기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 의 보안 AWS Billing
의 클라우드 보안 AWS 이 최우선 순위입니다. AWS 고객은 보안에 가장 민감한 조직의 요구 사항을 충족하도록 구축된 데이터 센터 및 네트워크 아키텍처의 이점을 누릴 수 있습니다.
보안은 AWS 와 사용자 간의 공동 책임입니다. [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)은 이 사항을 클라우드*의* 보안 및 클라우드 *내* 보안으로 설명합니다.
+ **클라우드 보안 **- AWS 는 AWS 클라우드에서 AWS 서비스를 실행하는 인프라를 보호할 책임이 있습니다. AWS 또한는 안전하게 사용할 수 있는 서비스를 제공합니다. 타사 감사자는 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/) 일환으로 보안의 효과를 정기적으로 테스트하고 확인합니다. 에 적용되는 규정 준수 프로그램에 대한 자세한 내용은 규정 준수 프로그램 [AWS 제공 범위 내 서비스규정 준수 프로그램](https://aws.amazon.com/compliance/services-in-scope/) 제공 범위 내 서비스를 AWS 결제 및 비용 관리참조하세요.
+ **클라우드의 보안** - 사용자의 책임은 사용하는 AWS 서비스에 따라 결정됩니다. 또한 귀하는 귀사의 데이터 민감도, 귀사의 요구 사항, 관련 법률 및 규정을 비롯한 기타 요소에 대해서도 책임이 있습니다.
이 설명서는 Billing and Cost Management 사용 시 공동 책임 모델을 적용하는 방법을 이해하는 데 도움이 됩니다. 다음 주제에서는 보안 및 규정 준수 목적에 맞게 Billing and Cost Management를 구성하는 방법을 보여줍니다. 또한 결제 및 비용 관리 리소스를 모니터링하고 보호하는 데 도움이 되는 다른 AWS 서비스를 사용하는 방법을 알아봅니다.
**Topics**
+ [의 데이터 보호 AWS 결제 및 비용 관리](data-protection.md)
+ [AWS 결제를 위한 자격 증명 및 액세스 관리](security-iam.md)
+ [에 대한 서비스 연결 역할 사용 AWS Billing](using-service-linked-roles.md)
+ [에서 로깅 및 모니터링 AWS 결제 및 비용 관리](billing-security-logging.md)
+ [에 대한 규정 준수 검증 AWS 결제 및 비용 관리](Billing-compliance.md)
+ [의 복원성 AWS 결제 및 비용 관리](disaster-recovery-resiliency.md)
+ [의 인프라 보안 AWS 결제 및 비용 관리](infrastructure-security.md)
**참고**
결제 전송을 결제 소스 계정으로 사용하는 경우 결제 및 비용 관리 데이터가 외부 관리 계정(청구 전송 계정)으로 전송됩니다. 청구서 전송 계정은 결제 및 비용 관리 환경을 제어합니다. 청구서 소스 계정은 IAM 정책을 사용하여 결제 전송 효과를 재정의할 수 없습니다. 결제 및 비용 관리 데이터를 다시 제어하려면 결제 전송을 취소해야 합니다. 자세한 내용은 [결제 관리를 외부 계정으로 이전](orgs_transfer_billing.md) 단원을 참조하십시오.
# 의 데이터 보호 AWS 결제 및 비용 관리
AWS [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)의 데이터 보호에 적용됩니다 AWS 결제 및 비용 관리. 이 모델에 설명된 대로 AWS 는 모든를 실행하는 글로벌 인프라를 보호할 책임이 있습니다 AWS 클라우드. 사용자는 이 인프라에 호스팅되는 콘텐츠에 대한 통제 권한을 유지할 책임이 있습니다. 사용하는 AWS 서비스 의 보안 구성과 관리 태스크에 대한 책임도 사용자에게 있습니다. 데이터 프라이버시에 관한 자세한 내용은 [데이터 프라이버시 FAQ](https://aws.amazon.com/compliance/data-privacy-faq/)를 참조하세요. 유럽의 데이터 보호에 대한 자세한 내용은 *AWS 보안 블로그*의 [AWS 공동 책임 모델 및 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 블로그 게시물을 참조하세요.
데이터 보호를 위해 자격 증명을 보호하고 AWS 계정 AWS IAM Identity Center 또는 AWS Identity and Access Management (IAM)를 사용하여 개별 사용자를 설정하는 것이 좋습니다. 이렇게 하면 개별 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.
+ 각 계정에 다중 인증(MFA)을 사용합니다.
+ SSL/TLS를 사용하여 AWS 리소스와 통신합니다. TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ 를 사용하여 API 및 사용자 활동 로깅을 설정합니다 AWS CloudTrail. CloudTrail 추적을 사용하여 AWS 활동을 캡처하는 방법에 대한 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [ CloudTrail 추적 작업을 참조하세요](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html).
+ 내부의 모든 기본 보안 제어와 함께 AWS 암호화 솔루션을 사용합니다 AWS 서비스.
+ Amazon S3에 저장된 민감한 데이터를 검색하고 보호하는 데 도움이 되는 Amazon Macie와 같은 고급 관리형 보안 서비스를 사용합니다.
+ 명령줄 인터페이스 또는 API를 AWS 통해에 액세스할 때 FIPS 140-3 검증 암호화 모듈이 필요한 경우 FIPS 엔드포인트를 사용합니다. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 [연방 정보 처리 표준(FIPS) 140-3](https://aws.amazon.com/compliance/fips/)을 참조하세요.
고객의 이메일 주소와 같은 기밀 정보나 중요한 정보는 태그나 **이름** 필드와 같은 자유 형식 텍스트 필드에 입력하지 않는 것이 좋습니다. 여기에는 Billing and Cost Management 또는 기타 AWS 서비스 에서 콘솔 AWS CLI, API 또는 AWS SDKs를 사용하여 작업하는 경우가 포함됩니다. 이름에 사용되는 태그 또는 자유 형식 텍스트 필드에 입력하는 모든 데이터는 청구 또는 진단 로그에 사용될 수 있습니다. 외부 서버에 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 자격 증명을 URL에 포함해서는 안 됩니다.
# AWS 결제를 위한 자격 증명 및 액세스 관리
AWS Identity and Access Management (IAM)는 관리자가 AWS 리소스에 대한 액세스를 안전하게 제어하는 데 도움이 AWS 서비스 되는 입니다. IAM 관리자는 어떤 사용자가 결제 리소스를 사용할 수 있는 *인증*(로그인) 및 *권한*(권한 있음)을 받을 수 있는지 제어합니다. IAM은 추가 비용 없이 사용할 수 AWS 서비스 있는 입니다.
빌링 콘솔에 대한 액세스 권한 활성화를 시작하려면 *IAM 사용 설명서*의 [IAM 자습서: 빌링 콘솔에 대한 액세스 권한 부여](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html)를 참조하세요.
## 사용자 유형 및 결제 권한
이 표는 결제에서 결제 사용자 유형별로 허용되는 기본 작업을 요약한 것입니다.
**사용자 유형 및 결제 권한**
| 사용자 유형 | 설명 | 결제 권한 |
| --- | --- | --- |
| 계정 소유자 | 계정을 설정할 때 사용한 이름을 소유한 개인 또는 법인입니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/security-iam.html) |
| User | 계정 소유자 또는 관리자가 계정의 사용자로 정의한 사람 또는 애플리케이션입니다. 계정에는 여러 사용자가 포함될 수 있습니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/security-iam.html) |
| 조직 관리 계정 소유자 | AWS Organizations 관리 계정과 연결된 개인 또는 엔터티입니다. 관리 계정은 조직의 멤버 계정으로 발생한 AWS 사용량에 대해 비용을 지불합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/security-iam.html) |
| 조직 멤버 계정 소유자 | AWS Organizations 멤버 계정과 연결된 개인 또는 엔터티입니다. 관리 계정은 조직의 멤버 계정으로 발생한 AWS 사용량에 대해 비용을 지불합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/security-iam.html) |
# 액세스 권한 관리 개요
## 결제 정보 및 도구에 대한 액세스 권한 부여
기본적으로 IAM 사용자는 [AWS 결제 및 비용 관리 콘솔](https://console.aws.amazon.com/billing/)에 대해 액세스 권한이 없습니다.
를 생성할 때 모든 AWS 서비스 및 리소스에 대한 완전한 액세스 권한이 있는 AWS 계정 *theroot 사용자*라는 하나의 로그인 자격 증명으로 AWS 계정시작합니다. 일상적인 태스크에 루트 사용자를 사용하지 않을 것을 강력히 권장합니다. 루트 사용자 자격 증명이 필요한 작업은 *IAM 사용 설명서*의 [루트 사용자 자격 증명이 필요한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) 섹션을 참조하세요.
관리자는 AWS 계정에서 사용자가 수임할 수 있는 역할을 생성할 수 있습니다. 역할을 생성한 후 필요한 액세스 권한에 따라 IAM 정책을 역할에 연결할 수 있습니다. 예를 들어, 어떤 사용자에게는 결제 정보 및 도구 중 일부에 대해 제한적인 액세스 권한을 주고 다른 사용자에게는 모든 정보 및 도구에 대한 전체 액세스 권한을 주는 것이 가능합니다.
IAM 엔티티에 과금 정보 및 비용 관리 콘솔에 대한 액세스 권한을 부여하려면 다음 작업을 수행합니다.
+ AWS 계정 루트 사용자로 [IAM 액세스를 활성화합니다](#ControllingAccessWebsite-Activate). 계정에서 이 작업을 한 번만 완료하면 됩니다.
+ 사용자, 그룹 또는 역할과 같은 IAM ID를 생성합니다.
+ AWS 관리형 정책을 사용하거나 Billing and Cost Management 콘솔에서 특정 작업에 권한을 부여하는 고객 관리형 정책을 생성합니다. 자세한 내용은 [결제에 대한 자격 증명 기반 정책 사용](security_iam_id-based-policy-examples.md#billing-permissions-ref) 단원을 참조하십시오.
자세한 내용은 IAM 사용 설명서의 [IAM 자습서: 빌링 콘솔에 대한 액세스 권한 부여](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html)를 참조하세요.**
**참고**
Cost Explorer에 대한 권한은 IAM 정책과 상관없이 모든 계정 및 멤버 계정에 적용됩니다. 자세한 내용은 [AWS Cost Explorer에 대한 액세스 제어를](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-access.html) 참조하세요.
## Billing and Cost Management 콘솔에 대한 액세스 권한 활성화
의 IAM 사용자 및 역할은 기본적으로 Billing and Cost Management 콘솔에 액세스할 AWS 계정 수 없습니다. 이는 특정 청구 기능에 대한 액세스 권한을 부여하는 IAM 정책을 보유한 경우에도 마찬가지입니다. 액세스 권한을 부여하기 위해 AWS 계정 루트 사용자는 **IAM 액세스 활성화** 설정을 사용할 수 있습니다.
를 사용하는 경우 IAM 사용자 및 역할이 Billing and Cost Management 콘솔에 액세스하도록 허용하려는 각 관리 또는 멤버 계정에서이 설정을 AWS Organizations활성화합니다. 생성된 멤버 계정의 경우이 옵션은 기본적으로 활성화됩니다. 자세한 내용은 [AWS 결제 및 비용 관리 콘솔에 대한 IAM 액세스 활성화](billing-getting-started.md#activating-iam-access-to-billing-console) 단원을 참조하십시오.
빌링 콘솔에서 **IAM 액세스 활성화** 설정은 다음 페이지에 대한 액세스 권한을 제어합니다.
+ 홈
+ 예산
+ 예산 보고서
+ AWS 비용 및 사용 보고서
+ Cost Categories
+ 비용 할당 태그
+ 청구서
+ 결제
+ Credits
+ 구매 주문
+ 결제 기본 설정(Billing preferences)
+ 결제 방법
+ 세금 설정
+ Cost Explorer
+ Reports
+ 규모 조정 권장 사항
+ Savings Plans 권장 사항
+ Savings Plans 이용 보고서
+ Savings Plans 적용 범위 보고서
+ 예약 개요
+ 예약 권장 사항
+ 예약 이용 보고서
+ 예약 적용 범위 보고서
+ Preferences
**중요**
IAM 액세스 활성화만으로는 IAM 사용자 및 역할에게 이러한 Billing and Cost Management 콘솔 페이지에 필요한 권한을 부여할 수 없습니다. IAM 액세스를 활성화하는 것 외에도 필수 IAM 정책을 해당 사용자 또는 역할에 연결해야 합니다. 자세한 내용은 [결제에 대한 자격 증명 기반 정책 사용](security_iam_id-based-policy-examples.md#billing-permissions-ref)섹션을 참조하세요.
**IAM 액세스 활성화(Activate IAM Access)** 설정은 다음 페이지와 리소스에 대한 액세스 권한을 제어하지 않습니다.
+ AWS 비용 이상 탐지, Savings Plans 개요, Savings Plans 인벤토리, Savings Plans 구매 및 Savings Plans 장바구니에 대한 콘솔 페이지
+ 의 비용 관리 보기 AWS Console Mobile Application
+ Billing and Cost Management SDK APIs(AWS Cost Explorer, AWS 예산, AWS 비용 및 사용 보고서 APIs)
+ AWS Systems Manager 애플리케이션 관리자
+ 콘솔 내 AWS Pricing Calculator
+ Amazon Q의 비용 분석 기능
+ 는 AWS Activate Console
## 대상
AWS Identity and Access Management (IAM)를 사용하는 방법은 역할에 따라 다릅니다.
+ **서비스 사용자** - 기능에 액세스할 수 없는 경우 관리자에게 권한 요청(참조[AWS 결제 자격 증명 및 액세스 문제 해결](security_iam_troubleshoot.md))
+ **서비스 관리자** - 사용자 액세스 결정 및 권한 요청 제출([AWS 결제가 IAM에서 작동하는 방식](security_iam_service-with-iam.md) 참조)
+ **IAM 관리자** - 액세스를 관리하기 위한 정책 작성([AWS 결제를 사용하는 자격 증명 기반 정책](security_iam_id-based-policy-examples.md) 참조)
## ID를 통한 인증
인증은 자격 증명 자격 증명을 AWS 사용하여에 로그인하는 방법입니다. AWS 계정 루트 사용자, IAM 사용자 또는 IAM 역할을 수임하여 인증되어야 합니다.
AWS IAM Identity Center (IAM Identity Center), Single Sign-On 인증 또는 Google/Facebook 자격 증명과 같은 자격 증명 소스의 자격 증명을 사용하여 페더레이션 자격 증명으로 로그인할 수 있습니다. 로그인하는 방법에 대한 자세한 내용은 *AWS Sign-In 사용 설명서*의 [AWS 계정에 로그인하는 방법](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) 섹션을 참조하세요.
프로그래밍 방식 액세스를 위해는 요청에 암호화 방식으로 서명할 수 있는 SDK 및 CLI를 AWS 제공합니다. 자세한 내용은 *IAM 사용 설명서*의 [API 요청용AWS Signature Version 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) 섹션을 참조하세요.
### AWS 계정 루트 사용자
를 생성할 때 모든 AWS 서비스 및 리소스에 대한 완전한 액세스 권한이 있는 AWS 계정 *theroot 사용자*라는 하나의 로그인 자격 증명으로 AWS 계정시작합니다. 일상적인 태스크에 루트 사용자를 사용하지 않을 것을 강력히 권장합니다. 루트 사용자 자격 증명이 필요한 작업은 *IAM 사용 설명서*의 [루트 사용자 자격 증명이 필요한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) 섹션을 참조하세요.
### 페더레이션 ID
가장 좋은 방법은 인간 사용자에게 자격 증명 공급자와의 페더레이션을 사용하여 임시 자격 증명을 AWS 서비스 사용하여에 액세스하도록 요구하는 것입니다.
*페더레이션 자격 증명*은 엔터프라이즈 디렉터리, 웹 자격 증명 공급자 또는 자격 증명 소스의 자격 증명을 AWS 서비스 사용하여 Directory Service 에 액세스하는 사용자입니다. 페더레이션 ID는 임시 자격 증명을 제공하는 역할을 수임합니다.
중앙 집중식 액세스 관리를 위해 AWS IAM Identity Center를 추천합니다. 자세한 정보는 *AWS IAM Identity Center 사용 설명서*의 [What is IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)를 참조하세요.
### IAM 사용자 및 그룹
*[IAM 사용자](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*는 단일 개인 또는 애플리케이션에 대한 특정 권한을 가진 ID입니다. 장기 자격 증명이 있는 IAM 사용자 대신 임시 자격 증명을 사용하는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 자격 [증명 공급자와의 페더레이션을 사용하여 임시 자격 증명을 AWS 사용하여에 액세스하도록 인간 사용자에게 요구](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)하기를 참조하세요.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)은 IAM 사용자 모음을 지정하고 대규모 사용자 집합에 대한 관리 권한을 더 쉽게 만듭니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 사용자 사용 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) 섹션을 참조하세요.
### IAM 역할
*[IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*은 임시 자격 증명을 제공하는 특정 권한이 있는 자격 증명입니다. [사용자에서 IAM 역할(콘솔)로 전환하거나 또는 API 작업을 호출하여 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) 수임할 수 있습니다. AWS CLI AWS 자세한 내용은 *IAM 사용 설명서*의 [역할 수임 방법](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)을 참조하세요.
IAM 역할은 페더레이션 사용자 액세스, 임시 IAM 사용자 권한, 교차 계정 액세스, 교차 서비스 액세스 및 Amazon EC2에서 실행되는 애플리케이션에 유용합니다. 자세한 내용은 *IAM 사용 설명서*의 [교차 계정 리소스 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)를 참조하세요.
## 정책을 사용하여 액세스 관리
정책을 AWS 생성하고 자격 증명 또는 리소스에 연결하여 AWS 에서 액세스를 제어합니다. 정책은 자격 증명 또는 리소스와 연결될 때 권한을 정의합니다.는 보안 주체가 요청할 때 이러한 정책을 AWS 평가합니다. 대부분의 정책은에 JSON 문서 AWS 로 저장됩니다. JSON 정책 문서에 대한 자세한 내용은 *IAM 사용 설명서*의 [JSON 정책 개요](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) 섹션을 참조하세요.
정책을 사용하여 관리자는 어떤 **보안 주체**가 어떤 **리소스**에 대해 어떤 **조건**에서 **작업**을 수행할 수 있는지 정의하여 누가 무엇을 액세스할 수 있는지 지정합니다.
기본적으로 사용자 및 역할에는 어떠한 권한도 없습니다. IAM 관리자는 IAM 정책을 생성하고 사용자가 수임할 수 있는 역할에 추가합니다. IAM 정책은 작업을 수행하기 위해 사용하는 방법과 관계없이 작업에 대한 권한을 정의합니다.
### ID 기반 정책
ID 기반 정책은 ID(사용자, 사용자 그룹 또는 역할)에 연결하는 JSON 권한 정책 문서입니다. 이러한 정책은 자격 증명이 수행할 수 있는 작업, 대상 리소스 및 이에 관한 조건을 제어합니다. ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*에서 [고객 관리형 정책으로 사용자 지정 IAM 권한 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)를 참조하세요.
ID 기반 정책은 *인라인 정책*(단일 ID에 직접 포함) 또는 *관리형 정책*(여러 ID에 연결된 독립 실행형 정책)일 수 있습니다. 관리형 정책 또는 인라인 정책을 선택하는 방법을 알아보려면 *IAM 사용 설명서*의 [관리형 정책 및 인라인 정책 중에서 선택](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) 섹션을 참조하세요.
### 리소스 기반 정책
리소스 기반 정책은 리소스에 연결하는 JSON 정책 설명서입니다. 예를 들어 IAM *역할 신뢰 정책* 및 Amazon S3 *버킷 정책*이 있습니다. 리소스 기반 정책을 지원하는 서비스에서 서비스 관리자는 이러한 정책을 사용하여 특정 리소스에 대한 액세스를 통제할 수 있습니다. 리소스 기반 정책에서 [보안 주체를 지정](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)해야 합니다.
리소스 기반 정책은 해당 서비스에 있는 인라인 정책입니다. 리소스 기반 정책에서는 IAM의 AWS 관리형 정책을 사용할 수 없습니다.
### 기타 정책 유형
AWS 는 보다 일반적인 정책 유형에서 부여한 최대 권한을 설정할 수 있는 추가 정책 유형을 지원합니다.
+ **권한 경계** - ID 기반 정책에서 IAM 엔터티에 부여할 수 있는 최대 권한을 설정합니다. 자세한 정보는 *IAM 사용 설명서*의 [IAM 엔터티의 권한 범위](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)를 참조하세요.
+ **서비스 제어 정책(SCP)** - AWS Organizations내 조직 또는 조직 단위에 대한 최대 권한을 지정합니다. 자세한 내용은AWS Organizations 사용 설명서의 [서비스 제어 정책](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)을 참조하세요.**
+ **리소스 제어 정책(RCP)** – 계정의 리소스에 사용할 수 있는 최대 권한을 설정합니다. 자세한 내용은 *AWS Organizations 사용 설명서*의 [리소스 제어 정책(RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)을 참조하세요.
+ **세션 정책** – 역할 또는 페더레이션 사용자에 대해 임시 세션을 프로그래밍 방식으로 생성할 때 파라미터로 전달하는 고급 정책입니다. 자세한 내용은 *IAM 사용 설명서*의 [세션 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)을 참조하세요.
### 여러 정책 유형
여러 정책 유형이 요청에 적용되는 경우, 결과 권한은 이해하기가 더 복잡합니다. 에서 여러 정책 유형이 관련될 때 요청을 허용할지 여부를 AWS 결정하는 방법을 알아보려면 *IAM 사용 설명서*의 [정책 평가 로직](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)을 참조하세요.
# AWS 결제가 IAM에서 작동하는 방식
Billing은 AWS Identity and Access Management (IAM) 서비스와 통합되어 조직의 누가 [Billing 콘솔](https://console.aws.amazon.com/cost-management/home)의 특정 페이지에 액세스할 수 있는지 제어할 수 있습니다. 송장과 비용 및 계정 활동, 예산, 결제 방법, 크레딧 관련 정보에 대한 액세스를 제어할 수 있습니다.
Billing and Cost Management 콘솔에 대한 액세스 권한 활성화하는 방법에 관한 설명은 *IAM 사용 설명서*의 [자습서: 결제(Billing) 콘솔에 대한 액세스 권한 위임](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html)을 참조하세요.
IAM을 사용하여 결제에 대한 액세스를 관리하기 전에 결제와 함께 사용할 수 있는 IAM 기능을 알아보세요.
**AWS 결제와 함께 사용할 수 있는 IAM 기능**
| IAM 특성 | 결제 지원 |
| --- | --- |
| [자격 증명 기반 정책](#security_iam_service-with-iam-id-based-policies) | 예 |
| [리소스 기반 정책](#security_iam_service-with-iam-resource-based-policies) | 아니요 |
| [정책 작업](#security_iam_service-with-iam-id-based-policies-actions) | 예 |
| [정책 리소스](#security_iam_service-with-iam-id-based-policies-resources) | 부분적 |
| [정책 조건 키](#security_iam_service-with-iam-id-based-policies-conditionkeys) | 예 |
| [ACL](#security_iam_service-with-iam-acls) | 아니요 |
| [ABAC(정책 내 태그)](#security_iam_service-with-iam-tags) | 부분적 |
| [임시 자격 증명](#security_iam_service-with-iam-roles-tempcreds) | 예 |
| [전달 액세스 세션(FAS)](#security_iam_service-with-iam-principal-permissions) | 예 |
| [서비스 역할](#security_iam_service-with-iam-roles-service) | 예 |
| [서비스 연결 역할](#security_iam_service-with-iam-roles-service-linked) | 아니요 |
결제 및 기타 AWS 서비스가 대부분의 IAM 기능과 작동하는 방식을 전체적으로 알아보려면 *IAM 사용 설명서*의 [AWS IAM으로 작업하는 서비스를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 참조하세요.
## 결제에 대한 자격 증명 기반 정책
**ID 기반 정책 지원:** 예
ID 기반 정책은 IAM 사용자, 사용자 그룹 또는 역할과 같은 ID에 연결할 수 있는 JSON 권한 정책 문서입니다. 이러한 정책은 사용자 및 역할이 어떤 리소스와 어떤 조건에서 어떤 작업을 수행할 수 있는지를 제어합니다. 자격 증명 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*에서 [고객 관리형 정책으로 사용자 지정 IAM 권한 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)를 참조하세요.
IAM ID 기반 정책을 사용하면 허용되거나 거부되는 작업과 리소스뿐 아니라 작업이 허용되거나 거부되는 조건을 지정할 수 있습니다. JSON 정책에서 사용할 수 있는 모든 요소에 대해 알아보려면 *IAM 사용 설명서*의 [IAM JSON 정책 요소 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)를 참조하세요.
### 결제에 대한 자격 증명 기반 정책 예시
결제 자격 증명 기반 정책 예제를 보려면 [AWS 결제를 사용하는 자격 증명 기반 정책](security_iam_id-based-policy-examples.md) 섹션을 참조하세요.
## 결제 내 리소스 기반 정책
**리소스 기반 정책 지원:** 아니요
리소스 기반 정책은 리소스에 연결하는 JSON 정책 설명서입니다. 리소스 기반 정책의 예제는 IAM *역할 신뢰 정책*과 Amazon S3 *버킷 정책*입니다. 리소스 기반 정책을 지원하는 서비스에서 서비스 관리자는 이러한 정책을 사용하여 특정 리소스에 대한 액세스를 통제할 수 있습니다. 정책이 연결된 리소스의 경우 정책은 지정된 보안 주체가 해당 리소스와 어떤 조건에서 어떤 작업을 수행할 수 있는지를 정의합니다. 리소스 기반 정책에서 [보안 주체를 지정](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)해야 합니다. 보안 주체에는 계정, 사용자, 역할, 페더레이션 사용자 또는가 포함될 수 있습니다 AWS 서비스.
교차 계정 액세스를 활성화하려는 경우, 전체 계정이나 다른 계정의 IAM 개체를 리소스 기반 정책의 보안 주체로 지정할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM에서 교차 계정 리소스 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)를 참조하세요.
## 결제에 대한 정책 작업
**정책 작업 지원:** 예
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
JSON 정책의 `Action`요소는 정책에서 액세스를 허용하거나 거부하는 데 사용할 수 있는 작업을 설명합니다. 연결된 작업을 수행할 수 있는 권한을 부여하기 위한 정책에 작업을 포함하세요.
결제 작업 목록을 보려면 *서비스 승인* 참조의 [AWS 결제에서 정의한 작업을](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html) 참조하세요.
