기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
에 대한 자격 증명 기반 정책 예제 AWS Service Catalog
최종 사용자의 콘솔 액세스
AWSServiceCatalogEndUserFullAccess 및 AWSServiceCatalogEndUserReadOnlyAccess 정책은 AWS Service Catalog
최종 사용자 콘솔 보기에 대한 액세스 권한을 부여합니다. 이러한 정책 중 하나가 있는 사용자가 AWS Service Catalog 에서를 선택하면 AWS Management Console최종 사용자 콘솔 보기에 시작할 권한이 있는 제품이 표시됩니다.
최종 사용자가 액세스 AWS Service Catalog 권한을 부여하는 제품을 성공적으로 시작하려면 먼저 제품 AWS CloudFormation 템플릿의 각 기본 AWS 리소스를 사용할 수 있는 추가 IAM 권한을 제공해야 합니다. 예를 들어 제품 템플릿에 Amazon Relational Database Service(RDS)가 포함되어 있는 경우, 사용자에게 해당 제품을 시작하기 위한 Amazon RDS 권한을 부여해야 합니다.
최종 사용자가 AWS 리소스에 대한 최소 액세스 권한을 적용하면서 제품을 시작할 수 있도록 하는 방법에 대한 자세한 내용은 섹션을 참조하세요AWS Service Catalog 제약 조건 사용.
AWSServiceCatalogEndUserReadOnlyAccess 정책을 적용하면 사용자가 최종 사용자 콘솔 보기에 액세스할 수 있으나, 제품을 시작하고 프로비저닝된 제품을 관리하는 데 필요한 권한은 없습니다. IAM을 사용하여 최종 사용자에게 이러한 권한을 직접 부여할 수 있지만 최종 사용자가 AWS 리소스에 대해 갖는 액세스를 제한하려면 시작 역할에 정책을 연결해야 합니다. 그런 다음 AWS Service Catalog 를 사용하여 제품의 시작 제약 조건에 시작 역할을 적용합니다. 시작 역할, 시작 역할 제한 및 샘플 시작 역할 적용에 대한 자세한 내용은 AWS Service Catalog 시작 제약 조건 단원을 참조하십시오.
참고
사용자에게 AWS Service Catalog 관리자에게 IAM 권한을 부여하면 관리자 콘솔 보기가 대신 표시됩니다. 최종 사용자에게 관리자 콘솔 보기에 액세스할 권한을 부여하려는 경우가 아닌 한 이러한 권한을 부여하지 마십시오.
최종 사용자의 제품 액세스
최종 사용자가 액세스 권한을 부여하는 제품을 사용하려면 먼저 제품 AWS CloudFormation 템플릿의 각 기본 AWS 리소스를 사용할 수 있는 추가 IAM 권한을 제공해야 합니다. 예를 들어 제품 템플릿에 ()가 포함되어 있는 경우, 사용자에게 해당 제품을 시작하기 위한 Amazon Relational Database Service (RDS) 권한을 부여해야 합니다.
AWSServiceCatalogEndUserReadOnlyAccess 정책을 적용하면 사용자가 최종 사용자 콘솔 보기에 액세스할 수 있으나, 제품을 시작하고 프로비저닝된 제품을 관리하는 데 필요한 권한은 없습니다. 이러한 권한을 IAM의 최종 사용자에게 직접 부여할 수 있지만 최종 사용자가 AWS 리소스에 대해 갖는 액세스를 제한하려면 시작 역할에 정책을 연결해야 합니다. 그런 다음 AWS Service Catalog 를 사용하여 제품의 시작 제약 조건에 시작 역할을 적용합니다. 시작 역할, 시작 역할 제한 및 샘플 시작 역할 적용에 대한 자세한 내용은 AWS Service Catalog 시작 제약 조건 단원을 참조하십시오.
