기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 에 대한 자격 증명 및 액세스 관리 AWS Support
AWS Identity and Access Management (IAM)는 관리자가 AWS 리소스에 대한 액세스를 안전하게 제어하는 데 도움이 AWS 서비스 되는 입니다. IAM 관리자는 누가 지원 리소스를 사용할 수 있는 *인증*(로그인) 및 *권한*(권한 있음)을 받을 수 있는지 제어합니다. IAM은 추가 비용 없이 사용할 수 AWS 서비스 있는 입니다.
**Topics**
+ [대상](#security_iam_audience)
+ [ID를 통한 인증](#security_iam_authentication)
+ [정책을 사용하여 액세스 관리](#security_iam_access-manage)
+ [AWS Support 에서 IAM을 사용하는 방법](security_iam_service-with-iam.md)
+ [AWS Support 자격 증명 기반 정책 예제](security_iam_id-based-policy-examples.md)
+ [서비스 연결 역할 사용](using-service-linked-roles-intro.md)
+ [AWS 에 대한 관리형 정책 AWS Support](security-iam-awsmanpol.md)
+ [AWS Support Center에 대한 액세스 관리](accessing-support.md)
+ [AWS Support 플랜에 대한 액세스 관리](security-support-plans.md)
+ [에 대한 액세스 관리 AWS Trusted Advisor](security-trusted-advisor.md)
+ [에 대한 서비스 제어 정책 예제 AWS Trusted Advisor](example-scps-for-aws-trusted-advisor.md)
+ [AWS Support 자격 증명 및 액세스 문제 해결](security_iam_troubleshoot.md)
## 대상
AWS Identity and Access Management (IAM)를 사용하는 방법은 역할에 따라 다릅니다.
+ **서비스 사용자** - 기능에 액세스할 수 없는 경우 관리자에게 권한 요청(참조[AWS Support 자격 증명 및 액세스 문제 해결](security_iam_troubleshoot.md))
+ **서비스 관리자** - 사용자 액세스 결정 및 권한 요청 제출([AWS Support 에서 IAM을 사용하는 방법](security_iam_service-with-iam.md) 참조)
+ **IAM 관리자** - 액세스를 관리하기 위한 정책 작성([AWS Support 자격 증명 기반 정책 예제](security_iam_id-based-policy-examples.md) 참조)
## ID를 통한 인증
인증은 자격 증명 자격 증명을 AWS 사용하여에 로그인하는 방법입니다. AWS 계정 루트 사용자, IAM 사용자 또는 IAM 역할을 수임하여 인증되어야 합니다.
AWS IAM Identity Center (IAM Identity Center), Single Sign-On 인증 또는 Google/Facebook 자격 증명과 같은 자격 증명 소스의 자격 증명을 사용하여 페더레이션 자격 증명으로 로그인할 수 있습니다. 로그인하는 방법에 대한 자세한 내용은 *AWS Sign-In 사용 설명서*의 [AWS 계정에 로그인하는 방법](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) 섹션을 참조하세요.
프로그래밍 방식 액세스를 위해는 요청에 암호화 방식으로 서명할 수 있는 SDK 및 CLI를 AWS 제공합니다. 자세한 내용은 *IAM 사용 설명서*의 [API 요청용AWS Signature Version 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) 섹션을 참조하세요.
### AWS 계정 루트 사용자
를 생성할 때 모든 AWS 서비스 및 리소스에 대한 완전한 액세스 권한이 있는 AWS 계정 *theroot 사용자*라는 하나의 로그인 자격 증명으로 AWS 계정시작합니다. 일상적인 태스크에 루트 사용자를 사용하지 않을 것을 강력히 권장합니다. 루트 사용자가 필요한 작업 목록은 *IAM 사용자 설명서*의 [루트 사용자 자격 증명이 필요한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)을 참조하세요.
### IAM 사용자 및 그룹
*[IAM 사용자](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*는 단일 개인 또는 애플리케이션에 대한 특정 권한을 가진 ID입니다. 장기 자격 증명이 있는 IAM 사용자 대신 임시 자격 증명을 사용하는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 자격 [증명 공급자와의 페더레이션을 사용하여 임시 자격 증명을 AWS 사용하여에 액세스하도록 인간 사용자에게 요구](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)를 참조하세요.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)은 IAM 사용자 모음을 지정하고 대규모 사용자 집합에 대한 관리 권한을 더 쉽게 만듭니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 사용자 사용 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) 섹션을 참조하세요.
### IAM 역할
*[IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*은 임시 자격 증명을 제공하는 특정 권한이 있는 자격 증명입니다. [사용자에서 IAM 역할(콘솔)로 전환하거나 또는 API 작업을 호출하여 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) 수임할 수 있습니다. AWS CLI AWS 자세한 내용은 *IAM 사용 설명서*의 [역할 수임 방법](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)을 참조하세요.
IAM 역할은 페더레이션 사용자 액세스, 임시 IAM 사용자 권한, 교차 계정 액세스, 교차 서비스 액세스 및 Amazon EC2에서 실행되는 애플리케이션에 유용합니다. 자세한 내용은 *IAM 사용 설명서*의 [교차 계정 리소스 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)를 참조하세요.
## 정책을 사용하여 액세스 관리
정책을 AWS 생성하고 자격 증명 또는 리소스에 연결하여 AWS 에서 액세스를 제어합니다. 정책은 자격 증명 또는 리소스와 연결될 때 권한을 정의합니다.는 보안 주체가 요청할 때 이러한 정책을 AWS 평가합니다. 대부분의 정책은에 JSON 문서 AWS 로 저장됩니다. JSON 정책 문서에 대한 자세한 내용은 *IAM 사용 설명서*의 [JSON 정책 개요](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) 섹션을 참조하세요.
정책을 사용하여 관리자는 어떤 **보안 주체**가 어떤 **리소스**에 대해 어떤 **조건**에서 **작업**을 수행할 수 있는지 정의하여 누가 무엇을 액세스할 수 있는지 지정합니다.
기본적으로 사용자 및 역할에는 어떠한 권한도 없습니다. IAM 관리자는 IAM 정책을 생성하고 사용자가 수임할 수 있는 역할에 추가합니다. IAM 정책은 작업을 수행하기 위해 사용하는 방법과 관계없이 작업에 대한 권한을 정의합니다.
### ID 기반 정책
ID 기반 정책은 ID(사용자, 사용자 그룹 또는 역할)에 연결하는 JSON 권한 정책 문서입니다. 이러한 정책은 자격 증명이 수행할 수 있는 작업, 대상 리소스 및 이에 관한 조건을 제어합니다. ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*에서 [고객 관리형 정책으로 사용자 지정 IAM 권한 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)를 참조하세요.
ID 기반 정책은 *인라인 정책*(단일 ID에 직접 포함) 또는 *관리형 정책*(여러 ID에 연결된 독립 실행형 정책)일 수 있습니다. 관리형 정책 또는 인라인 정책을 선택하는 방법을 알아보려면 *IAM 사용 설명서*의 [관리형 정책 및 인라인 정책 중에서 선택](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) 섹션을 참조하세요.
### 기타 정책 유형
AWS 는 보다 일반적인 정책 유형에서 부여한 최대 권한을 설정할 수 있는 추가 정책 유형을 지원합니다.
+ **권한 경계** - ID 기반 정책에서 IAM 엔터티에 부여할 수 있는 최대 권한을 설정합니다. 자세한 정보는 *IAM 사용 설명서*의 [IAM 엔터티의 권한 범위](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)를 참조하세요.
+ **서비스 제어 정책(SCP)** - AWS Organizations내 조직 또는 조직 단위에 대한 최대 권한을 지정합니다. 자세한 내용은AWS Organizations 사용 설명서의 [서비스 제어 정책](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)을 참조하세요.**
+ **리소스 제어 정책(RCP)** – 계정의 리소스에 사용할 수 있는 최대 권한을 설정합니다. 자세한 내용은 *AWS Organizations 사용 설명서*의 [리소스 제어 정책(RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)을 참조하세요.
+ **세션 정책** – 역할 또는 페더레이션 사용자에 대해 임시 세션을 프로그래밍 방식으로 생성할 때 파라미터로 전달하는 고급 정책입니다. 자세한 내용은 *IAM 사용 설명서*의 [세션 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)을 참조하세요.
### 여러 정책 유형
여러 정책 유형이 요청에 적용되는 경우, 결과 권한은 이해하기가 더 복잡합니다. 에서 여러 정책 유형이 관련될 때 요청을 허용할지 여부를 AWS 결정하는 방법을 알아보려면 *IAM 사용 설명서*의 [정책 평가 로직](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)을 참조하세요.
# AWS Support 에서 IAM을 사용하는 방법
IAM을 사용하여에 대한 액세스를 관리하기 전에 사용할 수 있는 IAM 기능을 이해해야 지원합니다 지원. 지원 및 기타 AWS 서비스에서 IAM을 사용하는 방법을 개괄적으로 알아보려면 *IAM 사용 설명서*의 [AWS IAM으로 작업하는 서비스를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 참조하세요.
IAM을 지원 사용하여에 대한 액세스를 관리하는 방법에 대한 자세한 내용은에 대한 [ 액세스 관리를 참조하세요 지원](https://docs.aws.amazon.com/awssupport/latest/user/accessing-support.html#iam).
**Topics**
+ [지원 자격 증명 기반 정책](#security_iam_service-with-iam-id-based-policies)
+ [지원 IAM 역할](#security_iam_service-with-iam-roles)
## 지원 자격 증명 기반 정책
IAM 자격 증명 기반 정책을 사용하면 허용 또는 거부할 작업과 리소스뿐 아니라 작업이 허용 또는 거부 조건을 지정할 수 있습니다. 지원 는 특정 작업을 지원합니다. JSON 정책에서 사용하는 요소에 대해 알아보려면 *IAM 사용 설명서*의 [IAM JSON 정책 요소 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)를 참조하세요.
### 작업
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
JSON 정책의 `Action`요소는 정책에서 액세스를 허용하거나 거부하는 데 사용할 수 있는 작업을 설명합니다. 연결된 작업을 수행할 수 있는 권한을 부여하기 위한 정책에 작업을 포함하세요.
의 정책 작업은 작업 앞에 접두사를 지원 사용합니다`support:`. 예를 들어 누군가에게 Amazon EC2 `RunInstances` API 작업을 통해 Amazon EC2 인스턴스를 실행할 권한을 부여하려면 해당 정책에 `ec2:RunInstances` 작업을 포함하세요. 정책 문에는 `Action` 또는 `NotAction` 요소가 포함되어야 합니다. 지원 는 이 서비스로 수행할 수 있는 작업을 설명하는 고유한 작업 집합을 정의합니다.
명령문 하나에 여러 태스크를 지정하려면 다음과 같이 쉼표로 구분합니다.
```
"Action": [
"ec2:action1",
"ec2:action2"
```
와일드카드(\$1)를 사용하여 여러 작업을 지정할 수 있습니다. 예를 들어, `Describe`라는 단어로 시작하는 모든 작업을 지정하려면 다음 작업을 포함합니다.
```
"Action": "ec2:Describe*"
```
지원 작업 목록을 보려면 *IAM 사용 설명서*의 [에서 정의한 작업을 AWS Support](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssupport.html#awssupport-actions-as-permissions) 참조하세요.
### 예제
자격 지원 증명 기반 정책의 예를 보려면 섹션을 참조하세요[AWS Support 자격 증명 기반 정책 예제](security_iam_id-based-policy-examples.md).
## 지원 IAM 역할
[IAM 역할은](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) 특정 권한이 있는 AWS 계정 내 엔터티입니다.
### 에서 임시 자격 증명 사용 지원
임시 보안 인증을 사용하여 페더레이션을 통해 로그인하거나, IAM 역할을 맡거나, 교차 계정 역할을 맡을 수 있습니다. [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 또는 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)과 같은 AWS STS API 작업을 호출하여 임시 보안 자격 증명을 얻습니다.
지원 는 임시 자격 증명 사용을 지원합니다.
### 서비스 연결 역할
[서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용하면 AWS 서비스가 다른 서비스의 리소스에 액세스하여 사용자를 대신하여 작업을 완료할 수 있습니다. 서비스 연결 역할은 IAM 계정에 나타나고 서비스가 소유합니다. IAM 관리자는 서비스 연결 역할의 권한을 볼 수 있지만 편집할 수 없습니다.
지원 는 서비스 연결 역할을 지원합니다. 지원 서비스 연결 역할 생성 또는 관리에 대한 자세한 내용은 섹션을 참조하세요[에 서비스 연결 역할 사용 AWS Support](using-service-linked-roles-sup.md).
### 서비스 역할
이 기능을 사용하면 서비스가 사용자를 대신하여 [서비스 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)을 수임할 수 있습니다. 이 역할을 사용하면 서비스가 다른 서비스의 리소스에 액세스해 사용자를 대신해 작업을 완료할 수 있습니다. 서비스 역할은 IAM 계정에 나타나고, 해당 계정이 소유합니다. 즉, IAM 관리자가 이 역할에 대한 권한을 변경할 수 있습니다. 그러나 권한을 변경하면 서비스의 기능이 손상될 수 있습니다.
지원 는 서비스 역할을 지원합니다.