결제의 정책 작업은 작업 앞에 다음 접두사를 사용합니다.
```
billing
```
단일 문에서 여러 작업을 지정하려면 쉼표로 구분합니다.
```
"Action": [
"billing:action1",
"billing:action2"
]
```
결제 자격 증명 기반 정책 예제를 보려면 [AWS 결제를 사용하는 자격 증명 기반 정책](security_iam_id-based-policy-examples.md) 섹션을 참조하세요.
## 결제에 대한 정책 리소스
**정책 리소스 지원:** 부분적
정책 리소스는 모니터, 구독 및 비용 범주에 대해서만 지원됩니다.
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
`Resource` JSON 정책 요소는 작업이 적용되는 하나 이상의 객체를 지정합니다. 모범 사례에 따라 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)을 사용하여 리소스를 지정합니다. 리소스 수준 권한을 지원하지 않는 작업의 경우, 와일드카드(\$1)를 사용하여 해당 문이 모든 리소스에 적용됨을 나타냅니다.
```
"Resource": "*"
```
AWS Cost Explorer 리소스 유형 목록을 보려면 *서비스 승인* 참조의 [AWS Cost Explorer에 사용되는 작업, 리소스 및 조건 키를](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html) 참조하세요.
결제 자격 증명 기반 정책 예제를 보려면 [AWS 결제를 사용하는 자격 증명 기반 정책](security_iam_id-based-policy-examples.md) 섹션을 참조하세요.
## 결제에 대한 정책 조건 키
**서비스별 정책 조건 키 지원:** 예
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
`Condition` 요소는 정의된 기준에 따라 문이 실행되는 시기를 지정합니다. 같음(equals) 또는 미만(less than)과 같은 [조건 연산자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)를 사용하여 정책의 조건을 요청의 값과 일치시키는 조건식을 생성할 수 있습니다. 모든 AWS 전역 조건 키를 보려면 *IAM 사용 설명서*의 [AWS 전역 조건 컨텍스트 키를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) 참조하세요.
결제 조건 키, 작업 및 리소스 목록을 보려면 *서비스 승인* 참조의 [AWS 결제에 사용되는 조건 키를](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html) 참조하세요.
결제 자격 증명 기반 정책 예제를 보려면 [AWS 결제를 사용하는 자격 증명 기반 정책](security_iam_id-based-policy-examples.md) 섹션을 참조하세요.
## 결제의 액세스 제어 목록(ACL)
**ACL 지원:** 아니요
액세스 제어 목록(ACL)은 어떤 보안 주체(계정 멤버, 사용자 또는 역할)가 리소스에 액세스할 수 있는 권한을 가지고 있는지를 제어합니다. ACL은 JSON 정책 문서 형식을 사용하지 않지만 리소스 기반 정책과 유사합니다.
## 결제의 속성 기반 액세스 제어(ABAC)
**ABAC 지원(정책의 태그):** 부분적
ABAC(정책의 태그) 는 모니터, 구독 및 비용 범주에서만 지원됩니다.
속성 기반 액세스 제어(ABAC)는 태그라고 불리는 속성을 기반으로 권한을 정의하는 권한 부여 전략입니다. IAM 엔터티 및 AWS 리소스에 태그를 연결한 다음 보안 주체의 태그가 리소스의 태그와 일치할 때 작업을 허용하는 ABAC 정책을 설계할 수 있습니다.
태그에 근거하여 액세스를 제어하려면 `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`또는 `aws:TagKeys`조건 키를 사용하여 정책의 [조건 요소](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)에 태그 정보를 제공합니다.
서비스가 모든 리소스 유형에 대해 세 가지 조건 키를 모두 지원하는 경우, 값은 서비스에 대해 **예**입니다. 서비스가 일부 리소스 유형에 대해서만 세 가지 조건 키를 모두 지원하는 경우, 값은 **부분적**입니다.
ABAC에 대한 자세한 내용은 *IAM 사용 설명서*의 [ABAC 권한 부여를 통한 권한 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)를 참조하세요. ABAC 설정 단계가 포함된 자습서를 보려면 *IAM 사용 설명서*의 [속성 기반 액세스 제어(ABAC) 사용](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)을 참조하세요.
## 결제에서 임시 자격 증명 사용
**임시 자격 증명 지원:** 예
임시 자격 증명은 AWS 리소스에 대한 단기 액세스를 제공하며 페더레이션을 사용하거나 역할을 전환할 때 자동으로 생성됩니다. 장기 액세스 키를 사용하는 대신 임시 자격 증명을 동적으로 생성하는 것이 AWS 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM의 임시 보안 자격 증명](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 및 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 섹션을 참조하세요.
## 결제에 대한 전달 액세스 세션
**전달 액세스 세션(FAS) 지원:** 예
전달 액세스 세션(FAS)은를 호출하는 보안 주체의 권한을 다운스트림 서비스에 AWS 서비스 대한 요청과 AWS 서비스함께 사용합니다. FAS 요청 시 정책 세부 정보는 [전달 액세스 세션](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)을 참조하세요.
## 결제의 서비스 역할
**서비스 역할 지원:** 예
서비스 역할은 서비스가 사용자를 대신하여 작업을 수행하는 것으로 가정하는 [IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)입니다. IAM 관리자는 IAM 내에서 서비스 역할을 생성, 수정 및 삭제할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 서비스 AWS에 권한을 위임할 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)을 참조하세요.
**주의**
서비스 역할에 대한 권한을 변경하면 결제 기능이 중단될 수 있습니다. 결제가 관련 지침을 제공하는 경우에만 서비스 역할을 편집합니다.
## 결제의 서비스 연결 역할
**서비스 연결 역할 지원:** 아니요
서비스 연결 역할은에 연결된 서비스 역할의 한 유형입니다 AWS 서비스. 서비스는 사용자를 대신하여 작업을 수행하기 위해 역할을 수임할 수 있습니다. 서비스 연결 역할은에 표시 AWS 계정 되며 서비스가 소유합니다. IAM 관리자는 서비스 연결 역할의 권한을 볼 수 있지만 편집은 할 수 없습니다.
서비스 연결 역할 생성 또는 관리에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조하세요. **서비스 연결 역할** 열에서 `Yes`가 포함된 서비스를 테이블에서 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예(Yes)** 링크를 선택합니다.
# AWS 결제를 사용하는 자격 증명 기반 정책
기본적으로 사용자 및 역할에는 결제 리소스를 생성하거나 수정할 수 있는 권한이 없습니다. 사용자에게 사용자가 필요한 리소스에서 작업을 수행할 권한을 부여하려면 IAM 관리자가 IAM 정책을 생성하면 됩니다.
이러한 예제 JSON 정책 문서를 사용하여 IAM ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*의 [IAM 정책 생성(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)을 참조하세요.
각 리소스 유형에 대한 ARNs 형식을 포함하여 Billing에서 정의한 작업 및 리소스 유형에 대한 자세한 내용은 *서비스 승인* 참조의 [AWS Billing에 사용되는 작업, 리소스 및 조건 키를](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html) 참조하세요.
**Contents**
+ [정책 모범 사례](#security_iam_service-with-iam-policy-best-practices)
+ [빌링 콘솔 대시보드 사용](#security_iam_id-based-policy-examples-console)
+ [사용자가 자신의 고유한 권한을 볼 수 있도록 허용](#security_iam_id-based-policy-examples-view-own-permissions)
+ [결제에 대한 자격 증명 기반 정책 사용](#billing-permissions-ref)
+ [AWS 빌링 콘솔 작업](#user-permissions)
## 정책 모범 사례
자격 증명 기반 정책에 따라 계정에서 사용자가 결제 리소스를 생성, 액세스 또는 삭제할 수 있는지 여부가 결정됩니다. 이 작업으로 인해 AWS 계정에 비용이 발생할 수 있습니다. ID 기반 정책을 생성하거나 편집할 때는 다음 지침과 권장 사항을 따르세요.
+ ** AWS 관리형 정책을 시작하고 최소 권한으로 전환 -** 사용자 및 워크로드에 권한 부여를 시작하려면 많은 일반적인 사용 사례에 대한 권한을 부여하는 *AWS 관리형 정책을* 사용합니다. 에서 사용할 수 있습니다 AWS 계정. 사용 사례에 맞는 AWS 고객 관리형 정책을 정의하여 권한을 추가로 줄이는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) 또는 [AWS 직무에 대한 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)을 참조하세요.
+ **최소 권한 적용** – IAM 정책을 사용하여 권한을 설정하는 경우, 작업을 수행하는 데 필요한 권한만 부여합니다. 이렇게 하려면 *최소 권한*으로 알려진 특정 조건에서 특정 리소스에 대해 수행할 수 있는 작업을 정의합니다. IAM을 사용하여 권한을 적용하는 방법에 대한 자세한 정보는 *IAM 사용 설명서*에 있는 [IAM의 정책 및 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)을 참조하세요.
+ **IAM 정책의 조건을 사용하여 액세스 추가 제한** – 정책에 조건을 추가하여 작업 및 리소스에 대한 액세스를 제한할 수 있습니다. 예를 들어, SSL을 사용하여 모든 요청을 전송해야 한다고 지정하는 정책 조건을 작성할 수 있습니다. AWS 서비스와 같은 특정를 통해 사용되는 경우 조건을 사용하여 서비스 작업에 대한 액세스 권한을 부여할 수도 있습니다 CloudFormation. 자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하세요.
+ **IAM Access Analyzer를 통해 IAM 정책을 확인하여 안전하고 기능적인 권한 보장** - IAM Access Analyzer에서는 IAM 정책 언어(JSON)와 모범 사례가 정책에서 준수되도록 새로운 및 기존 정책을 확인합니다. IAM Access Analyzer는 100개 이상의 정책 확인 항목과 실행 가능한 추천을 제공하여 안전하고 기능적인 정책을 작성하도록 돕습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM Access Analyzer에서 정책 검증](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)을 참조하세요.
+ **다중 인증(MFA) 필요 -**에서 IAM 사용자 또는 루트 사용자가 필요한 시나리오가 있는 경우 추가 보안을 위해 MFA를 AWS 계정켭니다. API 작업을 직접적으로 호출할 때 MFA가 필요하면 정책에 MFA 조건을 추가합니다. 자세한 내용은 *IAM 사용 설명서*의 [MFA를 통한 보안 API 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)를 참조하세요.
IAM의 모범 사례에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
## 빌링 콘솔 대시보드 사용
AWS 결제 콘솔에 액세스하려면 최소 권한 집합이 있어야 합니다. 이러한 권한은에서 결제 리소스에 대한 세부 정보를 나열하고 볼 수 있도록 허용해야 합니다 AWS 계정. 최소 필수 권한보다 더 제한적인 ID 기반 정책을 생성하는 경우, 콘솔이 해당 정책에 연결된 엔티티(사용자 또는 역할)에 대해 의도대로 작동하지 않습니다.
AWS CLI 또는 AWS API만 호출하는 사용자에게는 최소 콘솔 권한을 허용할 필요가 없습니다. 대신, 수행하려는 API 작업과 일치하는 작업에만 액세스할 수 있도록 합니다.
AWS 결제 콘솔을 활성화하는 데 필요한 권한, 관리자 액세스 및 읽기 전용 액세스와 같은 액세스 세부 정보는 [AWS 관리형 정책](managed-policies.md) 섹션에서 확인할 수 있습니다.
## 사용자가 자신의 고유한 권한을 볼 수 있도록 허용
이 예제는 IAM 사용자가 자신의 사용자 ID에 연결된 인라인 및 관리형 정책을 볼 수 있도록 허용하는 정책을 생성하는 방법을 보여줍니다. 이 정책에는 콘솔에서 또는 AWS CLI 또는 AWS API를 사용하여 프로그래밍 방식으로이 작업을 완료할 수 있는 권한이 포함됩니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 결제에 대한 자격 증명 기반 정책 사용
**참고**
다음 AWS Identity and Access Management (IAM) 작업은 2023년 7월에 표준 지원이 종료되었습니다.
`aws-portal` 네임스페이스
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
를 사용하는 경우 [대량 정책 마이그레이션 스크립트](migrate-iam-permissions.md) 또는 대량 정책 마이그레이션기를 사용하여 지급인 계정에서 정책을 업데이트할 AWS Organizations수 있습니다. 또한 [기존 작업-세분화 작업 매핑 참조](migrate-granularaccess-iam-mapping-reference.md)를 사용하여 추가해야 하는 IAM 작업을 확인할 수 있습니다.
가 있거나 AWS 계정 2023년 3월 6일 오전 11시(PDT) 이후에 AWS Organizations 생성된의 일부인 경우 세분화된 작업이 조직에 이미 적용됩니다.
**중요**
IAM 정책 외에도 [계정 설정](https://console.aws.amazon.com/billing/home#/account) 콘솔 페이지에서 Billing and Cost Management 콘솔에 대한 IAM 액세스 권한을 부여해야 합니다.
자세한 내용은 다음 항목을 참조하세요.
[Billing and Cost Management 콘솔에 대한 액세스 권한 활성화](control-access-billing.md#ControllingAccessWebsite-Activate)
*IAM 사용 설명서*의 [IAM 자습서: 빌링 콘솔에 대한 액세스 권한 부여](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html)
이 섹션을 통해 자격 증명 기반 정책 계정 관리자가 IAM 자격 증명(역할 및 그룹)에 권한 정책을 연결함으로써 결제 리소스에 대한 작업 수행 권한을 부여하는 방법을 알 수 있습니다.
AWS 계정 및 사용자에 대한 자세한 내용은 [IAM 사용 설명서의 IAM이란 무엇입니까?](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html)를 참조하세요. **
고객 관리형 정책을 업데이트하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*의 [고객 관리형 정책 편집(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console)을 참조하세요.
### AWS 빌링 콘솔 작업
이 표에는 빌링 콘솔 정보 및 도구에 대한 사용자 액세스를 허용하는 권한이 요약되어 있습니다. 이러한 권한을 사용하는 정책의 예는 [AWS 결제 정책 예제](billing-example-policies.md)단원을 참조하세요.
AWS 비용 관리 콘솔에 대한 작업 정책 목록은 [AWS 비용 관리 사용 설명서의 비용 관리 작업 정책을](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions) 참조하세요. *AWS *
| 권한 이름 | 설명 |
| --- | --- |
| aws-portal:ViewBilling | 과금 정보 및 비용 관리 콘솔 페이지를 볼 수 있는 권한을 부여합니다. |
| aws-portal:ModifyBilling | 다음과 같은 과금 정보 및 비용 관리 콘솔 페이지를 수정할 수 있는 권한을 부여합니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/security_iam_id-based-policy-examples.html) IAM 사용자가 이러한 콘솔 페이지를 수정하도록 허용하려면 `ModifyBilling` 및 `ViewBilling`을 모두 허용해야 합니다. 정책 예제는 [IAM 사용자가 결제 정보를 수정할 수 있도록 허용](billing-example-policies.md#example-billing-deny-modifybilling)을 참조하세요. |
| aws-portal:ViewAccount | [계정 설정](https://console.aws.amazon.com/billing/home#/account)을 볼 수 있는 권한을 부여합니다. |
| aws-portal:ModifyAccount | [계정 설정](https://console.aws.amazon.com/billing/home#/account)을 수정할 수 있는 권한을 부여합니다. IAM 사용자가 계정 설정을 수정할 수 있도록 하려면 `ModifyAccount` 및 `ViewAccount`를 모두 허용해야 합니다. **계정 설정(Account Settings)** 콘솔 페이지에 대한 IAM 사용자 액세스를 명시적으로 거부하는 정책의 예는 [계정 설정에 대한 액세스는 거부하되 다른 모든 결제 및 사용 정보에 대해서는 전체 액세스 허용](billing-example-policies.md#example-billing-deny-modifyaccount) 단원을 참조하세요. |
| aws-portal:ViewPaymentMethods | [결제 방법](https://console.aws.amazon.com/billing/home#/paymentmethods)을 볼 수 있는 권한을 부여합니다. |
| aws-portal:ModifyPaymentMethods | [결제 방법](https://console.aws.amazon.com/billing/home#/paymentmethods)을 수정할 수 있는 권한을 부여합니다. 사용자가 결제 방법을 수정하도록 허용하려면 `ModifyPaymentMethods` 및 `ViewPaymentMethods`를 모두 허용해야 합니다. |
| billing:ListBillingViews | 사용 가능한 청구 보기 목록을 가져올 수 있는 권한을 부여합니다. 여기에는 견적 청구 그룹에 해당하는 사용자 지정 청구 보기와 청구 보기가 포함됩니다. 사용자 지정 청구 보기에 대한 자세한 내용은 [Controlling cost management data access with Billing View](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-view.html)를 참조하세요. 결제 그룹 세부 정보 보기에 대한 자세한 내용은 *AWS Billing Conductor 사용 설명서*에서 [결제 그룹 세부 정보 보기](https://docs.aws.amazon.com/billingconductor/latest/userguide/viewing-abc.html)를 참조하세요. |
| billing:CreateBillingView | 사용자 지정 청구 보기를 생성할 수 있는 권한을 부여합니다. 예제 정책은 [사용자가 사용자 지정 청구 보기를 생성, 관리 및 공유하도록 허용](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view)을 참조하세요. |
| billing:UpdateBillingView | 사용자 지정 청구 보기를 업데이트할 수 있는 권한을 부여합니다. 예제 정책은 [사용자가 사용자 지정 청구 보기를 생성, 관리 및 공유하도록 허용](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view)을 참조하세요. |
| billing:DeleteBillingView | 사용자 지정 청구 보기를 삭제할 수 있는 권한을 부여합니다. 예제 정책은 [사용자가 사용자 지정 청구 보기를 생성, 관리 및 공유하도록 허용](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view)을 참조하세요. |
| billing:GetBillingView | 청구 보기의 정의를 가져올 수 있는 권한을 부여합니다. 예제 정책은 [사용자가 사용자 지정 청구 보기를 생성, 관리 및 공유하도록 허용](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view)을 참조하세요. |
| sustainability:GetCarbonFootprintSummary | AWS 고객 탄소 발자국 도구 및 데이터를 볼 수 있는 권한을 부여합니다. 이는 Billing and AWS Cost Management 콘솔의 비용 및 사용 보고서 페이지에서 액세스할 수 있습니다. 정책의 예는 [IAM 사용자가 결제 정보 및 탄소 발자국 보고서를 볼 수 있도록 허용](billing-example-policies.md#example-ccft-policy) 단원을 참조하세요. |
| cur:DescribeReportDefinitions | AWS 비용 및 사용 보고서를 볼 수 있는 권한을 부여합니다. AWS Cost and Usage Reports 권한은 [AWS Cost and Usage Reports Service](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) API 및 Billing and Cost Management 콘솔을 사용하여 생성된 모든 보고서에 적용됩니다. Billing and Cost Management 콘솔을 사용하여 보고서를 생성하는 경우 IAM 사용자에 대한 권한을 업데이트하는 것이 좋습니다. 권한을 업데이트하지 않으면 사용자는 콘솔 보고서 페이지에서 보고서 보기, 편집 및 제거에 대한 액세스 권한을 잃어버리게 됩니다. 정책의 예는 [IAM 사용자가 보고서(Reports) 콘솔 페이지에 액세스할 수 있도록 허용](billing-example-policies.md#example-billing-view-reports) 단원을 참조하세요. |
| cur:PutReportDefinition | AWS 비용 및 사용 보고서를 생성할 수 있는 권한을 부여합니다. AWS Cost and Usage Reports 권한은 [AWS Cost and Usage Reports Service](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) API 및 Billing and Cost Management 콘솔을 사용하여 생성된 모든 보고서에 적용됩니다. Billing and Cost Management 콘솔을 사용하여 보고서를 생성하는 경우 IAM 사용자에 대한 권한을 업데이트하는 것이 좋습니다. 권한을 업데이트하지 않으면 사용자는 콘솔 보고서 페이지에서 보고서 보기, 편집 및 제거에 대한 액세스 권한을 잃어버리게 됩니다. 정책의 예는 [IAM 사용자가 보고서(Reports) 콘솔 페이지에 액세스할 수 있도록 허용](billing-example-policies.md#example-billing-view-reports) 단원을 참조하세요. |
| cur:DeleteReportDefinition | AWS 비용 및 사용 보고서를 삭제할 수 있는 권한을 부여합니다. AWS Cost and Usage Reports 권한은 [AWS Cost and Usage Reports Service](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) API 및 Billing and Cost Management 콘솔을 사용하여 생성된 모든 보고서에 적용됩니다. Billing and Cost Management 콘솔을 사용하여 보고서를 생성하는 경우 IAM 사용자에 대한 권한을 업데이트하는 것이 좋습니다. 권한을 업데이트하지 않으면 사용자는 콘솔 보고서 페이지에서 보고서 보기, 편집 및 제거에 대한 액세스 권한을 잃어버리게 됩니다. 정책의 예는 [AWS 비용 및 사용 보고서 생성, 보기, 편집 또는 삭제](billing-example-policies.md#example-policy-report-definition) 단원을 참조하세요. |
| cur:ModifyReportDefinition | AWS 비용 및 사용 보고서를 수정할 수 있는 권한을 부여합니다. AWS Cost and Usage Reports 권한은 [AWS Cost and Usage Reports Service](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) API 및 Billing and Cost Management 콘솔을 사용하여 생성된 모든 보고서에 적용됩니다. Billing and Cost Management 콘솔을 사용하여 보고서를 생성하는 경우 IAM 사용자에 대한 권한을 업데이트하는 것이 좋습니다. 권한을 업데이트하지 않으면 사용자는 콘솔 보고서 페이지에서 보고서 보기, 편집 및 제거에 대한 액세스 권한을 잃어버리게 됩니다. 정책의 예는 [AWS 비용 및 사용 보고서 생성, 보기, 편집 또는 삭제](billing-example-policies.md#example-policy-report-definition) 단원을 참조하세요. |
| ce:CreateCostCategoryDefinition | 비용 범주를 생성할 수 있는 권한을 부여합니다. 정책 예제는 [비용 범주 보기 및 관리](billing-example-policies.md#example-policy-cc-api)을 참조하세요. |
| ce:DeleteCostCategoryDefinition | 비용 범주를 삭제할 수 있는 권한을 부여합니다. 정책 예제는 [비용 범주 보기 및 관리](billing-example-policies.md#example-policy-cc-api)을 참조하세요. |
| ce:DescribeCostCategoryDefinition | 비용 범주를 볼 수 있는 권한을 부여합니다. 정책 예제는 [비용 범주 보기 및 관리](billing-example-policies.md#example-policy-cc-api)을 참조하세요. |
| ce:ListCostCategoryDefinitions | 비용 범주를 나열할 수 있는 권한을 부여합니다. 정책 예제는 [비용 범주 보기 및 관리](billing-example-policies.md#example-policy-cc-api)을 참조하세요. |
| ce:UpdateCostCategoryDefinition | 비용 범주를 업데이트할 수 있는 권한을 부여합니다. 정책 예제는 [비용 범주 보기 및 관리](billing-example-policies.md#example-policy-cc-api)을 참조하세요. |
| aws-portal:ViewUsage | AWS 사용 [보고서를](https://console.aws.amazon.com/billing/home#/reports) 볼 수 있는 권한을 부여합니다. IAM 사용자가 사용 보고서를 보도록 허용하려면 `ViewUsage` 및 `ViewBilling`을 모두 허용해야 합니다. 정책 예제는 [IAM 사용자가 보고서(Reports) 콘솔 페이지에 액세스할 수 있도록 허용](billing-example-policies.md#example-billing-view-reports)을 참조하세요. |
| payments:AcceptFinancingApplicationTerms | IAM 사용자가 금융 대출 기관이 제공하는 약관에 동의할 수 있도록 허용합니다. 사용자는 상환을 위해 은행 계좌 세부 정보를 제공하고 대출 기관이 제공한 법률 문서에 서명해야 합니다. |
| payments:CreateFinancingApplication | IAM 사용자가 새로운 금융 대출을 신청하고 선택한 파이낸싱 옵션을 참조할 수 있도록 허용합니다. |
| payments:GetFinancingApplication | IAM 사용자가 파이낸싱 신청의 세부 정보를 검색할 수 있도록 허용합니다. 상태, 한도, 조건 및 대출 기관 정보를 예로 들 수 있습니다. |
| payments:GetFinancingLine | IAM 사용자가 금융 대출 세부 정보를 검색할 수 있도록 허용합니다. 상태 및 잔액을 예로 들 수 있습니다. |
| payments:GetFinancingLineWithdrawal | IAM 사용자가 인출 세부 정보를 검색할 수 있도록 허용합니다. 잔액 및 상환을 예로 들 수 있습니다. |
| payments:GetFinancingOption | IAM 사용자가 특정 파이낸싱 옵션의 세부 정보를 검색할 수 있도록 허용합니다. |
| payments:ListFinancingApplications | IAM 사용자가 모든 대출 기관에서 모든 파이낸싱 신청의 식별자를 검색할 수 있도록 허용합니다. |
| payments:ListFinancingLines | IAM 사용자가 모든 대출 기관에서 모든 금융 대출의 식별자를 검색할 수 있도록 허용합니다. |
| payments:ListFinancingLineWithdrawals | IAM 사용자가 지정된 대출에 대한 기존 인출을 모두 검색할 수 있도록 허용합니다. |
| payments:ListTagsForResource | 결제 방법에 대한 태그를 볼 수 있는 IAM 사용자 권한을 허용하거나 거부합니다. |
| payments:TagResource | 결제 방법에 대한 태그를 추가할 수 있는 IAM 사용자 권한을 허용하거나 거부합니다. |
| payments:UntagResource | 결제 방법에서 태그를 제거할 수 있는 IAM 사용자 권한을 허용하거나 거부합니다. |
| payments:UpdateFinancingApplication | IAM 사용자가 파이낸싱 신청을 변경하고 대출 기관에서 요청한 추가 정보를 제출하도록 허용합니다. |
| payments:ListPaymentInstruments | 등록된 결제 방법을 나열할 수 있는 IAM 사용자 권한을 허용하거나 거부합니다. |
| payments:UpdatePaymentInstrument | 결제 방법을 업데이트할 수 있는 IAM 사용자 권한을 허용하거나 거부합니다. |
| pricing:DescribeServices | AWS Price List Service API를 통해 AWS 서비스 제품 및 요금을 볼 수 있는 권한을 부여합니다. IAM 사용자가 AWS Price List Service API를 사용하도록 허용하려면 , 및 `DescribeServices``GetAttributeValues`를 허용해야 합니다`GetProducts`. 정책 예제는 [제품 및 가격 찾기](billing-example-policies.md#example-policy-pe-api)을 참조하세요. |
| pricing:GetAttributeValues | AWS Price List Service API를 통해 AWS 서비스 제품 및 요금을 볼 수 있는 권한을 부여합니다. IAM 사용자가 AWS Price List Service API를 사용하도록 허용하려면 , 및 `DescribeServices``GetAttributeValues`를 허용해야 합니다`GetProducts`. 정책 예제는 [제품 및 가격 찾기](billing-example-policies.md#example-policy-pe-api)을 참조하세요. |
| pricing:GetProducts | AWS Price List Service API를 통해 AWS 서비스 제품 및 요금을 볼 수 있는 권한을 부여합니다. IAM 사용자가 AWS Price List Service API를 사용하도록 허용하려면 , 및 `DescribeServices``GetAttributeValues`를 허용해야 합니다`GetProducts`. 정책 예제는 [제품 및 가격 찾기](billing-example-policies.md#example-policy-pe-api)을 참조하세요. |
| purchase-orders:ViewPurchaseOrders | [구매 주문](manage-purchaseorders.md)을 볼 수 있는 권한을 부여합니다. 정책 예제는 [구매 주문 보기 및 관리](billing-example-policies.md#example-view-manage-purchaseorders)을 참조하세요. |
| purchase-orders:ModifyPurchaseOrders | [구매 주문](manage-purchaseorders.md)을 수정할 수 있는 권한을 부여합니다. 정책 예제는 [구매 주문 보기 및 관리](billing-example-policies.md#example-view-manage-purchaseorders)을 참조하세요. |
| tax:GetExemptions | 세금 콘솔별로 공제 및 공제 유형을 볼 수 있는 읽기 전용 액세스 권한을 부여합니다. 정책 예제는 [IAM 사용자가 미국 세금 공제를 보고 지원 사례를 생성하도록 허용](billing-example-policies.md#example-awstaxexemption)을 참조하세요. |
| tax:UpdateExemptions | 미국 세금 공제 콘솔에 공제를 업로드할 수 있는 권한을 부여합니다. 정책 예제는 [IAM 사용자가 미국 세금 공제를 보고 지원 사례를 생성하도록 허용](billing-example-policies.md#example-awstaxexemption)을 참조하세요. |
| support:CreateCase | 세금 공제 콘솔에서 공제 업로드에 필요한 지원 사례를 제출할 수 있는 권한을 부여합니다. 정책 예제는 [IAM 사용자가 미국 세금 공제를 보고 지원 사례를 생성하도록 허용](billing-example-policies.md#example-awstaxexemption)을 참조하세요. |
| support:AddAttachmentsToSet | 세금 공제 콘솔에 공제 인증서를 업로드하는 데 필요한 지원 사례에 문서를 첨부할 수 있는 권한을 부여합니다. 정책 예제는 [IAM 사용자가 미국 세금 공제를 보고 지원 사례를 생성하도록 허용](billing-example-policies.md#example-awstaxexemption)을 참조하세요. |
| customer-verification:GetCustomerVerificationEligibility | (청구서 수신 주소 또는 연락처 주소가 인도인 고객만 해당) 고객 확인 자격을 검색할 수 있는 권한을 부여합니다. |
| customer-verification:GetCustomerVerificationDetails | (청구서 수신 주소 또는 연락처 주소가 인도인 고객만 해당) 고객 확인 데이터를 검색할 수 있는 권한을 부여합니다. |
| customer-verification:CreateCustomerVerificationDetails | (청구서 수신 주소 또는 연락처 주소가 인도인 고객만 해당) 고객 확인 데이터를 생성할 수 있는 권한을 부여합니다. |
| customer-verification:UpdateCustomerVerificationDetails | (청구서 수신 주소 또는 연락처 주소가 인도인 고객만 해당) 고객 확인 데이터를 업데이트할 수 있는 권한을 부여합니다. |
| mapcredit:ListAssociatedPrograms | 지급인 계정과 관련된 Migration Acceleration Program 계약 및 대시보드를 볼 수 있는 권한을 부여합니다. |
| mapcredit:ListQuarterSpend | 지급인 계정의 Migration Acceleration Program 적격 지출을 볼 수 있는 권한을 부여합니다. |
| mapcredit:ListQuarterCredits | 지급인 계정의 Migration Acceleration Program 크레딧을 볼 수 있는 권한을 부여합니다. |
| invoicing:BatchGetInvoiceProfile | 인보이스 AWS 구성에 대한 인보이스 프로파일을 볼 수 있는 읽기 전용 액세스 권한을 부여합니다. |
| invoicing:CreateInvoiceUnit | 인보이스 구성을 위한 AWS 인보이스 단위를 생성할 수 있는 권한을 부여합니다. |
| invoicing:DeleteInvoiceUnit | 인보이스 구성에 대한 AWS 인보이스 단위를 삭제할 수 있는 권한을 부여합니다. |
| invoicing:GetInvoiceUnit | 인보이스 AWS 구성에 대한 인보이스 단위를 볼 수 있는 읽기 전용 액세스 권한을 부여합니다. |
| invoicing:ListInvoiceUnits | 인보이스 구성에 대한 모든 인보이 AWS 스 단위를 나열할 수 있는 권한을 부여합니다. |
| invoicing:ListTagsForResource | 인보이스 AWS 구성에 대한 인보이스 단위의 태그를 볼 수 있는 IAM 사용자 권한을 허용하거나 거부합니다. |
| invoicing:TagResource | 인보이스 AWS 구성을 위해 인보이스 단위에 태그를 추가할 수 있는 IAM 사용자 권한을 허용하거나 거부합니다. |
| invoicing:UntagResource | 인보이스 AWS 구성을 위해 인보이스 단위에서 태그를 제거할 수 있는 IAM 사용자 권한을 허용하거나 거부합니다. |
| invoicing:UpdateInvoiceUnit | 인보이스 구성에 대한 인보이 AWS 스 단위를 업데이트할 수 있는 편집 권한을 부여합니다. |
# AWS 결제 정책 예제
**참고**
다음 AWS Identity and Access Management (IAM) 작업은 2023년 7월에 표준 지원이 종료되었습니다.