프로비저닝된 제품 관리를 위한 정책 예제
조직의 보안 요구 사항을 충족할 수 있도록 사용자 지정 정책을 생성할 수 있습니다. 다음 예제는 사용자, 역할 및 계정 수준에 대한 지원으로 작업별 액세스 수준을 사용자 지정하는 방법을 설명합니다. 사용자에게 이들이 로그인한 계정 또는 역할로 해당 사용자가 만든 프로비저닝된 제품에 대해서만, 또는 다른 사람이 만든 프로비저닝된 제품에 대해서도 보고, 업데이트하고, 종료하고, 관리할 권한을 부여할 수 있습니다. 이 액세스는 계층적입니다. 계정 수준 액세스를 부여하면 역할 수준 액세스 및 사용자 수준 액세스도 부여하지만, 역할 수준 액세스를 추가하면 사용자 수준 액세스를 부여하지만 계정 수준 액세스는 부여하지 않습니다. Condition 블록을 사용하여 정책 JSON에서 이를 accountLevel, roleLevel 또는 userLevel로 지정할 수 있습니다.
이 예제는 AWS Service Catalog API 쓰기 작업인 UpdateProvisionedProduct 및 TerminateProvisionedProduct, 읽기 작업인 DescribeRecord, ScanProvisionedProducts및의 액세스 수준에도 적용됩니다ListRecordHistory. ScanProvisionedProducts 및 ListRecordHistory API 작업은 AccessLevelFilterKey를 입력으로 사용하며, 이 키의 값은 여기에서 논의한 Condition 블록 수준에 해당합니다(accountLevel은 ‘계정’, AccessLevelFilterKey은 ‘역할’, roleLevel은 ‘사용자’의 userLevel 값임). 자세한 내용은 Amazon OpenSearch Service 개발자 안내서를 참조하십시오.
예: 프로비저닝된 제품에 대한 모든 관리자 액세스
다음 정책은 계정 수준에서 카탈로그 내의 프로비저닝된 제품 및 레코드에 대한 모든 읽기 및 쓰기 권한을 허용합니다.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "servicecatalog:*" ], "Resource":"*", "Condition": { "StringEquals": { "servicecatalog:accountLevel": "self" } } } ] }
이 정책은 다음 정책과 기능적으로 동일합니다.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "servicecatalog:*" ], "Resource":"*" } ] }
에 대한 정책에서 Condition 블록을 지정하지 않으면 "servicecatalog:accountLevel" 액세스를 지정하는 것과 동일하게 AWS Service Catalog 처리됩니다. accountLevel 액세스에는 roleLevel 및 userLevel 액세스가 포함되어 있습니다.
예: 프로비저닝된 제품에 대한 최종 사용자 액세스
다음 정책은 읽기 및 쓰기 작업에 대한 액세스를 현재 사용자가 만든 프로비저닝된 제품 또는 연결된 레코드로만 제한합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicecatalog:DescribeProduct", "servicecatalog:DescribeProductView", "servicecatalog:DescribeProvisioningParameters", "servicecatalog:DescribeRecord", "servicecatalog:ListLaunchPaths", "servicecatalog:ListRecordHistory", "servicecatalog:ProvisionProduct", "servicecatalog:ScanProvisionedProducts", "servicecatalog:SearchProducts", "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } } ] }
예: 프로비저닝된 제품에 대한 부분 관리자 액세스
아래 두 정책은 모두 동일한 사용자에게 적용할 경우 전체 읽기 전용 권한 및 제한된 쓰기 권한을 제공하여 "부분 관리자 액세스" 유형이라고 할 수 있는 권한을 허용합니다. 이는 사용자가 해당 카탈로그의 계정 내의 프로비저닝된 모든 제품 또는 연결된 레코드를 볼 수 있지만, 해당 사용자가 소유하지 않은 프로비저닝된 모든 제품 또는 레코드에 대한 작업은 수행할 수 없음을 뜻합니다.
첫 번째 정책은 현재 사용자가 만든 프로비저닝된 제품에 대한 쓰기 작업 권한을 허용하지만, 다른 사람이 만든 프로비저닝된 제품에 대해서는 허용하지 않습니다. 두 번째 정책은 모든 사람(사용자, 역할 또는 계정)이 만든 프로비저닝된 제품에 대한 모든 읽기 작업 권한을 추가합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicecatalog:DescribeProduct", "servicecatalog:DescribeProductView", "servicecatalog:DescribeProvisioningParameters", "servicecatalog:ListLaunchPaths", "servicecatalog:ProvisionProduct", "servicecatalog:SearchProducts", "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } } ] }
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicecatalog:DescribeRecord", "servicecatalog:ListRecordHistory", "servicecatalog:ScanProvisionedProducts" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:accountLevel": "self" } } } ] }
