 부여합니다. | Write | |||
| AssociateAttributeGroup | 속성 그룹을 애플리케이션과 연결할 수 있는 권한을 부여합니다. | Write | |||
| AssociateBudgetWithResource | 예산을 리소스와 연결할 수 있는 권한을 부여합니다. | Write | |||
| AssociatePrincipalWithPortfolio | IAM 보안 주체를 포트폴리오와 연결하여, 지정된 포트폴리오와 연결된 제품에 대한 지정된 보안 주체 액세스를 제공할 수 있는 권한을 부여합니다. | Write | |||
| AssociateProductWithPortfolio | 제품을 포트폴리오와 연결할 수 있는 권한을 부여합니다. | Write | |||
| AssociateResource | 리소스를 애플리케이션과 연결할 수 있는 권한을 부여합니다. | Write |
cloudformation:DescribeStacks resource-groups:CreateGroup resource-groups:GetGroup resource-groups:Tag |
||
| AssociateServiceActionWithProvisioningArtifact | 작업을 프로비저닝 아티팩트와 연결할 수 있는 권한을 부여합니다. | Write | |||
| AssociateTagOptionWithResource | 지정된 TagOption을 지정된 포트폴리오 또는 제품과 연결할 수 있는 권한을 부여합니다. | Write | |||
| BatchAssociateServiceActionWithProvisioningArtifact | 여러 셀프 서비스 작업을 프로비저닝 아티팩트와 연결할 수 있는 권한을 부여합니다. | Write | |||
| BatchDisassociateServiceActionFromProvisioningArtifact | 지정된 프로비저닝 아티팩트에서 셀프 서비스 작업 배치를 연결 해제할 수 있는 권한을 부여합니다. | Write | |||
| CopyProduct | 지정된 소스 제품을 지정된 대상 제품 또는 새 제품으로 복사할 수 있는 권한을 부여합니다. | Write | |||
| CreateApplication | 애플리케이션을 생성할 수 있는 권한을 부여합니다. | Write |
iam:CreateServiceLinkedRole |
||
| CreateAttributeGroup | 속성 그룹을 생성할 수 있는 권한을 부여합니다. | Write | |||
| CreateConstraint | 연결된 제품 및 포트폴리오에 대한 제약을 생성할 수 있는 권한을 부여합니다. | Write | |||
| CreatePortfolio | 포트폴리오를 생성할 수 있는 권한을 부여합니다. | Write | |||
| CreatePortfolioShare | 소유한 포트폴리오를 다른 AWS 계정과 공유할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| CreateProduct | 제품 및 해당 제품의 첫 번째 프로비저닝 아티팩트를 생성할 수 있는 권한을 부여합니다. | Write | |||
| CreateProvisionedProductPlan | 새 프로비저닝된 제품 계획을 추가할 수 있는 권한을 부여합니다. | Write | |||
| CreateProvisioningArtifact | 기존 제품에 새 프로비저닝 아티팩트를 추가할 수 있는 권한을 부여합니다. | Write | |||
| CreateServiceAction | 셀프 서비스 작업을 생성할 수 있는 권한을 부여합니다. | Write | |||
| CreateTagOption | TagOption을 생성할 수 있는 권한을 부여합니다. | Write | |||
| DeleteApplication | 애플리케이션에서 모든 연결이 제거된 경우 애플리케이션을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteAttributeGroup | 속성 그룹에서 모든 연결이 제거된 경우 속성 그룹을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteConstraint | 연결된 제품 및 포트폴리오에서 기존 제약을 제거 및 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeletePortfolio | 포트폴리오에서 모든 연결 및 공유가 제거된 경우 포트폴리오를 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeletePortfolioShare | 이전에 포트폴리오를 공유한 AWS 계정에서 소유한 포트폴리오의 공유를 해제할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| DeleteProduct | 제품에서 모든 연결이 제거된 경우 제품을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteProvisionedProductPlan | 프로비저닝된 제품 계획을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteProvisioningArtifact | 제품에서 프로비저닝 아티팩트를 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteServiceAction | 셀프 서비스 작업을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteTagOption | 지정된 TagOption을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DescribeConstraint | 제약을 설명할 수 있는 권한을 부여합니다. | Read | |||
| DescribeCopyProductStatus | 지정된 제품 복사 작업의 상태를 가져올 수 있는 권한을 부여합니다. | Read | |||
| DescribePortfolio | 포트폴리오를 설명할 수 있는 권한을 부여합니다. | Read | |||