`aws-portal` 네임스페이스
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
를 사용하는 경우 [대량 정책 마이그레이션 스크립트](migrate-iam-permissions.md) 또는 대량 정책 마이그레이션기를 사용하여 지급인 계정에서 정책을 업데이트할 AWS Organizations수 있습니다. 또한 [기존 작업-세분화 작업 매핑 참조](migrate-granularaccess-iam-mapping-reference.md)를 사용하여 추가해야 하는 IAM 작업을 확인할 수 있습니다.
가 있거나 AWS 계정 2023년 3월 6일 오전 11시(PDT) 이후에 AWS Organizations 생성된의 일부인 경우 세분화된 작업이 조직에 이미 적용됩니다.
**중요**
이러한 정책은 [Account Settings](https://console.aws.amazon.com/billing/home#/account) 콘솔 페이지에서 Billing and Cost Management 콘솔에 대해 IAM 사용자 액세스를 활성화하는 과정이 필요합니다. 자세한 내용은 [Billing and Cost Management 콘솔에 대한 액세스 권한 활성화](control-access-billing.md#ControllingAccessWebsite-Activate) 단원을 참조하십시오.
AWS 관리형 정책을 사용하려면 섹션을 참조하세요[AWS 관리형 정책](managed-policies.md).
이 항목에서는 계정의 결제 정보와 도구에 대한 액세스를 제어하기 위해 IAM 사용자 또는 그룹에 연결할 수 있는 정책의 예를 보여 줍니다. Billing and Cost Management에 대한 IAM 정책에는 다음 기본 규칙이 적용됩니다.
+ `Version`은(는) 항상 `2012-10-17 `입니다.
+ `Effect`는 항상 `Allow`또는 `Deny`입니다.
+ `Action`은 작업의 이름 또는 와일드카드(`*`)입니다.
작업 접두사는 AWS Budgets`budgets`의 경우 , AWS Cost and Usage Reports`cur`의 경우 , AWS Billing`aws-portal`의 경우 , Cost Explorer의 `ce` 경우 입니다.
+ `Resource`는 항상 AWS 결제`*`용입니다.
`budget` 리소스에서 수행한 작업에 대해 예산의 Amazon 리소스 이름(ARN)을 지정합니다.
+ 정책 하나에 문 여러 개를 포함할 수 있습니다.
AWS Cost Management 콘솔에 대한 작업 정책 목록은 [AWS Cost Management 사용 설명서의 Cost Management 정책 예제](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html)를 참조하세요. *AWS *
**Topics**
+ [IAM 사용자가 결제 정보를 볼 수 있도록 허용](#example-billing-view-billing-only)
+ [IAM 사용자가 결제 정보 및 탄소 발자국 보고서를 볼 수 있도록 허용](#example-ccft-policy)
+ [IAM 사용자가 보고서(Reports) 콘솔 페이지에 액세스할 수 있도록 허용](#example-billing-view-reports)
+ [결제 및 비용 관리 콘솔에 대한 IAM 사용자 액세스 거부](#example-billing-deny-all)
+ [멤버 계정에 대한 AWS 콘솔 비용 및 사용 위젯 액세스 거부](#example-billing-deny-widget)
+ [특정 IAM 사용자 및 역할에 대한 AWS 콘솔 비용 및 사용 위젯 액세스 거부](#example-billing-deny-ce)
+ [IAM 사용자가 결제 정보를 볼 수 있도록 허용하지만 탄소 발자국 보고서에 대한 액세스 거부](#example-ccft-policy-deny)
+ [IAM 사용자가 탄소 발자국 보고서에 액세스하도록 허용하지만, 결제 정보에 대한 액세스 거부](#example-ccft-policy-allow)
+ [AWS 서비스에 대한 전체 액세스를 허용하지만 Billing and Cost Management 콘솔에 대한 IAM 사용자 액세스 거부](#ExampleAllowAllDenyBilling)
+ [계정 설정을 제외하고 IAM 사용자가 결제 및 비용 관리 콘솔을 볼 수 있도록 허용](#example-billing-read-only)
+ [IAM 사용자가 결제 정보를 수정할 수 있도록 허용](#example-billing-deny-modifybilling)
+ [계정 설정에 대한 액세스는 거부하되 다른 모든 결제 및 사용 정보에 대해서는 전체 액세스 허용](#example-billing-deny-modifyaccount)
+ [Amazon S3 버킷에 보고서 보관](#example-billing-s3-bucket)
+ [제품 및 가격 찾기](#example-policy-pe-api)
+ [비용 및 사용량 보기](#example-policy-ce-api)
+ [AWS 리전 활성화 및 비활성화](#enable-disable-regions)
+ [비용 범주 보기 및 관리](#example-policy-cc-api)
+ [AWS 비용 및 사용 보고서 생성, 보기, 편집 또는 삭제](#example-policy-report-definition)
+ [구매 주문 보기 및 관리](#example-view-manage-purchaseorders)
+ [Cost Explorer 기본 설정 페이지 보기 및 업데이트](#example-view-update-ce)
+ [Cost Explorer 보고서 페이지를 사용하여 조회, 생성, 업데이트 및 삭제](#example-view-ce-reports)
+ [예약 및 Savings Plans 알림 보기, 생성, 업데이트, 삭제](#example-view-ce-expiration)
+ [AWS 비용 이상 탐지에 대한 읽기 전용 액세스 허용](#example-policy-ce-ad)
+ [AWS Budgets가 IAM 정책 및 SCPs 적용하도록 허용](#example-budgets-IAM-SCP)
+ [AWS Budgets가 IAM 정책 및 SCPs와 대상 EC2 및 RDS 인스턴스를 적용하도록 허용](#example-budgets-applySCP)
+ [IAM 사용자가 미국 세금 공제를 보고 지원 사례를 생성하도록 허용](#example-awstaxexemption)
+ [(청구서 또는 연락처 주소가 인도인 고객의 경우) 고객 인증 정보에 대한 읽기 전용 액세스 허용](#example-aispl-verification)
+ [(청구서 또는 연락처 주소가 인도인 고객의 경우) 고객 인증 정보를 읽고, 생성하고 업데이트합니다](#example-aispl-verification-view)
+ [빌링 콘솔에서 AWS Migration Acceleration Program 정보 보기](#read-only-migration-acceleration-program-policy)
+ [결제 콘솔에서 AWS 인보이스 구성에 대한 액세스 허용](#invoice-config-policy)
## IAM 사용자가 결제 정보를 볼 수 있도록 허용
IAM 사용자가 중요 계정 정보에 IAM 사용자로서 액세스하지 않고도 결제 정보를 볼 수 있게 하려면 다음 예와 비슷한 정책을 사용합니다. 이러한 정책은 사용자가 암호 및 계정 활동 보고서에 액세스하지 못하도록 합니다. 이 정책을 통해 IAM 사용자는 **Account Settings** 또는 **Reports** 콘솔 페이지에 대한 액세스 권한을 부여받지 않고도 다음 Billing and Cost Management 콘솔 페이지를 볼 수 있습니다.
+ **대시보드**
+ **Cost Explorer**
+ **청구서**
+ **Orders and invoices(주문 및 인보이스)**
+ **통합 결제**
+ **Preferences**
+ **Credits**
+ **선지급**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
}
]
}
```
------
## IAM 사용자가 결제 정보 및 탄소 발자국 보고서를 볼 수 있도록 허용
IAM 사용자가 결제 정보와 탄소 발자국 보고를 볼 수 있게 하려면 다음 예제와 같은 정책을 사용합니다. 이러한 정책은 사용자가 암호 및 계정 활동 보고서에 액세스하지 못하도록 합니다. 이 정책을 통해 IAM 사용자는 **Account Settings** 또는 **Reports** 콘솔 페이지에 대한 액세스 권한을 부여받지 않고도 다음 Billing and Cost Management 콘솔 페이지를 볼 수 있습니다.
+ **대시보드**
+ **Cost Explorer**
+ **청구서**
+ **Orders and invoices(주문 및 인보이스)**
+ **통합 결제**
+ **Preferences**
+ **Credits**
+ **선지급**
+ ** AWS 비용 및 사용 보고서 페이지의 AWS 고객 탄소 발자국 도구 섹션**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## IAM 사용자가 보고서(Reports) 콘솔 페이지에 액세스할 수 있도록 허용
IAM 사용자가 **Reports** 콘솔 페이지에 액세스하여 계정 활동 정보가 포함된 사용 보고서를 볼 수 있게 하려면 이 예와 비슷한 정책을 사용합니다.
각 작업에 대한 정의는 [AWS 빌링 콘솔 작업](security_iam_id-based-policy-examples.md#user-permissions) 단원을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewUsage",
"aws-portal:ViewBilling",
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*"
}
]
}
```
------
## 결제 및 비용 관리 콘솔에 대한 IAM 사용자 액세스 거부
모든 Billing and Cost Management 콘솔 페이지에 대한 IAM 사용자의 액세스를 명시적으로 거부하려면, 이 예와 비슷한 정책을 사용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "aws-portal:*",
"Resource": "*"
}
]
}
```
------
## 멤버 계정에 대한 AWS 콘솔 비용 및 사용 위젯 액세스 거부
연결된 멤버 계정의 비용 및 사용 데이터에 대한 액세스를 제한하려면 관리(지급인) 계정을 사용하여 Cost Explorer 기본 설정 탭에 액세스하고 **연결 계정 액세스(Linked Account Access)**를 선택 취소합니다. 이렇게 하면 멤버 계정의 IAM 사용자 또는 역할에 있는 IAM 작업에 관계없이 Cost Explorer(AWS Cost Management) 콘솔, Cost Explorer API 및 AWS 콘솔 홈 페이지의 비용 및 사용 위젯에서 비용 및 사용 데이터에 대한 액세스가 거부됩니다.
## 특정 IAM 사용자 및 역할에 대한 AWS 콘솔 비용 및 사용 위젯 액세스 거부
특정 IAM 사용자 및 역할에 대한 AWS 콘솔 비용 및 사용 위젯 액세스를 거부하려면 아래 권한 정책을 사용합니다.
**참고**
IAM 사용자 또는 역할에이 정책을 추가하면 Cost Explorer(AWS Cost Management) 콘솔 및 Cost Explorer APIs도 거부됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ce:*",
"Resource": "*"
}
]
}
```
------
## IAM 사용자가 결제 정보를 볼 수 있도록 허용하지만 탄소 발자국 보고서에 대한 액세스 거부
IAM 사용자가 Billing and Cost Management 콘솔에서 결제 정보를 모두 사용할 수 있지만 AWS Customer Carbon Footprint Tool에 대한 액세스는 허용하지 않습니다. 이 도구는 AWS 비용 및 사용 보고서 페이지에 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Deny",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## IAM 사용자가 탄소 발자국 보고서에 액세스하도록 허용하지만, 결제 정보에 대한 액세스 거부
IAM 사용자가 AWS 비용 및 사용 보고서 페이지에서 AWS Customer Carbon Footprint Tool에 액세스할 수 있도록 허용하려면 Billing and Cost Management 콘솔에서 결제 정보를 볼 수 있는 액세스는 거부합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Deny",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## AWS 서비스에 대한 전체 액세스를 허용하지만 Billing and Cost Management 콘솔에 대한 IAM 사용자 액세스 거부
Billing and Cost Management 콘솔의 모든 항목에 대한 IAM 사용자의 액세스를 거부하려면 다음 정책을 사용합니다. 결제 정보 및 도구에 대한 액세스를 제어하는 정책에 대한 액세스를 방지하려면 AWS Identity and Access Management (IAM)에 대한 사용자 액세스를 거부합니다.
**중요**
이 정책은 어떤 작업도 허용하지 않습니다. 이 정책을 특정 작업을 허용하는 다른 정책과 함께 사용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aws-portal:*",
"iam:*"
],
"Resource": "*"
}
]
}
```
------
## 계정 설정을 제외하고 IAM 사용자가 결제 및 비용 관리 콘솔을 볼 수 있도록 허용
이 정책은 모든 Billing and Cost Management 콘솔 전체에 대한 읽기 전용 액세스를 허용합니다. 여기에는 **Payments Method** 및 **Reports** 콘솔 페이지가 포함됩니다. 그러나 이 정책은 **계정 설정(Account Settings)** 페이지에 대한 액세스를 거부합니다. 즉, 계정 암호, 연락처 정보, 보안 질문을 보호하는 것입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:View*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## IAM 사용자가 결제 정보를 수정할 수 있도록 허용
IAM 사용자가 Billing and Cost Management 콘솔에서 계정 결제 정보를 수정할 수 있도록 허용하려면 IAM 사용자가 결제 정보를 볼 수 있도록 허용해야 합니다. 다음 정책 예시는 IAM 사용자가 **Consolidated Billing**, **Preferences**, **Credits** 콘솔 페이지를 수정할 수 있도록 허용합니다. 또한 IAM 사용자가 다음 Billing and Cost Management 콘솔 페이지를 보는 것도 허용합니다.
+ **대시보드**
+ **Cost Explorer**
+ **청구서**
+ **Orders and invoices(주문 및 인보이스)**
+ **선지급**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:*Billing",
"Resource": "*"
}
]
}
```
------
## 계정 설정에 대한 액세스는 거부하되 다른 모든 결제 및 사용 정보에 대해서는 전체 액세스 허용
계정 암호, 연락처 정보, 보안 질문을 보호하려면 **계정 설정**에 대한 IAM 사용자 액세스를 거부하는 한편 Billing and Cost Management 콘솔의 나머지 기능에 대한 전체 액세스 권한을 활성화합니다. 다음은 예제 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:*Billing",
"aws-portal:*Usage",
"aws-portal:*PaymentMethods"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## Amazon S3 버킷에 보고서 보관
다음 정책은 AWS 계정과 Amazon S3 버킷을 모두 소유한 경우 Billing and Cost Management가 세부 AWS 청구서를 Amazon S3 버킷에 저장할 수 있도록 허용합니다. 이 정책은 IAM 사용자가 아니라 Amazon S3 버킷에 적용되어야 합니다. 사용자 기반 정책이 아니라 리소스 기반 정책이기 때문입니다. 청구서에 액세스할 필요가 없는 IAM 사용자에게는 버킷에 대한 IAM 사용자 액세스를 거부하는 것이 좋습니다.
*amzn-s3-demo-bucket1*을 버킷 이름으로 바꿉니다.
자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [버킷 정책 및 사용자 정책 사용](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html)을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1"
},
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
}
]
}
```
------
## 제품 및 가격 찾기
IAM 사용자가 AWS Price List Service API를 사용하도록 허용하려면 다음 정책을 사용하여 액세스 권한을 부여합니다.
이 정책은 AWS Price List Bulk API AWS Price List Query API를 모두 사용할 수 있는 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts",
"pricing:GetPriceListFileUrl",
"pricing:ListPriceLists"
],
"Resource": [
"*"
]
}
]
}
```
------
## 비용 및 사용량 보기
IAM 사용자가 AWS Cost Explorer API를 사용하도록 허용하려면 다음 정책을 사용하여 액세스 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 리전 활성화 및 비활성화
사용자가 리전을 활성화 및 비활성화할 수 있도록 허용하는 IAM 정책의 예는 *IAM 사용 설명서*의 [AWS: AWS 리전 활성화 및 비활성화 허용](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws-enable-disable-regions.html)을 참조하세요.
## 비용 범주 보기 및 관리
IAM 사용자가 비용 범주를 사용, 확인하고 관리할 수 있도록 하려면 다음 정책을 사용하여 액세스 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:GetCostAndUsage",
"ce:DescribeCostCategoryDefinition",
"ce:UpdateCostCategoryDefinition",
"ce:CreateCostCategoryDefinition",
"ce:DeleteCostCategoryDefinition",
"ce:ListCostCategoryDefinitions",
"ce:TagResource",
"ce:UntagResource",
"ce:ListTagsForResource",
"pricing:DescribeServices"
],
"Resource": "*"
}
]
}
```
------
## AWS 비용 및 사용 보고서 생성, 보기, 편집 또는 삭제
이 정책은 IAM 사용자가 API를 사용하여 `sample-report`를 생성하거나, 보거나, 편집하거나 삭제하도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageSampleReport",
"Effect": "Allow",
"Action": [
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "arn:aws:cur:*:123456789012:definition/sample-report"
},
{
"Sid": "DescribeReportDefs",
"Effect": "Allow",
"Action": "cur:DescribeReportDefinitions",
"Resource": "*"
}
]
}
```
------
## 구매 주문 보기 및 관리
이 정책은 액세스 권한을 부여하는 다음 정책을 사용하여 IAM 사용자가 구매 주문을 보고 관리할 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"purchase-orders:*"
],
"Resource": "*"
}
]
}
```
------
## Cost Explorer 기본 설정 페이지 보기 및 업데이트
이 정책은 IAM 사용자가 **Cost Explorer 기본 설정 페이지**를 보고 업데이트할 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
다음 정책은 IAM 사용자가 Cost Explorer를 볼 수 있도록 허용하되 **기본 설정(Preferences)** 페이지를 보거나 편집할 수 있는 권한은 거부합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:GetPreferences",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
다음 정책은 IAM 사용자가 Cost Explorer를 볼 수 있도록 허용하되 **기본 설정(Preferences)** 페이지를 편집할 수 있는 권한은 거부합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
## Cost Explorer 보고서 페이지를 사용하여 조회, 생성, 업데이트 및 삭제
이 정책은 IAM 사용자가 **Cost Explorer 보고서 페이지**를 보고, 생성하고, 업데이트하고, 삭제할 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
다음 정책은 IAM 사용자가 Cost Explorer를 볼 수 있도록 허용하되 **보고서(Reports)** 페이지를 보거나 편집할 수 있는 권한은 거부합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeReport",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
다음 정책은 IAM 사용자가 Cost Explorer를 볼 수 있도록 허용하되 **보고서(Reports)** 페이지를 편집할 수 있는 권한은 거부합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
## 예약 및 Savings Plans 알림 보기, 생성, 업데이트, 삭제
이 정책은 IAM 사용자가 [예약 만료 알림](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ce-ris.html) 및 [Savings Plans 알림](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-overview.html#sp-alert)을 확인, 생성, 업데이트 및 삭제할 수 있도록 허용합니다. 예약 만료 알림 또는 Savings Plans 알림을 편집하려면 세 가지 세부 작업(`ce:CreateNotificationSubscription`, `ce:UpdateNotificationSubscription`, `ce:DeleteNotificationSubscription`)이 모두 필요합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
다음 정책은 IAM 사용자가 Cost Explorer 볼 수 있도록 허용하되 **예약 만료 알림(Reservation Expiration Alerts)** 및 **Savings Plans 알림(Savings Plans alert)** 페이지를 보거나 편집할 수 있는 권한을 거부합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeNotificationSubscription",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
다음 정책은 IAM 사용자가 Cost Explorer 볼 수 있도록 허용하되 **예약 만료 알림(Reservation Expiration Alerts)** 및 **Savings Plans 알림(Savings Plans alert)** 페이지를 편집할 수 있는 권한을 거부합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
## AWS 비용 이상 탐지에 대한 읽기 전용 액세스 허용
IAM 사용자에게 AWS 비용 이상 탐지에 대한 읽기 전용 액세스를 허용하려면 다음 정책을 사용하여 액세스 권한을 부여합니다. `ce:ProvideAnomalyFeedback`는 읽기 전용 액세스의 일부로 선택 사항입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ce:Get*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS Budgets가 IAM 정책 및 SCPs 적용하도록 허용
이 정책은 AWS Budgets가 사용자를 대신하여 IAM 정책 및 서비스 제어 정책(SCPs)을 적용하도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": "*"
}
]
}
```
------
## AWS Budgets가 IAM 정책 및 SCPs와 대상 EC2 및 RDS 인스턴스를 적용하도록 허용
이 정책은 AWS Budgets가 IAM 정책 및 서비스 제어 정책(SCPs 적용하고 사용자를 대신하여 Amazon EC2 및 Amazon RDS 인스턴스를 대상으로 지정할 수 있도록 허용합니다.
신뢰 정책
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "budgets.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
권한 정책
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:StartInstances",
"ec2:StopInstances",
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"rds:DescribeDBInstances",
"rds:StartDBInstance",
"rds:StopDBInstance",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## IAM 사용자가 미국 세금 공제를 보고 지원 사례를 생성하도록 허용
이 정책을 통해 IAM 사용자는 미국 면세를 보고 면세 콘솔에서 면세 인증서를 업로드하는 지원 사례를 생성할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:*",
"tax:GetExemptions",
"tax:UpdateExemptions",
"support:CreateCase",
"support:AddAttachmentsToSet"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
## (청구서 또는 연락처 주소가 인도인 고객의 경우) 고객 인증 정보에 대한 읽기 전용 액세스 허용
이 정책을 통해 IAM 사용자는 고객 인증 정보에 읽기 전용으로 액세스할 수 있습니다.