# AWS Support 자격 증명 기반 정책 예제
기본적으로 IAM 사용자 및 역할은 지원 리소스를 생성하거나 수정할 수 있는 권한이 없습니다. 또한 AWS Management Console AWS CLI또는 AWS API를 사용하여 작업을 수행할 수 없습니다. IAM 관리자는 지정된 리소스에서 특정 API 작업을 수행할 수 있는 권한을 사용자와 역할에게 부여하는 IAM 정책을 생성해야 합니다. 그런 다음 관리자는 해당 권한이 필요한 IAM 사용자 또는 그룹에 이러한 정책을 연결해야 합니다.
이러한 예제 JSON 정책 문서를 사용하여 IAM ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용자 설명서*의 [JSON 탭에서 정책 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)을 참조하세요.
**Topics**
+ [정책 모범 사례](#security_iam_service-with-iam-policy-best-practices)
+ [지원 콘솔 사용](#security_iam_id-based-policy-examples-console)
+ [사용자가 자신이 권한을 볼 수 있도록 허용](#security_iam_id-based-policy-examples-view-own-permissions)
## 정책 모범 사례
자격 증명 기반 정책은 매우 강력합니다. 계정에서 사용자가 지원 리소스를 생성, 액세스 또는 삭제할 수 있는지 여부를 결정합니다. ID 기반 정책을 생성하거나 편집할 때는 다음 지침과 권장 사항을 따르세요.
+ ** AWS 관리형 정책 사용 시작하기** - 지원 빠르게 사용을 시작하려면 AWS 관리형 정책을 사용하여 직원에게 필요한 권한을 부여하세요. 이 정책은 이미 계정에서 사용할 수 있으며 AWS에 의해 유지 관리 및 업데이트됩니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책으로 권한 사용 시작하기](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)를 참조하세요.
+ **최소 권한 부여** – 사용자 지정 정책을 생성할 때는 작업을 수행하는 데 필요한 권한만 부여합니다. 최소한의 권한 조합으로 시작하여 필요에 따라 추가 권한을 부여합니다. 처음부터 권한을 많이 부여한 후 나중에 줄이는 방법보다 이 방법이 안전합니다. 자세한 정보는 *IAM 사용 설명서*의 [최소 권한 부여](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)를 참조하세요.
+ **민감한 작업에 대해 MFA 활성화** – 보안을 강화하기 위해 IAM 사용자가 중요한 리소스 또는 API 작업에 액세스하려면 멀티 팩터 인증(MFA)을 사용해야 합니다. 자세한 정보는 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)의 * AWS에서 다중 인증(MFA) 사용*을 참조하세요.
+ **보안 강화를 위해 정책 조건 사용** – 실제로 가능한 경우, 자격 증명 기반 정책이 리소스에 대한 액세스를 허용하는 조건을 정의합니다. 예를 들어, 요청을 할 수 있는 IP 주소의 범위를 지정하도록 조건을 작성할 수 있습니다. 지정된 날짜 또는 시간 범위 내에서만 요청을 허용하거나, SSL 또는 MFA를 사용해야 하는 조건을 작성할 수도 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하십시오.
## 지원 콘솔 사용
AWS Support 콘솔에 액세스하려면 최소 권한 집합이 있어야 합니다. 이러한 권한은 AWS 계정의 지원 리소스에 대한 세부 정보를 나열하고 볼 수 있도록 허용해야 합니다. 최소 필수 권한보다 더 제한적인 보안 인증 기반 정책을 만들면 콘솔이 해당 정책에 연결된 개체(IAM 사용자 또는 역할)에 대해 의도대로 작동하지 않습니다.
이러한 엔터티가 지원 콘솔을 계속 사용할 수 있도록 하려면 다음 AWS 관리형 정책도 엔터티에 연결합니다. 자세한 내용은 *IAM 사용자 설명서*의 [사용자에게 권한 추가](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)를 참조하세요.
AWS CLI 또는 AWS API만 호출하는 사용자에게는 최소 콘솔 권한을 허용할 필요가 없습니다. 그 대신, 수행하려는 API 작업과 일치하는 작업에만 액세스할 수 있도록 합니다.
## 사용자가 자신이 권한을 볼 수 있도록 허용
이 예제는 IAM 사용자가 자신의 사용자 ID에 연결된 인라인 및 관리형 정책을 볼 수 있도록 허용하는 정책을 생성하는 방법을 보여줍니다. 이 정책에는 콘솔에서 또는 AWS CLI 또는 AWS API를 사용하여 프로그래밍 방식으로이 작업을 완료할 수 있는 권한이 포함됩니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# 서비스 연결 역할 사용
AWS Support 및는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS Trusted Advisor 사용합니다. 서비스 연결 역할은 지원 및에 직접 연결된 고유한 IAM 역할입니다 Trusted Advisor. 각각의 경우 서비스 연결 역할은 사전 정의된 역할입니다. 이 역할에는 지원 또는가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 Trusted Advisor 필요한 모든 권한이 포함됩니다. 다음 주제에서는 서비스 연결 역할이 수행하는 작업과 지원 및에서 작업하는 방법을 설명합니다 Trusted Advisor.
**Topics**
+ [에 서비스 연결 역할 사용 AWS Support](using-service-linked-roles-sup.md)
+ [에 대한 서비스 연결 역할 사용 Trusted Advisor](using-service-linked-roles-ta.md)
# 에 서비스 연결 역할 사용 AWS Support
AWS Support 도구는 API 호출을 통해 AWS 리소스에 대한 정보를 수집하여 고객 서비스 및 기술 지원을 제공합니다. 지원 활동의 투명성과 감사 가능성을 높이려면 AWS Identity and Access Management (IAM) [서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 지원 사용합니다.
`AWSServiceRoleForSupport` 서비스 연결 역할은 직접 연결된 고유한 IAM 역할입니다 지원. 이 서비스 연결 역할은 미리 정의되어 있으며가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 지원 필요한 권한을 포함합니다.
`AWSServiceRoleForSupport` 서비스 연결 역할은 역할을 수임하기 위해 `support.amazonaws.com`서비스를 신뢰합니다.
이러한 서비스를 제공하기 위해 역할의 사전 정의된 권한은 고객 데이터가 아닌 리소스 메타데이터에 대한 지원 액세스 권한을 부여합니다. 지원 도구만 AWS 계정 내에 있는이 역할을 수임할 수 있습니다.
당사는 고객 데이터가 포함될 수 있는 필드를 삭제합니다. 예를 들어 AWS Step Functions API 호출에 대한 [GetExecutionHistory](https://docs.aws.amazon.com/step-functions/latest/apireference/API_GetExecutionHistory.html)의 `Input` 및 `Output` 필드는 표시되지 않습니다 지원. 민감한 필드는 AWS KMS keys 를 사용하여 암호화됩니다. 이러한 필드는 API 응답에서 수정되며 AWS Support 에이전트에게는 표시되지 않습니다.
**참고**
AWS Trusted Advisor 는 별도의 IAM 서비스 연결 역할을 사용하여 계정의 AWS 리소스에 액세스하여 모범 사례 권장 사항 및 검사를 제공합니다. 자세한 내용은 [에 대한 서비스 연결 역할 사용 Trusted Advisor](using-service-linked-roles-ta.md) 단원을 참조하십시오.
`AWSServiceRoleForSupport` 서비스 연결 역할을 사용하면 모든 AWS Support API 호출을 고객에게 표시할 수 있습니다 AWS CloudTrail. 이는가 사용자를 대신하여 지원 수행하는 작업을 이해할 수 있는 투명한 방법을 제공하므로 요구 사항을 모니터링하고 감사하는 데 도움이 됩니다. CloudTrail에 대한 자세한 내용은 [AWS CloudTrail 사용 설명서](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)를 참조하세요.
## 에 대한 서비스 연결 역할 권한 지원
이 역할은 `AWSSupportServiceRolePolicy` AWS 관리형 정책을 사용합니다. 이 관리형 정책은 역할에 연결되어 사용자 대신 작업을 완료할 역할 권한을 허용합니다.
이러한 업데이트에는 다음과 같은 작업이 포함됩니다.
+ **결제, 관리, 지원 및 기타 고객 서비스** - AWS 고객 서비스는 관리형 정책에서 부여한 권한을 사용하여 지원 계획의 일부로 여러 서비스를 수행합니다. 여기에는 계정 및 결제 관련 질문 조사 및 답변, 계정에 대한 관리 지원 제공, 서비스 제한 증가, 추가 고객 지원 제공이 포함됩니다.
+ ** AWS 계정의 서비스 속성 및 사용 데이터 처리** - 관리형 정책에서 부여한 권한을 지원 사용하여 계정의 서비스 속성 및 사용 데이터에 액세스할 수 있습니다 AWS . 이 정책은 지원 가 계정에 대한 결제, 관리 및 기술 지원을 제공하도록 허용합니다. 서비스 속성에는 계정의 리소스 식별자, 메타데이터 태그, 역할 및 권한이 포함됩니다. 사용 데이터에는 사용 정책, 사용 통계 및 분석이 포함됩니다.
+ **계정 및 리소스의 운영 상태 유지 **-는 자동화된 도구를 지원 사용하여 운영 및 기술 지원과 관련된 작업을 수행합니다.
허용되는 서비스 및 작업에 대한 자세한 내용은 IAM 콘솔의 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor) 정책을 참조하세요.
**참고**
AWS Support 는 새 AWS 서비스 및 작업에 대한 권한을 추가하기 위해 월 1회 `AWSSupportServiceRolePolicy` 정책을 자동으로 업데이트합니다.
자세한 내용은 [AWS 에 대한 관리형 정책 AWS Support](security-iam-awsmanpol.md) 단원을 참조하십시오.
## 에 대한 서비스 연결 역할 생성 지원
`AWSServiceRoleForSupport` 역할을 수동으로 생성할 필요가 없습니다. AWS 계정을 생성하면이 역할이 자동으로 생성되고 구성됩니다.
**중요**
서비스 연결 역할 지원을 시작하기 지원 전에를 사용한 경우 AWS 는 계정에서 `AWSServiceRoleForSupport` 역할을 생성했습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요.
## 에 대한 서비스 연결 역할 편집 및 삭제 지원
IAM을 사용하여 `AWSServiceRoleForSupport` 서비스 연결 역할에 대한 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
이 `AWSServiceRoleForSupport` 역할은가 계정에 대한 관리, 운영 및 기술 지원을 지원 제공하는 데 필요합니다. 따라서이 역할은 IAM 콘솔, API 또는 AWS Command Line Interface ()를 통해 삭제할 수 없습니다AWS CLI. 지원 서비스를 관리하기 위해 필요한 권한을 실수로 제거할 수 없으므로 AWS 계정이 보호됩니다.
에 온보딩되고 Enterprise 지원 플랜을 AWS Organizations 보유한 고객은 `AWSServiceRoleForSupport` 서비스 연결 역할을 삭제할 수 있습니다. 이 역할을 삭제하면 AWS Support 엔지니어가 리소스에 대한 액세스를 제한하여 사용자를 대신하여 작업을 수행하는 기능이 제한됩니다. 자세한 내용을 보거나 `AWSServiceRoleForSupport` 서비스 연결 역할 삭제를 요청하려면 기술 계정 관리자(TAM)에게 문의하세요.
`AWSServiceRoleForSupport` 역할 또는 그 용도에 대한 자세한 내용은 [지원](https://aws.amazon.com/support)에 문의의하세요.
# 에 대한 서비스 연결 역할 사용 Trusted Advisor
AWS Trusted Advisor 는 AWS Identity and Access Management (IAM) [서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) 사용합니다. 서비스 연결 역할은 직접 연결된 고유한 IAM 역할입니다 AWS Trusted Advisor. 서비스 연결 역할은에서 사전 정의하며 Trusted Advisor서비스에서 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.는이 역할을 Trusted Advisor 사용하여 전체 사용량을 확인하고 환경을 개선하기 AWS AWS 위한 권장 사항을 제공합니다. 예를 들어, Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 사용을 Trusted Advisor 분석하여 비용을 절감하고, 성능을 높이고, 장애를 허용하고, 보안을 개선하는 데 도움이 됩니다.
**참고**
AWS Support 는 계정의 리소스에 액세스하여 결제, 관리 및 지원 서비스를 제공하기 위해 별도의 IAM 서비스 연결 역할을 사용합니다. 자세한 내용은 [에 서비스 연결 역할 사용 AWS Support](using-service-linked-roles-sup.md) 단원을 참조하십시오.
서비스 연결 역할을 지원하는 다른 서비스에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 단원을 참조하세요. **서비스 연결 역할(Service-linked role)** 열에서 **예(Yes)**라고 표시된 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예** 링크를 선택합니다.
**Topics**
+ [에 대한 서비스 연결 역할 권한 Trusted Advisor](#service-linked-role-permissions-ta)
+ [서비스 연결 역할 권한 관리](#manage-permissions-for-slr)
+ [에 대한 서비스 연결 역할 생성 Trusted Advisor](#create-service-linked-role-ta)
+ [에 대한 서비스 연결 역할 편집 Trusted Advisor](#edit-service-linked-role-ta)
+ [에 대한 서비스 연결 역할 삭제 Trusted Advisor](#delete-service-linked-role-ta)
## 에 대한 서비스 연결 역할 권한 Trusted Advisor
Trusted Advisor 는 두 가지 서비스 연결 역할을 사용합니다.