| DescribePortfolioShareStatus | 지정된 포트폴리오 공유 작업의 상태를 가져올 수 있는 권한을 부여합니다. | Read | |||
| DescribePortfolioShares | 지정된 포트폴리오에 대해 만들어진 각 포트폴리오 공유의 요약을 볼 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeProduct | 제품을 최종 사용자로 설명할 수 있는 권한을 부여합니다. | Read | |||
| DescribeProductAsAdmin | 제품을 관리자로 설명할 수 있는 권한을 부여합니다. | Read | |||
| DescribeProductView | 제품을 최종 사용자로 설명할 수 있는 권한을 부여합니다. | Read | |||
| DescribeProvisionedProduct | 프로비저닝된 제품을 설명할 수 있는 권한을 부여합니다. | Read | |||
| DescribeProvisionedProductPlan | 프로비저닝된 제품 계획을 설명할 수 있는 권한을 부여합니다. | Read | |||
| DescribeProvisioningArtifact | 프로비저닝 아티팩트를 설명할 수 있는 권한을 부여합니다. | Read | |||
| DescribeProvisioningParameters | 지정된 프로비저닝 아티팩트를 성공적으로 프로비저닝하기 위해 지정해야 하는 파라미터를 설명할 수 있는 권한을 부여합니다. | Read | |||
| DescribeRecord | 레코드를 설명할 수 있는 권한을 부여하고 모든 출력을 나열합니다. | Read | |||
| DescribeServiceAction | 셀프 서비스 작업을 설명할 수 있는 권한을 부여합니다. | Read | |||
| DescribeServiceActionExecutionParameters | 지정된 프로비저닝된 제품에서 지정된 서비스 작업을 실행한 경우 기본 파라미터를 가져올 수 있는 권한을 부여합니다. | Read | |||
| DescribeTagOption | 지정된 TagOption에 대한 정보를 가져올 수 있는 권한을 부여합니다. | Read | |||
| DisableAWSOrganizationsAccess | AWS Organizations 기능을 통한 포트폴리오 공유를 비활성화할 수 있는 권한을 부여합니다. | Write | |||
| DisassociateAttributeGroup | 애플리케이션에서 속성 그룹의 연결을 해제할 수 있는 권한을 부여합니다. | Write | |||
| DisassociateBudgetFromResource | 리소스에서 예산을 연결 해제할 수 있는 권한을 부여합니다. | Write | |||
| DisassociatePrincipalFromPortfolio | 포트폴리오에서 IAM 보안 주체를 연결 해제할 수 있는 권한을 부여합니다. | Write | |||
| DisassociateProductFromPortfolio | 포트폴리오에서 제품을 연결 해제할 수 있는 권한을 부여합니다. | Write | |||
| DisassociateResource | 애플리케이션에서 리소스의 연결을 해제할 수 있는 권한을 부여합니다. | Write |
resource-groups:DeleteGroup |
||
| DisassociateServiceActionFromProvisioningArtifact | 지정된 프로비저닝 아티팩트에서 지정된 셀프 서비스 작업을 연결 해제할 수 있는 권한을 부여합니다. | Write | |||
| DisassociateTagOptionFromResource | 지정된 리소스에서 지정된 TagOption을 연결 해제할 수 있는 권한을 부여합니다. | Write | |||
| EnableAWSOrganizationsAccess | AWS Organizations를 통해 포트폴리오 공유 기능을 활성화할 수 있는 권한을 부여합니다. | Write | |||
| ExecuteProvisionedProductPlan | 프로비저닝된 제품 계획을 실행할 수 있는 권한을 부여합니다. | Write | |||
| ExecuteProvisionedProductServiceAction | 프로비저닝된 제품 계획을 실행할 수 있는 권한을 부여합니다. | Write | |||
| GetAWSOrganizationsAccessStatus | AWS Organization 포트폴리오 공유 기능의 액세스 상태를 가져올 수 있는 권한을 부여합니다. | Read | |||
| GetApplication | 애플리케이션을 가져올 수 있는 권한을 부여합니다. | Read | |||
| GetAssociatedResource | 애플리케이션에 연결된 리소스에 대한 정보를 가져올 권한을 부여합니다. | Read | |||
| GetAttributeGroup | 속성 그룹을 가져올 수 있는 권한을 부여합니다. | 읽기 | |||
| GetConfiguration | AppRegistry 구성을 읽을 수 있는 권한을 부여합니다. | 읽기 | |||
| GetProvisionedProductOutputs | 프로비저닝된 제품 ID 또는 이름을 사용하여 프로비저닝된 제품 출력을 가져올 수 있는 권한을 부여합니다. | Read | |||
| ImportAsProvisionedProduct | 리소스를 프로비저닝된 제품으로 가져올 수 있는 권한을 부여합니다. | Write | |||
| ListAcceptedPortfolioShares | 사용자가 수락했고 사용자와 공유된 포트폴리오를 나열할 수 있는 권한을 부여합니다. | 목록 | |||
| ListApplications | 애플리케이션을 나열하는 권한을 부여합니다. | 목록 | |||
| ListAssociatedAttributeGroups | 애플리케이션과 연결된 속성 그룹을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListAssociatedResources | 애플리케이션과 연결된 리소스를 나열할 수 있는 권한을 부여합니다. | 목록 | |||
| ListAttributeGroups | 속성 그룹을 나열하는 권한을 부여합니다. | 목록 | |||