각 작업에 대한 정의는 [AWS 빌링 콘솔 작업](security_iam_id-based-policy-examples.md#user-permissions) 단원을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## (청구서 또는 연락처 주소가 인도인 고객의 경우) 고객 인증 정보를 읽고, 생성하고 업데이트합니다
이 정책을 통해 IAM 사용자는 고객 인증 정보를 관리할 수 있습니다.
각 작업의 정의는 [AWS 빌링 콘솔 작업](security_iam_id-based-policy-examples.md#user-permissions) 섹션을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:CreateCustomerVerificationDetails",
"customer-verification:UpdateCustomerVerificationDetails",
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## 빌링 콘솔에서 AWS Migration Acceleration Program 정보 보기
이 정책을 통해 IAM 사용자는 빌링 콘솔에서 지급인 계정의 Migration Acceleration Program 계약, 크레딧 및 적격 지출을 볼 수 있습니다.
각 작업에 대한 정의는 [AWS 빌링 콘솔 작업](security_iam_id-based-policy-examples.md#user-permissions) 단원을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"mapcredits:ListQuarterSpend",
"mapcredits:ListQuarterCredits",
"mapcredits:ListAssociatedPrograms"
],
"Resource": "*"
}]
}
```
------
## 결제 콘솔에서 AWS 인보이스 구성에 대한 액세스 허용
이 정책은 결제 콘솔에서 IAM 사용자가 AWS 인보이스 구성에 액세스할 수 있도록 허용합니다.
각 작업에 대한 정의는 [AWS 빌링 콘솔 작업](security_iam_id-based-policy-examples.md#user-permissions) 단원을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"invoicing:ListInvoiceUnits",
"invoicing:GetInvoiceUnit",
"invoicing:CreateInvoiceUnit",
"invoicing:UpdateInvoiceUnit",
"invoicing:DeleteInvoiceUnit",
"invoicing:BatchGetInvoiceProfile"
],
"Resource": [
"*"
]
}
]
}
```
------
# 에 대한 액세스 제어 마이그레이션 AWS Billing
**참고**
다음 AWS Identity and Access Management (IAM) 작업은 2023년 7월에 표준 지원이 종료되었습니다.
`aws-portal` 네임스페이스
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
를 사용하는 경우 [대량 정책 마이그레이션 스크립트](migrate-iam-permissions.md) 또는 대량 정책 마이그레이션기를 사용하여 지급인 계정에서 정책을 업데이트할 AWS Organizations수 있습니다. 또한 [기존 작업-세분화 작업 매핑 참조](migrate-granularaccess-iam-mapping-reference.md)를 사용하여 추가해야 하는 IAM 작업을 확인할 수 있습니다.
가 있거나 AWS 계정 2023년 3월 6일 오전 11시(PDT) 이후에 AWS Organizations 생성된의 일부인 경우 세분화된 작업이 조직에 이미 적용됩니다.
세분화된 액세스 제어를 사용하여 조직의 개인에게 AWS 결제 및 비용 관리 서비스에 대한 액세스 권한을 제공할 수 있습니다. 예를 들어, 과금 정보 및 비용 관리 콘솔에 대한 액세스 권한을 제공하지 않고 Cost Explorer에 대한 액세스 권한을 제공할 수 있습니다.
세분화된 액세스 제어를 사용하려면 `aws-portal`아래에서 새 IAM 작업으로 정책을 마이그레이션해야 합니다.
권한 정책 또는 서비스 제어 정책(SCP)의 다음과 같은 IAM 작업은 이 마이그레이션을 통해 업데이트해야 합니다.
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
**Affected policies**(영향을 받는 정책) 도구를 사용하여 영향을 받는 IAM 정책을 식별하는 방법을 알아보려면 [영향을 받는 정책 도구를 사용하는 방법](migrate-security-iam-tool.md)섹션을 참조하세요.
**참고**
AWS Cost Explorer, AWS 비용 및 사용 보고서, AWS 예산에 대한 API 액세스는 영향을 받지 않습니다.
[Billing and Cost Management 콘솔에 대한 액세스 권한 활성화](control-access-billing.md#ControllingAccessWebsite-Activate)는 변경되지 않습니다.
**Topics**
+ [액세스 권한 관리하기](#migrate-control-access-billing)
+ [콘솔을 사용하여 정책 대량 마이그레이션](migrate-granularaccess-console.md)
+ [영향을 받는 정책 도구를 사용하는 방법](migrate-security-iam-tool.md)
+ [세분화된 IAM 작업을 사용하도록 스크립트를 사용하여 정책을 대량으로 마이그레이션](migrate-iam-permissions.md)
+ [세분화된 IAM 작업 매핑 참조](migrate-granularaccess-iam-mapping-reference.md)
## 액세스 권한 관리하기
AWS Billing 는 AWS Identity and Access Management (IAM) 서비스와 통합되어 조직의 누가 [Billing and Cost Management 콘솔](https://console.aws.amazon.com/billing/)의 특정 페이지에 액세스할 수 있는지 제어할 수 있습니다. 여기에는 결제, 청구, 크레딧, 프리 티어, 결제 기본 설정, 통합 청구, 세금 설정 및 계정 페이지와 같은 기능이 포함됩니다.
과금 정보 및 비용 관리 콘솔을 세부적으로 제어하려면 다음과 같은 IAM 권한을 사용합니다.
세분화된 액세스 권한을 제공하려면 `aws-portal` 정책을 `account`, `billing`, `payments`, `freetier`, `invoicing`, `tax`, 및 `consolidatedbilling`으로 바꿉니다.
또한 `purchase-orders:ViewPurchaseOrders` 및 `purchase-orders:ModifyPurchaseOrders`을 아래의 `purchase-orders`, `account` 및 `payments` 아래의 세분화된 작업으로 바꾸세요.
### 세분화된 AWS Billing 작업 사용
이 표에는 청구 정보에 대한 IAM 사용자 및 역할 액세스를 허용하거나 거부할 수 있는 권한이 요약되어 있습니다. 이러한 권한을 사용하는 정책의 예는 [AWS 결제 정책 예제](billing-example-policies.md)단원을 참조하세요.
AWS Cost Management 콘솔에 대한 작업 목록은 *AWS Cost Management 사용 설명서*의 [AWS Cost Management 작업 정책을](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions) 참조하세요.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html)
# 콘솔을 사용하여 정책 대량 마이그레이션
**참고**
다음 AWS Identity and Access Management (IAM) 작업은 2023년 7월에 표준 지원이 종료되었습니다.
`aws-portal` 네임스페이스
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
를 사용하는 경우 [대량 정책 마이그레이션 스크립트](migrate-iam-permissions.md) 또는 대량 정책 마이그레이션기를 사용하여 지급인 계정에서 정책을 업데이트할 AWS Organizations수 있습니다. 또한 [기존 작업-세분화 작업 매핑 참조](migrate-granularaccess-iam-mapping-reference.md)를 사용하여 추가해야 하는 IAM 작업을 확인할 수 있습니다.
가 있거나 AWS 계정 2023년 3월 6일 오전 11시(PDT) 이후에 AWS Organizations 생성된의 일부인 경우 세분화된 작업이 조직에 이미 적용됩니다.
이 섹션에서는 [AWS 결제 및 비용 관리 콘솔](https://console.aws.amazon.com/billing/)을 사용하여 조직 계정 또는 표준 계정의 레거시 정책을 대량으로 세분화된 작업으로 마이그레이션할 수 있는 방법을 설명합니다. 다음 두 가지 방법으로 콘솔을 사용하여 레거시 정책 마이그레이션을 완료할 수 있습니다.
**AWS 권장 마이그레이션 프로세스 사용**
레거시 작업을 AWS에서 매핑한 세분화된 작업으로 마이그레이션하는 간소화된 단일 작업 프로세스입니다. 자세한 내용은 [권장 조치를 사용한 레거시 정책 대량 마이그레이션](migrate-console-streamlined.md) 단원을 참조하십시오.
**사용자 지정 마이그레이션 프로세스 사용**
이 프로세스를 통해 대량 마이그레이션 AWS 전에에서 권장하는 작업을 검토 및 변경하고 조직의 어떤 계정을 마이그레이션할지 사용자 지정할 수 있습니다. 자세한 내용은 [레거시 정책을 대량 마이그레이션하는 작업 사용자 지정](migrate-console-customized.md) 단원을 참조하십시오.
## 콘솔을 사용한 대량 마이그레이션을 위한 사전 조건
두 마이그레이션 옵션 모두 콘솔에서 동의해야 AWS 가 할당한 레거시 IAM 작업에 세분화된 작업을 추천할 수 있습니다. 이렇게 하려면 정책 업데이트를 계속하려면 다음 IAM 작업을 사용하여 AWS 계정에 IAM 보안 주체로 로그인해야 합니다. [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)
------
#### [ Management account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced",
"aws-portal:UpdateConsoleActionSetEnforced",
"purchase-orders:UpdateConsoleActionSetEnforced",
"iam:GetAccountAuthorizationDetails",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:InvokeFunction",
"lambda:RemovePermission",
"scheduler:GetSchedule",
"scheduler:DeleteSchedule",
"scheduler:CreateSchedule",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:CreateStackSet",
"cloudformation:CreateStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackSets",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:ListStacks",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:CreateStack",
"cloudformation:UpdateStackInstances",
"cloudformation:UpdateStackSet",
"cloudformation:DescribeStacks",
"ec2:DescribeRegions",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"iam:GenerateOrganizationsAccessReport",
"iam:GetOrganizationsAccessReport",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"organizations:ListAccountsForParent",
"organizations:ListRoots",
"sts:AssumeRole",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:GetInlinePolicyForPermissionSet",
"sso:DescribePermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:ProvisionPermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
#### [ Member account or standard account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced", // Not needed for member account
"aws-portal:UpdateConsoleActionSetEnforced", // Not needed for member account
"purchase-orders:UpdateConsoleActionSetEnforced", // Not needed for member account
"iam:GetAccountAuthorizationDetails",
"ec2:DescribeRegions",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
**Topics**
+ [콘솔을 사용한 대량 마이그레이션을 위한 사전 조건](#migrate-granularaccess-console-prereq)
+ [권장 조치를 사용한 레거시 정책 대량 마이그레이션](migrate-console-streamlined.md)
+ [레거시 정책을 대량 마이그레이션하는 작업 사용자 지정](migrate-console-customized.md)
+ [대량 마이그레이션 정책 변경 사항 롤백](migrate-console-rollback.md)
+ [마이그레이션 확인](#migrate-console-complete)
# 권장 조치를 사용한 레거시 정책 대량 마이그레이션
AWS에서 매핑한 세분화된 작업을 사용하여 모든 레거시 정책을 마이그레이션할 수 있습니다. 의 경우 AWS Organizations이는 모든 계정의 모든 레거시 정책에 적용됩니다. 마이그레이션 프로세스를 완료하면 세분화된 작업이 적용됩니다. 전체 조직을 커밋하기 전에 테스트 계정을 사용하여 대량 마이그레이션 프로세스를 테스트하는 옵션이 있습니다. 자세한 내용은 다음 섹션을 참조하세요.
**에서 매핑된 세분화된 작업을 사용하여 모든 정책을 마이그레이션하려면 AWS**
1. [AWS Management Console](https://console.aws.amazon.com/)에 로그인합니다.
1. 페이지 상단에 있는 검색 창에 **Bulk Policy Migrator**를 입력합니다.
1. **새 IAM 작업 관리** 페이지에서 **확인 및 마이그레이션**을 선택합니다.
1. 마이그레이션이 완료될 때까지 **마이그레이션 진행 중** 페이지가 유지됩니다. 진행 상황은 상태 표시줄을 참조하세요.
1. **마이그레이션 진행 중** 섹션이 **마이그레이션 성공**으로 업데이트되면 **새 IAM 작업 관리** 페이지로 리디렉션됩니다.
## 대량 마이그레이션 테스트
전체 조직을 마이그레이션하기 전에 테스트 계정을 사용하여 레거시 정책에서 AWS 권장 세분화된 작업으로의 대량 마이그레이션을 테스트할 수 있습니다. 테스트 계정에서 마이그레이션 프로세스를 완료하면 세분화된 작업이 테스트 계정에 적용됩니다.
**대량 마이그레이션을 위해 테스트 계정을 사용하려면**
1. [AWS Management Console](https://console.aws.amazon.com/)에 로그인합니다.
1. 페이지 상단에 있는 검색 창에 **Bulk Policy Migrator**를 입력합니다.
1. **새 IAM 작업 관리** 페이지에서 **사용자 지정**을 선택합니다.
1. 계정 **마이그레이션 테이블에 계정** 및 정책이 로드되면 계정 목록에서 하나 이상의 테스트 AWS 계정을 선택합니다.
1. (선택 사항) 레거시 정책과 AWS 권장 세분화된 작업 간의 매핑을 변경하려면 **기본 매핑 보기를** 선택합니다. 매핑을 변경하고 **저장**을 선택합니다.
1. **확인 및 마이그레이션**을 선택합니다.
1. 마이그레이션이 완료될 때까지 콘솔 페이지가 유지됩니다.
# 레거시 정책을 대량 마이그레이션하는 작업 사용자 지정
모든 계정에 AWS 권장 작업을 사용하는 대신 다양한 방법으로 대량 마이그레이션을 사용자 지정할 수 있습니다. 마이그레이션하기 전에 레거시 정책에 필요한 변경 사항을 검토하고, 일회성으로 마이그레이션할 조직의 특정 계정을 선택하고, 매핑된 세분화된 작업을 업데이트하여 액세스 범위를 변경할 수 있는 옵션이 있습니다.
**대량 마이그레이션 전에 영향을 받는 정책을 검토하려면**
1. [AWS Management Console](https://console.aws.amazon.com/)에 로그인합니다.
1. 페이지 상단에 있는 검색 창에 **Bulk Policy Migrator**를 입력합니다.
1. **새 IAM 작업 관리** 페이지에서 **사용자 지정**을 선택합니다.
1. **계정 마이그레이션** 표에 계정 및 정책이 로드되면 **영향을 받는 IAM 정책 수** 열에서 번호를 선택하여 영향을 받는 정책을 확인합니다. 또한 해당 정책이 과금 정보 및 비용 관리 콘솔에 액세스하는 데 마지막으로 사용된 때를 확인할 수 있습니다.
1. 정책 이름을 선택하여 IAM 콘솔에서 열어 정의를 보고 정책을 수동으로 업데이트합니다.
**참고**
이렇게 하면 정책이 다른 멤버 계정에서 가져온 정책인 경우 현재 계정에서 로그아웃될 수 있습니다.
현재 계정에서 대량 마이그레이션이 진행 중인 경우 해당 IAM 페이지로 리디렉션되지 않습니다.
1. (선택 사항) **기본 매핑 보기**를 선택하여 레거시 정책을 확인하면 AWS에서 매핑된 세분화된 정책을 이해할 수 있습니다.
**조직에서 마이그레이션할 계정 그룹을 선택하여 마이그레이션하려면**
1. [AWS Management Console](https://console.aws.amazon.com/)에 로그인합니다.
1. 페이지 상단에 있는 검색 창에 **Bulk Policy Migrator**를 입력합니다.
1. **새 IAM 작업 관리** 페이지에서 **사용자 지정**을 선택합니다.
1. **계정 마이그레이션** 표에 계정 및 정책이 로드되면 마이그레이션할 하나 이상의 계정을 선택합니다.
1. **확인 및 마이그레이션**을 선택합니다.
1. 마이그레이션이 완료될 때까지 콘솔 페이지가 유지됩니다.
**매핑된 세분화된 작업을 업데이트하여 액세스 범위를 변경하려면**
1. [AWS Management Console](https://console.aws.amazon.com/)에 로그인합니다.
1. 페이지 상단에 있는 검색 창에 **Bulk Policy Migrator**를 입력합니다.
1. **새 IAM 작업 관리** 페이지에서 **사용자 지정**을 선택합니다.
1. **기본 매핑 보기**를 선택합니다.
1. **편집**을 선택합니다.
1. 액세스를 제어하려는 과금 정보 및 비용 관리 서비스에 대한 IAM 작업을 추가하거나 제거합니다. 세분화된 작업과 이 작업이 제어하는 액세스에 대한 자세한 내용은 [세분화된 IAM 작업 매핑 참조](migrate-granularaccess-iam-mapping-reference.md) 섹션을 참조하세요.
1. **변경 사항 저장**을 선택합니다.
업데이트된 매핑은 로그인한 계정의 향후 모든 마이그레이션에 사용됩니다. 이 매핑은 언제든지 변경할 수 있습니다.
# 대량 마이그레이션 정책 변경 사항 롤백
대량 마이그레이션 도구에 제공된 단계를 사용하면, 대량 마이그레이션 프로세스 중에 수행한 모든 정책 변경 사항을 안전하게 롤백할 수 있습니다. 롤백 기능은 계정 수준에서 작동합니다. 모든 계정 또는 마이그레이션된 계정의 특정 그룹에 대한 정책 업데이트를 롤백할 수 있습니다. 그러나 한 계정의 특정 정책에 대한 변경 사항은 롤백할 수 없습니다.
**대량 마이그레이션 변경 사항을 롤백하려면**
1. [AWS Management Console](https://console.aws.amazon.com/)에 로그인합니다.
1. 페이지 상단에 있는 검색 창에 **Bulk Policy Migrator**를 입력합니다.
1. **새 IAM 작업 관리** 페이지에서 **변경 사항 롤백** 탭을 선택합니다.
1. 롤백할 계정을 선택합니다. **롤백 상태** 열에 계정이 `Migrated`로 표시되어야 합니다.
1. **변경 사항 롤백** 버튼을 선택합니다.
1. 롤백이 완료될 때까지 콘솔 페이지가 유지됩니다.
## 마이그레이션 확인
마이그레이션 도구를 사용하여 여전히 마이그레이션해야 하는 AWS Organizations 계정이 있는지 확인할 수 있습니다.
**모든 계정이 마이그레이션되었는지 확인하려면**
1. [AWS Management Console](https://console.aws.amazon.com/)에 로그인합니다.
1. 페이지 상단에 있는 검색 창에 **Bulk Policy Migrator**를 입력합니다.
1. **새 IAM 작업 관리** 페이지에서 **계정 마이그레이션** 탭을 선택합니다.
표에 남은 계정이 표시되지 않으면 모든 계정이 성공적으로 마이그레이션된 것입니다.
# 영향을 받는 정책 도구를 사용하는 방법
**참고**
다음 AWS Identity and Access Management (IAM) 작업은 2023년 7월에 표준 지원이 종료되었습니다.
`aws-portal` 네임스페이스
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
를 사용하는 경우 [대량 정책 마이그레이션 스크립트](migrate-iam-permissions.md) 또는 대량 정책 마이그레이션기를 사용하여 지급인 계정에서 정책을 업데이트할 AWS Organizations수 있습니다. 또한 [기존 작업-세분화 작업 매핑 참조](migrate-granularaccess-iam-mapping-reference.md)를 사용하여 추가해야 하는 IAM 작업을 확인할 수 있습니다.
가 있거나 AWS 계정 2023년 3월 6일 오전 11시(PDT) 이후에 AWS Organizations 생성된의 일부인 경우 세분화된 작업이 조직에 이미 적용됩니다.
빌링 콘솔의 **영향을 받는 정책** 도구를 사용하여 IAM 정책(SCP 제외)을 식별하고 이 마이그레이션의 영향을 받는 IAM 작업을 참조할 수 있습니다. **영향을 받는 정책** 도구를 사용하여 다음 작업을 수행하세요.
+ IAM 정책을 식별하고 이 마이그레이션의 영향을 받는 IAM 작업을 참조
+ 업데이트된 정책을 클립보드에 복사
+ IAM 정책 편집기에서 영향을 받는 정책 열기
+ 계정의 업데이트된 정책 저장
+ 세분화된 권한을 켜고 이전 작업 비활성화
이 도구는 로그인한 AWS 계정의 경계 내에서 작동하며 다른 AWS Organizations 계정에 대한 정보는 공개되지 않습니다.
**영향을 받는 정책 도구를 사용하려면 다음과 같이 하세요.**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/) AWS 결제 및 비용 관리 콘솔을 엽니다.
1. **영향을 받는 정책** 도구에 액세스하려면 URL([https://console.aws.amazon.com/poliden/home?region=us-east-1#/](https://console.aws.amazon.com/poliden/home?region=us-east-1#/))을 브라우저에 붙여 넣으세요.
**참고**
이 페이지를 보려면 `iam:GetAccountAuthorizationDetails` 권한이 있어야 합니다.
1. 영향을 받는 IAM 정책이 나열된 테이블을 검토합니다. **Deprecated IAM actions**(사용되지 않는 IAM 작업) 열을 사용하여 정책에서 언급된 특정 IAM 작업을 검토합니다.
1. **업데이트된 정책 복사** 열에서 **복사**를 선택하여 업데이트된 정책을 클립보드에 복사합니다. 업데이트된 정책에는 기존 정책과 여기에 추가된 세분화된 권장 조치가 별도의 `Sid`블록으로 포함되어 있습니다. 이 블록의 정책 끝에 접두사 `AffectedPoliciesMigrator`가 붙습니다.
1. **IAM 콘솔의 정책 편집** 열에서 **편집**을 선택하여 IAM 정책 편집기로 이동합니다. 기존 정책의 JSON이 표시됩니다.
1. 기존 정책 전체를 4단계에서 복사한 업데이트된 정책으로 교체합니다. 필요에 따라 다른 내용을 변경할 수 있습니다.
1. **다음**과 **변경 사항 저장**을 차례로 선택합니다.
1. 영향을 모든 정책에 대해 3\$17단계를 반복합니다.
1. 정책을 업데이트한 후 **영향을 받는 정책** 도구를 새로 고침하여 영향을 받는 정책이 목록에 없는지 확인합니다. **새로운 IAM 작업 발견** 열에는 모든 정책이 **예**로 표시되어야 하며 **복사** 및 **편집** 버튼이 비활성화됩니다. 영향을 받는 정책이 업데이트되었습니다.
**계정에 대해 세분화된 작업을 활성화하려면 다음과 같이 하세요.**
정책을 업데이트한 후 이 절차에 따라 계정에 대한 세분화된 작업을 활성화합니다.
조직의 관리 계정(지급인) 또는 개별 계정만 **새 IAM 작업 관리** 섹션을 사용할 수 있습니다. 개별 계정에서 자체적으로 새 작업을 활성화할 수 있습니다. 관리 계정은 전체 조직 또는 일부 구성원 계정에 대해 새 작업을 활성화할 수 있습니다. 관리 계정인 경우 모든 구성원 계정의 영향을 받는 정책을 업데이트하고 조직에 대한 새 작업을 활성화합니다. 자세한 내용은 AWS 블로그 게시물의 [새 세분화된 작업 또는 기존 IAM 작업 간에 계정을 전환하는 방법](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/#How-to-toggle-accounts-between-new-fine-grained-actions-or-existing-IAM-Actions) 섹션을 참조하세요.
**참고**
이를 실행하려면 다음 권한이 있어야 합니다.
`aws-portal:GetConsoleActionSetEnforced`
`aws-portal:UpdateConsoleActionSetEnforced`
`ce:GetConsoleActionSetEnforced`
`ce:UpdateConsoleActionSetEnforced`
`purchase-orders:GetConsoleActionSetEnforced`
`purchase-orders:UpdateConsoleActionSetEnforced`
**새 IAM 작업 관리** 섹션이 보이지 않는다면 계정에서 이미 세분화된 IAM 작업을 활성화한 것입니다.
1. **새 IAM 작업 관리**에서 **현재 작업 세트 적용** 설정은 **기존** 상태가 됩니다.
**새 작업 활성화 (세분화)**를 선택한 다음 **변경 사항 적용**을 선택합니다.
1. 대화 상자에서 **Yes(예)**를 선택합니다. **현재 작업 세트 적용** 상태가 **세분화됨**으로 변경됩니다. 즉, 새 작업이 사용자의 AWS 계정 또는 조직에 적용됩니다.
1. (선택 사항) 그런 다음 기존 정책을 업데이트하여 이전 작업을 모두 제거할 수 있습니다.
**Example 예: IAM 정책 이전 및 이후**
다음 IAM 정책에는 이전 `aws-portal:ViewPaymentMethods`작업이 있습니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
}
]
}
```
업데이트된 정책을 복사하면 다음 예시에서는 세분화된 작업이 포함된 새 `Sid`블록을 생성합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
},
{
"Sid": "AffectedPoliciesMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"invoicing:GetInvoicePDF",
"payments:GetPaymentInstrument",
"payments:GetPaymentStatus",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}
]
}
```
## 관련 리소스
자세한 내용은 *IAM 사용자 설명서*에서 [Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html)를 참조하세요.
세분화된 새 작업에 대한 자세한 내용은 [세분화된 IAM 작업 매핑](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) 및 [세분화된 결제 작업 사용](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html#migrate-user-permissions)을 참조하세요.
# 세분화된 IAM 작업을 사용하도록 스크립트를 사용하여 정책을 대량으로 마이그레이션
**참고**
다음 AWS Identity and Access Management (IAM) 작업은 2023년 7월에 표준 지원이 종료되었습니다.
`aws-portal` 네임스페이스
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
를 사용하는 경우 [대량 정책 마이그레이션 스크립트](#migrate-iam-permissions) 또는 대량 정책 마이그레이션기를 사용하여 지급인 계정에서 정책을 업데이트할 AWS Organizations수 있습니다. 또한 [기존 작업-세분화 작업 매핑 참조](migrate-granularaccess-iam-mapping-reference.md)를 사용하여 추가해야 하는 IAM 작업을 확인할 수 있습니다.
가 있거나 AWS 계정 2023년 3월 6일 오전 11시(PDT) 이후에 AWS Organizations 생성된의 일부인 경우 세분화된 작업이 조직에 이미 적용됩니다.
세분화된 작업이라는 새 작업을 사용하도록 IAM 정책을 마이그레이션하려면 [AWS 샘플](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles) 웹 사이트에서 스크립트를 사용할 수 있습니다.
해당 조직의 지급인 계정에서 제공되는 이러한 스크립트를 실행하여 이전 IAM 작업을 사용하는 조직에서 다음과 같은 영향을 받는 정책을 식별하세요.
+ 고객 관리형 IAM 정책
+ 역할, 그룹 및 사용자 IAM 인라인 정책
+ 서비스 제어 정책(SCP)(지급인 계정에만 적용)
+ 권한 세트
스크립트는 정책에 사용된 기존 작업에 대응되는 새로운 작업에 대한 제안을 생성합니다. 그런 다음 제안 사항을 검토하고 스크립트를 사용하여 조직에 있는 영향을 받는 모든 정책에 새로운 작업을 추가합니다. 관리형 정책 또는 AWS 관리형 SCPs(예: AWS Control Tower 및 AWS Organizations SCPs 업데이트할 AWS 필요가 없습니다.