+ [AWSServiceRoleForTrustedAdvisor](https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisor) - 이 역할은 사용자를 대신해 AWS 서비스에 액세스하는 역할을 맡도록 Trusted Advisor 서비스를 신뢰합니다. 역할 권한 정책은 모든 AWS 리소스에 대한 Trusted Advisor 읽기 전용 액세스를 허용합니다. 이 역할은 필요한 권한을 추가할 필요가 없으므로 AWS 계정 시작을 간소화합니다 Trusted Advisor. AWS 계정을 열면가이 역할을 Trusted Advisor 생성합니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함됩니다. 권한 정책은 다른 어떤 IAM 엔터티에도 연결할 수 없습니다.
연결된 정책에 대한 자세한 내용은 [AWSTrustedAdvisorServiceRolePolicy](aws-managed-policies-for-trusted-advisor.md#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)를 참조하세요.
+ [https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisorReporting](https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisorReporting) - 이 역할은 조직 보기 기능에 대한 역할을 맡도록 Trusted Advisor 서비스를 신뢰합니다. 이 역할은 AWS Organizations Trusted Advisor 를 조직에서 신뢰할 수 있는 서비스로 활성화합니다.는 조직 보기를 활성화할 때이 역할을 Trusted Advisor 생성합니다.
연결 정책에 대한 자세한 내용은 [AWSTrustedAdvisorReportingServiceRolePolicy](aws-managed-policies-for-trusted-advisor.md#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy) 단원을 참조하세요.
조직 보기를 사용하여 조직의 모든 계정에 대한 Trusted Advisor 검사 결과에 대한 보고서를 생성할 수 있습니다. 이 기능에 대한 자세한 내용은 [에 대한 조직 보기 AWS Trusted Advisor](organizational-view.md) 단원을 참조하세요.
## 서비스 연결 역할 권한 관리
IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 작성하고 편집하거나 삭제할 수 있도록 권한을 구성해야 합니다. 다음은 `AWSServiceRoleForTrustedAdvisor` 서비스 연결 역할을 사용한 예입니다.
**Example IAM 엔터티가 `AWSServiceRoleForTrustedAdvisor` 서비스 연결 역할을 생성하도록 허용**
이 단계는 Trusted Advisor 계정이 비활성화되어 있고, 서비스 연결 역할이 삭제되어 있으며, 사용자가 역할을 다시 생성하여 다시 활성화해야 하는 경우에만 필요합니다 Trusted Advisor.
서비스 연결 역할을 생성하기 위해 IAM 엔터티의 권한 정책에 다음 명령문을 추가합니다.
```
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
"Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```
**Example **IAM 엔터티가 `AWSServiceRoleForTrustedAdvisor` 서비스 연결 역할의 설명을 편집할 수 있도록 허용****
`AWSServiceRoleForTrustedAdvisor` 역할에 관한 설명만 편집할 수 있습니다. 서비스 연결 역할의 설명을 편집하기 위해 IAM 개체의 권한 정책에 다음 명령문을 추가할 수 있습니다.
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
"Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```
**Example IAM 엔터티가 `AWSServiceRoleForTrustedAdvisor` 서비스 연결 역할을 삭제하도록 허용**
서비스 연결 역할을 삭제하기 위해 IAM 개체의 권한 정책에 다음 문장을 추가할 수 있습니다.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
"Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```
[AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess)와 같은 AWS 관리형 정책을 사용하여에 대한 전체 액세스를 제공할 수도 있습니다 Trusted Advisor.
## 에 대한 서비스 연결 역할 생성 Trusted Advisor
`AWSServiceRoleForTrustedAdvisor` 서비스 연결 역할을 수동으로 생성할 필요가 없습니다. AWS 계정을 열면가 서비스 연결 역할을 Trusted Advisor 생성합니다.
**중요**
Trusted Advisor 서비스 연결 역할 지원을 시작하기 전에 서비스를 사용 중이었다면가 이미 계정에 `AWSServiceRoleForTrustedAdvisor` 역할을 Trusted Advisor 생성한 것입니다. 자세한 내용은 *IAM 사용 설명서*의 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요.
계정에 `AWSServiceRoleForTrustedAdvisor` 서비스 연결 역할이 없는 경우, Trusted Advisor 는 정상 작동하지 않습니다. 계정의 누군가가 Trusted Advisor 를 비활성화한 후 서비스 연결 역할을 삭제한 경우 이러한 상황이 발생할 수 있습니다. 이럴 경우 IAM을 사용하여 `AWSServiceRoleForTrustedAdvisor` 서비스 연결 역할을 생성하고 Trusted Advisor를 다시 활성화하세요.
**활성화하려면 Trusted Advisor (콘솔)**
1. IAM 콘솔 AWS CLI또는 IAM API를 사용하여에 대한 서비스 연결 역할을 생성합니다 Trusted Advisor. 자세한 내용은 [서비스 연결 역할 만들기](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)를 참조하세요.
1. 에 로그인 AWS Management Console한 다음에서 Trusted Advisor 콘솔로 이동합니다[https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor).
**비활성화된 Trusted Advisor(Disabled Trusted Advisor)** 상태 배너가 콘솔에 표시됩니다.
1. 상태 배너에서 ** Trusted Advisor 역할 활성화**를 선택합니다. 필요한 `AWSServiceRoleForTrustedAdvisor`가 감지되지 않을 경우 비활성화됨 상태 배너가 유지됩니다.
## 에 대한 서비스 연결 역할 편집 Trusted Advisor
서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에서비스 연결 역할 이름을 변경할 수 없습니다. 그러나 IAM 콘솔 AWS CLI또는 IAM API를 사용하여 역할에 대한 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
## 에 대한 서비스 연결 역할 삭제 Trusted Advisor
의 기능이나 서비스를 사용할 필요가 없는 경우 `AWSServiceRoleForTrustedAdvisor` 역할을 삭제할 Trusted Advisor수 있습니다. 이 서비스 연결 역할을 삭제 Trusted Advisor 하려면 먼저를 비활성화해야 합니다. 이로써 Trusted Advisor 작업에 필요한 권한을 제거하는 일을 방지할 수 있습니다. 비활성화하면 오프라인 처리 및 알림을 포함한 모든 서비스 기능이 비활성화 Trusted Advisor됩니다. 또한 멤버 계정에 Trusted Advisor 대해를 비활성화하면 별도의 지급인 계정도 영향을 받습니다. 즉, 비용을 절감하는 방법을 식별하는 Trusted Advisor 검사를 받지 못합니다. Trusted Advisor 콘솔에 액세스할 수 없습니다. API가를 호출하여 액세스 거부 오류를 Trusted Advisor 반환합니다.
먼저 계정에 `AWSServiceRoleForTrustedAdvisor` 서비스 연결 역할을 다시 생성해야 Trusted Advisor를 다시 활성화할 수 있습니다.
`AWSServiceRoleForTrustedAdvisor` 서비스 연결 역할을 삭제하려면 먼저 콘솔 Trusted Advisor 에서를 비활성화해야 합니다.
**비활성화하려면 Trusted Advisor**
1. 에 로그인 AWS Management Console 하고에서 Trusted Advisor 콘솔로 이동합니다[https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor).
1. 탐색 창에서 **Preferences**(기본 설정)를 선택합니다.
1. **Service Linked Role Permissions** 섹션에서 **Disable Trusted Advisor**를 선택합니다.
1. 확인 대화 상자에서**확인(OK)**을 클릭하여 Trusted Advisor비활성화 여부를 확인합니다.
비활성화하면 Trusted Advisor모든 Trusted Advisor 기능이 비활성화되고 Trusted Advisor 콘솔에 비활성화된 상태 배너만 표시됩니다.
그런 다음 IAM 콘솔, AWS CLI또는 IAM API를 사용하여 라는 Trusted Advisor 서비스 연결 역할을 삭제할 수 있습니다`AWSServiceRoleForTrustedAdvisor`. 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)**를 참조하십시오.
# AWS 에 대한 관리형 정책 AWS Support
AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 미칩니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 *IAM 사용자 가이드*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.
**Topics**
+ [AWS 에 대한 관리형 정책 AWS Support](aws-managed-policies-aws-support.md)
+ [AWS Slack의 AWS Support 앱에 대한 관리형 정책](support-app-managed-policies.md)
+ [AWS 에 대한 관리형 정책 AWS Trusted Advisor](aws-managed-policies-for-trusted-advisor.md)
+ [AWS AWS Support 플랜에 대한 관리형 정책](managed-policies-aws-support-plans.md)
+ [AWS AWS 파트너 주도 지원을 위한 관리형 정책](managed-policies-partner-led-support.md)
# AWS 에 대한 관리형 정책 AWS Support
AWS Support 에는 다음과 같은 관리형 정책이 있습니다.
**Contents**
+ [AWS 관리형 정책: AWSSupportAccess](#security-iam-awsmanpol-AWSSupportAccess)
+ [AWS 관리형 정책: AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy)
+ [AWS Support AWS 관리형 정책에 대한 업데이트](#security-iam-awsmanpol-updates)
+ [AWSSupportServiceRolePolicy에 대한 권한 변경](aws-support-service-link-role-updates.md)
## AWS 관리형 정책: AWSSupportAccess
AWS Support 는 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportAccess$jsonEditor) AWS 관리형 정책을 사용합니다. 이 정책은 지원 API를 통해 지원 사례 수명 주기를 관리합니다. 의 향상된 기능은 support-console API 서비스를 통해 AWS Support Center Console 제공됩니다. IAM 엔터티에 이 정책을 연결할 수 있습니다. 자세한 내용은 [에 대한 서비스 연결 역할 권한 지원](using-service-linked-roles-sup.md#service-linked-role-permissions) 단원을 참조하십시오.
이 정책의 권한을 보려면AWS 관리형 정책 참조의 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportAccess.html)를 참조하세요.**
## AWS 관리형 정책: AWSSupportServiceRolePolicy
AWS Support 는 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor) AWS 관리형 정책을 사용합니다. 이 관리형 정책은 `AWSServiceRoleForSupport` 서비스 연결 역할에 연결됩니다. 이 정책은 서비스 연결 역할이 사용자를 대신하여 작업을 완료할 수 있도록 허용합니다. IAM 엔터티에 이 정책을 연결할 수 없습니다. 자세한 내용은 [에 대한 서비스 연결 역할 권한 지원](using-service-linked-roles-sup.md#service-linked-role-permissions) 단원을 참조하십시오.
이 정책의 권한을 보려면AWS 관리형 정책 참조의 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportServiceRolePolicy.html)를 참조하세요.**
정책 변경 사항 목록은 [AWS Support AWS 관리형 정책에 대한 업데이트](#security-iam-awsmanpol-updates) 및 [AWSSupportServiceRolePolicy에 대한 권한 변경](aws-support-service-link-role-updates.md) 단원을 참조하세요.
## AWS Support AWS 관리형 정책에 대한 업데이트
이러한 서비스가 이러한 변경 사항을 추적하기 시작한 AWS Support 이후부터의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 [문서 기록](History.md) 페이지에서 RSS 피드를 구독하세요.
다음 표에서는 2022년 2월 17일 이후 AWS Support 관리형 정책에 대한 중요한 업데이트를 설명합니다.
**AWS Support**
| 변경 | 설명 | Date |
| --- | --- | --- |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책에 대한 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 다음 서비스에 105개의 새로운 권한이 추가되었습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2026년 1월 29일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 다음 서비스에 145개의 새로운 권한이 추가되었습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2025년 12월 8일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 다음 서비스에 125개의 새로운 권한이 추가되었습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2025년 9월 30일 |
| [AWSSupportAccess](#security-iam-awsmanpol-AWSSupportAccess) - 기존 정책 업데이트 | AWSSupportAccess 관리형 정책에 support-console API에 대한 권한을 추가했습니다. | 2025년 7월 18일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 권한 25개가 다음 서비스에 추가되었습니다: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) 자세한 내용은 [AWSSupportServiceRolePolicy에 대한 권한 변경](aws-support-service-link-role-updates.md) 단원을 참조하십시오. | 2025년 7월 15일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 다음 서비스에 257개의 새로운 권한이 추가되었습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2025년 6월 17일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 다음 서비스에 88개의 새로운 권한이 추가되었습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2024년 11월 25일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 다음 서비스에 79개의 새로운 권한이 추가되었습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2024년 10월 8일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 다음 서비스에 79개의 새로운 권한이 추가되었습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2024년 8월 5일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 다음 서비스에 17개의 새로운 권한이 추가되었습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2024년 3월 22일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 다음 서비스에 63개의 새로운 권한이 추가되었습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2024년 1월 17일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 다음 서비스에 126개의 새로운 권한이 추가되었습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023년 12월 6일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 권한 163개가 다음 서비스에 추가되었습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023년 10월 27일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 권한 176개가 다음 서비스에 추가되었습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023년 8월 28일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 권한 141개가 다음 서비스에 추가되었습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023년 6월 26일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 권한 53개가 다음 서비스에 추가되었습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023년 5월 2일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 권한 52개가 다음 서비스에 추가되었습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023년 3월 16일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 권한 220개가 다음 서비스에 추가되었습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023년 1월 10일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 권한 47개가 다음 서비스에 추가되었습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2022년 10월 4일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 46개의 새로운 권한이 다음 서비스에 추가되었습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2022년 8월 17일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 다음 서비스에 새 권한이 추가되었습니다: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) Amazon WorkLink와 같은 서비스에 대한 권한을 제거했습니다. Amazon WorkLink는 2022년 4월 19일에 사용 중단되었습니다. | 2022년 6월 23일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 권한 25개가 다음 서비스에 추가되었습니다: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2022년 4월 27일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 권한 54개가 다음 서비스에 추가되었습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2022년 3월 14일 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) - 기존 정책 업데이트 | 결제, 관리 및 기술 지원과 관련된 고객 문제를 해결하는 데 도움이 되는 작업을 수행할 수 있도록 권한 74개가 다음 서비스에 추가되었습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-managed-policies-aws-support.html) 자세한 내용은 [AWSSupportServiceRolePolicy에 대한 권한 변경](aws-support-service-link-role-updates.md) 단원을 참조하십시오. | 2022년 2월 17일 |
| 변경 로그 게시 | AWS Support 관리형 정책에 대한 변경 로그입니다. | 2022년 2월 17일 |
# AWSSupportServiceRolePolicy에 대한 권한 변경
가 동일한 이름의 API 작업을 호출할 `AWSSupportServiceRolePolicy` 수 AWS Support 있도록 대부분의 권한이 추가되었습니다. 그러나 일부 API 작업에는 이름이 다른 권한이 필요합니다.
