# DynamoDB 리소스 기반 정책 모범 사례
<a name="rbac-best-practices"></a>

이 주제에서는 DynamoDB 리소스에 대한 액세스 권한을 정의하는 모범 사례와 이러한 리소스에 허용되는 작업을 설명합니다.

## DynamoDB 리소스에 대한 액세스 제어 간소화
<a name="rbac-simplify-access-control"></a>

DynamoDB 리소스에 액세스해야 하는 AWS Identity and Access Management 보안 주체가 리소스 소유자와 동일한 AWS 계정에 속한 경우 각 보안 주체에 대해 IAM 자격 증명 기반 정책이 필요하지 않습니다. 주어진 리소스에 연결된 리소스 기반 정책이면 충분합니다. 이러한 유형의 구성은 액세스 제어를 간소화합니다.

## 리소스 기반 정책으로 DynamoDB 리소스 보호
<a name="rbac-protect"></a>

 모든 DynamoDB 테이블 및 스트림에 대해 리소스 기반 정책을 생성하여 이러한 리소스에 대한 액세스 제어를 적용합니다. 리소스 기반 정책을 사용하면 리소스 수준에서 권한을 중앙 집중화하고, DynamoDB 테이블, 인덱스 및 스트림에 대한 액세스 제어를 간소화하고, 관리 오버헤드를 줄일 수 있습니다. 테이블이나 스트림에 리소스 기반 정책이 지정되지 않은 경우, IAM 보안 주체와 연결된 자격 증명 기반 정책에서 액세스를 허용하지 않는 한 테이블 또는 스트림에 대한 액세스는 암시적으로 거부됩니다.

## 최소 권한 적용
<a name="rbac-least-privilege"></a>

DynamoDB 리소스에 대한 리소스 기반 정책과 함께 권한을 설정하는 경우 작업을 수행하는 데 필요한 권한만 부여합니다. 이렇게 하려면 최소 권한으로 알려진 특정 조건에서 특정 리소스에 대해 수행할 수 있는 작업을 정의합니다. 워크로드 또는 사용 사례에 필요한 권한을 탐색하는 동안 광범위한 권한으로 시작할 수 있습니다. 사용 사례가 발전함에 따라 최소 권한을 향해 나아가도록 부여하는 권한을 줄이기 위해 노력할 수 있습니다.

## 최소 권한 정책을 생성하기 위해 크로스 계정 액세스 활동 분석
<a name="rbac-analyze-cross-account-access"></a>

IAM Access Analyzer는 리소스 기반 정책에 지정된 외부 엔터티에 대한 크로스 계정 액세스를 보고하고, 권한을 세분화하고 최소 권한을 준수하는 데 도움이 되는 가시성을 제공합니다. 정책 생성에 대한 자세한 내용은 [IAM Access Analyzer 정책 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html)을 참조하세요.

## IAM Access Analyzer를 사용하여 최소 권한 정책 생성
<a name="rbac-iam-access-analyzer"></a>

작업을 수행하는 데 필요한 권한만 부여하기 위해 AWS CloudTrail에 로깅된 액세스 활동에 따라 정책을 생성할 수 있습니다. IAM Access Analyzer는 정책에서 사용하는 서비스와 작업을 분석합니다.