이러한 스크립트를 사용하여 다음을 수행할 수 있습니다.
+ 정책 업데이트를 간소화하여 지급인 계정에서 영향을 받는 정책을 관리할 수 있습니다.
+ 정책을 업데이트하기 위해 필요한 시간을 단축합니다. 각 멤버 계정에 로그인하여 정책을 수동으로 업데이트할 필요가 없습니다.
+ 서로 다른 멤버 계정의 동일한 정책을 함께 그룹으로 묶습니다. 그리고 나면 업데이트를 하나씩 검토하는 대신 모든 동일한 정책 전반에서 같은 업데이트를 검토하고 적용할 수 있습니다.
+ 가 2023년 7월 6일에 이전 IAM 작업을 AWS 사용 중지한 후에도 사용자 액세스가 영향을 받지 않는지 확인합니다.
정책 및 서비스 제어 정책(SCP)에 대한 자세한 내용은 다음 주제를 참조하세요.
+ *IAM 사용 설명서*의 [IAM 정책 관리](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ *AWS Organizations 사용 설명서*의 [서비스 제어 정책(SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ IAM Identity Center 사용 설명서의 [사용자 지정 권한](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetcustom.html)**
## 개요
이 주제에 따라 다음 단계를 완료하세요.
**Topics**
+ [개요](#overview-bulk-migrate-policies)
+ [사전 조건](#prerequisites-running-the-scripts)
+ [1단계: 환경 설정](#set-up-your-environment-and-download-the-scripts)
+ [2단계: CloudFormation StackSet 생성](#create-the-cloudformation-stack)
+ [3단계: 영향을 받는 정책 파악](#identify-the-affected-policies)
+ [4단계: 제안된 변경 내용 검토](#review-the-affected-policies)
+ [5단계: 영향을 받는 정책 업데이트](#update-the-affected-policies)
+ [6단계: 변경 내용 되돌리기(선택 사항)](#revert-changes)
+ [IAM 정책 예시](#examples-of-similar-policies)
## 사전 조건
시작하기 전에 반드시 다음을 준비해야 합니다.
+ [Python 3](https://www.python.org/downloads/) 다운로드 및 설치
+ 지급인 계정에 로그인하여 다음의 IAM 권한을 가진 IAM 보안 주체가 있는지 확인하세요.
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"sso:DescribePermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"sso:GetInlinePolicyForPermissionSet",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:ProvisionPermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sts:AssumeRole"
```
**작은 정보**
시작하려면 계정의 하위 집합(예: 테스트 계정)을 사용하여 제안된 변경 사항이 예상되는지 확인하는 것이 좋습니다.
그리고 나면 조직의 나머지 계정에 대해 스크립트를 다시 실행할 수 있습니다.
## 1단계: 환경 설정
시작하려면 필수 파일들을 [AWS 샘플](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles) 웹 사이트에서 다운로드하세요. 그런 다음 명령을 실행하여 환경을 설정하세요.
**환경을 설정하려면**
1. [AWS 샘플](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles) 웹 사이트에서 리포지토리를 복제하세요. 명령줄 창에서 다음 명령을 사용할 수 있습니다.
```
git clone https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles.git
```
1. 파일을 다운로드한 디렉터리로 이동합니다. 다음 명령을 사용할 수 있습니다.
```
cd bulk-policy-migrator-scripts-for-account-cost-billing-consoles
```
리포지토리에서 다음과 같은 스크립트 및 리소스를 확인할 수 있습니다.
+ `billing_console_policy_migrator_role.json` – 조직의 멤버 계정에서 `BillingConsolePolicyMigratorRole` IAM 역할을 만들어 내는 CloudFormation 템플릿입니다. 이 역할은 스크립트에서 역할을 맡은 다음 영향을 받는 정책을 읽고 업데이트할 수 있게 해줍니다.
+ `action_mapping_config.json` – 새 작업에 대한 이전 작업의 일대다 매핑을 포함하고 있습니다. 스크립트는 이 파일을 사용하여 이전 작업이 포함되어 있고 영향 받는 각 정책에 대하여 새로운 작업을 제안합니다.
이전 작업은 각각 여러 개의 세분화된 작업에 대응됩니다. 파일에 제안된 새 작업은 마이그레이션 AWS 서비스 전에 사용자에게 동일한에 대한 액세스 권한을 제공합니다.
+ `identify_affected_policies.py` – 조직에서 영향을 받는 정책을 검사하고 식별합니다. 이 스크립트는 영향을 받는 정책을 제안된 새로운 작업과 함께 나열하는 `affected_policies_and_suggestions.json` 파일을 생성합니다.
동일한 이전 작업 세트를 사용하는 영향을 받는 정책은 JSON 파일에 함께 그룹으로 묶입니다. 따라서 제안된 새로운 작업을 검토하거나 업데이트할 수 있습니다.
+ `update_affected_policies.py` – 조직에서 영향을 받는 정책을 업데이트합니다. 스크립트는 `affected_policies_and_suggestions.json` 파일을 입력한 다음 정책에 제안된 새로운 작업을 추가합니다.
+ `rollback_affected_policies.py` – (선택 사항) 영향을 받는 정책에 대한 변경 사항을 되돌립니다. 이 스크립트는 영향을 받는 정책에서 세분화된 새로운 작업을 제거합니다.
1. 다음 명령을 실행하여 가상 환경을 설정하고 활성화합니다.
```
python3 -m venv venv
```
```
source venv/bin/activate
```
1. 다음 명령을 실행하여 AWS SDK for Python (Boto3) 종속성을 설치합니다.
```
pip install -r requirements.txt
```
**참고**
AWS Command Line Interface ()를 사용하도록 AWS 자격 증명을 구성해야 합니다AWS CLI. 자세한 내용은 [AWS SDK for Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html) 단원을 참조하십시오.
자세한 내용은 [README.md](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles#readme) 파일을 참조하세요.
## 2단계: CloudFormation StackSet 생성
이 절차에 따라 CloudFormation 스택 세트**를 생성합니다. 그러면 이 스택 세트에서 조직의 모든 멤버 계정에 대한 `BillingConsolePolicyMigratorRole` IAM 역할이 생성됩니다.
**참고**
이 단계는 관리 계정(지급인 계정)에서 한 번만 수행하는 것으로 충분합니다.
**CloudFormation StackSet 생성 방법**
1. 텍스트 편집기에서 `billing_console_policy_migrator_role.json` 파일을 열고 *``*의 각 인스턴스를 지급인 계정의 계정 ID(예: *123456789012*)로 바꿉니다.
1. 파일을 저장합니다.
1. 지급인 계정으로 AWS Management Console 에 로그인합니다.
1. CloudFormation 콘솔에서 업데이트한 `billing_console_policy_migrator_role.json` 파일을 이용하여 스택 세트를 생성하세요.
자세한 내용은 *AWS CloudFormation 사용 설명서*[의 AWS CloudFormation 콘솔에서 스택 세트 생성을](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html) 참조하세요.
CloudFormation에서 스택 세트를 생성하고 나면 조직에 있는 개별 멤버 계정에 `BillingConsolePolicyMigratorRole` IAM 역할이 생깁니다.
IAM 역할에는 다음과 같은 권한이 포함됩니다.
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion"
```
**참고**
각 멤버 계정에 대해 스크립트는 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) API 작업을 호출하여 `BillingConsolePolicyMigratorRole` IAM 역할을 맡을 임시 자격 증명을 가져옵니다.
스크립트는 [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html) API 작업을 호출하여 모든 멤버 계정을 가져옵니다.
또한 스크립트는 IAM API 작업을 호출하여 정책에 대한 읽기 및 쓰기 권한을 수행합니다.
## 3단계: 영향을 받는 정책 파악
스택 세트를 만들고 파일을 다운로드한 후 `identify_affected_policies.py` 스크립트를 실행하세요. 이 스크립트는 각 멤버 계정의 `BillingConsolePolicyMigratorRole` IAM 역할을 맡은 후 영향을 받는 정책을 파악합니다.
**영향을 받는 정책을 파악하려면**
1. 스크립트를 다운로드한 디렉터리로 이동합니다.
```
cd policy_migration_scripts/scripts
```
1. `identify_affected_policies.py` 스크립트 실행.
다음 입력 파라미터를 사용할 수 있습니다.
+ AWS 계정 스크립트가 스캔하도록 하려는 입니다. 계정을 지정하려면 다음과 같은 입력 파라미터를 사용하세요.
+ `--all` – 조직의 모든 멤버 계정을 검사합니다.
```
python3 identify_affected_policies.py --all
```
+ `--accounts` – 조직에 있는 멤버 계정의 서브셋을 검사합니다.
```
python3 identify_affected_policies.py --accounts 111122223333, 444455556666, 777788889999
```
+ `--exclude-accounts` – 조직에 있는 특정한 멤버 계정을 제외합니다.
```
python3 identify_affected_policies.py --all --exclude-accounts 111111111111, 222222222222, 333333333333
```
+ ` –-action-mapping-config-file` – (선택 사항) `action_mapping_config.json` 파일의 경로를 지정합니다. 스크립트는 이 파일을 사용하여 영향을 받는 정책에 대한 제안된 업데이트를 생성합니다. 경로를 지정하지 않으면 스크립트에서 폴더의 `action_mapping_config.json` 파일을 사용합니다.
```
python3 identify_affected_policies.py –-action-mapping-config-file c:\Users\username\Desktop\Scripts\action_mapping_config.json –-all
```
**참고**
이 스크립트를 사용해서 조직 단위(OU)를 지정할 수는 없습니다.
스크립트를 실행한 후에는 `Affected_Policies_` 폴더에 두 개의 JSON 파일이 만들어집니다.
+ `affected_policies_and_suggestions.json`
+ `detailed_affected_policies.json`
**`affected_policies_and_suggestions.json`**
영향을 받는 정책을 제안된 새로운 작업과 함께 나열합니다. 동일한 이전 작업 세트를 사용하는 영향을 받는 정책은 파일에서 함께 그룹화됩니다.
이 파일은 다음 섹션을 포함하고 있습니다.
+ 다음 사항을 포함하여 스크립트에서 지정한 계정을 개략적으로 설명하는 메타데이터
+ 검사한 계정과 `identify_affected_policies.py` 스크립트에 사용된 입력 파라미터
+ 영향을 받는 계정 수
+ 영향을 받는 정책 수
+ 유사한 정책 그룹 수
+ 유사 정책 그룹 – 다음과 같은 섹션을 포함하여 계정과 정책 세부 정보 목록을 포함합니다.
+ `ImpactedPolicies` – 영향을 받고 그룹에 포함되는 정책을 지정합니다.
+ `ImpactedPolicyStatements` – 현재 영향을 받는 정책에서 이전 작업을 사용하는 `Sid` 블록에 대한 정보를 제공합니다. 이 섹션에는 이전 작업과 `Effect`, `Principal`, `NotPrincipal`, `NotAction` 및`Condition`과 같은 IAM 요소가 포함되어 있습니다.
+ `SuggestedPolicyStatementsToAppend` – 새로운 `SID` 블록으로 추가되는 제안된 새 작업을 제공합니다.
정책을 업데이트할 경우 이 블록이 정책 끝부분에 추가됩니다.
**Example 예시 `affected_policies_and_suggestions.json` 파일**
이 파일은 다음과 같은 기준에 따라 비슷한 정책을 그룹화합니다.
+ 같은 이전 작업 사용 – 모든 `SID` 블록 전반에서 같은 이전 작업을 포함하는 정책입니다.
+ 일치하는 세부 정보 – 정책에는 영향을 받는 작업 외에도 다음과 같은 동일한 IAM 요소가 있습니다.
+ `Effect` (`Allow`/`Deny`)
+ `Principal`(액세스가 허용되거나 거부된 사용자)
+ `NotAction`(허용되지 않는 작업)
+ `NotPrincipal`(액세스가 명시적으로 거부된 사용자)
+ `Resource` (정책이 적용되는 AWS 리소스)
+ `Condition`(정책이 적용되는 구체적인 조건)
자세한 내용은 [IAM 정책 예시](#examples-of-similar-policies) 단원을 참조하십시오.
**Example 예: `affected_policies_and_suggestions.json`**
```
[{
"AccountsScanned": [
"111111111111",
"222222222222"
],
"TotalAffectedAccounts": 2,
"TotalAffectedPolicies": 2,
"TotalSimilarPolicyGroups": 2
},
{
"GroupName": "Group1",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "1111111_1-user:Inline-Test-Policy-Allow"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "222222_1-group:Inline-Test-Policy-Allow"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccounts"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"account:GetAlternateContact",
"account:GetChallengeQuestions",
"account:GetContactInformation",
"billing:GetContractInformation",
"billing:GetIAMAccessPreference",
"billing:GetSellerOfRecord",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}]
},
{
"GroupName": "Group2",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "1111111_2-user:Inline-Test-Policy-deny"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "222222_2-group:Inline-Test-Policy-deny"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "deny",
"Action": [
"aws-portal:ModifyAccount"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator1",
"Effect": "Deny",
"Action": [
"account:CloseAccount",
"account:DeleteAlternateContact",
"account:PutAlternateContact",
"account:PutChallengeQuestions",
"account:PutContactInformation",
"billing:PutContractInformation",
"billing:UpdateIAMAccessPreference",
"payments:UpdatePaymentPreferences"
],
"Resource": "*"
}]
}
]
```
**`detailed_affected_policies.json`**
`identify_affected_policies.py` 스크립트에서 멤버 계정에 대해 식별한 영향을 받는 모든 정책에 대한 정의를 포함하고 있습니다.
파일은 비슷한 정책을 그룹화합니다. 이 파일을 참조로 사용하여 각 멤버 계정에 로그인하고 개별 정책 및 계정에 대한 업데이트를 각각 검토할 필요 없이 정책 변경 내용을 검토하고 관리할 수 있습니다.
파일에서 정책 이름(예: `YourCustomerManagedReadOnlyAccessBillingUser`)을 검색하고 영향을 받는 정책 정의를 검토할 수 있습니다.
**Example 예시: `detailed_affected_policies.json`**
## 4단계: 제안된 변경 내용 검토
스크립트에서 `affected_policies_and_suggestions.json` 파일이 생성되면 해당 파일을 검토하고 변경하세요.
**영향을 받는 정책을 검토하려면**
1. 텍스트 편집기에서 `affected_policies_and_suggestions.json` 파일을 엽니다.
1. `AccountsScanned` 섹션에서 검사한 계정 전반에서 식별된 비슷한 그룹의 수가 예상되는지 확인하세요.
1. 영향을 받는 정책에 추가될 예정인 제안된 세분화된 작업을 검토합니다.
1. 필요에 따라 파일을 업데이트한 다음 저장하세요.
### 예 1: `action_mapping_config.json` 파일 업데이트
`action_mapping_config.json`에서 제안된 매핑을 업데이트할 수 있습니다. 파일을 업데이트한 후 `identify_affected_policies.py` 스크립트를 다시 실행할 수 있습니다. 이 스크립트에서는 영향을 받는 정책에 대한 업데이트된 제안을 생성합니다.
`action_mapping_config.json` 파일의 버전을 여러 개 만들어 다른 권한을 가진 여러 개의 계정에 대한 정책을 변경할 수 있습니다. 예를 들어, 이름이 `action_mapping_config_testing.json`인 파일을 하나 만들어 테스트 계정과 `action_mapping_config_production.json` 프로덕션 계정에 대한 권한을 마이그레이션할 수 있습니다.
### 예 2: `affected_policies_and_suggestions.json` 파일 업데이트
영향을 받는 특정 정책 그룹에 대해 제안된 교체를 변경하려면 `affected_policies_and_suggestions.json` 파일 안에서 제안된 교체 섹션을 직접 편집할 수 있습니다.
이 섹션에서 변경한 사항은 영향을 받는 특정 정책 그룹 안에 있는 모든 정책에 적용됩니다.
### 예 3: 특정 정책 사용자 지정
영향을 받는 정책 그룹 내에서 제안된 업데이트와 다르게 변경해야 할 정책을 발견할 경우 다음과 같은 작업을 수행할 수 있습니다.
+ `identify_affected_policies.py` 스크립트에서 특정 계정을 제외하세요. 그리고 나서 제외된 해당 계정을 별도로 검토할 수 있습니다.
+ 영향을 받는 정책과 다른 권한이 필요한 계정을 제거하여 영향을 받는 `Sid` 블록을 업데이트합니다. 특정 계정만 포함하거나 영향을 받는 현재 업데이트 정책 실행에서 제외하는 JSON 블록을 만드세요.
`identify_affected_policies.py` 스크립트를 다시 실행할 경우 업데이트된 블록에 관련 계정만 표시됩니다. 그러면 해당 특정 `Sid` 블록에 대해 제안된 교체 항목을 수정할 수 있습니다.
## 5단계: 영향을 받는 정책 업데이트
제안된 교체를 검토하고 수정하고 나면 `update_affected_policies.py` 스크립트를 실행하세요. 스크립트는 입력으로 `affected_policies_and_suggestions.json` 파일을 사용합니다. 이 스크립트는 `BillingConsolePolicyMigratorRole` IAM 역할을 맡아 `affected_policies_and_suggestions.json` 파일에 나열된 영향을 받는 정책을 업데이트합니다.
**영향을 받는 정책을 업데이트하려면**
1. 아직 수행하지 않은 경우, AWS CLI에 대한 명령줄 창을 여세요.
1. 다음 명령을 입력하여 `update_affected_policies.py` 스크립트를 실행합니다. 다음과 같은 입력 파라미터를 입력할 수 있습니다.
+ 업데이트할 영향을 받는 정책의 목록이 포함된 `affected_policies_and_suggestions.json` 파일의 디렉터리 경로입니다. 이 파일은 이전 단계의 출력입니다.
```
python3 update_affected_policies.py --affected-policies-directory Affected_Policies_
```
`update_affected_policies.py` 스크립트에서는 제안된 새로운 작업을 사용하여 `affected_policies_and_suggestions.json` 파일 안에 있는 영향을 받는 정책을 업데이트합니다. 스크립트는 `BillingConsolePolicyMigrator#`(으)로 식별된 정책에 `Sid` 블록을 추가합니다. 여기서 *\$1*은 증분 카운터(예: 1, 2, 3)에 대응됩니다.
예를 들어 영향을 받는 정책에 이전 작업을 사용하는 `Sid` 블록이 여러 개 있는 경우 스크립트는 각 `Sid` 블록에 대응되는 `BillingConsolePolicyMigrator#`(으)로 나타나는 복수의 `Sid` 블록을 추가합니다.
**중요**
스크립트는 정책에서 이전 IAM 작업을 제거하거나 정책의 기존 `Sid` 블록을 변경하지 않습니다. 스크립트는 그 대신 `Sid` 블록을 만들고 이를 정책 끝에 추가합니다. 이러한 새 `Sid` 블록에는 JSON 파일에서 제안된 새로운 작업이 포함되어 있습니다. 이 작업은 원래 정책의 권한이 변경되지 않도록 합니다.
변경 사항을 되돌려야 하는 경우에 대비해 `BillingConsolePolicyMigrator#` `Sid` 블록의 이름을 변경하지 않는 것을 권장합니다.
**Example 예: 추가된 `Sid` 블록이 있는 정책**
`BillingConsolePolicyMigrator1` 및 `BillingConsolePolicyMigrator2` 블록에서 추가된 `Sid` 블록을 확인하세요.
스크립트는 실패한 작업이 포함된 상태 보고서를 생성하고 JSON 파일을 로컬로 출력합니다.
**Example 예: 상태 보고서**
```
[{
"Account": "111111111111",
"PolicyType": "Customer Managed Policy"
"PolicyName": "AwsPortalViewPaymentMethods",
"PolicyIdentifier": "identifier",
"Status": "FAILURE", // FAILURE or SKIPPED
"ErrorMessage": "Error message details"
}]
```
**중요**
`identify_affected_policies.py` 및 `update_affected_policies.py` 스크립트를 다시 실행할 경우 해당 스크립트는 `BillingConsolePolicyMigratorRole#``Sid` 블록이 포함된 모든 정책을 건너뜁니다. 스크립트는 해당 정책이 이전에 검사 및 업데이트되었으며 추가 업데이트가 필요하지 않다고 가정합니다. 그 결과 스크립트가 정책에서 동일한 작업을 중복 수행하는 것을 예방할 수 있습니다.
영향을 받는 정책을 업데이트하면 영향을 받는 정책 도구를 사용하여 새 IAM을 사용할 수 있습니다. 문제를 발견할 경우 해당 도구를 사용하여 이전 작업으로 다시 전환할 수 있습니다. 또한 스크립트를 사용하여 정책 업데이트를 되돌릴 수도 있습니다.
자세한 내용은 [영향을 받는 정책 도구를 사용하는 방법](migrate-security-iam-tool.md) 및 [AWS 결제, 비용 관리 및 계정 콘솔 권한 변경 블로그 게시물을 참조하세요](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/).
업데이트를 관리하려면 다음과 같이 할 수 있습니다.
각 계정에 대해 개별적으로 스크립트를 실행합니다.
비슷한 계정(예: 테스트, QA, 프로덕션 계정)에 대해 스크립트를 일괄 실행합니다.
모든 계정에 대해 스크립트를 실행합니다.
몇몇 계정을 일괄 업데이트한 다음 다른 계정을 개별적으로 업데이트하는 방법 중에서 선택할 수 있습니다.
## 6단계: 변경 내용 되돌리기(선택 사항)
`rollback_affected_policies.py` 스크립트에서는 특정 계정의 영향을 받는 각 정책에 적용된 변경 내용을 되돌립니다. 스크립트에서는 `update_affected_policies.py` 스크립트가 추가한 모든 `Sid` 블록을 제거합니다. 이러한 `Sid` 블록의 형식은 `BillingConsolePolicyMigratorRole#`입니다.
**변경 사항을 되돌리려면**
1. 아직 수행하지 않은 경우, AWS CLI에 대한 명령줄 창을 여세요.
1. 다음 명령을 입력하여 `rollback_affected_policies.py` 스크립트를 실행합니다. 다음 입력 파라미터를 입력할 수 있습니다.
+ `--accounts`
+ 롤백에 포함할 AWS 계정 IDs의 쉼표로 구분된 목록을 지정합니다.
+ 다음 예제에서는 지정된의 정책을 스캔 AWS 계정하고 `BillingConsolePolicyMigrator#` `Sid` 블록이 있는 문을 제거합니다.
```
python3 rollback_affected_policies.py –-accounts 111122223333, 555555555555, 666666666666
```
+ `--all`
+ 조직의 AWS 계정 IDs 포함합니다.
+ 다음 예제에서는 조직에 있는 정책을 모두 검사하고 `BillingConsolePolicyMigratorRole#` `Sid` 블록을 사용하여 모든 명령문을 제거합니다.
```
python3 rollback_affected_policies.py –-all
```
+ `--exclude-accounts`
+ 롤백에서 제외하려는 AWS 계정 IDs의 쉼표로 구분된 목록을 지정합니다.
`--all` 파라미터도 지정하는 경우에만 이 파라미터를 사용할 수 있습니다.
+ 다음 예시에서는 지정된 계정을 제외한 조직의 모든 AWS 계정 에 대한 정책을 스캔합니다.
```
python3 rollback_affected_policies.py --all --exclude-accounts 777777777777, 888888888888, 999999999999
```
## IAM 정책 예시
정책은 다음 사항이 동일한 경우 비슷한 것으로 간주됩니다.
+ 모든 `Sid` 블록에서 영향을 받은 작업
+ 다음 IAM 요소에 대한 세부 정보:
+ `Effect` (`Allow`/`Deny`)
+ `Principal`(액세스가 허용되거나 거부된 사용자)
+ `NotAction`(허용되지 않는 작업)
+ `NotPrincipal`(액세스가 명시적으로 거부된 사용자)
+ `Resource` (정책이 적용되는 AWS 리소스)
+ `Condition`(정책이 적용되는 구체적인 조건)
다음 예제는 IAM이 차이점을 기반으로 비슷하다고 판단하거나 비슷하지 않다고 간주할 수 있는 정책을 보여줍니다.
**Example 예 1: 정책을 비슷하다고 간주**
각 정책 유형은 다르지만 두 정책 모두에 같은 영향을 받는 `Action`이 있는 `Sid` 블록 하나가 포함되어 있습니다.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
**Example 예 2: 정책을 비슷하다고 간주**
두 정책에는 모두 같은 영향을 받는 `Sid`가 있는 `Action` 블록이 하나 포함되어 있습니다. 정책 2에는 추가 작업이 포함되지만 이러한 작업은 영향을 받지 않습니다.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*"
}]
}
```
**Example 예 3: 정책을 비슷하다고 간주하지 않음**
두 정책에는 모두 같은 영향을 받는 `Sid`가 있는 `Action` 블록이 하나 포함되어 있습니다. 하지만 정책 2에는 정책 1에 없는 `Condition` 요소가 포함되어 있습니다.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "true"
}
}
}]
}
```
**Example 예 4: 정책을 비슷하다고 간주**
정책 1에는 영향을 받는 `Action`이 있는 단일 `Sid` 블록이 있습니다. 정책 2에는 `Sid` 블록이 여러 개 있지만 영향을 받는 `Action`은 하나의 블록에만 나타납니다.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudtrail:Get*"
],
"Resource": "*"
}
]
}
```
**Example 예 5: 정책을 비슷하다고 간주하지 않음**
정책 1에는 영향을 받는 `Action`이 있는 단일 `Sid` 블록이 있습니다. 정책 2에는 `Sid` 블록이 여러 개 있고 영향을 받는 `Action`이 여러 개의 블록에 나타납니다.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*"
],
"Resource": "*"
}
]
}
```
**Example 예 6: 정책을 비슷하다고 간주**
두 정책 모두에 복수의 `Sid` 블록이 있고 각 `Sid` 블록마다 같은 영향을 받는 `Action`이 있습니다.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
**Example 예제 7**
다음과 같은 두 정책은 비슷한 것으로 간주되지 않습니다.
정책 1에는 영향을 받는 `Action`이 있는 단일 `Sid` 블록이 있습니다. 정책 2에도 같은 영향을 받는 `Action`이 있는 `Sid` 블록이 있습니다. 하지만 정책 2에는 서로 다른 작업이 있는 또 다른 `Sid` 블록도 포함되어 있습니다.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:*Billing",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
# 세분화된 IAM 작업 매핑 참조
**참고**
다음 AWS Identity and Access Management (IAM) 작업은 2023년 7월에 표준 지원이 종료되었습니다.