다음 표에는 다른 이름의 권한이 필요한 API 작업만 나와 있습니다. 이 표에서는 2022년 2월 17일부터 시작하는 이러한 차이점에 대해 설명합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/aws-support-service-link-role-updates.html)
# AWS Slack의 AWS Support 앱에 대한 관리형 정책
**참고**
에서 지원 사례에 액세스하고 보려면 섹션을 AWS Support Center Console참조하세요[AWS Support Center에 대한 액세스 관리](accessing-support.md).
AWS Support 앱에는 다음과 같은 관리형 정책이 있습니다.
**Contents**
+ [AWS 관리형 정책: AWSSupportAppFullAccess](#security-iam-awsmanpol-support-app-full-access)
+ [AWS 관리형 정책: AWSSupportAppReadOnlyAccess](#security-iam-support-app-read-only)
+ [AWS Support AWS 관리형 정책에 대한 앱 업데이트](#security-iam-awsmanpol-updates-aws-support-app)
## AWS 관리형 정책: AWSSupportAppFullAccess
[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportAppFullAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportAppFullAccess$jsonEditor) 관리형 정책을 사용하여 IAM 역할에 Slack 채널 구성에 대한 권한을 부여할 수 있습니다. AWSSupportAppFullAccess 정책을 IAM 엔터티에 연결할 수도 있습니다.
자세한 내용은 [Slack의 AWS Support 앱](aws-support-app-for-slack.md) 단원을 참조하십시오.
이 정책의 권한을 보려면AWS 관리형 정책 참조의 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportAppFullAccess.html#AWSSupportAppFullAccess-json.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportAppFullAccess.html#AWSSupportAppFullAccess-json.html)를 참조하세요.**
** 권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `servicequotas` - 기존 Service Quotas 및 요청을 설명하고 계정에 대한 서비스 할당량 증가를 생성합니다.
+ `support` - 지원 사례를 생성, 업데이트 및 해결합니다. 파일 첨부, 서신, 심각도 수준 등 사례에 대한 정보를 업데이트하고 설명합니다. 지원 에이전트와 실시간 채팅 세션을 시작합니다.
+ `iam` - Service Quotas에 대한 서비스 연결 역할을 생성합니다.
자세한 내용은 [AWS Support 앱에 대한 액세스 관리](support-app-permissions.md) 단원을 참조하십시오.
## AWS 관리형 정책: AWSSupportAppReadOnlyAccess
[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportAppReadOnlyAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportAppReadOnlyAccess$jsonEditor) 정책은 개체가 읽기 전용 AWS Support 앱 작업을 수행할 수 있는 권한을 부여합니다. 자세한 내용은 [Slack의 AWS Support 앱](aws-support-app-for-slack.md) 단원을 참조하십시오.
이 정책의 권한을 보려면AWS 관리형 정책 참조의 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportAppReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportAppReadOnlyAccess.html)를 참조하세요.**
** 권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `support` - 지원 사례에 추가된 지원 사례 세부 정보 및 커뮤니케이션에 대해 설명합니다.
## AWS Support AWS 관리형 정책에 대한 앱 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후 AWS Support 부터 앱의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 [문서 기록](History.md) 페이지에서 RSS 피드를 구독하세요.
다음 표에서는 2022년 8월 17일 이후 AWS Support 앱 관리형 정책에 대한 중요한 업데이트를 설명합니다.
**AWS Support 앱**
| 변경 | 설명 | Date |
| --- | --- | --- |
| [AWSSupport앱FullAccess](#security-iam-awsmanpol-support-app-full-access) 및 [AWSSupport앱ReadOnlyAccess](#security-iam-support-app-read-only) AWS Support 앱에 대한 새로운 AWS 관리형 정책 | Slack 채널 구성에 대해 구성한 IAM 역할에 이러한 정책을 사용할 수 있습니다. 자세한 내용은 [AWS Support 앱에 대한 액세스 관리](support-app-permissions.md) 단원을 참조하십시오. | 2022년 8월 19일 |
| 변경 로그 게시 | AWS Support 앱 관리형 정책에 대한 변경 로그입니다. | 2022년 8월 19일 |
# AWS 에 대한 관리형 정책 AWS Trusted Advisor
Trusted Advisor 에는 다음과 같은 AWS 관리형 정책이 있습니다.
**Contents**
+ [AWS 관리형 정책: AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy)
+ [AWS 관리형 정책: AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy)
+ [AWS 관리형 정책: AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)
+ [AWS 관리형 정책: AWSTrustedAdvisorReportingServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy)
+ [Trusted Advisor AWS 관리형 정책에 대한 업데이트](#security-iam-awsmanpol-updates-trusted-advisor)
## AWS 관리형 정책: AWSTrustedAdvisorPriorityFullAccess
이 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityFullAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityFullAccess$jsonEditor) 정책은 Trusted Advisor Priority에 대한 전체 액세스 권한을 부여합니다. 또한이 정책은 사용자가를 Trusted Advisor 신뢰할 수 있는 서비스로 추가 AWS Organizations 하고 Trusted Advisor Priority에 대해 위임된 관리자 계정을 지정할 수 있도록 허용합니다.
** 권한 세부 정보**
첫 번째 문의 정책에 `trustedadvisor`에 대한 다음 권한이 포함되어 있습니다.
+ 계정 및 조직에 대해 설명합니다.
+ Trusted Advisor Priority에서 식별된 위험을 설명합니다. 권한을 활용하여 위험 상태를 다운로드하고 업데이트할 수 있습니다.
+ Trusted Advisor Priority 이메일 알림에 대한 구성을 설명합니다. 권한을 활용하여 이메일 알림을 구성하고 위임된 관리자의 이메일 알림을 비활성화할 수 있습니다.
+ 계정이 활성화할 수 Trusted Advisor 있도록를 설정합니다 AWS Organizations.
두 번째 문의 정책에 `organizations`에 대한 다음 권한이 포함되어 있습니다.
+ Trusted Advisor 계정 및 조직을 설명합니다.
+ Organizations를 사용하도록 AWS 서비스 설정한를 나열합니다.
세 번째 문의 정책에 `organizations`에 대한 다음 권한이 포함되어 있습니다.
+ Trusted Advisor Priority에 대한 위임된 관리자를 나열합니다.
+ Organizations와 상호 신뢰할 수 있는 액세스를 활성화 및 비활성화합니다.
네 번째 문의 정책에 `iam`에 대한 다음 권한이 포함되어 있습니다.
+ `AWSServiceRoleForTrustedAdvisorReporting` 서비스 연결 역할을 생성합니다.
다섯 번째 문의 정책에 `organizations`에 대한 다음 권한이 포함되어 있습니다.
+ Trusted Advisor Priority에 대해 위임된 관리자를 등록 및 등록 취소할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSTrustedAdvisorPriorityFullAccess",
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeAccount*",
"trustedadvisor:DescribeOrganization",
"trustedadvisor:DescribeRisk*",
"trustedadvisor:DownloadRisk",
"trustedadvisor:UpdateRiskStatus",
"trustedadvisor:DescribeNotificationConfigurations",
"trustedadvisor:UpdateNotificationConfigurations",
"trustedadvisor:DeleteNotificationConfigurationForDelegatedAdmin",
"trustedadvisor:SetOrganizationAccess"
],
"Resource": "*"
},
{
"Sid": "AllowAccessForOrganization",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "AllowListDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators",
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
},
{
"Sid": "AllowCreateServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
}
}
},
{
"Sid": "AllowRegisterDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "arn:aws:organizations::*:*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS 관리형 정책: AWSTrustedAdvisorPriorityReadOnlyAccess
이 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityReadOnlyAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityReadOnlyAccess$jsonEditor) 정책은 위임된 관리자 계정을 볼 수 있는 권한을 포함하여 Trusted Advisor Priority에 읽기 전용 권한을 부여합니다.
** 권한 세부 정보**
첫 번째 문의 정책에 `trustedadvisor`에 대한 다음 권한이 포함되어 있습니다.
+ Trusted Advisor 계정 및 조직을 설명합니다.
+ Trusted Advisor Priority에서 식별된 위험을 설명하고 다운로드할 수 있습니다.
+ Trusted Advisor Priority 이메일 알림의 구성을 설명합니다.
두 번째 및 세 번째 문의 정책에 `organizations`에 대한 다음 권한이 포함되어 있습니다.
+ Organizations를 사용하여 조직을 설명합니다.
+ Organizations를 사용하도록 AWS 서비스 설정한를 나열합니다.
+ Trusted Advisor Priority에 대한 위임된 관리자를 나열합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSTrustedAdvisorPriorityReadOnlyAccess",
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeAccount*",
"trustedadvisor:DescribeOrganization",
"trustedadvisor:DescribeRisk*",
"trustedadvisor:DownloadRisk",
"trustedadvisor:DescribeNotificationConfigurations"
],
"Resource": "*"
},
{
"Sid": "AllowAccessForOrganization",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "AllowListDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS 관리형 정책: AWSTrustedAdvisorServiceRolePolicy
이 정책은 `AWSServiceRoleForTrustedAdvisor` 서비스 역할에 연결됩니다. 이 정책을 사용하면 서비스 연결 역할이 사용자를 대신하여 작업을 수행할 수 있습니다. [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorServiceRolePolicy$jsonEditor)를 AWS Identity and Access Management (IAM) 엔터티에 연결할 수 없습니다. 자세한 내용은 [에 대한 서비스 연결 역할 사용 Trusted Advisor](using-service-linked-roles-ta.md) 단원을 참조하십시오.
이 정책은 서비스 연결 역할이 AWS 서비스에 액세스할 수 있도록 하는 관리 권한을 부여합니다. 이러한 권한을 통해가 계정을 평가할 Trusted Advisor 수 있습니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `accessanalyzer` - AWS Identity and Access Management Access Analyzer 리소스를 설명합니다.
+ `Auto Scaling` - Amazon EC2 Auto Scaling 계정 할당량 및 리소스에 관해 설명합니다
+ `cloudformation` - AWS CloudFormation (CloudFormation) 계정 할당량 및 스택 설명
+ `cloudfront` – Amazon CloudFront 배포에 관해 설명합니다
+ `cloudtrail` - AWS CloudTrail (CloudTrail) 추적 설명
+ `dynamodb` - Amazon DynamoDB 계정 할당량 및 리소스에 관해 설명합니다
+ `dynamodbaccelerator` - DynamoDB Accelerator 리소스를 설명합니다.
+ `ec2` - Amazon Elastic Compute Cloud(Amazon EC2) 계정 할당량 및 리소스에 관해 설명합니다
+ `elasticloadbalancing` - Elastic Load Balancing(ELB) 계정 할당량 및 리소스에 관해 설명합니다
+ `iam` - 자격 증명, 암호 정책 및 인증서와 같은 IAM 리소스를 가져옵니다
+ `networkfirewall` - AWS Network Firewall 리소스를 설명합니다.
+ `kinesis` - Amazon Kinesis(Kinesis) 계정 할당량에 관해 설명합니다
+ `rds` – Amazon Relational Database Service(Amazon RDS) 리소스에 관해 설명합니다
+ `redshift` - Amazon Redshift 리소스에 관해 설명합니다
+ `route53` - Amazon Route 53 계정 할당량 및 리소스에 관해 설명합니다
+ `s3` - Amazon Simple Storage Service(Amazon S3) 리소스에 관해 설명합니다
+ `ses` – Amazon Simple Email Service(Amazon SES) 전송 할당량을 가져옵니다
+ `sqs` – Amazon Simple Queue Service(Amazon SQS) 대기열을 목록으로 만듭니다
+ `cloudwatch` - Amazon CloudWatch Events(CloudWatch 이벤트) 지표 통계를 가져옵니다
+ `ce` - Cost Explorer 서비스(Cost Explorer) 권장 사항을 가져옵니다
+ `route53resolver` - Amazon Route 53 Resolver Resolver 엔드포인트 및 리소스를 가져옵니다.
+ `kafka` - Amazon Managed Streaming for Apache Kafka 리소스 확보
+ `ecs` - Amazon ECS 리소스를 가져옵니다.