| ListAttributeGroupsForApplication | 제공된 애플리케이션의 연결된 속성 그룹을 나열하는 권한을 부여합니다. | 목록 | |||
| ListBudgetsForResource | 리소스에 연결된 예산을 모두 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListConstraintsForPortfolio | 지정된 포트폴리오와 연결된 제약을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListLaunchPaths | 최종 사용자로서 지정된 제품을 시작하는 여러 방법을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListOrganizationPortfolioAccess | 지정된 포트폴리오에 대한 액세스 권한이 있는 조직 노드를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListPortfolioAccess | 지정된 포트폴리오를 공유한 AWS 계정을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListPortfolios | 계정의 포트폴리오를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListPortfoliosForProduct | 지정된 제품과 연결된 포트폴리오를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListPrincipalsForPortfolio | 지정된 포트폴리오와 연결된 IAM 보안 주체를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListProvisionedProductPlans | 프로비저닝된 제품 계획을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListProvisioningArtifacts | 지정된 제품과 연결된 프로비저닝 아티팩트를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListProvisioningArtifactsForServiceAction | 지정된 셀프 서비스 작업에 대한 모든 프로비저닝 아티팩트를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListRecordHistory | 계정에 속한 모든 레코드 또는 지정된 프로비저닝된 제품과 관련된 모든 레코드를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListResourcesForTagOption | 지정된 TagOption과 연결된 리소스를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListServiceActions | 모든 셀프 서비스 작업을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListServiceActionsForProvisioningArtifact | 계정의 지정된 프로비저닝 아티팩트와 연결된 모든 서비스 작업을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListStackInstancesForProvisionedProduct | CFN_STACKSET 유형 프로비저닝된 제품과 연결된 각 스택 인스턴스의 계정, 리전 및 상태를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListTagOptions | 지정된 TagOption 또는 모든 TagOption을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListTagsForResource | 서비스 카탈로그 AppRegistry 리소스의 태그를 나열할 수 있는 권한을 부여합니다. | 읽기 | |||
| NotifyProvisionProductEngineWorkflowResult | 프로비저닝 엔진 실행 결과를 알릴 수 있는 권한을 부여합니다. | 쓰기 | |||
| NotifyTerminateProvisionedProductEngineWorkflowResult | 종료 엔진 실행 결과를 알릴 수 있는 권한을 부여합니다. | 쓰기 | |||
| NotifyUpdateProvisionedProductEngineWorkflowResult | 업데이트 엔진 실행 결과를 알릴 수 있는 권한을 부여합니다. | 쓰기 | |||
| ProvisionProduct | 지정된 프로비저닝 아티팩트로 제품을 프로비저닝하고 파라미터를 시작할 수 있는 권한을 부여합니다. | 쓰기 | |||
| PutConfiguration | AppRegistry 구성을 할당할 수 있는 권한을 부여합니다. | 쓰기 | |||
| RejectPortfolioShare | 사용자가 이전에 수락한 사용자와 공유된 포트폴리오를 거부할 수 있는 권한을 부여합니다. | Write | |||
| ScanProvisionedProducts | 계정에 속한 모든 프로비저닝된 제품을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| SearchProducts | 최종 사용자로서 사용할 수 있는 제품을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| SearchProductsAsAdmin | 계정에 속한 모든 제품 또는 지정된 포트폴리오와 연결된 모든 제품을 나열할 수 있는 권한을 부여합니다.. | 나열 | |||
| SearchProvisionedProducts | 계정에 속한 모든 프로비저닝된 제품을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| SyncResource | AppRegistry의 현재 상태와 리소스를 동기화할 수 있는 권한을 부여합니다. | Write |
cloudformation:UpdateStack |
||