`aws-portal` 네임스페이스
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
를 사용하는 경우 [대량 정책 마이그레이션 스크립트](migrate-iam-permissions.md) 또는 대량 정책 마이그레이션기를 사용하여 지급인 계정에서 정책을 업데이트할 AWS Organizations수 있습니다. 또한 [기존 작업-세분화 작업 매핑 참조](#migrate-granularaccess-iam-mapping-reference)를 사용하여 추가해야 하는 IAM 작업을 확인할 수 있습니다.
가 있거나 AWS 계정 2023년 3월 6일 오전 11시(PDT) 이후에 AWS Organizations 생성된의 일부인 경우 세분화된 작업이 조직에 이미 적용됩니다.
권한 정책 또는 서비스 제어 정책(SCP)에서 다음과 같은 IAM 작업을 마이그레이션해야 합니다.
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
이 주제를 사용하여 사용 중지되는 각 IAM 작업에 대한 세분화된 이전 작업과 새로운 작업의 매핑을 확인할 수 있습니다.
**개요**
1. AWS 계정에서 영향을 받는 IAM 정책을 검토합니다. 이렇게 하려면 **영향을 받는 정책** 도구의 단계에 따라 영향을 받는 IAM 정책을 식별합니다. [영향을 받는 정책 도구를 사용하는 방법](migrate-security-iam-tool.md)을(를) 참조하세요.
1. IAM 콘솔을 사용하여 새로운 세분화된 권한을 정책에 추가합니다. 예를 들어 정책에서 `purchase-orders:ModifyPurchaseOrders` 권한을 허용하는 경우 [purchase-orders:ModifyPurchaseOrders 매핑](#mapping-for-purchase-ordersmodifypurchaseorders) 테이블에 각 작업을 추가해야 합니다.
**이전 정책**
다음 정책은 사용자가 계정에서 구매 주문을 추가, 삭제 또는 수정할 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "purchase-orders:ModifyPurchaseOrders",
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
**새 정책**
다음 정책도 사용자가 계정에서 구매 주문을 추가, 삭제 또는 수정할 수 있도록 허용합니다. 각 세분화된 권한은 이전 `purchase-orders:ModifyPurchaseOrders` 권한 이후에 표시된다는 점에 유의하세요. 이러한 권한을 사용하면 허용하거나 거부하려는 작업을 더 효과적으로 제어할 수 있습니다.
**작은 정보**
이 마이그레이션이 완료될 때까지 사용 권한이 손실되지 않도록 이전 권한을 유지하는 것이 좋습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"purchase-orders:ModifyPurchaseOrders",
"purchase-orders:AddPurchaseOrder",
"purchase-orders:DeletePurchaseOrder",
"purchase-orders:UpdatePurchaseOrder",
"purchase-orders:UpdatePurchaseOrderStatus"
],
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
1. 변경 내용을 저장합니다.
**참고**
IAM 콘솔에서 정책을 수동으로 편집하려면 IAM 사용 설명서의 [고객 관리형 정책 편집(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console) 을 참조하세요.**
세분화된 작업(새 작업)을 사용하도록 IAM 정책을 일괄 마이그레이션하려면 [세분화된 IAM 작업을 사용하도록 스크립트를 사용하여 정책을 대량으로 마이그레이션](migrate-iam-permissions.md) 섹션을 참조하세요.
**Contents**
+ [aws-portal:ViewAccount 매핑](#mapping-for-aws-portalviewaccount)
+ [aws-portal:ViewBilling 매핑](#mapping-for-aws-portalviewbilling)
+ [aws-portal:ViewPaymentMethods 매핑](#mapping-for-aws-portalviewpaymentmethods)
+ [aws-portal:ViewUsage 매핑](#mapping-for-aws-portalviewusage)
+ [aws-portal:ModifyAccount 매핑](#mapping-for-aws-portalmodifyaccount)
+ [aws-portal:ModifyBilling 매핑](#mapping-for-aws-portalmodifybilling)
+ [aws-portal:ModifyPaymentMethods 매핑](#mapping-for-aws-portalmodifypaymentmethods)
+ [purchase-orders:ViewPurchaseOrders 매핑](#mapping-for-purchase-ordersviewpurchaseorders)
+ [purchase-orders:ModifyPurchaseOrders 매핑](#mapping-for-purchase-ordersmodifypurchaseorders)
## aws-portal:ViewAccount 매핑
| 새로운 작업 | 설명 | 액세스 레벨 |
| --- | --- | --- |
| account:GetAccountInformation | 계정에 대한 계정 정보를 검색할 수 있는 권한을 부여합니다. | 읽기 |
| account:GetAlternateContact | 계정의 대체 연락처를 검색할 수 있는 권한을 부여합니다. | 읽기 |
| account:GetContactInformation | 계정의 기본 연락처 정보를 검색하는 권한을 부여합니다. | 읽기 |
| billing:GetContractInformation | 계약 번호, 최종 사용자 조직 이름, 구매 주문 번호 및 해당 계정이 공공 부문 고객에게 서비스를 제공하는 데 사용되는지 등 계정의 계약 정보를 볼 수 있는 권한을 부여합니다. | 읽기 |
| billing:GetIAMAccessPreference | IAM 액세스 허용 결제 기본 설정의 상태를 검색할 수 있는 권한을 부여합니다. | 읽기 |
| billing:GetSellerOfRecord | 계정의 기본 판매자 기록을 검색할 수 있는 권한을 부여합니다. | 읽기 |
| payments:ListPaymentPreferences | 결제 기본 설정(예: 기본 결제 통화, 기본 결제 방법)을 가져올 수 있는 권한을 부여합니다. | 읽기 |
## aws-portal:ViewBilling 매핑
| 새로운 작업 | 설명 | 액세스 레벨 |
| --- | --- | --- |
| account:GetAccountInformation | 계정에 대한 계정 정보를 검색할 수 있는 권한을 부여합니다. | 읽기 |
| billing:GetBillingData | 결제 정보에 대한 쿼리를 수행할 수 있는 권한을 부여합니다. | 읽기 |
| billing:GetBillingDetails | 세부 품목 결제 정보를 볼 수 있는 권한을 부여합니다. | 읽기 |
| billing:GetBillingNotifications | 계정 결제 정보와 AWS 관련하여에서 보낸 알림을 볼 수 있는 권한을 부여합니다. | 읽기 |
| billing:GetBillingPreferences | 예약 인스턴스, 절감형 플랜 및 크레딧 공유와 같은 결제 기본 설정을 볼 수 있는 권한을 부여합니다. | 읽기 |
| billing:GetContractInformation | 계약 번호, 최종 사용자 조직 이름, 구매 주문 번호 및 해당 계정이 공공 부문 고객에게 서비스를 제공하는 데 사용되는지 등 계정의 계약 정보를 볼 수 있는 권한을 부여합니다. | 읽기 |
| billing:GetCredits | 사용한 크레딧을 볼 수 있는 권한을 부여합니다. | 읽기 |
| billing:GetIAMAccessPreference | IAM 액세스 허용 결제 기본 설정의 상태를 검색할 수 있는 권한을 부여합니다. | 읽기 |
| billing:GetSellerOfRecord | 계정의 기본 판매자 기록을 검색할 수 있는 권한을 부여합니다. | 읽기 |
| billing:ListBillingViews | 견적 과금 그룹에 대한 과금 정보를 가져올 수 있는 권한을 부여합니다. | List |
| ce:DescribeNotificationSubscription | 예약 만료 알림을 볼 수 있는 권한을 부여합니다. | 읽기 |
| ce:DescribeReport | Cost Explorer 보고서 페이지를 볼 수 있는 권한을 부여합니다. | Read |
| ce:GetAnomalies | 이상 항목을 검색할 수 있는 권한을 부여합니다. | Read |
| ce:GetAnomalyMonitors | 이상 탐지 모니터를 쿼리할 수 있는 권한을 부여합니다. | Read |
| ce:GetAnomalySubscriptions | 이상 탐지 구독을 쿼리할 수 있는 권한을 부여합니다. | Read |
| ce:GetCostAndUsage | 계정의 비용 및 사용 지표를 검색할 수 있는 권한을 부여합니다. | Read |
| ce:GetCostAndUsageWithResources | 계정 리소스를 사용하여 비용 및 사용량 지표를 검색할 수 있는 권한을 부여합니다. | 읽기 |
| ce:GetCostCategories | 지정된 기간 동안 비용 범주 이름 및 값을 쿼리할 수 있는 권한을 부여합니다. | 읽기 |
| ce:GetCostForecast | 예측 기간에 대한 비용 예측을 검색할 수 있는 권한을 부여합니다. | Read |
| ce:GetDimensionValues | 일정 기간 동안 필터에 사용할 수 있는 모든 필터 값을 검색할 수 있는 권한을 부여합니다. | 읽기 |
| ce:GetPreferences | Cost Explorer 기본 설정 페이지를 볼 수 있는 권한을 부여합니다. | 읽기 |
| ce:GetReservationCoverage | 계정의 예약 비율을 검색할 수 있는 권한을 부여합니다. | Read |
| ce:GetReservationPurchaseRecommendation | 계정의 예약 권장 사항을 검색할 수 있는 권한을 부여합니다. | Read |
| ce:GetReservationUtilization | 계정의 사용률을 검색할 수 있는 권한을 부여합니다. | Read |
| ce:GetRightsizingRecommendation | 계정의 규모 조정 권장 사항을 검색할 수 있는 권한을 부여합니다. | Read |
| ce:GetSavingsPlansCoverage | 계정의 Savings Plans 적용 범위를 검색할 수 있는 권한을 부여합니다. | Read |
| ce:GetSavingsPlansPurchaseRecommendation | 계정의 Savings Plans 권장 사항을 검색할 수 있는 권한을 부여합니다. | Read |
| ce:GetSavingsPlansUtilization | 계정의 Savings Plans 사용률을 검색할 수 있는 권한을 부여합니다. | Read |
| ce:GetSavingsPlansUtilizationDetails | 계정의 Savings Plans 사용률 세부 정보를 검색할 수 있는 권한을 부여합니다. | Read |
| ce:GetTags | 지정된 기간 동안 태그를 쿼리할 수 있는 권한을 부여합니다. | Read |
| ce:GetUsageForecast | 예측 기간에 대한 사용량 예측을 검색할 수 있는 권한을 부여합니다. | 읽기 |
| ce:ListCostAllocationTags | 비용 할당 태그를 나열하는 권한을 부여합니다. | List |
| ce:ListSavingsPlansPurchaseRecommendationGeneration | 이전 추천 세대 목록을 검색할 수 있는 권한을 부여합니다. | 읽기 |
| consolidatedbilling:GetAccountBillingRole | 계정 역할(지급인, 연결됨, 일반)을 가져올 수 있는 권한을 부여합니다. | 읽기 |
| consolidatedbilling:ListLinkedAccounts | 구성원/연결된 계정 목록을 가져올 수 있는 권한을 부여합니다. | List |
| cur:GetClassicReport | 청구서에 대한 CSV 보고서를 가져올 수 있는 권한을 부여합니다. | 읽기 |
| cur:GetClassicReportPreferences | 사용 보고서에 대한 클래식 보고서 활성화 상태를 가져올 수 있는 권한을 부여합니다. | 읽기 |
| cur:ValidateReportDestination | AWS CUR 전송에 대한 적절한 권한을 가진 Amazon S3 버킷이 존재하는지 검증할 수 있는 권한을 부여합니다. | 읽기 |
| freetier:GetFreeTierAlertPreference | AWS 프리 티어 알림 기본 설정을 가져올 수 있는 권한을 부여합니다(이메일 주소 기준). | 읽기 |
| freetier:GetFreeTierUsage | AWS 프리 티어 사용 한도 및 month-to-date(MTD) 사용 상태를 가져올 수 있는 권한을 부여합니다. | 읽기 |
| invoicing:GetInvoiceEmailDeliveryPreferences | 인보이스 이메일 전송 기본 설정을 가져올 수 있는 권한을 부여합니다. | 읽기 |
| invoicing:GetInvoicePDF | 인보이스 PDF를 가져올 수 있는 권한을 부여합니다. | 읽기 |
| invoicing:ListInvoiceSummaries | 계정 또는 연결된 계정에 대한 인보이스 요약 정보를 가져올 수 있는 권한을 부여합니다. | List |
| payments:GetPaymentInstrument | 결제 수단에 대한 정보를 가져올 수 있는 권한을 부여합니다. | 읽기 |
| payments:GetPaymentStatus | 인보이스의 결제 상태를 가져올 수 있는 권한을 부여합니다. | 읽기 |
| payments:ListPaymentPreferences | 결제 기본 설정(예: 기본 결제 통화, 기본 결제 방법)을 가져올 수 있는 권한을 부여합니다. | 읽기 |
| tax:GetTaxInheritance | 세금 상속 상태를 볼 수 있는 권한을 부여합니다. | 읽기 |
| tax:GetTaxRegistrationDocument | 사업자 등록 문서를 다운로드할 수 있는 권한을 부여합니다. | 읽기 |
| tax:ListTaxRegistrations | 사업자 등록을 볼 수 있는 권한을 부여합니다. | 읽기 |
## aws-portal:ViewPaymentMethods 매핑
| 새로운 작업 | 설명 | 액세스 레벨 |
| --- | --- | --- |
| account:GetAccountInformation | 계정에 대한 계정 정보를 검색할 수 있는 권한을 부여합니다. | 읽기 |
| invoicing:GetInvoicePDF | 인보이스 PDF를 가져올 수 있는 권한을 부여합니다. | 읽기 |
| payments:GetPaymentInstrument | 결제 수단에 대한 정보를 가져올 수 있는 권한을 부여합니다. | 읽기 |
| payments:GetPaymentStatus | 인보이스의 결제 상태를 가져올 수 있는 권한을 부여합니다. | 읽기 |
| payments:ListPaymentPreferences | 결제 기본 설정(예: 기본 결제 통화, 기본 결제 방법)을 가져올 수 있는 권한을 부여합니다. | List |
## aws-portal:ViewUsage 매핑
| 새로운 작업 | 설명 | 액세스 레벨 |
| --- | --- | --- |
| cur:GetUsageReport | AWS 서비스사용 보고서 워크플로의 사용 유형 및 작업 목록을 가져오고 사용 보고서를 다운로드할 수 있는 권한을 부여합니다. | 읽기 |
## aws-portal:ModifyAccount 매핑
| 새로운 작업 | 설명 | 액세스 레벨 |
| --- | --- | --- |
| account:CloseAccount | 계정을 해지할 수 있는 권한을 부여합니다. | 쓰기 |
| account:DeleteAlternateContact | 계정의 대체 연락처를 삭제할 수 있는 권한을 부여합니다. | 쓰기 |
| account:PutAlternateContact | 계정의 대체 연락처를 수정할 수 있는 권한을 부여합니다. | 쓰기 |
| account:PutChallengeQuestions | 계정에 대한 질문을 수정할 수 있는 권한을 부여합니다. | 쓰기 |
| account:PutContactInformation | 계정의 기본 연락처 정보를 업데이트하는 권한을 부여합니다. | 쓰기 |
| billing:PutContractInformation | 계정의 계약 정보, 최종 사용자 조직 이름 및 해당 계정이 공공 부문 고객에게 서비스를 제공하는 데 사용되는지를 설정할 수 있는 권한을 부여합니다. | 쓰기 |
| billing:UpdateIAMAccessPreference | IAM 액세스 허용 결제 기본 설정을 업데이트할 수 있는 권한을 부여합니다. | 쓰기 |
| payments:UpdatePaymentPreferences | 결제 기본 설정(예: 기본 결제 통화, 기본 결제 방법)을 업데이트할 수 있는 권한을 부여합니다. | 쓰기 |
## aws-portal:ModifyBilling 매핑
| 새로운 작업 | 설명 | 액세스 레벨 |
| --- | --- | --- |
| billing:PutContractInformation | 계정의 계약 정보, 최종 사용자 조직 이름 및 해당 계정이 공공 부문 고객에게 서비스를 제공하는 데 사용되는지를 설정할 수 있는 권한을 부여합니다. | 쓰기 |
| billing:RedeemCredits | AWS 크레딧을 사용할 수 있는 권한을 부여합니다. | 쓰기 |
| billing:UpdateBillingPreferences | 예약 인스턴스, 절감형 플랜 및 크레딧 공유와 같은 결제 기본 설정을 업데이트할 수 있는 권한을 부여합니다. | 쓰기 |
| ce:CreateAnomalyMonitor | 새 이상 탐지 모니터를 생성할 수 있는 권한을 부여합니다. | Write |
| ce:CreateAnomalySubscription | 새 이상 탐지 구독을 생성할 수 있는 권한을 부여합니다. | 쓰기 |
| ce:CreateNotificationSubscription | 예약 만료 알림을 생성할 수 있는 권한을 부여합니다. | 쓰기 |
| ce:CreateReport | Cost Explorer 보고서를 생성할 수 있는 권한을 부여합니다. | Write |
| ce:DeleteAnomalyMonitor | 이상 탐지 모니터를 삭제할 수 있는 권한을 부여합니다. | Write |
| ce:DeleteAnomalySubscription | 이상 탐지 구독을 삭제할 수 있는 권한을 부여합니다. | 쓰기 |
| ce:DeleteNotificationSubscription | 예약 만료 알림을 삭제할 수 있는 권한을 부여합니다. | 쓰기 |
| ce:DeleteReport | Cost Explorer 보고서를 삭제할 수 있는 권한을 부여합니다. | 쓰기 |
| ce:ProvideAnomalyFeedback | 탐지된 이상 항목에 대한 피드백을 제공할 수 있는 권한을 부여합니다. | 쓰기 |
| ce:StartSavingsPlansPurchaseRecommendationGeneration | 절감형 플랜 추천 생성을 요청할 수 있는 권한을 부여합니다. | 쓰기 |
| ce:UpdateAnomalyMonitor | 기존 이상 탐지 모니터를 업데이트할 수 있는 권한을 부여합니다. | Write |
| ce:UpdateAnomalySubscription | 기존 이상 탐지 구독을 업데이트할 수 있는 권한을 부여합니다. | 쓰기 |
| ce:UpdateCostAllocationTagsStatus | 기존 비용 할당 태그 상태를 업데이트하는 권한을 부여합니다. | 쓰기 |
| ce:UpdateNotificationSubscription | 예약 만료 알림을 업데이트할 수 있는 권한을 부여합니다. | 쓰기 |
| ce:UpdatePreferences | Cost Explorer 기본 설정 페이지를 편집할 수 있는 권한을 부여합니다. | 쓰기 |
| cur:PutClassicReportPreferences | 클래식 보고서를 활성화할 수 있는 권한을 부여합니다. | 쓰기 |
| freetier:PutFreeTierAlertPreference | AWS 프리 티어 알림 기본 설정을 지정할 수 있는 권한을 부여합니다(이메일 주소 기준). | 쓰기 |
| invoicing:PutInvoiceEmailDeliveryPreferences | 인보이스 이메일 전송 기본 설정을 업데이트할 수 있는 권한을 부여합니다. | 쓰기 |
| payments:CreatePaymentInstrument | 결제 수단을 생성할 수 있는 권한을 부여합니다. | 쓰기 |
| payments:DeletePaymentInstrument | 결제 수단을 삭제할 수 있는 권한을 부여합니다. | 쓰기 |
| payments:MakePayment | 결제 진행, 결제 인증, 결제 방법 확인, Advance Pay에 대한 자금 요청 문서 생성 권한을 부여합니다. | 쓰기 |
| payments:UpdatePaymentPreferences | 결제 기본 설정(예: 기본 결제 통화, 기본 결제 방법)을 업데이트할 수 있는 권한을 부여합니다. | 쓰기 |
| tax:BatchPutTaxRegistration | 사업자 등록을 일괄 업데이트할 수 있는 권한을 부여합니다. | 쓰기 |
| tax:DeleteTaxRegistration | 사업자 등록 데이터를 삭제할 수 있는 권한을 부여합니다. | 쓰기 |
| tax:PutTaxInheritance | 세금 상속을 설정할 수 있는 권한을 부여합니다. | 쓰기 |
## aws-portal:ModifyPaymentMethods 매핑
| 새로운 작업 | 설명 | 액세스 레벨 |
| --- | --- | --- |
| account:GetAccountInformation | 계정에 대한 계정 정보를 검색할 수 있는 권한을 부여합니다. | 읽기 |
| payments:DeletePaymentInstrument | 결제 수단을 삭제할 수 있는 권한을 부여합니다. | 쓰기 |
| payments:CreatePaymentInstrument | 결제 수단을 생성할 수 있는 권한을 부여합니다. | 쓰기 |
| payments:MakePayment | 결제 진행, 결제 인증, 결제 방법 확인, Advance Pay에 대한 자금 요청 문서 생성 권한을 부여합니다. | 쓰기 |
| payments:UpdatePaymentPreferences | 결제 기본 설정(예: 기본 결제 통화, 기본 결제 방법)을 업데이트할 수 있는 권한을 부여합니다. | 쓰기 |
## purchase-orders:ViewPurchaseOrders 매핑
| 새로운 작업 | 설명 | 액세스 레벨 |
| --- | --- | --- |
| invoicing:GetInvoicePDF | 인보이스 PDF를 가져올 수 있는 권한을 부여합니다. | Get |
| payments:ListPaymentPreferences | 결제 기본 설정(예: 기본 결제 통화, 기본 결제 방법)을 가져올 수 있는 권한을 부여합니다. | List |
| purchase-orders:GetPurchaseOrder | 구매 주문을 가져올 수 있는 권한을 부여합니다. | 읽기 |
| purchase-orders:ListPurchaseOrderInvoices | 구매 주문 및 세부 정보를 볼 수 있는 권한을 부여합니다. | List |
| purchase-orders:ListPurchaseOrders | 사용 가능한 구매 주문을 모두 가져올 수 있는 권한을 부여합니다. | List |
## purchase-orders:ModifyPurchaseOrders 매핑
| 새로운 작업 | 설명 | 액세스 레벨 |
| --- | --- | --- |
| purchase-orders:AddPurchaseOrder | 구매 주문을 추가할 수 있는 권한을 부여합니다. | 쓰기 |
| purchase-orders:DeletePurchaseOrder | 구매 주문을 삭제할 수 있는 권한을 부여합니다. | 쓰기 |
| purchase-orders:UpdatePurchaseOrder | 기존 구매 주문을 업데이트할 수 있는 권한을 부여합니다. | 쓰기 |
| purchase-orders:UpdatePurchaseOrderStatus | 구매 주문 상태를 설정할 수 있는 권한을 부여합니다. | 쓰기 |
# AWS 관리형 정책
관리형 정책은 AWS 계정의 여러 사용자, 그룹 및 역할에 연결할 수 있는 독립 실행형 자격 증명 기반 정책입니다. AWS 관리형 정책을 사용하여 결제에서 액세스를 제어할 수 있습니다.
AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다. AWS 관리형 정책을 사용하면 정책을 직접 작성해야 하는 경우보다 사용자, 그룹 및 역할에 적절한 권한을 더 쉽게 할당할 수 있습니다.
AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. AWS 는 AWS 관리형 정책에 정의된 권한을 가끔 업데이트합니다. 이 경우 정책이 연결되어 있는 모든 위탁자 엔터티(사용자, 그룹 및 역할)에도 업데이트가 적용됩니다.
결제는 일반적인 사용 사례에 대한 여러 AWS 관리형 정책을 제공합니다.
**Topics**
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html)](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html)](#security-iam-awsmanpol-Billing)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)](#security-iam-awsmanpol-AWSAccountActivityAccess)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)](#security-iam-awsmanpol-AWSPriceListServiceFullAccess)
+ [AWS 결제에 대한 AWS 관리형 정책 업데이트](#security-iam-awsmanpol-updates)
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)
이 관리형 정책은 과금 정보 및 비용 관리 콘솔과 Purchase Order 콘솔에 대한 전체 액세스 권한을 부여합니다. 정책을 통해 사용자는 계정의 구매 주문을 보고, 생성하고, 업데이트하고, 삭제할 수 있습니다.
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*의 [AWSPurchaseOrdersServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)를 참조하시기 바랍니다.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html)
이 관리형 정책은 사용자에게 AWS 결제 및 비용 관리 콘솔의 기능에 대한 읽기 전용 액세스 권한을 부여합니다.
### 권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
+ `account` - AWS 계정에 대한 정보를 검색합니다.
+ `aws-portal` – 사용자에게 청구 및 비용 관리 콘솔 페이지를 전반적으로 볼 수 있는 권한을 부여합니다.
+ `billing` - AWS 결제 기본 설정, 활성 계약, 적용된 크레딧 또는 할인, IAM 기본 설정, 레코드 판매자, 결제 보고서 목록과 같은 결제 정보에 대한 포괄적인 액세스를 검색합니다.
+ `budgets` - AWS Budgets 기능에 설정된 작업에 대한 정보를 검색합니다.
+ `ce` - 비용 및 사용량 정보, 태그 및 차원 값을 검색하여 AWS Cost Explorer기 기능을 확인합니다.
+ `consolidatedbilling` - 통합 청구 기능을 사용하여 구성된 AWS 계정 에 대한 역할 및 세부 정보를 검색합니다.
+ `cur` - AWS Cost and Usage Report 데이터에 대한 정보를 검색합니다.
+ `freetier` - AWS 프리 티어 알림 및 사용 기본 설정에 대한 정보를 검색합니다.
+ `invoicing` - 인보이스 기본설정에 대한 정보를 검색합니다.
+ `mapcredits` - 마이그레이션 가속화 프로그램(MAP) 2.0 계약과 관련된 지출 및 크레딧을 검색합니다.
+ `payments` - 파이낸싱, 결제 상태 및 결제 수단 정보를 검색합니다.
+ `purchase-orders` - 구매 주문과 연결된 인보이스에 대한 정보를 검색합니다.
+ `sustainability` - AWS 사용량을 기준으로 탄소 발자국 정보를 검색합니다.
+ `tax` - 세금 설정에서 등록된 세금 정보를 검색합니다.
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBillingReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html) 를 참조하세요.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html)
이 관리형 정책은 사용자에게 AWS 결제 및 비용 관리 콘솔을 보고 편집할 수 있는 권한을 부여합니다. 여기에는 계정 사용량 보기 권한, 예산 및 결제 방법 수정 권한이 포함됩니다.
이 정책의 권한을 보려면*AWS 관리형 정책 참조 자료*의 [Billing](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html)을 참조하세요.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)
이 관리형 정책은 사용자에게 **계정 활동** 페이지를 볼 수 있는 권한을 부여합니다.