+ `outposts` - AWS Outposts 리소스를 가져옵니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TrustedAdvisorServiceRolePermissions",
"Effect": "Allow",
"Action": [
"access-analyzer:ListAnalyzers",
"autoscaling:DescribeAccountLimits",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeLaunchConfigurations",
"ce:GetReservationPurchaseRecommendation",
"ce:GetSavingsPlansPurchaseRecommendation",
"cloudformation:DescribeAccountLimits",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudfront:ListDistributions",
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:GetTrail",
"cloudtrail:ListTrails",
"cloudtrail:GetEventSelectors",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"dax:DescribeClusters",
"dynamodb:DescribeLimits",
"dynamodb:DescribeTable",
"dynamodb:ListTables",
"ec2:DescribeAddresses",
"ec2:DescribeReservedInstances",
"ec2:DescribeInstances",
"ec2:DescribeVpcs",
"ec2:DescribeInternetGateways",
"ec2:DescribeImages",
"ec2:DescribeNatGateways",
"ec2:DescribeVolumes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstancesOfferings",
"ec2:DescribeRouteTables",
"ec2:DescribeSnapshots",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:DescribeLaunchTemplateVersions",
"ec2:GetManagedPrefixListEntries",
"ecs:DescribeTaskDefinition",
"ecs:ListTaskDefinitions",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancerPolicies",
"elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"iam:GenerateCredentialReport",
"iam:GetAccountPasswordPolicy",
"iam:GetAccountSummary",
"iam:GetCredentialReport",
"iam:GetServerCertificate",
"iam:ListServerCertificates",
"iam:ListSAMLProviders",
"kinesis:DescribeLimits",
"kafka:DescribeClusterV2",
"kafka:ListClustersV2",
"kafka:ListNodes",
"network-firewall:ListFirewalls",
"network-firewall:DescribeFirewall",
"outposts:GetOutpost",
"outposts:ListAssets",
"outposts:ListOutposts",
"rds:DescribeAccountAttributes",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSnapshots",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEvents",
"rds:DescribeOptionGroupOptions",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribeReservedDBInstances",
"rds:DescribeReservedDBInstancesOfferings",
"rds:ListTagsForResource",
"redshift:DescribeClusters",
"redshift:DescribeReservedNodeOfferings",
"redshift:DescribeReservedNodes",
"route53:GetAccountLimit",
"route53:GetHealthCheck",
"route53:GetHostedZone",
"route53:ListHealthChecks",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"route53resolver:ListResolverEndpoints",
"route53resolver:ListResolverEndpointIpAddresses",
"s3:GetAccountPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:GetBucketPolicyStatus",
"s3:GetBucketLocation",
"s3:GetBucketLogging",
"s3:GetBucketVersioning",
"s3:GetBucketPublicAccessBlock",
"s3:GetLifecycleConfiguration",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"ses:GetSendQuota",
"sqs:GetQueueAttributes",
"sqs:ListQueues"
],
"Resource": "*"
}
]
}
```
------
## AWS 관리형 정책: AWSTrustedAdvisorReportingServiceRolePolicy
이 정책은가 조직 보기 기능에 대한 작업을 Trusted Advisor 수행하도록 허용하는 `AWSServiceRoleForTrustedAdvisorReporting` 서비스 연결 역할에 연결됩니다. [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorReportingServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorReportingServiceRolePolicy$jsonEditor)를 IAM 엔터티에 연결할 수 없습니다. 자세한 내용은 [에 대한 서비스 연결 역할 사용 Trusted Advisor](using-service-linked-roles-ta.md) 단원을 참조하십시오.
이 정책은 서비스 연결 역할이 AWS Organizations 작업을 수행할 수 있도록 허용하는 관리 권한을 부여합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `organizations` – 조직을 설명하고 서비스 액세스, 계정, 상위, 하위 및 조직 단위를 나열합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListDelegatedAdministrators",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Trusted Advisor AWS 관리형 정책에 대한 업데이트
이러한 서비스가 이러한 변경 사항을 추적하기 시작한 Trusted Advisor 이후 AWS Support 및의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 [문서 기록](History.md) 페이지에서 RSS 피드를 구독하세요.
다음 표에서는 2021년 8월 10일 이후 Trusted Advisor 관리형 정책에 대한 중요한 업데이트를 설명합니다.
**Trusted Advisor**
| 변경 | 설명 | Date |
| --- | --- | --- |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) 기존 정책에 대한 업데이트. | Trusted Advisor 는 `elasticloadbalancing:DescribeListeners,` 및 `elasticloadbalancing:DescribeRules` 권한을 부여하는 새 작업을 추가했습니다. | 2024년 10월 30일 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) 기존 정책에 대한 업데이트. | Trusted Advisor 는 `access-analyzer:ListAnalyzers`, , `cloudwatch:ListMetrics`, `dax:DescribeClusters`, `ec2:DescribeNatGateways`, `ec2:DescribeRouteTables`, `ec2:DescribeVpcEndpoints`, `ec2:GetManagedPrefixListEntries`, `elasticloadbalancing:DescribeTargetHealth` `iam:ListSAMLProviders` `kafka:DescribeClusterV2` `network-firewall:ListFirewalls` `network-firewall:DescribeFirewall` 및 `sqs:GetQueueAttributes` 권한을 부여하는 새 작업을 추가했습니다. | 2024년 6월 11일 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) 기존 정책에 대한 업데이트. | Trusted Advisor 는 `cloudtrail:GetTrail` `cloudtrail:ListTrails` `cloudtrail:GetEventSelectors` `outposts:GetOutpost`, `outposts:ListAssets` 및 `outposts:ListOutposts` 권한을 부여하는 새 작업을 추가했습니다. | 2024년 1월 18일 |
| [AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy) 기존 정책에 대한 업데이트. | Trusted Advisor 는 문 ID를 포함하도록 `AWSTrustedAdvisorPriorityFullAccess` AWS 관리형 정책을 업데이트했습니다. IDs | 2023년 12월 6일 |
| [AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy) 기존 정책에 대한 업데이트. | Trusted Advisor 는 문 ID를 포함하도록 `AWSTrustedAdvisorPriorityReadOnlyAccess` AWS 관리형 정책을 업데이트했습니다. IDs | 2023년 12월 6일 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) - 기존 정책 업데이트 | Trusted Advisor 는 `ec2:DescribeRegions` `s3:GetLifecycleConfiguration` `ecs:DescribeTaskDefinition` 및 `ecs:ListTaskDefinitions` 권한을 부여하는 새 작업을 추가했습니다. | 2023년 11월 9일 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) - 기존 정책 업데이트 | Trusted Advisor 는 새로운 복원력 검사를 온보딩`kafka:ListNodes`하기 위해 새로운 IAM 작업 `route53resolver:ListResolverEndpoints`, `route53resolver:ListResolverEndpointIpAddresses``ec2:DescribeSubnets`, `kafka:ListClustersV2` 및를 추가했습니다. | 2023년 9월 14일 |
| [AWSTrustedAdvisorReportingServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy) 서비스 연결 역할에 연결된 Trusted Advisor `AWSServiceRoleForTrustedAdvisorReporting` 관리형 정책의 V2 | 서비스 연결 역할의 AWS Trusted Advisor `AWSServiceRoleForTrustedAdvisorReporting` 관리형 정책을 V2로 업그레이드합니다. V2에는 IAM 작업 `organizations:ListDelegatedAdministrators`이(가) 하나 더 추가됩니다. | 2023년 2월 28일 |
| [AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy) 및 [AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy) 에 대한 새로운 AWS 관리형 정책 Trusted Advisor | Trusted Advisor 는 Trusted Advisor Priority에 대한 액세스를 제어하는 데 사용할 수 있는 두 가지 새로운 관리형 정책을 추가했습니다. | 2022년 8월 17일 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) - 기존 정책 업데이트 | Trusted Advisor 는 `DescribeTargetGroups` 및 `GetAccountPublicAccessBlock` 권한을 부여하는 새 작업을 추가했습니다. `DescribeTargetGroup` 권한은 **Auto Scaling 그룹 상태 확인**이 Auto Scaling 그룹에 연결된 비클래식 로드 밸런서를 검색하는 데 필요합니다. `GetAccountPublicAccessBlock` 권한은 **Amazon S3 버킷 권한** 검사가 AWS 계정에 대한 퍼블릭 액세스 차단 설정을 검색하는 데 필요합니다. | 2021년 8월 10일 |
| 변경 로그 게시 | Trusted Advisor 가 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. | 2021년 8월 10일 |
# AWS AWS Support 플랜에 대한 관리형 정책
AWS Support 플랜에는 다음과 같은 관리형 정책이 있습니다.
**Contents**
+ [AWS 관리형 정책: AWSSupportPlansFullAccess](#support-plan-full-access-managed-policy)
+ [AWS 관리형 정책: AWSSupportPlansReadOnlyAccess](#support-plan-read-only-access-managed-policy)
+ [AWS Support AWS 관리형 정책에 대한 업데이트를 계획합니다.](#security-iam-awsmanpol-updates-support-plans)
## AWS 관리형 정책: AWSSupportPlansFullAccess
AWS Support 계획은 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportPlansFullAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportPlansFullAccess$jsonEditor) AWS 관리형 정책을 사용합니다. IAM 엔터티는 이 정책을 사용하여 다음 Support 플랜 작업을 완료합니다.
+ 에 대한 지원 플랜 보기 AWS 계정
+ 지원 플랜 변경 요청 상태에 대한 세부 정보 보기
+ 에 대한 지원 계획 변경 AWS 계정
+ 에 대한 지원 계획 일정 생성 AWS 계정
+ 에 대한 모든 지원 계획 수정자 목록 보기 AWS 계정
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"supportplans:GetSupportPlan",
"supportplans:GetSupportPlanUpdateStatus",
"supportplans:StartSupportPlanUpdate",
"supportplans:CreateSupportPlanSchedule",
"supportplans:ListSupportPlanModifiers"
],
"Resource": "*"
}
]
}
```
------
정책 변경 사항 목록은 [AWS Support AWS 관리형 정책에 대한 업데이트를 계획합니다.](#security-iam-awsmanpol-updates-support-plans) 단원을 참조하세요.
## AWS 관리형 정책: AWSSupportPlansReadOnlyAccess
AWS Support 계획은 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportPlansReadOnlyAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportPlansReadOnlyAccess$jsonEditor) AWS 관리형 정책을 사용합니다. IAM 엔터티는 이 정책을 사용하여 다음 읽기 전용 Support 플랜 작업을 완료합니다.
+ 에 대한 지원 플랜 보기 AWS 계정
+ 지원 플랜 변경 요청 상태에 대한 세부 정보 보기
+ 에 대한 모든 지원 계획 수정자 목록 보기 AWS 계정
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"supportplans:GetSupportPlan",
"supportplans:GetSupportPlanUpdateStatus",
"supportplans:ListSupportPlanModifiers"
],
"Resource": "*"
}
]
}
```
------
정책 변경 사항 목록은 [AWS Support AWS 관리형 정책에 대한 업데이트를 계획합니다.](#security-iam-awsmanpol-updates-support-plans) 단원을 참조하세요.
## AWS Support AWS 관리형 정책에 대한 업데이트를 계획합니다.
이러한 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 Support Plans의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 [문서 기록](History.md) 페이지에서 RSS 피드를 구독하세요.
다음 표에서는 2022년 9월 29일부터의 Support Plans 관리형 정책에 대한 중요 업데이트에 대해 설명합니다.
**AWS Support**
| 변경 | 설명 | 날짜 |
| --- | --- | --- |
| [AWSSupportPlansReadOnlyAccess](#support-plan-read-only-access-managed-policy) - 기존 정책에 대한 업데이트 [AWSSupportPlansFullAccess](#support-plan-full-access-managed-policy) - 기존 정책에 대한 업데이트 | AWSSupportPlansFullAccess 및 AWSSupportPlansReadOnlyAccess 관리형 정책에 ListSupportPlanModifiers 작업을 추가합니다. | 2024년 9월 9일 |
| [AWSSupportPlansFullAccess](#support-plan-full-access-managed-policy) - 기존 정책에 대한 업데이트 | AWSSupportPlansFullAccess 관리형 정책에 CreateSupportPlanSchedule 조치를 추가합니다. | 2023년 5월 8일 |
| 변경 로그 게시 | Support Plans 관리형 정책에 대한 변경 로그. | 2022년 9월 29일 |
# AWS AWS 파트너 주도 지원을 위한 관리형 정책
AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 줍니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 될 때 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 *IAM 사용자 가이드*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.
## AWS 관리형 정책: AWSPartnerLedSupportReadOnlyAccess
사용자, 그룹 및 역할에 `AWSPartnerLedSupportReadOnlyAccess`를 연결할 수 있습니다.
이 정책은 AWS 계정의 서비스에 대한 서비스 메타데이터를 읽을 수 있는 APIs에 대한 읽기 전용 액세스 권한을 부여하는 데 사용할 수 있습니다. 이 정책을 사용하여 AWS 파트너 주도 지원 프로그램의 파트너에게 다음 권한 세부 정보 섹션에 지정된 서비스에 대한 액세스 권한을 제공할 수 있습니다.
