# 권한 이해
기능 온보딩 프로세스의 일환으로 고객 AWS 계정에서 요청하려는 권한을 정의하는 정책을 IAM에 등록해야 합니다. 이 등록 프로세스는 고객에게 보다 일관된 경험을 제공하고 정책 작성의 일반적인 위험을 방지하는 데 도움이 됩니다.
등록 중에는 AWS가 일련의 검증을 기준으로 정책을 평가합니다. 이러한 검증은 정책 형식 및 구조를 표준화하고 알려진 안티 패턴에 대한 기본 보호를 제공하기 위한 것입니다. 또한 검증을 통해 권한 에스컬레이션, 의도하지 않은 교차 계정 액세스, 고객 계정의 고부가가치 리소스에 대한 광범위한 액세스의 리스크를 줄일 수 있습니다.
## 권한 유형
AWS는 임시 및 장기 권한이라는 두 가지 권한 범주를 고려합니다.
### 임시 권한
임시 권한은 임시 위임된 액세스 세션에 할당된 권한을 제한합니다. 임시 권한은 위임된 세션에 적용되는 정책 템플릿에 설명되어 있습니다. 템플릿은 위임 요청을 생성할 때 제공하는 파라미터를 지원합니다. 그러면 이러한 파라미터 값이 세션에 바인딩됩니다. 임시 권한은 현재 AWS STS에서 사용할 수 있는 세션 정책과 동일한 방식으로 작동합니다. 정책은 기본 사용자의 기능을 제한하지만 추가 액세스 권한은 부여하지 않습니다. 자세한 내용은 AWS STS 설명서의 세션 정책을 참조하세요.
### 장기 권한
장기 권한은 임시 액세스를 통해 생성되거나 관리되는 모든 역할의 권한을 제한합니다. 장기 권한은 IAM 권한 경계로 구현됩니다. 온보딩의 일부로 AWS에 하나 이상의 권한 경계를 제출할 수 있습니다. 승인되면 AWS는 정책에서 참조할 수 있는 정책 ARN을 사용자와 공유합니다.
이러한 경계 정책에는 두 가지 주목할 만한 특징이 있습니다. 첫째, 변경할 수 없습니다. 권한을 업데이트하려면 새 권한 경계를 등록할 수 있습니다. 그런 다음 새 위임 요청을 전송하여 새 권한 경계를 고객의 역할에 연결할 수 있습니다. 둘째, 정책이 템플릿화되지 않습니다. 동일한 경계 정책은 전역적으로 공유되므로 고객별로 변경할 수 없습니다.
**중요**
권한 경계의 최대 크기 제한은 6,144자입니다.
**참고**
권한 경계 또는 정책 템플릿을 업데이트하려면 aws-iam-partner-onboarding@amazon.com으로 IAM에 문의하세요. 새 권한 경계가 등록되면 고객에게 위임 요청을 보내 IAM 역할을 업데이트하고 새로 등록된 권한 경계를 연결할 수 있습니다. 자세한 내용은 예시 섹션을 참조하세요.
## 사용 사례 예시: 데이터 처리 워크로드
고객 계정에서 데이터 처리 워크로드를 실행하는 제품 제공업체를 예로 들어보겠습니다. 이 제공업체는 초기 온보딩 중에 인프라를 설정해야 하지만 워크로드를 운영하려면 지속적인 액세스도 필요합니다.
*임시 권한(최초 설정용):*
+ Amazon EC2 인스턴스, VPC 및 보안 그룹 생성
+ 처리된 데이터를 위한 Amazon S3 버킷 생성
+ 지속적인 작업을 위한 IAM 역할 생성
+ IAM 역할에 권한 경계 연결
*장기 권한(진행 중인 작업에 대한 권한 경계가 있는 IAM 역할):*
+ Amazon EC2 인스턴스를 시작하고 중지하여 처리 작업 실행
+ Amazon S3 버킷에서 입력 데이터 읽기
+ 처리된 결과를 Amazon S3 버킷에 쓰기
임시 권한은 온보딩 중에 인프라를 구성하는 데 한 번 사용됩니다. 이 프로세스 중에 생성된 IAM 역할에는 최대 권한을 지속적인 워크로드 관리에 필요한 작업으로만 제한하는 권한 경계가 있습니다. 이는 역할의 정책이 수정되더라도 경계에 정의된 권한을 초과하지 않도록 보장합니다.