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSAccountActivityAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)를 참조하세요.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)
이 관리형 정책은 사용자에게 AWS Price List Service에 대한 모든 액세스 권한을 부여합니다.
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSPriceListServiceFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)를 참조하세요.
## AWS 결제에 대한 AWS 관리형 정책 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 AWS 결제에 대한 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 AWS 결제 문서 기록 페이지에서 RSS 피드를 구독하세요.
| 변경 | 설명 | Date |
| --- | --- | --- |
| [빌링](#security-iam-awsmanpol-Billing) 및 [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 기존 정책 업데이트 | 다음과 같은 인보이스 발행 권한을 `Billing`에 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/managed-policies.html) 다음과 같은 인보이스 발행 권한을 `AWSBillingReadOnlyAccess`에 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2025년 11월 19일 |
| [빌링](#security-iam-awsmanpol-Billing) 및 [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 기존 정책 업데이트 | 다음과 같은 인보이스 발행 권한을 `Billing`에 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/managed-policies.html) 다음과 같은 인보이스 발행 권한을 `AWSBillingReadOnlyAccess`에 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2025년 10월 1일 |
| [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 기존 정책에 대한 업데이트 | 다음과 같은 권한을 `AWSBillingReadOnlyAccess`에 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2025년 8월 21일 |
| [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 기존 정책에 대한 업데이트 | 에 `AWSBillingReadOnlyAccess`다음 AWS 프리 티어 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2025년 7월 9일 |
| [빌링](#security-iam-awsmanpol-Billing) 및 [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 기존 정책 업데이트 | 다음과 같은 MAP 2.0 권한을 `Billing` 및 `AWSBillingReadOnlyAccess`에 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2025년 3월 27일 |
| [청구](#security-iam-awsmanpol-Billing) - 기존 정책 업데이트 | 다음과 같은 인보이스 발행 권한을 `Billing`에 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2025년 1월 17일 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy), [Billing](#security-iam-awsmanpol-Billing) 및 [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 기존 정책 업데이트 | 다음과 같은 인보이스 발행 권한을 `AWSPurchaseOrdersServiceRolePolicy`에 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/managed-policies.html) 다음과 같은 인보이스 발행 권한을 `AWSBillingReadOnlyAccess`에 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/managed-policies.html) 다음과 같은 인보이스 발행 권한을 `Billing`에 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2024년 12월 1일 |
| [빌링](#security-iam-awsmanpol-Billing) 및 [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 기존 정책 업데이트 | 다음과 같은 결제 권한을 `Billing`에 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/managed-policies.html) 다음과 같은 결제 권한을 `AWSBillingReadOnlyAccess`에 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2024년 11월 12일 |
| [AWSPriceListServiceFullAccess ](#security-iam-awsmanpol-AWSPriceListServiceFullAccess) – 업데이트된 정책 | AWS Price List Service의 `AWSPriceListServiceFullAccess` 정책에 대한 설명서를 추가했습니다. 이 정책은 2017년에 처음 출시되었습니다. `Sid": "AWSPriceListServiceFullAccess`를 기존 정책으로 업데이트했습니다. | 2024년 7월 2일 |
| [빌링](#security-iam-awsmanpol-Billing) 및 [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 기존 정책 업데이트 | 다음과 같은 비용 할당 태그 관련 권한을 `Billing`에 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/managed-policies.html) 다음과 같은 태그 관련 권한을 `AWSBillingReadOnlyAccess`에 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2024년 5월 31일 |
| [빌링](#security-iam-awsmanpol-Billing) 및 [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 기존 정책 업데이트 | 다음과 같은 비용 할당 태그 관련 권한을 `Billing`에 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/managed-policies.html) 다음과 같은 비용 할당 태그 관련 권한을 `AWSBillingReadOnlyAccess`에 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2024년 3월 25일 |
| [빌링](#security-iam-awsmanpol-Billing) 및 [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 기존 정책 업데이트 | 다음과 같은 비용 할당 태그 관련 권한을 `Billing`에 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/managed-policies.html) 다음과 같은 비용 할당 태그 관련 권한을 `AWSBillingReadOnlyAccess`에 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2023년 7월 26일 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy), [Billing](#security-iam-awsmanpol-Billing) 및 [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 기존 정책 업데이트 | 다음과 같은 구매 주문 태그 관련 권한을 `Billing` 및 `AWSPurchaseOrdersServiceRolePolicy`에 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/managed-policies.html) 다음과 같은 태그 관련 권한을 `AWSBillingReadOnlyAccess`에 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2023년 7월 17일 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy), [Billing](#security-iam-awsmanpol-Billing) 및 [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 기존 정책 업데이트 [AWSAccountActivityAccess](#security-iam-awsmanpol-AWSAccountActivityAccess) – AWS 결제에 대해 문서화된 새로운 AWS 관리형 정책 | 모든 정책에 업데이트된 작업 세트 추가 | 2023년 3월 6일 |
| [AWSPurchaseOrdersServiceRolePolicy – 기존 정책 업데이트](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy) | AWS 결제에서 불필요한 권한이 제거되었습니다. | 2021년 11월 18일 |
| AWS 결제에서 변경 사항 추적 시작 | AWS 결제가 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. | 2021년 11월 18일 |
# AWS 결제 자격 증명 및 액세스 문제 해결
다음 정보를 사용하여 결제 및 IAM에서 작업할 때 발생할 수 있는 공통적인 문제를 진단하고 수정할 수 있습니다.
**Topics**
+ [결제에서 작업을 수행할 권한이 없음](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole을 수행하도록 인증되지 않음](#security_iam_troubleshoot-passrole)
+ [액세스 키를 보아야 합니다.](#security_iam_troubleshoot-access-keys)
+ [관리자인데, 다른 사용자가 결제에 액세스할 수 있게 허용하려고 함](#security_iam_troubleshoot-admin-delegate)
+ [내 외부의 사람이 내 결제 리소스 AWS 계정 에 액세스하도록 허용하고 싶습니다.](#security_iam_troubleshoot-cross-account-access)
## 결제에서 작업을 수행할 권한이 없음
에서 작업을 수행할 권한이 없다는 AWS Management Console 메시지가 표시되면 관리자에게 문의하여 도움을 받아야 합니다. 관리자는 로그인 자격 증명을 제공한 사람입니다.
다음 예제 오류는 `mateojackson`사용자가 콘솔을 사용하여 가상 `my-example-widget`리소스에 대한 세부 정보를 보려고 하지만 가상 `billing:GetWidget`권한이 없을 때 발생합니다.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: billing:GetWidget on resource: my-example-widget
```
이 경우 Mateo는 `my-example-widget` 작업을 사용하여 `billing:GetWidget` 리소스에 액세스하도록 허용하는 정책을 업데이트하라고 관리자에게 요청합니다.
## iam:PassRole을 수행하도록 인증되지 않음
`iam:PassRole` 작업을 수행할 수 있는 권한이 없다는 오류가 수신되면 결제에 역할을 전달할 수 있도록 정책을 업데이트해야 합니다.
일부 AWS 서비스 에서는 새 서비스 역할 또는 서비스 연결 역할을 생성하는 대신 기존 역할을 해당 서비스에 전달할 수 있습니다. 이렇게 하려면 역할을 서비스에 전달할 권한이 있어야 합니다.
다음 예시 오류는 `marymajor`라는 IAM 사용자가 콘솔을 사용하여 결제에서 작업을 수행하려고 하는 경우에 발생합니다. 하지만 작업을 수행하려면 서비스 역할이 부여한 권한이 서비스에 있어야 합니다. Mary는 서비스에 역할을 전달할 권한이 없습니다.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
이 경우, Mary가 `iam:PassRole`작업을 수행할 수 있도록 Mary의 정책을 업데이트해야 합니다.
도움이 필요한 경우 AWS 관리자에게 문의하세요. 관리자는 로그인 자격 증명을 제공한 사람입니다.
## 액세스 키를 보아야 합니다.
IAM 사용자 액세스 키를 생성한 후에는 언제든지 액세스 키 ID를 볼 수 있습니다. 하지만 보안 액세스 키는 다시 볼 수 없습니다. 보안 액세스 키를 잃어버린 경우 새로운 액세스 키 페어를 생성해야 합니다.
액세스 키는 액세스 키 ID(예: `AKIAIOSFODNN7EXAMPLE`)와 보안 액세스 키(예: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`)의 두 가지 부분으로 구성됩니다. 사용자 이름 및 암호와 같이 액세스 키 ID와 보안 액세스 키를 함께 사용하여 요청을 인증해야 합니다. 사용자 이름과 암호를 관리하는 것처럼 안전하게 액세스 키를 관리합니다.
**중요**
[정식 사용자 ID를 찾는 데](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId) 도움이 되더라도 액세스 키를 타사에 제공하지 마시기 바랍니다. 이렇게 하면 누군가에게에 대한 영구 액세스 권한을 부여할 수 있습니다 AWS 계정.
액세스 키 페어를 생성할 때는 액세스 키 ID와 보안 액세스 키를 안전한 위치에 저장하라는 메시지가 나타납니다. 보안 액세스 키는 생성할 때만 사용할 수 있습니다. 하지만 보안 액세스 키를 잃어버린 경우 새로운 액세스 키를 IAM 사용자에게 추가해야 합니다. 최대 두 개의 액세스 키를 가질 수 있습니다. 이미 두 개가 있는 경우 새로 생성하려면 먼저 키 페어 하나를 삭제해야 합니다. 지침을 보려면 *IAM 사용 설명서*의 [액세스 키 관리](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)를 참조하십시오.
## 관리자인데, 다른 사용자가 결제에 액세스할 수 있게 허용하려고 함
다른 사용자가 결제에 액세스하도록 허용하려면 액세스가 필요한 사용자 또는 애플리케이션에 권한을 부여해야 합니다. AWS IAM Identity Center 을 사용하여 사용자 및 애플리케이션을 관리하는 경우 사용자 또는 그룹에 권한 세트를 할당하여 액세스 수준을 정의합니다. 권한 세트는 IAM 정책을 자동으로 생성하고 사용자 또는 애플리케이션과 연결된 IAM 역할에 할당합니다. 자세한 내용은 *AWS IAM Identity Center 사용 설명서*에서 [권한 세트](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)를 참조하세요.
IAM Identity Center를 사용하지 않는 경우 액세스가 필요한 사용자 또는 애플리케이션에 대한 IAM 엔터티(사용자 또는 역할)를 생성해야 합니다. 그런 다음 결제에 대한 올바른 권한을 부여하는 정책을 엔터티에 연결해야 합니다. 권한이 부여되면 사용자 또는 애플리케이션 개발자에게 자격 증명을 제공합니다. 이들은 이 자격 증명을 사용하여 AWS에 액세스합니다. IAM 사용자, 그룹, 정책 및 권한 생성에 대해 자세히 알아보려면 *IAM 사용자 설명서*의 [IAM 자격 증명](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)과 [IAM의 권한 및 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)을 참조하세요.
## 내 외부의 사람이 내 결제 리소스 AWS 계정 에 액세스하도록 허용하고 싶습니다.
다른 계정의 사용자 또는 조직 외부의 사람이 리소스에 액세스할 때 사용할 수 있는 역할을 생성할 수 있습니다. 역할을 수임할 신뢰할 수 있는 사람을 지정할 수 있습니다. 리소스 기반 정책 또는 액세스 제어 목록(ACL)을 지원하는 서비스의 경우, 이러한 정책을 사용하여 다른 사람에게 리소스에 대한 액세스 권한을 부여할 수 있습니다.
자세한 내용은 다음을 참조하세요.
+ 결제가 이러한 기능을 지원하는지 여부를 알아보려면 [AWS 결제가 IAM에서 작동하는 방식](security_iam_service-with-iam.md) 섹션을 참조하세요.
+ 소유 AWS 계정 한의 리소스에 대한 액세스 권한을 제공하는 방법을 알아보려면 [IAM 사용 설명서의 소유한 다른의 IAM 사용자에게 액세스 권한 제공을 참조 AWS 계정 하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html). **
+ 리소스에 대한 액세스 권한을 타사에 제공하는 방법을 알아보려면 *IAM 사용 설명서*의 [타사 AWS 계정 소유에 대한 액세스 권한 제공을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) AWS 계정참조하세요.
+ ID 페더레이션을 통해 액세스 권한을 제공하는 방법을 알아보려면 *IAM 사용 설명서*의 [외부에서 인증된 사용자에게 액세스 권한 제공(ID 페더레이션)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)을 참조하세요.
+ 크로스 계정 액세스에 대한 역할과 리소스 기반 정책 사용의 차이점을 알아보려면 *IAM 사용 설명서*의 [IAM의 크로스 계정 리소스 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)를 참조하세요.
# 에 대한 서비스 연결 역할 사용 AWS Billing
AWS Billing 는 AWS Identity and Access Management (IAM) [서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 직접 연결된 고유한 유형의 IAM 역할입니다 AWS Billing. 서비스 연결 역할은에서 사전 정의 AWS Billing 하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할을 더 AWS Billing 쉽게 설정할 수 있습니다.는 서비스 연결 역할의 권한을 AWS Billing 정의하며, 달리 정의되지 않은 한 만 해당 역할을 수임 AWS Billing 할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
먼저 관련 리소스를 삭제한 후에만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 AWS Billing 리소스에 대한 액세스 권한을 실수로 제거할 수 없기 때문에 리소스가 보호됩니다.
서비스 연결 역할을 지원하는 다른 서비스에 대한 자세한 내용은 [AWS IAM으로 작업하는 서비스를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 참조하고 **서비스 연결 역할** 열에서 **예**인 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예** 링크를 선택합니다.
## 에 대한 서비스 연결 역할 권한 AWS Billing
AWS Billing 는 **Billing**이라는 서비스 연결 역할을 사용합니다.는 결제 서비스가 파생된 결제 보기에 대한 결제 보기 데이터에 대한 액세스를 검증할 수 있도록 허용합니다.
청구 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `billing.amazonaws.com`
AWSBillingServiceRolePolicy라는 역할 권한 정책은가 지정된 리소스에서 다음 작업을 완료 AWS Billing 하도록 허용합니다.
+ 작업: `arn:${Partition}:billing:::billingview/*`에 대한 `billing:GetBillingViewData`
사용자, 그룹 또는 역할이 서비스 연결 역할을 생성, 편집 또는 삭제할 수 있도록 사용 권한을 구성해야 합니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)을 참조하세요.
## 에 대한 서비스 연결 역할 생성 AWS Billing
서비스 연결 역할은 수동으로 생성할 필요가 없습니다. AWS Management Console AWS CLI, 또는 AWS API의 다른 계정에서 결제 보기를 사용하여 결제 보기를 생성하거나 연결하면가 서비스 연결 역할을 AWS Billing 생성합니다.
**중요**
이러한 서비스 연결 역할은 해당 역할이 지원하는 기능을 사용하는 다른 서비스에서 작업을 완료했을 경우 계정에 나타날 수 있습니다. 또한 AWS Billing 서비스 연결 역할을 지원하기 시작한 2017년 1월 1일 이전에 서비스를 사용 중이었다면에서 계정에 결제 역할을 AWS Billing 생성했습니다. 자세한 내용은 [내에 표시되는 새 역할을 참조하세요 AWS 계정](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
## 에 대한 서비스 연결 역할 편집 AWS Billing
AWS Billing 에서는 결제 서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
## 에 대한 서비스 연결 역할 삭제 AWS Billing
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 연결 역할을 정리해야 수동으로 삭제할 수 있습니다.
### 수동으로 서비스 연결 역할 삭제
IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 결제 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)**를 참조하십시오.
## AWS Billing 서비스 연결 역할에 지원되는 리전
AWS Billing 는 서비스를 사용할 수 있는 모든 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 [AWS 리전 및 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/rande.html) 섹션을 참조하세요.
# 에서 로깅 및 모니터링 AWS 결제 및 비용 관리
모니터링은 AWS 계정의 신뢰성, 가용성 및 성능을 유지하는 데 중요한 부분입니다. Billing and Cost Management 사용량을 모니터링하는 데 사용할 수 있는 몇 가지 도구가 있습니다.
## AWS 비용 및 사용 보고서
AWS Cost and Usage Reports는 AWS 사용량을 추적하고 계정과 관련된 예상 요금을 제공합니다. 각 보고서에는 AWS 계정에서 사용하는 AWS 제품, 사용 유형 및 작업의 각 고유 조합에 대한 항목이 포함되어 있습니다. AWS 비용 및 사용 보고서를 사용자 지정하여 시간 또는 날짜별로 정보를 집계할 수 있습니다.
AWS 비용 및 사용 보고서에 대한 자세한 내용은 [https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html) 참조하세요.
## AWS CloudTrail
Billing and Cost Management는 Billing and Cost Management에서 사용자 AWS CloudTrail, 역할 또는 서비스가 수행한 작업에 대한 레코드를 제공하는 AWS 서비스와 통합됩니다. CloudTrail은 Billing and Cost Management의 모든 API 호출 쓰기 및 수정을 이벤트로 캡처합니다. 이러한 호출에는 Billing and Cost Management 콘솔로부터의 호출과 Billing and Cost Management API에 대한 코드의 호출이 있습니다.
에 대한 자세한 내용은 단원을 AWS CloudTrail참조하십시오[를 사용하여 Billing and Cost Management API 호출 로깅 AWS CloudTrail](logging-using-cloudtrail.md).
# 를 사용하여 Billing and Cost Management API 호출 로깅 AWS CloudTrail
Billing and Cost Management는 Billing and Cost Management에서 사용자 AWS CloudTrail, 역할 또는 서비스가 수행한 작업에 대한 레코드를 제공하는 AWS 서비스와 통합됩니다. CloudTrail은 Billing and Cost Management의 모든 API 호출을 이벤트로 캡처합니다. 이러한 호출에는 Billing and Cost Management 콘솔로부터의 호출과 Billing and Cost Management API에 대한 코드의 호출이 있습니다. 결제와 관련된 전체 CloudTrail 이벤트 목록은 [AWS Billing CloudTrail 이벤트](#billing-cloudtrail-events) 단원을 참조하세요.
추적을 생성하면 Billing and Cost Management 이벤트를 포함한 CloudTrail 이벤트를 지속적으로 Amazon S3 버킷에 배포할 수 있습니다. 추적을 구성하지 않은 경우에도 **이벤트 기록**에서 CloudTrail 콘솔의 최신 이벤트를 볼 수 있습니다. CloudTrail에서 수집한 정보를 사용하여 Billing and Cost Management에 수행된 요청, 요청이 수행된 IP 주소, 요청을 수행한 사람, 요청이 수행된 시간 및 추가 세부 정보를 확인할 수 있습니다.
구성 및 활성화 방법을 포함하여 CloudTrail에 대한 자세한 내용은 [AWS CloudTrail 사용자 안내서](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)를 참조하세요.
## AWS Billing CloudTrail 이벤트
이 섹션에서는 Billing and Cost Management와 관련된 CloudTrail 이벤트의 전체 목록을 보여줍니다.
****
| 이벤트 이름 | 정의 | 이벤트 소스 |
| --- | --- | --- |
| `AddPurchaseOrder` | 구매 주문 생성을 로깅합니다. | purchase-orders.amazonaws.com |
| `AcceptFxPaymentCurrencyTermsAndConditions` | USD 이외의 통화로 결제 시 이용 약관에 대한 수락을 로깅합니다. | billingconsole.amazonaws.com |
| `CloseAccount` | 계정 닫기를 로깅합니다. | billingconsole.amazonaws.com |
| `CreateCustomerVerificationDetails` | (청구서 수신 주소 또는 연락처 주소가 인도인 고객만 해당) 계정의 고객 인증 세부 정보 생성을 기록합니다. | customer-verification.amazonaws.com |
| `CreateOrigamiReportPreference` | 비용 및 사용 보고서의 생성을 로깅합니다(관리 계정만 해당). | billingconsole.amazonaws.com |
| `DeletePurchaseOrder` | 구매 주문 삭제를 로깅합니다. | purchase-orders.amazonaws.com |
| `DeleteOrigamiReportPreferences` | 비용 및 사용 보고서의 삭제를 로깅합니다(관리 계정만 해당). | billingconsole.amazonaws.com |
| `DownloadCommercialInvoice` | 상업 송장의 다운로드를 로깅합니다. | billingconsole.amazonaws.com |
| `DownloadECSVForBillingPeriod` | 특정 결제 기간에 대한 eCSV 파일(월별 사용 보고서)의 다운로드를 로깅합니다. | billingconsole.amazonaws.com |
| `DownloadRegistrationDocument` | 사업자 등록 문서의 다운로드를 로깅합니다. | billingconsole.amazonaws.com |
| `EnableBillingAlerts` | 예상 요금에 대한 CloudWatch 결제 알림 수신의 옵트인을 로깅합니다. | billingconsole.amazonaws.com |
| `FindECSVForBillingPeriod` | 특정 결제 기간 동안 ECSV 파일의 검색을 로깅합니다. | billingconsole.amazonaws.com |
| `GetAccountEDPStatus` | 계정의 EDP 상태에 대한 검색을 로깅합니다. | billingconsole.amazonaws.com |
| `GetAddresses` | 계정의 세금 납부 주소, 청구지 주소 및 연락처 주소에 대한 액세스를 로깅합니다. | billingconsole.amazonaws.com |
| `GetAllAccounts` | 관리 계정의 모든 멤버 계정 번호에 대한 액세스 권한을 로깅합니다. | billingconsole.amazonaws.com |
| `GetBillsForBillingPeriod` | 특정 결제 기간 동안 계정 사용량 및 요금에 대한 액세스를 로깅합니다. | billingconsole.amazonaws.com |
| `GetBillsForLinkedAccount` | 특정 결제 기간 동안 통합 결제 패밀리에 속한 구성원 계정 중 하나의 사용량 및 요금을 검색한 관리 계정의 액세스를 로깅합니다. | billingconsole.amazonaws.com |
| `GetCommercialInvoicesForBillingPeriod` | 특정 결제 기간 동안 계정의 상업 송장 메타데이터에 대한 액세스를 로깅합니다. | billingconsole.amazonaws.com |
| `GetConsolidatedBillingFamilySummary` | 전체 통합 결제 패밀리의 요약을 검색한 관리 계정의 액세스를 로깅합니다. | billingconsole.amazonaws.com |
| `GetCustomerVerificationEligibility` | (청구서 수신 주소 또는 연락처 주소가 인도인 고객만 해당) 계정의 고객 인증 권한 검색을 기록합니다. | customer-verification.amazonaws.com |
| `GetCustomerVerificationDetails` | (청구서 수신 주소 또는 연락처 주소가 인도인 고객만 해당) 계정의 고객 인증 세부 정보 검색을 기록합니다. | customer-verification.amazonaws.com |
| `GetLinkedAccountNames` | 특정 결제 기간 동안 통합 결제 패밀리에 속한 멤버 계정 이름의 관리 계정이 수행한 검색을 로깅합니다. | billingconsole.amazonaws.com |
| `GetPurchaseOrder` | 구매 주문 검색을 로깅합니다. | purchase-orders.amazonaws.com |
| `GetSupportedCountryCodes` | 세금 콘솔에서 지원하는 모든 국가 코드에 대한 액세스를 로깅합니다. | billingconsole.amazonaws.com |
| `GetTotal` | 계정의 총 요금에 대한 검색을 로깅합니다. | billingconsole.amazonaws.com |
| `GetTotalAmountForForecast` | 특정 결제 기간 동안 예상 요금에 대한 액세스를 기록합니다. | billingconsole.amazonaws.com |
| `ListCostAllocationTags` | 비용 할당 태그 검색 및 목록을 로깅합니다. | ce.amazonaws.com |
| `ListCostAllocationTagBackfillHistory` | 비용 할당 태그 채우기 요청 기록의 검색 및 목록을 로깅합니다. | ce.amazonaws.com |
| `ListPurchaseOrders` | 구매 주문 검색 및 목록을 로깅합니다. | purchase-orders.amazonaws.com |
| `ListPurchaseOrderInvoices` | 구매 주문과 관련된 청구서의 검색 및 목록을 로깅합니다. | purchase-orders.amazonaws.com |
| `ListTagsForResource` | 리소스와 연결된 태그를 나열합니다. `payments`의 경우 이 작업은 결제 방법을 나타냅니다. `purchase-orders`의 경우 이 작업은 구매 주문을 나타냅니다. | purchase-orders.amazonaws.com |
| `RedeemPromoCode` | 계정에 대한 프로모션 크레딧 사용을 로깅합니다. | billingconsole.amazonaws.com |
| `SetAccountContractMetadata` | 공공 부문 고객을 위해 필요한 계약 정보의 생성, 삭제 또는 업데이트를 로깅합니다. | billingconsole.amazonaws.com |
| `SetAccountPreferences` | 계정 이름, 이메일 및 암호의 업데이트를 로깅합니다. | billingconsole.amazonaws.com |
| `SetAdditionalContacts` | 결제, 작업 및 보안 통신에 대한 대체 연락처의 생성, 삭제 또는 업데이트를 로깅합니다. | billingconsole.amazonaws.com |
| `SetContactAddress` | 주소 및 전화번호를 비롯한 계정 소유자 연락처 정보의 생성, 삭제 또는 업데이트를 로깅합니다. | billingconsole.amazonaws.com |
| `SetCreatedByOptIn` | awscreatedby 비용 할당 태그 기본 설정의 옵트인을 로깅합니다. | billingconsole.amazonaws.com |
| `SetCreditSharing` | 관리 계정에 대한 크레딧 공유 기본 설정의 기록을 로깅합니다. | billingconsole.amazonaws.com |
| `SetFreetierBudgetsPreference` | 프리 티어 사용 알림 수신에 대한 기본 설정(옵트인 또는 옵트아웃)을 로깅합니다. | billingconsole.amazonaws.com |
| `SetFxPaymentCurrency` | 송장 결제에 사용된 기본 통화의 생성, 삭제 또는 업데이트를 로깅합니다. | billingconsole.amazonaws.com |
| `SetIAMAccessPreference` | 빌링 콘솔에 대한 IAM 사용자 액세스 권한의 생성, 삭제 또는 업데이트를 로깅합니다. 이 설정은 루트 액세스 권한이 있는 고객에게만 적용됩니다. | billingconsole.amazonaws.com |
| `SetPANInformation` | AWS India에서 PAN 정보의 생성, 삭제 또는 업데이트를 로깅합니다. | billingconsole.amazonaws.com |
| `SetPayInformation` | 계정에 대한 결제 방법 내역(송장 또는 신용/직불 카드)을 로깅합니다. | billingconsole.amazonaws.com |
| `SetRISharing` | 관리 계정에 대한 RI/Savings Plan 공유 기본 설정의 기록을 로깅합니다. | billingconsole.amazonaws.com |
| `SetSecurityQuestions` | 계정 소유자임을 AWS 식별하는 데 도움이 되도록 보안 챌린지 질문의 생성, 삭제 또는 업데이트를 로깅합니다. | billingconsole.amazonaws.com |
| `StartCostAllocationTagBackfill` | 모든 비용 할당 태그의 활성화 상태에 대한 채우기 요청 생성을 로깅합니다. | ce.amazonaws.com |
| `TagResource` | 리소스의 태그 지정을 로깅합니다. `payments`의 경우 이 작업은 결제 방법을 나타냅니다. `purchase-orders`의 경우 이 작업은 구매 주문을 나타냅니다. | purchase-orders.amazonaws.com |
| `UntagResource` | 리소스의 태그 삭제를 로깅합니다. `payments`의 경우 이 작업은 결제 방법을 나타냅니다. `purchase-orders`의 경우 이 작업은 구매 주문을 나타냅니다. | purchase-orders.amazonaws.com |
| `UpdateCostAllocationTagsStatus` | 특정 비용 할당 태그의 활성 또는 비활성 상태를 로깅합니다. | ce.amazonaws.com |
| `UpdateCustomerVerificationDetails` | (청구서 수신 주소 또는 연락처 주소가 인도인 고객만 해당) 계정의 고객 인증 세부 정보 업데이트를 기록합니다. | customer-verification.amazonaws.com |
| `UpdateOrigamiReportPreference` | 비용 및 사용 보고서의 업데이트를 로깅합니다(관리 계정만 해당). | billingconsole.amazonaws.com |
| `UpdatePurchaseOrder` | 구매 주문 업데이트를 로깅합니다. | purchase-orders.amazonaws.com |
| `UpdatePurchaseOrderStatus` | 구매 주문 상태 업데이트를 로깅합니다. | purchase-orders.amazonaws.com |
| `ValidateAddress` | 계정의 세금 납부 주소 검증을 로깅합니다. | billingconsole.amazonaws.com |
### 결제 CloudTrail 이벤트
이 섹션에서는 AWS Billing 콘솔의 **결제** 기능에 대한 CloudTrail 이벤트의 전체 목록을 보여줍니다. 이러한 CloudTrail 이벤트는 `billingconsole.amazonaws.com` 대신 `payments.amazonaws.com`을 사용합니다.