**중요**
AWSPartnerLedSupportReadOnlyAccess는에서 제공하는 관리형 정책이지만 AWS정책에 포함된 서비스 및 권한을 검토하여 특정 지원 요구 사항을 충족하는지 확인할 책임은 사용자에게 있습니다. 이 관리형 정책에 기존 정책 또는 새 정책이 모두 자동으로 포함되어 있다고 가정하지 마십시오 AWS 서비스. 이 관리형 정책의 범위를 벗어나는 서비스를 다루기 위해 추가 사용자 지정 정책을 생성하고 유지 관리해야 할 수 있습니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `acm` - 보안 주체가 AWS Certificate Manager관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `acm-pca` - 보안 주체가 AWS Private Certificate Authority관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `apigateway` - 보안 주체가 Amazon API Gateway 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `athena` - 보안 주체가 Amazon Athena 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `backup` - 보안 주체가 AWS Backup관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `backup-gateway` - 보안 주체가 AWS Backup Gateway와 관련된 기술 지원 사례를 해결할 수 있도록 허용합니다.
+ `cloudformation` - 보안 주체가 AWS CloudFormation관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `cloudfront` - 보안 주체가 Amazon CloudFront 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `cloudtrail` - 보안 주체가 AWS CloudTrail관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `cloudwatch` - 보안 주체가 Amazon CloudWatch 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `codepipeline` - 보안 주체가 AWS CodePipeline관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `cognito-identity` - 보안 주체가 Amazon Cognito 자격 증명 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `cognito-idp` - 보안 주체가 Amazon Cognito 사용자 풀 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `cognito-sync` - 보안 주체가 Amazon Cognito Sync 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `connect` - 보안 주체가 Amazon Connect 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `directconnect` - 보안 주체가 AWS Direct Connect관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `dms` - 보안 주체가 AWS Database Migration Service관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `ds` - 보안 주체가 AWS Directory Service관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `ec2` - 보안 주체가 Amazon Elastic Compute Cloud 관련 기술 지원 사례 문제를 해결하도록 허용합니다. 여기에는 EC2(Windows 및 Linux), 가상 프라이빗 클라우드(VPC), VPC의 기술 지원 범주가 포함됩니다.
+ `ecs` - 보안 주체가 Amazon Elastic Container Service 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `eks` - 보안 주체가 Amazon Elastic Kubernetes Service 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `elasticache` - 보안 주체가 Amazon ElastiCache 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `elasticbeanstalk` - 보안 주체가 AWS Elastic Beanstalk관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `elasticfilesystem` - 보안 주체가 Amazon Elastic File System 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `elasticloadbalancing` - 보안 주체가 Elastic Load Balancing 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `emr-containers` - 보안 주체가 Amazon EMR on EKS 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `emr-serverless` - 보안 주체가 Amazon EMR Serverless 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `es` - 보안 주체가 Amazon OpenSearch Service 관련 기술 지원 사례 문제를 해결하도록 허용합니다. 여기에는 OpenSearch Service 관리형 클러스터와 같은 기술 지원 범주가 포함됩니다.
+ `events` - 보안 주체가 Amazon EventBridge 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `fsx` - 보안 주체가 Amazon FSx 관련 기술 지원 사례 문제를 해결하도록 허용합니다. 여기에는 FSX for Windows File Server와 같은 기술 지원 범주가 포함됩니다.
+ `glue` - 보안 주체가 AWS Glue관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `guardduty` - 보안 주체가 Amazon GuardDuty 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `iam` - 보안 주체가 AWS Identity and Access Management관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `kafka` - 보안 주체가 Amazon Managed Streaming for Apache Kafka 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `kafkaconnect` - 보안 주체가 Amazon Managed Streaming for Apache Kafka Connect 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `lambda` - 보안 주체가 AWS Lambda관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `logs` - 보안 주체가 Amazon CloudWatch Logs 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `medialive` - 보안 주체가 AWS Elemental MediaLive관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `mobiletargeting` - 보안 주체가 Amazon Pinpoint 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `pipes` - 보안 주체가 Amazon EventBridge 파이프 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `polly` - 보안 주체가 Amazon Polly 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `quicksight` - 보안 주체가 Amazon Quick과 관련된 기술 지원 사례를 해결할 수 있도록 허용합니다.
+ `rds` - 보안 주체가 Amazon Relational Database Service 관련 기술 지원 사례 문제를 해결하도록 허용합니다. 여기에는 관계형 데이터베이스 서비스(Aurora - MySQL-Compat), 관계형 데이터베이스 서비스(Aurora - PostgreSQL-c), 관계형 데이터베이스 서비스(PostgreSQL), 관계형 데이터베이스 서비스(SQL Server), 관계형 데이터베이스 서비스(MySQL), 관계형 데이터베이스 서비스(Oracle)와 같은 기술 지원 범주가 포함됩니다.
+ `redshift` - 보안 주체가 Amazon Redshift 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `redshift-data` - 보안 주체가 Amazon Redshift Data API 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `redshift-serverless` - 보안 주체가 Amazon Redshift Serverless 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `route53` - 보안 주체가 Amazon Route 53 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `route53domains` - 보안 주체가 Amazon Route 53 도메인 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `route53-recovery-cluster` - 보안 주체가 Amazon Route 53 Recovery Cluster 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `route53-recovery-control-config` - 보안 주체가 Amazon Route 53 Recovery Controls 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `route53-recovery-readiness` - 보안 주체가 Amazon Route 53 Recovery Readiness 관련 기술 지원 사례를 해결하도록 허용합니다.
+ `route53resolver` - 보안 주체가 Amazon Route 53 Resolver 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `s3` - 보안 주체가 Amazon Simple Storage Service 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `s3express` - 보안 주체가 Amazon S3 Express 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `sagemaker` - 보안 주체가 Amazon SageMaker AI 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `scheduler` - 보안 주체가 Amazon EventBridge Scheduler 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `servicequotas` - 보안 주체가 Service Quotas 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `ses` - 보안 주체가 Amazon Simple Email Service 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `sns` - 보안 주체가 Amazon Simple Notification Service 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `ssm` - 보안 주체가 AWS Systems Manager관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `ssm-contacts` - 보안 주체가 AWS Systems Manager Incident Manager 연락처와 관련된 기술 지원 사례를 해결할 수 있도록 허용합니다.
+ `ssm-incidents` - 보안 주체가 AWS Systems Manager Incident Manager관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `ssm-sap` - 보안 주체가 SAP AWS Systems Manager 용와 관련된 기술 지원 사례를 해결할 수 있도록 허용합니다.
+ `swf` - 보안 주체가 Amazon Simple Workflow Service 관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `vpc-lattice` - 보안 주체가 Amazon VPC Lattice 관련 기술 지원 사례 문제를 해결하도록 허용합니다. 여기에는 VPC - Transit Gateway와 같은 기술 지원 범주가 포함됩니다.
+ `waf` - 보안 주체가 AWS WAF관련 기술 지원 사례 문제를 해결하도록 허용합니다.
+ `waf-regional` - 보안 주체가 AWS WAF 리전과 관련된 기술 지원 사례를 해결할 수 있도록 허용합니다.
+ `wafv2` - 보안 주체가 AWS WAF V2와 관련된 기술 지원 사례를 해결할 수 있도록 허용합니다.
+ `workspaces` - 보안 주체가 Amazon WorkSpaces 관련 기술 지원 사례 문제를 해결하도록 허용합니다. 여기에는 Workspace(Windows)와 같은 기술 지원 범주가 포함됩니다.
+ `workspaces-web` - 보안 주체가 Amazon WorkSpaces Secure Browser 관련 기술 지원 사례 문제를 해결하도록 허용합니다. 여기에는 Workspace(Windows)와 같은 기술 지원 범주가 포함됩니다.
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*의 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPartnerLedSupportReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPartnerLedSupportReadOnlyAccess.html)를 참조하세요.
## AWS AWS 관리형 정책에 대한 파트너 주도 지원 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후 AWS 파트너 주도 지원의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 AWS 파트너 주도 지원 문서 기록 페이지에서 RSS 피드를 구독하세요.
| 변경 | 설명 | Date |
| --- | --- | --- |
| [AWSPartnerLedSupportReadOnlyAccess](#managed-policies-partner-led-support-AWSPartnerLedSupportReadOnlyAccess) - 새 정책 | AWS 계정의 서비스에 대한 서비스 메타데이터를 읽을 수 있는 권한이 포함된 새 AWS 관리형 정책이 추가되었습니다. | 2024년 11월 22일 |
| AWS 파트너 주도 지원에서 변경 사항 추적 시작 | AWS 파트너 주도 지원은 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. | 2024년 11월 22일 |
# AWS Support Center에 대한 액세스 관리
지원 센터에 액세스하고 [지원 사례를 생성](create-support-case-from-interaction.md)할 수 있는 권한이 있어야 합니다.
다음 옵션 중 하나를 사용하여 지원 센터에 액세스할 수 있습니다.
+ AWS Identity and Access Management (IAM)를 사용합니다.
+ AWS 계정과 연결된 이메일 주소와 암호를 사용합니다. 이 자격 증명을 AWS 계정 *루트 사용자*라고 합니다(권장되지 않음).
AWS Business Support\$1, AWS Enterprise Support 또는 AWS 통합 운영 플랜이 있는 경우 [지원 API](about-support-api.md)를 사용하여 프로그래밍 방식으로 지원 및 Trusted Advisor 작업에 액세스할 수도 있습니다. 자세한 내용은 [AWS Support API 참조](https://docs.aws.amazon.com/awssupport/latest/APIReference/Welcome.html)를 참조하세요.
**참고**
지원 센터에 로그인할 수 없는 경우 [문의처](https://aws.amazon.com/contact-us/)페이지를 대신 사용할 수 있습니다. 이 페이지에서 결제 및 계정 문제에 대하여 도움받을 수 있습니다.
지원 센터 콘솔 API 작업 및 IAM 정책에 추가하는 방법에 대한 자세한 내용은 섹션을 참조하세요[지원 센터 콘솔 API 작업을 위한 IAM 정책 추가](support-console-access-control.md).
## AWS 계정(권장되지 않음)
AWS 계정 이메일 주소 AWS Management Console 와 암호를 사용하여에 로그인하고 지원 센터에 액세스할 수 있습니다. 이 자격 증명을 AWS 계정 *루트 사용자*라고 합니다. 그러나 일상적인 작업, 심지어 관리 작업의 경우에도 루트 사용자를 사용하지 않는 것이 좋습니다. 대신 IAM을 사용하는 것이 좋은데, 이를 통해 계정에서 특정 작업을 수행할 수 있는 사용자를 제어할 수 있습니다.
## AWS 지원 작업
콘솔에서 다음 지원 작업을 수행할 수 있습니다. IAM 정책에서 이러한 지원 작업을 지정하여 특정 작업을 허용하거나 거부할 수도 있습니다.
**참고**
IAM 정책에서 아래 작업 중 하나라도 거부하면 지원 사례를 생성하거나 지원 사례와 상호 작용할 때 지원 센터에서 의도하지 않은 동작이 발생할 수 있습니다.