| TagResource | 서비스 카탈로그 AppRegistry 리소스에 태그를 지정할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| TerminateProvisionedProduct | 기존 프로비저닝된 제품을 종료할 수 있는 권한을 부여합니다. | Write | |||
| UntagResource | 서비스 카탈로그 AppRegistry 리소스에서 태그를 제거할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| UpdateApplication | 기존 애플리케이션의 속성을 업데이트할 수 있는 권한을 부여합니다. | Write |
iam:CreateServiceLinkedRole |
||
| UpdateAttributeGroup | 기존 속성 그룹의 속성을 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateConstraint | 기존 제약의 메타데이터 필드를 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdatePortfolio | 기존 포트폴리오의 메타데이터 필드 또는 태그를 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdatePortfolioShare | 기존 포트폴리오 공유에 대한 리소스 공유를 활성화하거나 비활성화할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| UpdateProduct | 기존 제품의 메타데이터 필드 또는 태그를 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateProvisionedProduct | 기존 프로비저닝된 제품을 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateProvisionedProductProperties | 기존 프로비저닝된 제품의 속성을 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateProvisioningArtifact | 기존 프로비저닝 아티팩트의 메타데이터 필드를 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateServiceAction | 셀프 서비스 작업을 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateTagOption | 지정된 TagOption을 업데이트할 수 있는 권한을 부여합니다. | Write |
AWS Service Catalog에서 정의한 리소스 유형
이 서비스에서 정의하는 리소스 유형은 다음과 같으며, IAM 권한 정책 설명의 Resource 요소에서 사용할 수 있습니다. 작업 테이블의 각 작업은 해당 작업으로 지정할 수 있는 리소스 유형을 식별합니다. 리소스 유형은 정책에 포함할 조건 키를 정의할 수도 있습니다. 이러한 키는 리소스 유형 테이블의 마지막 열에 표시됩니다. 다음 테이블의 열에 관한 자세한 내용은 리소스 유형 테이블을 참조하세요.
| 리소스 유형 | ARN | 조건 키 |
|---|---|---|
| Application |
arn:${Partition}:servicecatalog:${Region}:${Account}:/applications/${ApplicationId}
|
|
| AttributeGroup |
arn:${Partition}:servicecatalog:${Region}:${Account}:/attribute-groups/${AttributeGroupId}
|
|
| Portfolio |
arn:${Partition}:catalog:${Region}:${Account}:portfolio/${PortfolioId}
|
|
| Product |
arn:${Partition}:catalog:${Region}:${Account}:product/${ProductId}
|
AWS Service Catalog에 사용되는 조건 키
AWS Service Catalog는 IAM 정책의 Condition 요소에 사용할 수 있는 다음과 같은 조건 키를 정의합니다. 이러한 키를 사용하여 정책 설명이 적용되는 조건을 보다 상세하게 설정할 수 있습니다. 다음 테이블의 열에 대한 자세한 내용은 조건 키 테이블을 참조하세요.
모든 서비스에 사용할 수 있는 글로벌 조건 키를 보려면 사용 가능한 글로벌 조건 키를 참조하세요.
참고
이 조건 키가 IAM 정책에서 사용되는 방식을 보여주는 예시 정책은 서비스 카탈로그 관리 안내서의 프로비저닝된 제품 관리에 대한 예시 액세스 정책을 참조하세요.
| 조건 키 | 설명 | 유형 |
|---|---|---|
| aws:RequestTag/${TagKey} | 요청에 태그 키-값 페어가 있는지 여부를 기준으로 액세스를 필터링합니다. | 문자열 |
| aws:ResourceTag/${TagKey} | 리소스에 연결된 태그 키-값 페어를 기준으로 액세스를 필터링합니다. | 문자열 |
| aws:TagKeys | 요청에 태그 키가 있는지 여부를 기준으로 액세스를 필터링합니다. | ArrayOfString |
| servicecatalog:Resource | AppRegistry 연관 리소스 API에서 Resource 파라미터로 지정할 수 있는 값을 제어하여 액세스를 필터링합니다. | 문자열 |
| servicecatalog:ResourceType | AppRegistry 연관 리소스 API에서 ResourceType 파라미터로 지정할 수 있는 값을 제어하여 액세스를 필터링합니다. | 문자열 |
| servicecatalog:accountLevel | 계정의 모든 사용자가 생성한 리소스를 보고 작업을 수행하기 위해 사용자를 기준으로 액세스를 필터링합니다. | 문자열 |
| servicecatalog:roleLevel | 사용자 본인 또는 본인과 동일한 역할로 연동한 사용자에 의해 생성된 리소스를 보고 이에 대한 작업을 수행할 수 있도록 사용자를 기준으로 액세스를 필터링합니다. | 문자열 |
| servicecatalog:userLevel | 사용자가 본인이 생성한 리소스만 보고 이에 대한 작업을 수행하도록 사용자를 기준으로 액세스를 필터링합니다. | 문자열 |