****
| 이벤트 이름 | 정의 |
| --- | --- |
| `Financing_AcceptFinancingApplicationTerms` | 파이낸싱 신청의 약관에 대한 수락을 로깅합니다. |
| `Financing_CreateFinancingApplication` | 파이낸싱 신청의 생성을 로깅합니다. |
| `Financing_GetFinancingApplication` | 파이낸싱 신청의 액세스를 로깅합니다. |
| `Financing_GetFinancingApplicationDocument` | 파이낸싱 신청과 연결된 문서의 액세스를 로깅합니다. |
| `Financing_GetFinancingLine` | 파이낸싱 라인의 액세스를 로깅합니다. |
| `Financing_GetFinancingLineWithdrawal` | 파이낸싱 라인 인출의 액세스를 로깅합니다. |
| `Financing_GetFinancingLineWithdrawalDocument` | 파이낸싱 라인 인출과 관련된 문서의 액세스를 로깅합니다. |
| `Financing_GetFinancingLineWithdrawalStatements` | 파이낸싱 라인 인출과 관련된 명세서의 액세스를 로깅합니다. |
| `Financing_GetFinancingOption` | 파이낸싱 옵션의 액세스를 로깅합니다. |
| `Financing_ListFinancingApplications` | 파이낸싱 신청 메타데이터 목록을 로깅합니다. |
| `Financing_ListFinancingLines` | 파이낸싱 라인 메타데이터 목록을 로깅합니다. |
| `Financing_ListFinancingLineWithdrawals` | 파이낸싱 라인 인출 메타데이터 목록을 로깅합니다. |
| `Financing_UpdateFinancingApplication` | 파이낸싱 신청의 업데이트를 로깅합니다. |
| Instruments\$1Authenticate | 결제 수단 인증을 로깅합니다. |
| `Instruments_Create` | 결제 수단 생성을 로깅합니다. |
| `Instruments_Delete` | 결제 수단 삭제를 로깅합니다. |
| `Instruments_Get` | 결제 수단 액세스를 로깅합니다. |
| `Instruments_List` | 결제 수단 메타데이터 목록을 로깅합니다. |
| `Instruments_StartCreate` | 결제 수단 생성 전 작업을 로깅합니다. |
| `Instruments_Update` | 결제 수단 업데이트를 로깅합니다. |
| `ListTagsForResource` | 결제 리소스와 연결된 태그 목록을 로깅합니다. |
| `Policy_GetPaymentInstrumentEligibility` | 결제 수단 자격 액세스를 로깅합니다. |
| `Preferences_BatchGetPaymentProfiles` | 결제 프로필 액세스를 로깅합니다. |
| `Preferences_CreatePaymentProfile` | 결제 프로필 생성을 로깅합니다. |
| `Preferences_DeletePaymentProfile` | 결제 프로필 삭제를 로깅합니다. |
| `Preferences_ListPaymentProfiles` | 결제 프로필 메타데이터 목록을 로깅합니다. |
| `Preferences_UpdatePaymentProfile` | 결제 프로필 업데이트를 로깅합니다. |
| `Programs_ListPaymentProgramOptions` | 결제 프로그램 옵션 목록을 로깅합니다. |
| `Programs_ListPaymentProgramStatus` | 결제 프로그램 자격 및 등록 상태 목록을 로깅합니다. |
| `TagResource` | 결제 리소스 태그 지정을 로깅합니다. |
| `TermsAndConditions_AcceptTermsAndConditionsForProgramByAccountId` | 수락된 결제 이용 약관을 로깅합니다. |
| `TermsAndConditions_GetAcceptedTermsAndConditionsForProgramByAccountId` | 수락된 이용 약관에 대한 액세스를 로깅합니다. |
| `TermsAndConditions_GetRecommendedTermsAndConditionsForProgram` | 권장 이용 약관에 대한 액세스를 로깅합니다. |
| `UntagResource` | 결제 리소스의 태그 삭제를 로깅합니다. |
### 세금 설정 CloudTrail 이벤트
이 섹션에서는 AWS Billing 콘솔의 **세금 설정** 기능에 대한 CloudTrail 이벤트의 전체 목록을 보여줍니다. 이러한 CloudTrail 이벤트는 `billingconsole.amazonaws.com` 대신 `taxconsole.amazonaws.com` 또는 `tax.amazonaws.com`을 사용합니다.
**세금 설정 콘솔에 대한 CloudTrail 이벤트**
| 이벤트 이름 | 정의 | 이벤트 소스 |
| --- | --- | --- |
| `BatchGetTaxExemptions` | 계정 및 모든 연결 계정의 미국 세금 공제에 대한 액세스를 로깅합니다. | taxconsole.amazon.com |
| `CreateCustomerCase` | 고객 지원 사례 생성을 기록하여 계정에 대한 미국 면세 유효성을 로깅합니다. | taxconsole.amazon.com |
| `DownloadTaxInvoice` | 세금 계산서의 다운로드를 로깅합니다. | taxconsole.amazon.com |
| `GetTaxExemptionTypes` | 세금 콘솔별로 지원되는 모든 미국 공제 유형에 대한 액세스를 로깅합니다. | taxconsole.amazon.com |
| `GetTaxInheritance` | 계정의 세금 상속 기본 설정(켜기 또는 끄기)에 대한 액세스를 로깅합니다. | taxconsole.amazon.com |
| `GetTaxInvoicesMetadata` | 세금 계산서 메타데이터 검색을 기록합니다. | taxconsole.amazon.com |
| `GetTaxRegistration` | 계정의 사업자 등록 번호에 대한 액세스를 로깅합니다. | taxconsole.amazon.com |
| `PreviewTaxRegistrationChange` | 확인 전에 사업자 등록 변경 사항 미리 보기를 기록합니다. | taxconsole.amazon.com |
| `SetTaxInheritance` | 세금 상속의 기본 설정(옵트인 또는 옵트아웃)을 로깅합니다. | taxconsole.amazon.com |
**세금 설정 API에 대한 CloudTrail 이벤트**
| 이벤트 이름 | 정의 | 이벤트 소스 |
| --- | --- | --- |
| `BatchDeleteTaxRegistration` | 여러 계정에 대한 세금 등록의 배치 삭제를 로깅합니다. | tax.amazonaws.com |
| `BatchGetTaxExemptions` | 하나 이상의 계정과 관련된 세금 면제에 대한 액세스를 로깅합니다. | tax.amazonaws.com |
| `BatchPutTaxRegistration` | 여러 계정의 세금 등록 설정을 로깅합니다. | tax.amazonaws.com |
| `DeleteTaxRegistration` | 계정에 대한 세금 등록 번호의 삭제를 로깅합니다. | tax.amazonaws.com |
| `GetTaxExemptionTypes` | 세금 콘솔별로 지원되는 모든 세금 면제 유형에 대한 액세스를 로깅합니다. | tax.amazonaws.com |
| `GetTaxInheritance` | 계정의 세금 상속 기본 설정(켜기 또는 끄기)에 대한 액세스를 로깅합니다. | tax.amazonaws.com |
| `GetTaxRegistration` | 계정의 세금 등록에 대한 액세스를 로깅합니다. | tax.amazonaws.com |
| `GetTaxRegistrationDocument` | 계정의 세금 등록 문서 검색을 로깅합니다. | tax.amazonaws.com |
| `ListTaxExemptions` | AWS 조직 계정의 세금 공제에 대한 액세스를 로깅합니다. | tax.amazonaws.com |
| `ListTaxRegistrations` | 관리 계정의 모든 멤버 계정의 사업자 등록 세부 정보에 대한 액세스를 로깅합니다. | tax.amazonaws.com |
| `PutTaxExemption` | 하나 이상의 계정에 대한 세금 면제 설정을 로깅합니다. | tax.amazonaws.com |
| `PutTaxInheritance` | 세금 상속의 기본설정(옵트인 또는 옵트아웃)을 로깅합니다. | tax.amazonaws.com |
| `PutTaxRegistration` | 계정의 세금 등록 설정을 로깅합니다. | tax.amazonaws.com |
### 인보이스 발행 관련 CloudTrail 이벤트
이 섹션에서는 AWS Billing 콘솔의 **인보이스 발행** 기능에 대한 CloudTrail 이벤트의 전체 목록을 보여줍니다. 이러한 CloudTrail 이벤트는 `invoicing.amazonaws.com`을 사용합니다.
****
| 이벤트 이름 | 정의 |
| --- | --- |
| `CreateInvoiceUnit` | 인보이스 단위 생성을 로깅합니다. |
| `DeleteInvoiceUnit` | 인보이스 단위 삭제를 로깅합니다. |
| `GetInvoiceProfiles` | 계정의 인보이스 프로필에 대한 액세스를 로깅합니다. |
| `GetInvoiceUnit` | 인보이스 단위의 액세스를 로깅합니다. |
| `ListInvoiceUnits` | 인보이스 단위의 검색 및 목록을 로깅합니다. |
| `UpdateInvoiceUnit` | 인보이스 단위의 업데이트를 로깅합니다. |
## CloudTrail의 Billing and Cost Management 정보
AWS 계정을 생성할 때 계정에서 CloudTrail이 활성화됩니다. 지원되는 이벤트 활동이 Billing and Cost Management에서 발생하면, 해당 활동이 **이벤트 기록**의 다른 AWS 서비스 이벤트와 함께 CloudTrail 이벤트에 기록됩니다. AWS 계정에서 최근 이벤트를 보고 검색하고 다운로드할 수 있습니다. 자세한 내용은AWS CloudTrail 사용 설명서에서 [CloudTrail 이벤트 기록을 사용하여 이벤트 보기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)를 참조하세요.
Billing and Cost Management 이벤트를 포함하여 AWS 계정에 이벤트를 지속적으로 기록하려면 추적을 생성합니다. CloudTrail은 추적을 사용하여 Amazon S3 버킷으로 로그 파일을 전송할 수 있습니다. 기본적으로 콘솔에서 추적을 생성하면 추적이 모든 AWS 리전에 적용됩니다. 추적은 AWS 파티션의 모든 리전에서 이벤트를 로깅하고 지정한 Amazon S3 버킷으로 로그 파일을 전송합니다. 또한 CloudTrail 로그에서 수집된 이벤트 데이터를 추가로 분석하고 조치를 취하도록 다른 AWS 서비스를 구성할 수 있습니다.
자세한 내용은 다음 자료를 참조하세요.
+ [추적 생성 개요](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 지원 서비스 및 통합](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [CloudTrail에서 Amazon SNS 알림 구성](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [여러 리전으로부터 CloudTrail 로그 파일 받기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) 및 [여러 계정으로부터 CloudTrail 로그 파일 받기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
모든 이벤트 또는 로그 항목에는 요청을 생성했던 사용자에 관한 정보가 포함됩니다. ID 정보를 이용하면 다음을 쉽게 판단할 수 있습니다.
+ 요청을 루트로 했는지 아니면 IAM 사용자 자격 증명 정보로 했는지 여부.
+ 역할 또는 페더레이션 사용자의 임시 자격 증명을 사용하여 요청이 생성되었는지 여부.
+ 요청이 다른 AWS 서비스에서 이루어졌는지 여부입니다.
자세한 내용은AWS CloudTrail 사용 설명서**의 [CloudTrail userIdentity 요소](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)를 참조하세요.
## CloudTrail 로그 항목 예제
다음 예제는 특정 Billing and Cost Management CloudTrail 로그 항목 시나리오에 대해 제공됩니다.
**Topics**
+ [Billing and Cost Management 로그 파일 항목](#understanding-service-name-entries)
+ [세금 콘솔](#CT-example-tax)
+ [결제](#CT-example-payments-create)
### Billing and Cost Management 로그 파일 항목
추적**이란 지정한 Amazon S3 버킷에 이벤트를 로그 파일로 입력할 수 있게 하는 구성입니다. CloudTrail 로그 파일에는 하나 이상의 로그 항목이 포함될 수 있습니다. 이벤트는 모든 소스로부터의 단일 요청을 나타내며 요청 작업, 작업 날짜와 시간, 요청 파라미터 등에 대한 정보가 들어 있습니다. CloudTrail 로그 파일은 퍼블릭 API 호출에 대한 순서 지정된 스택 추적이 아니기 때문에 특정 순서로 표시되지 않습니다.
다음은 `SetContactAddress` 작업을 설명하는 CloudTrail 로그 항목을 보여 주는 예시입니다.
```
{
"eventVersion": "1.05",
"userIdentity": {
"accountId": "111122223333",
"accessKeyId": "AIDACKCEVSQ6C2EXAMPLE"
},
"eventTime": "2018-05-30T16:44:04Z",
"eventSource": "billingconsole.amazonaws.com",
"eventName": "SetContactAddress",
"awsRegion": "us-east-1",
"sourceIPAddress": "100.100.10.10",
"requestParameters": {
"website": "https://amazon.com",
"city": "Seattle",
"postalCode": "98108",
"fullName": "Jane Doe",
"districtOrCounty": null,
"phoneNumber": "206-555-0100",
"countryCode": "US",
"addressLine1": "Nowhere Estates",
"addressLine2": "100 Main Street",
"company": "AnyCompany",
"state": "Washington",
"addressLine3": "Anytown, USA",
"secondaryPhone": "206-555-0101"
},
"responseElements": null,
"eventID": "5923c499-063e-44ac-80fb-b40example9f",
"readOnly": false,
"eventType": "AwsConsoleAction",
"recipientAccountId": "1111-2222-3333"
}
```
### 세금 콘솔
다음 예제는 `CreateCustomerCase` 작업을 사용하는 CloudTrail 로그 항목을 보여줍니다.
```
{
"eventVersion":"1.05",
"userIdentity":{
"accountId":"111122223333",
"accessKeyId":"AIDACKCEVSQ6C2EXAMPLE"
},
"eventTime":"2018-05-30T16:44:04Z",
"eventSource":"taxconsole.amazonaws.com",
"eventName":"CreateCustomerCase",
"awsRegion":"us-east-1",
"sourceIPAddress":"100.100.10.10",
"requestParameters":{
"state":"NJ",
"exemptionType":"501C",
"exemptionCertificateList":[
{
"documentName":"ExemptionCertificate.png"
}
]
},
"responseElements":{
"caseId":"case-111122223333-iris-2022-3cd52e8dbf262242"
},
"eventID":"5923c499-063e-44ac-80fb-b40example9f",
"readOnly":false,
"eventType":"AwsConsoleAction",
"recipientAccountId":"1111-2222-3333"
}
```
### 결제
다음 예제는 `Instruments_Create` 작업을 사용하는 CloudTrail 로그 항목을 보여줍니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Root",
"principalId": "111122223333",
"arn": "arn:aws:iam::111122223333:",
"accountId": "111122223333",
"accessKeyId": "AIDACKCEVSQ6C2EXAMPLE",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-05-01T00:00:00Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-05-01T00:00:00Z",
"eventSource": "payments.amazonaws.com",
"eventName": "Instruments_Create",
"awsRegion": "us-east-1",
"sourceIPAddress": "100.100.10.10",
"userAgent": "AWS",
"requestParameters": {
"accountId": "111122223333",
"paymentMethod": "CreditCard",
"address": "HIDDEN_DUE_TO_SECURITY_REASONS",
"accountHolderName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"cardNumber": "HIDDEN_DUE_TO_SECURITY_REASONS",
"cvv2": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationMonth": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationYear": "HIDDEN_DUE_TO_SECURITY_REASONS",
"tags": {
"Department": "Finance"
}
},
"responseElements": {
"paymentInstrumentArn": "arn:aws:payments::111122223333:payment-instrument:4251d66c-1b05-46ea-890c-6b4acf6b24ab",
"paymentInstrumentId": "111122223333",
"paymentMethod": "CreditCard",
"consent": "NotProvided",
"creationDate": "2024-05-01T00:00:00Z",
"address": "HIDDEN_DUE_TO_SECURITY_REASONS",
"accountHolderName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationMonth": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationYear": "HIDDEN_DUE_TO_SECURITY_REASONS",
"issuer": "Visa",
"tail": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"requestID": "7c7df9c2-c381-4880-a879-2b9037ce0573",
"eventID": "c251942f-6559-43d2-9dcd-2053d2a77de3",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
# 에 대한 규정 준수 검증 AWS 결제 및 비용 관리
타사 감사자는 여러 규정 준수 프로그램의 일환으로 AWS 서비스의 보안 및 AWS 규정 준수를 평가합니다. Billing and Cost Management는 규정 AWS 준수 프로그램의 범위에 속하지 않습니다.
특정 규정 준수 프로그램 범위의 AWS 서비스 목록은 규정 준수 프로그램 [AWS 제공 범위 내 서비스규정 준수 프로그램](https://aws.amazon.com/compliance/services-in-scope/) . 일반 정보는 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/).
를 사용하여 타사 감사 보고서를 다운로드할 수 있습니다 AWS Artifact. 자세한 내용은 [Downloading Reports inDownloading AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)를 참조하세요.
Billing and Cost Management 사용 시 규정 준수 책임은 데이터의 민감도, 회사의 규정 준수 목표 및 관련 법률과 규정에 따라 결정됩니다.는 규정 준수를 지원하기 위해 다음 리소스를 AWS 제공합니다.
+ [보안 및 규정 준수 빠른 시작 안내서](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): 이 배포 안내서에서는 아키텍처 고려 사항에 관해 설명하고 AWS에서 보안 및 규정 준수에 중점을 둔 기본 환경을 배포하기 위한 단계를 제공합니다.
+ [AWS 규정 준수 리소스](https://aws.amazon.com/compliance/resources/) -이 워크북 및 가이드 모음은 산업 및 위치에 적용될 수 있습니다.
+ *AWS Config 개발자 안내서*의 [규칙을 사용하여 리소스 평가](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) -이 AWS Config 서비스는 리소스 구성이 내부 관행, 업계 지침 및 규정을 얼마나 잘 준수하는지 평가합니다.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) -이 AWS 서비스는 보안 업계 표준 및 모범 사례 준수를 확인하는 데 도움이 AWS 되는 내 보안 상태에 대한 포괄적인 보기를 제공합니다.
# 의 복원성 AWS 결제 및 비용 관리
AWS 글로벌 인프라는 AWS 리전 및 가용 영역을 중심으로 구축됩니다. AWS 리전은 물리적으로 분리되고 격리된 여러 가용 영역을 제공하며,이 가용 영역은 지연 시간이 짧고 처리량이 높으며 중복성이 높은 네트워킹과 연결됩니다. 가용 영역을 사용하면 중단 없이 영역 간에 자동으로 장애 극복 조치가 이루어지는 애플리케이션 및 데이터베이스를 설계하고 운영할 수 있습니다. 가용 영역은 기존의 단일 또는 다중 데이터 센터 인프라보다 가용성, 내결함성, 확장성이 뛰어납니다.
AWS 리전 및 가용 영역에 대한 자세한 내용은 [AWS 글로벌 인프라를](https://aws.amazon.com/about-aws/global-infrastructure/) 참조하세요.
# 의 인프라 보안 AWS 결제 및 비용 관리
관리형 서비스인는 AWS 글로벌 네트워크 보안으로 보호 AWS 결제 및 비용 관리 됩니다. AWS 보안 서비스 및가 인프라를 AWS 보호하는 방법에 대한 자세한 내용은 [AWS 클라우드 보안을](https://aws.amazon.com/security/) 참조하세요. 인프라 보안 모범 사례를 사용하여 환경을 설계하려면 *보안 원칙 AWS Well‐Architected Framework*의 [인프라 보호를](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) 참조하세요 AWS .
AWS 에서 게시한 API 호출을 사용하여 네트워크를 통해 Billing and Cost Management에 액세스합니다. 클라이언트는 다음을 지원해야 합니다.
+ Transport Layer Security(TLS). TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)와 같은 완전 전송 보안(PFS)이 포함된 암호 제품군. Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.
# 인터페이스 엔드포인트를 AWS 결제 및 비용 관리 사용한 액세스(AWS PrivateLink)
AWS PrivateLink 를 사용하여 VPC와 간에 프라이빗 연결을 생성할 수 있습니다 AWS 결제 및 비용 관리. 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 Direct Connect 연결을 사용하지 않고 VPC에 있는 것처럼 Billing and Cost Management에 액세스할 수 있습니다. VPC의 인스턴스에서 청구 및 비용 관리에 액세스하는 데는 퍼블릭 IP 주소가 필요하지 않습니다.
AWS PrivateLink에서 제공되는 *인터페이스 엔드포인트*를 생성하여 이 프라이빗 연결을 설정합니다. 인터페이스 엔드포인트에 대해 사용 설정하는 각 서브넷에서 엔드포인트 네트워크 인터페이스를 생성합니다. 이는 청구 및 비용 관리로 향하는 트래픽의 진입점 역할을 하는 요청자 관리형 네트워크 인터페이스입니다.
자세한 내용은 *AWS PrivateLink 가이드*의를 [AWS 서비스 통한 액세스를 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) 참조하세요.
서비스 이름의 전체 목록은 [AWS 와 통합되는 서비스를 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html) 참조하세요.
## 청구 및 비용 관리를 위한 고려 사항
청구 및 비용 관리를 위한 인터페이스 엔드포인트를 설정하기 전에 *AWS PrivateLink 가이드*에서 [고려 사항](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)을 검토합니다.
청구 및 비용 관리에서는 인터페이스 엔드포인트를 통해 모든 API 작업에 대한 호출 수행을 지원합니다.
VPC 엔드포인트 정책은 청구 및 비용 관리에서 지원되지 않습니다. 기본적으로 인터페이스 엔드포인트를 통해 청구 및 비용 관리에 대한 액세스가 허용됩니다. 또는 보안 그룹을 엔드포인트 네트워크 인터페이스와 연결하여 인터페이스 엔드포인트를 통해 청구 및 비용 관리로 향하는 트래픽을 제어할 수 있습니다.
## 청구 및 비용 관리에 대한 인터페이스 엔드포인트 생성
Amazon VPC 콘솔 또는 AWS Command Line Interface ()를 사용하여 Billing and Cost Management에 대한 인터페이스 엔드포인트를 생성할 수 있습니다AWS CLI. 자세한 내용은 *AWS PrivateLink 안내서*의 [인터페이스 엔드포인트 생성](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)을 참조하세요.
다음 서비스 이름을 사용하여 청구 및 비용 관리에 대한 인터페이스 엔드포인트를 생성합니다.
```
com.amazonaws.region.service-name
```
인터페이스 엔드포인트에 프라이빗 DNS를 사용하도록 설정하는 경우, 기본 리전 DNS 이름을 사용하여 청구 및 비용 관리에 API 요청을 할 수 있습니다. 예를 들어 `service-name.us-east-1.amazonaws.com`입니다.
## 엔드포인트의 엔드포인트 정책 생성
엔드포인트 정책은 인터페이스 엔드포인트에 연결할 수 있는 IAM 리소스입니다. 기본 엔드포인트 정책을 사용하면 인터페이스 엔드포인트를 통해 청구 및 비용 관리에 대한 전체 액세스를 허용합니다. VPC에서 청구 및 비용 관리에 허용되는 액세스를 제어하려면 사용자 지정 엔드포인트 정책을 인터페이스 엔드포인트에 연결합니다.
엔드포인트 정책은 다음 정보를 지정합니다.
+ 작업을 수행할 수 있는 위탁자(AWS 계정, IAM 사용자, IAM 역할)
+ 수행할 수 있는 작업
+ 작업을 수행할 수 있는 리소스.
자세한 내용은 *AWS PrivateLink 안내서*의 [엔드포인트 정책을 사용하여 서비스에 대한 액세스 제어](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)를 참조하세요.
**예: AWS Price List API에 대한 VPC 엔드포인트 정책**
다음은 사용자 지정 엔드포인트 정책의 예입니다. 이 정책을 인터페이스 엔드포인트에 연결하면 엔드포인트에 액세스할 수 있는 모든 사용자가 AWS Price List API에 액세스할 수 있습니다.
```
{
"Statement": [
{
"Action": "pricing:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
를 통한 Price List API에 대량 파일 다운로드를 사용하려면를 통한 Amazon S3 액세스도 활성화 AWS PrivateLink해야 합니다 AWS PrivateLink. 자세한 내용을 알아보려면 *Amazon S3 사용 설명서*의 [Amazon S3용AWS PrivateLink](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html)를 참조하세요.