| 작업 | 설명 |
| --- | --- |
| `AddAttachmentsToSet` | 첨부 파일 세트에 하나 이상의 첨부 파일을 추가하는 권한을 부여합니다. 첨부 파일 세트는 사례 또는 사례 통신에 추가하는 첨부 파일을 위한 임시 컨테이너입니다. 이 세트는 생성된 후 1시간 동안 사용할 수 있습니다. 응답에서 반환되는 expiryTime은 세트가 만료되는 시간입니다. |
| `AddCommunicationToCase` | 통신에 복사할 이메일 주소 세트를 포함하여 지원 사례에 추가 고객 통신을 추가할 수 있는 권한을 부여합니다. |
| `CreateCase` | 사례를 생성할 수 있는 권한을 부여합니다. |
| `DescribeAttachment` | 사례에서 첨부 파일을 검색할 수 있는 권한을 부여합니다. |
| `DescribeCaseAttributes` | 보조 서비스에 지원 사례 속성을 읽을 수 있는 권한을 부여합니다. **\$1이는 지원 센터에서 내부적으로 사례에 태그가 지정된 속성을 가져오는 데 사용됩니다.** |
| `DescribeCases` | 지원 사례 ID 또는 사례 ID와 일치하는 사례 목록을 반환할 수 있는 권한을 부여합니다 IDs. |
| `DescribeCommunication` | 단일 AWS 지원 사례에 대한 단일 통신 및 연결을 가져올 수 있는 권한을 부여합니다. |
| `DescribeCommunications` | 하나 이상의 지원 사례에 대한 통신 및 연결을 반환할 수 있는 권한을 부여합니다. |
| `DescribeCreateCaseOptions` | 지원되는 해당 시간 및 언어 가용성과 함께 CreateCaseOption 유형 목록을 반환할 수 있는 권한을 부여합니다. |
| `DescribeIssueTypes` | 지원 사례에 대한 문제 유형을 반환하는 권한을 부여합니다. 이는 지원 Center에서 계정에 사용할 수 있는 문제 유형을 가져오기 위해 내부적으로 사용됩니다. |
| `DescribeServices` | 현재 AWS 서비스 목록과 각 서비스에 대한 서비스 범주 목록을 반환할 수 있는 권한을 부여합니다. 그런 다음 서비스 이름과 범주를 사용하여 사례를 생성합니다. 각 AWS 서비스에는 고유한 범주 세트가 있습니다. |
| `DescribeSeverityLevels` | 지원 사례에 할당할 수 있는 심각도 수준 목록을 반환할 수 있는 권한을 부여합니다. |
| `DescribeSupportedLanguages` | 지정된 categoryCode, issueType, serviceCode에 지원되는 언어 목록을 반환할 수 있는 권한을 부여합니다. |
| `DescribeSupportLevel` | AWS 계정 식별자에 대한 지원 수준을 반환할 수 있는 권한을 부여합니다. 이는 지원 Center에서 지원 수준을 식별하기 위해 내부적으로 사용됩니다. |
| `DescribeTrustedAdvisorCheckRefreshStatuses` | 지정된 AWS Trusted Advisor 검사 IDs가 있는 검사의 새로 고침 상태를 반환할 수 있는 권한을 부여합니다. |
| `DescribeTrustedAdvisorCheckResult` | 지정된 AWS Trusted Advisor 검사 ID가 있는 검사 결과를 반환할 수 있는 권한을 부여합니다. |
| `DescribeTrustedAdvisorChecks` | 이름, ID, 범주, 설명 및 메타데이터를 포함하여 사용 가능한 모든 AWS Trusted Advisor 검사에 대한 정보를 반환할 수 있는 권한을 부여합니다. |
| `DescribeTrustedAdvisorCheckSummaries` | 지정한 AWS Trusted Advisor 검사 IDs에 대한 검사 요약의 결과를 반환할 수 있는 권한을 부여합니다. |
| `GetInteraction` | 고유 식별자로 특정 상호 작용에 대한 세부 정보를 검색할 수 있는 권한을 부여합니다. 이는 지원 Center에서 개인 맞춤형 추천을 검색하는 데 내부적으로 사용됩니다. |
| `InitiateCallForCase` | 지원 센터에서 호출을 시작할 수 있는 권한을 부여합니다. 이는 지원 Center에서 내부적으로 사용자를 대신하여 호출을 시작하는 데 사용됩니다. |
| `ListInteractionEntries` | 메시지, 상태 업데이트 또는 기타 관련 데이터 포인트를 포함하여 특정 상호 작용 내의 항목 목록을 검색할 수 있는 권한을 부여합니다. 이는 지원 Center에서 상호 작용의 세부 추적을 추적하는 데 내부적으로 사용됩니다. |
| `ListInteractions` | 잠재적으로 필터 또는 페이지 매김을 사용하여 상호 작용 목록을 검색할 수 있는 권한을 부여합니다. 이는 지원 Center에서 여러 상호 작용을 관리하고 개요화하는 데 내부적으로 사용됩니다. |
| `InitiateChatForCase` | 지원 센터에서 채팅을 시작하는 권한을 부여합니다. 이는 지원 Center에서 내부적으로 사용자를 대신하여 채팅을 시작하는 데 사용됩니다. |
| `PutCaseAttributes` | 보조 서비스가 지원 사례에 속성을 연결할 수 있는 권한을 부여합니다. 이는 지원 Center에서 내부적으로 지원 사례에 운영 태그를 추가하는 데 사용됩니다. |
| `RateCaseCommunication` | 지원 사례 커뮤니케이션을 평가할 수 있는 권한을 부여합니다. |
| `RefreshTrustedAdvisorCheck` | AWS Trusted Advisor 검사 ID를 사용하여 지정한 검사를 새로 고칠 수 있는 권한을 부여합니다. |
| `ResolveCase` | 지원 사례를 해결할 수 있는 권한을 부여합니다. |
| `ResolveInteraction` | 고유 식별자를 사용하여 상호 작용을 해결됨으로 표시할 수 있는 권한을 부여합니다. 이는 문제가 완전히 해결되었으며 추가 조치가 필요하지 않음을 나타냅니다. 해결되면 상호 작용의 상태가 CLOSED로 설정되고 동일한 계정 내의 모든 사용자가 액세스할 수 있게 됩니다. |
| `SearchForCases` | 지정된 입력과 일치하는 지원 사례 목록을 반환할 수 있는 권한을 부여합니다. 이는 검색된 사례를 찾기 위해 지원 센터에서 내부적으로 사용됩니다. |
| `StartInteraction` | 계정 및 기술 문제의 개인화된 문제 해결 지원을 받을 수 있도록 새 상호 작용을 시작할 수 있는 권한을 부여합니다. 이는 지원 센터에서 문제 해결 프로세스를 시작하기 위해 내부적으로 사용됩니다. |
| `UpdateInteraction` | 고유 식별자별로 특정 상호 작용을 다른 메시지로 업데이트할 수 있는 권한을 부여합니다. 이는 지원 Center에서 문제 해결 프로세스를 업데이트하는 데 내부적으로 사용됩니다. |
## IAM
기본적으로 IAM 사용자는 지원 센터에 액세스할 수 없습니다. IAM을 사용하여 개별 사용자 또는 그룹을 생성할 수 있습니다. 그런 다음 이러한 엔터티에 IAM 정책을 연결하여 Support Center 사례를 열고 지원 API를 사용하는 등의 작업을 수행하고 리소스에 액세스할 수 있는 권한을 부여합니다.
IAM 사용자를 생성하면 해당 사용자에게 개별 암호와 계정별 로그인 페이지를 제공할 수 있습니다. 그런 다음에 로그인하여 지원 센터에서 AWS 계정 작업할 수 있습니다. AWS Support 액세스 권한이 있는 IAM 사용자는 계정에 대해 생성된 모든 사례를 볼 수 있습니다.
자세한 내용은 [IAM 사용 설명서의 IAM 사용자 AWS Management Console 로에 로그인](https://docs.aws.amazon.com/IAM/latest/UserGuide/WhatUsersNeedToKnow.html)을 참조하세요. **
권한을 부여하는 가장 쉬운 방법은 AWS 관리형 정책 [AWSSupportAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/AWSSupportAccess)를 사용자, 그룹 또는 역할에 연결하는 것입니다. AWS Support 는 특정 AWS Support 작업에 대한 액세스를 제어할 수 있는 작업 수준 권한을 허용합니다. AWS Support 는 리소스 수준 액세스를 제공하지 않으므로 `Resource` 요소는 항상 로 설정됩니다`*`. 특정 지원 사례에 대한 액세스를 허용하거나 거부할 수 없습니다.
**Example : 모든 지원 작업에 대한 액세스 허용**
AWS 관리형 정책 [AWSSupportAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/AWSSupportAccess)는 IAM 사용자에게 액세스 권한을 부여합니다 지원. 이 정책을 사용하는 IAM 사용자는 모든 AWS Support 작업 및 리소스에 액세스할 수 있습니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["support:*"],
"Resource": "*"
}
]
}
```
`AWSSupportAccess` 정책을 엔터티에 연결하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM 자격 증명 권한 추가(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)를 참조하세요.
**Example : ResolveCase 작업을 제외한 모든 작업에 대한 액세스 허용**
또한 IAM의 *고객 관리형 정책*을 생성하여 허용 또는 거부할 작업을 지정할 수 있습니다. 다음 정책 설명을 통해 IAM 사용자는 사례 해결을 지원 제외한의 모든 작업을 수행할 수 있습니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "support:*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "support:ResolveCase",
"Resource": "*"
}]
}
```
고객 관리형 IAM 정책을 생성하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM 정책 생성(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)단원을 참조하세요.
사용자 또는 그룹에 이미 정책이 있는 경우 해당 정책에 AWS Support특정 정책 설명을 추가할 수 있습니다.
**중요**
지원 센터에서 사례를 볼 수 없는 경우 필요한 권한이 있는지 확인합니다. IAM 관리자에게 문의해야 할 수도 있습니다. 자세한 내용은 [에 대한 자격 증명 및 액세스 관리 AWS Support](security-iam.md) 단원을 참조하십시오.
## 에 대한 액세스 AWS Trusted Advisor
에서 별도의 `trustedadvisor` IAM 네임스페이스 AWS Management Console는에 대한 액세스를 제어합니다 Trusted Advisor. 지원 API에서 `support` IAM 네임스페이스는에 대한 액세스를 제어합니다 Trusted Advisor. 자세한 내용은 [에 대한 액세스 관리 AWS Trusted Advisor](security-trusted-advisor.md) 단원을 참조하십시오.
# AWS Support 플랜에 대한 액세스 관리
**Topics**
+ [Support 플랜 콘솔에 대한 권한](#using-the-trusted-advisor-console)
+ [Support 플랜 작업](#support-plans-actions)
+ [Support 플랜에 대한 예제 IAM 정책](#support-plans-policies)
+ [문제 해결](#troubleshooting-changing-support-plans)
## Support 플랜 콘솔에 대한 권한
Support Plans 콘솔에 액세스하려면 사용자에게 최소 권한 집합이 있어야 합니다. 이러한 권한은 사용자가 AWS 계정에서 Support Plans 리소스에 대한 세부 정보를 나열하고 볼 수 있도록 허용해야 합니다.
`supportplans` 네임스페이스를 사용하여 AWS Identity and Access Management (IAM) 정책을 생성할 수 있습니다. 이 정책을 사용하여 작업 및 리소스에 대한 권한을 지정할 수 있습니다.
정책을 생성할 때 서비스의 네임스페이스를 지정하여 작업을 허용하거나 거부할 수 있습니다. Support 플랜의 네임스페이스는 `supportplans`입니다.
AWS 관리형 정책을 사용하여 IAM 엔터티에 연결할 수 있습니다. 자세한 내용은 [AWS AWS Support 플랜에 대한 관리형 정책](managed-policies-aws-support-plans.md) 단원을 참조하십시오.
## Support 플랜 작업
콘솔에서 다음 Support Plans 작업을 수행할 수 있습니다. IAM 정책에 이러한 Support Plans 작업을 지정하여 특정 작업을 허용하거나 거부할 수도 있습니다.
| 작업 | 설명 |
| --- | --- |
| `GetSupportPlan` | 이 AWS 계정에 대한 현재 지원 플랜에 대한 자세한 정보를 확인할 권한을 부여합니다. |
| `GetSupportPlanUpdateStatus` | 지원 플랜 업데이트 요청에 대한 자세한 상태 정보를 확인할 권한을 부여합니다. |
| `StartSupportPlanUpdate` | 이 AWS 계정에 대한 지원 플랜 업데이트 요청을 시작할 권한을 부여합니다. |
| `CreateSupportPlanSchedule` | 이 AWS 계정에 대한 지원 플랜 스케줄을 생성할 수 있는 권한을 부여합니다. |
| `ListSupportPlanModifiers ` | 이 AWS 계정의 모든 지원 플랜 수정자 목록을 볼 수 있는 권한을 부여합니다. |
## Support 플랜에 대한 예제 IAM 정책
다음 정책 예제를 사용하면 Support Plans에 대한 액세스를 관리할 수 있습니다.
### Support 플랜에 대한 모든 액세스
다음 정책은 사용자의 Support Plans에 대한 모든 액세스를 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "supportplans:*",
"Resource": "*"
}
]
}
```
------
### Support 플랜에 대한 읽기 전용 액세스
다음 정책은 Support Plans에 대한 읽기 전용 액세스를 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "supportplans:Get*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "supportplans:List*",
"Resource": "*"
}
]
}
```
------
### Support 플랜에 대한 액세스 거부
다음 정책은 사용자의 Support Plans에 대한 모든 액세스를 허용하지 않습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "supportplans:*",
"Resource": "*"
}
]
}
```
------
## 문제 해결
다음 항목을 참조하여 Support 플랜에 대한 액세스를 관리합니다.
### 지원 플랜을 보거나 변경하려고 하면 Support 플랜 콘솔에 `GetSupportPlan` 권한이 누락되었다고 표시됩니다.
IAM 사용자에게는 Support 플랜 콘솔에 액세스하는 데 필요한 권한이 있어야 합니다. 누락된 권한을 포함하도록 IAM 정책을 업데이트하거나 AWSSupportPlansFullAccess 또는 AWSSupportPlansReadOnlyAccess와 같은 AWS 관리형 정책을 사용할 수 있습니다. 자세한 내용은 [AWS AWS Support 플랜에 대한 관리형 정책](managed-policies-aws-support-plans.md) 단원을 참조하십시오.
IAM 정책을 업데이트할 수 있는 액세스 권한이 없는 경우 AWS 계정 관리자에게 문의하세요.
#### 관련 정보
자세한 설명은 *IAM 사용자 가이드*에서 다음 주제를 참조하세요:
+ [IAM 정책 시뮬레이터로 IAM 정책 테스트](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
+ [액세스 거부 오류 메시지 문제 해결](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_access-denied.html)
### 올바른 Support 플랜 권한이 있지만 여전히 같은 오류가 발생합니다.
AWS 계정 가의 일부인 멤버 계정인 경우 서비스 제어 정책(SCP) AWS Organizations을 업데이트해야 할 수 있습니다. SCP는 조직의 권한을 관리하는 정책 유형입니다.
Support 플랜은 *글로벌* 서비스이기 때문에 AWS 리전 제한 정책으로 인해 회원 계정에서 지원 플랜을 보거나 변경하지 못할 수 있습니다. IAM 및 Support 플랜과 같은 글로벌 서비스를 조직에 허용하려면 해당 SCP의 제외 목록에 서비스를 추가해야 합니다. 즉, SCP가 지정된를 거부하더라도 조직의 계정이 이러한 서비스에 액세스할 수 있습니다 AWS 리전.
Support 플랜을 예외로 추가하려면 SCP의 `"NotAction"` 목록에 `"supportplans:*"`을 입력하세요.
```
"supportplans:*",
```
SCP는 다음 정책 스니펫으로 표시될 수 있습니다.
**Example : 조직 내 Support 플랜 액세스를 허용하는 SCP**
```
{ "Version": "2012-10-17",
"Statement": [
{ "Sid": "GRREGIONDENY",
"Effect": "Deny",
"NotAction": [
"aws-portal:*",
"budgets:*",
"chime:*"
"iam:*",
"supportplans:*",
....
```
멤버 계정이 있지만 SCP를 업데이트할 수 없는 경우 AWS 계정 관리자에게 문의하세요. 관리 계정은 모든 멤버 계정이 Support 플랜에 액세스할 수 있도록 SCP를 업데이트해야 할 수 있습니다.
**에 대한 참고 사항 AWS Control Tower**
조직에서와 함께 SCP를 사용하는 경우 **요청된 제어(일반적으로 리전 거부 제어라고 함)를 AWS 기반으로 액세스 거부를 AWS 리전** 로 업데이트할 AWS Control Tower수 있습니다.
를 허용 AWS Control Tower 하도록에 대한 SCP를 업데이트하면 드리프트를 `supportplans`복구하면 SCP에 대한 업데이트가 제거됩니다. 자세한 내용은 [드리프트 감지 및 해결을 참조하세요 AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html).
#### 관련 정보
자세한 내용은 다음 항목을 참조하세요.
+ *AWS Organizations 사용 설명서*의 [서비스 제어 정책(SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ *AWS Control Tower 사용 설명서*의 [리전 거부 제어 구성](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html)
+ *AWS Control Tower 사용 설명서*의 [요청에 AWS 따라에 대한 액세스 거부 AWS 리전](https://docs.aws.amazon.com/controltower/latest/userguide/data-residency-controls.html#primary-region-deny-policy)
# 에 대한 액세스 관리 AWS Trusted Advisor
AWS Trusted Advisor 에서에 액세스할 수 있습니다 AWS Management Console. 모든 AWS 계정 는 일부 핵심 [Trusted Advisor 검사에](https://aws.amazon.com//premiumsupport/faqs/#TaFree) 액세스할 수 있습니다. AWS Business Support\$1, AWS Enterprise Support 또는 AWS 통합 운영 플랜이 있는 경우 모든 검사에 액세스할 수 있습니다. 자세한 내용은 섹션을 참조하세요[AWS Trusted Advisor 참조 확인](trusted-advisor-check-reference.md).
AWS Identity and Access Management (IAM)을 사용하여에 대한 액세스를 제어할 수 있습니다 Trusted Advisor.
**Topics**
+ [Trusted Advisor 콘솔에 대한 권한](#using-the-trusted-advisor-console)
+ [Trusted Advisor 작업](#trusted-advisor-operations)
+ [IAM 정책 예시](#iam-policy-examples-trusted-advisor)
+ [다음 사항도 참조하세요.](#see-also-security-trusted-advisor)
## Trusted Advisor 콘솔에 대한 권한
Trusted Advisor 콘솔에 액세스하려면 사용자에게 최소 권한 집합이 있어야 합니다. 이러한 권한은 사용자가의 Trusted Advisor 리소스에 대한 세부 정보를 나열하고 볼 수 있도록 허용해야 합니다 AWS 계정.
다음 옵션을 사용하여 Trusted Advisor에 대한 액세스를 제어할 수 있습니다.
+ Trusted Advisor 콘솔의 태그 필터 기능을 사용합니다. 사용자 또는 역할에 태그와 연결된 권한이 있어야 합니다.
AWS 관리형 정책 또는 사용자 지정 정책을 사용하여 태그별로 권한을 할당할 수 있습니다. 자세한 내용은 [태그를 사용하여 IAM 사용자 및 역할에 대한 액세스 제어](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)를 참조하세요.
+ `trustedadvisor` 네임스페이스를 사용하여 IAM 정책을 생성합니다. 이 정책을 사용하여 작업 및 리소스에 대한 권한을 지정할 수 있습니다.
정책을 생성할 때 서비스의 네임스페이스를 지정하여 작업을 허용하거나 거부할 수 있습니다. 의 네임스페이스는 Trusted Advisor 입니다`trustedadvisor`. 그러나 `trustedadvisor` 네임스페이스를 사용하여 Trusted Advisor API에서 지원 API 작업을 허용하거나 거부할 수 없습니다. 대신 지원 에 대해 `support` 네임스페이스를 사용해야 합니다.
**참고**
[AWS Support](https://docs.aws.amazon.com/awssupport/latest/APIReference/) API에 대한 권한이 있는 경우의 Trusted Advisor 위젯에 Trusted Advisor 결과에 대한 요약 보기가 AWS Management Console 표시됩니다. Trusted Advisor 콘솔에서 결과를 보려면 `trustedadvisor` 네임스페이스에 대한 권한이 있어야 합니다.
## Trusted Advisor 작업
콘솔에서 다음 Trusted Advisor 작업을 수행할 수 있습니다. IAM 정책에서 이러한 Trusted Advisor 작업을 지정하여 특정 작업을 허용하거나 거부할 수도 있습니다.
| 작업 | 설명 |
| --- | --- |
| `DescribeAccount` | 지원 계획 및 다양한 Trusted Advisor 기본 설정을 볼 수 있는 권한을 부여합니다. |
| `DescribeAccountAccess` | 가 활성화 또는 비활성화되었는지 여부를 볼 수 AWS 계정 있는 권한을 부여합니다 Trusted Advisor. |
| `DescribeCheckItems` | 검사 항목에 대한 세부 정보를 볼 수 있는 권한을 부여합니다. |
| `DescribeCheckRefreshStatuses` | Trusted Advisor 검사에 대한 새로 고침 상태를 볼 수 있는 권한을 부여합니다. |
| `DescribeCheckSummaries` | Trusted Advisor 검사 요약을 볼 수 있는 권한을 부여합니다. |
| `DescribeChecks` | Trusted Advisor 검사에 대한 세부 정보를 볼 수 있는 권한을 부여합니다. |
| `DescribeNotificationPreferences` | AWS 계정에 대한 알림 기본 설정을 볼 수 있는 권한을 부여합니다. |
| `ExcludeCheckItems` | Trusted Advisor 검사에 대한 권장 사항을 제외할 수 있는 권한을 부여합니다. |
| `IncludeCheckItems` | Trusted Advisor 검사에 대한 권장 사항을 포함시킬 수 있는 권한을 부여합니다. |
| `RefreshCheck` | Trusted Advisor 검사를 새로 고칠 수 있는 권한을 부여합니다. |
| `SetAccountAccess` | 계정에 Trusted Advisor 대해를 활성화하거나 비활성화할 수 있는 권한을 부여합니다. |
| `UpdateNotificationPreferences` | Trusted Advisor에 대한 알림 기본 설정을 업데이트할 수 있는 권한을 부여합니다. |
| `DescribeCheckStatusHistoryChanges` | 지난 30일 동안에 나타난 검사 결과 및 변경된 상태를 확인할 수 있는 권한을 부여합니다. |
### Trusted Advisor 조직 보기에 대한 작업
다음 Trusted Advisor 작업은 조직 보기 기능을 위한 것입니다. 자세한 내용은 [에 대한 조직 보기 AWS Trusted Advisor](organizational-view.md) 단원을 참조하십시오.
| 작업 | 설명 |
| --- | --- |
| `DescribeOrganization` | 가 조직 보기 기능을 활성화하기 위한 요구 사항을 AWS 계정 충족하는지 확인할 수 있는 권한을 부여합니다. |
| `DescribeOrganizationAccounts` | 조직에 있는 연결된 AWS 계정을 볼 수 있는 권한을 부여합니다. |
| `DescribeReports` | 보고서 이름, 런타임, 생성 날짜, 상태 및 형식과 같은 조직 보기 보고서의 세부 정보를 볼 수 있는 권한을 부여합니다. |
| `DescribeServiceMetadata` | , 검사 범주 AWS 리전, 검사 이름 및 리소스 상태와 같은 조직 보기 보고서에 대한 정보를 볼 수 있는 권한을 부여합니다. |
| `GenerateReport` | 조직의 Trusted Advisor 검사에 대한 보고서를 생성할 수 있는 권한을 부여합니다. |
| `ListAccountsForParent` | Trusted Advisor 콘솔에서 루트 또는 조직 단위(OU)에 포함된 AWS 조직의 모든 계정을 볼 수 있는 권한을 부여합니다. |
| `ListOrganizationalUnitsForParent` | Trusted Advisor 콘솔에서 상위 조직 단위 또는 루트의 모든 조직 단위(OUs)를 볼 수 있는 권한을 부여합니다. |
| `ListRoots` | Trusted Advisor 콘솔에서 AWS 조직에 정의된 모든 루트를 볼 수 있는 권한을 부여합니다. |
| `SetOrganizationAccess` | 조직 보기 기능을 활성화할 수 있는 권한을 부여합니다 Trusted Advisor. |
### Trusted Advisor 우선 순위 작업
계정에 대해 Trusted Advisor Priority를 활성화한 경우 콘솔에서 다음 Trusted Advisor 작업을 수행할 수 있습니다. IAM 정책에 이러한 Trusted Advisor 작업을 추가하여 특정 작업을 허용하거나 거부할 수도 있습니다. 자세한 내용은 [Trusted Advisor Priority에 대한 IAM 정책 예제](#trusted-advisor-priority-policies) 단원을 참조하십시오.
**참고**
Trusted Advisor Priority에 표시되는 위험은 기술 계정 관리자(TAM)가 계정에 대해 식별한 권장 사항입니다. Trusted Advisor 검사 등 서비스의 권장 사항이 자동으로 생성됩니다. TAM의 권장 사항은 수동으로 생성됩니다. 다음으로 TAM은 계정의 Trusted Advisor Priority에 표시되도록 이러한 권장 사항을 전송합니다.
자세한 내용은 [AWS Trusted Advisor Priority 시작하기](trusted-advisor-priority.md) 단원을 참조하십시오.
| 작업 | 설명 |
| --- | --- |
| `DescribeRisks` | Trusted Advisor Priority에서 위험을 볼 수 있는 권한을 부여합니다. |
| `DescribeRisk` | Trusted Advisor Priority에서 위험 세부 정보를 볼 수 있는 권한을 부여합니다. |
| `DescribeRiskResources` | Trusted Advisor Priority 내 위험으로부터 영향을 받는 리소스를 볼 수 있는 권한을 부여합니다. |
| `DownloadRisk` | Trusted Advisor Priority의 위험에 대한 세부 정보가 포함된 파일을 다운로드할 수 있는 권한을 부여합니다. |
| `UpdateRiskStatus` | Trusted Advisor Priority 내 위험 상태를 업데이트할 수 있는 권한을 부여합니다. |
| `DescribeNotificationConfigurations` | Trusted Advisor Priority에 대한 이메일 알림 기본 설정을 가져올 수 있는 권한을 부여합니다. |
| `UpdateNotificationConfigurations` | Trusted Advisor Priority에 대한 이메일 알림 기본 설정을 생성 또는 업데이트할 수 있는 권한을 부여합니다. |
| `DeleteNotificationConfigurationForDelegatedAdmin` | 조직 관리 계정에 Trusted Advisor Priority의 위임된 관리자 계정에서 이메일 알림 기본 설정을 삭제할 수 있는 권한을 부여합니다. |
## IAM 정책 예시
다음 정책은 Trusted Advisor에 대한 액세스를 허용 및 거부하는 방법을 보여 줍니다. 다음 정책 중 하나를 사용하여 IAM 콘솔에서 *고객 관리형 정책*을 생성할 수 있습니다. 예를 들어 예제 정책을 복사한 다음 IAM 콘솔의 [JSON 탭](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor)에 붙여넣을 수 있습니다. 그런 다음 정책을 IAM 사용자, 그룹 또는 역할에 연결할 수 있습니다.
IAM 정책을 생성하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM 정책 생성(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)을 참조하세요.
**Topics**
+ [에 대한 전체 액세스 Trusted Advisor](#full-access-trusted-advisor)
+ [에 대한 읽기 전용 액세스 Trusted Advisor](#read-only-access-trusted-advisor)
+ [에 대한 액세스 거부 Trusted Advisor](#no-access-trusted-advisor)
+ [특정 작업 허용 및 거부](#allow-specific-actions-trusted-advisor)
+ [의 지원 API 작업에 대한 액세스 제어 Trusted Advisor](#control-access-to-trusted-advisor-deny-support)
+ [Trusted Advisor Priority에 대한 IAM 정책 예제](#trusted-advisor-priority-policies)
### 에 대한 전체 액세스 Trusted Advisor
다음 정책은 사용자가 Trusted Advisor 콘솔에서 모든 검사를 보고 모든 Trusted Advisor 작업을 수행할 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "trustedadvisor:*",
"Resource": "*"
}
]
}
```
------
### 에 대한 읽기 전용 액세스 Trusted Advisor
다음 정책은 사용자가 Trusted Advisor 콘솔에 대한 읽기 전용 액세스를 허용합니다. 사용자는 점검 새로 고침 또는 알림 기본 설정 변경과 같은 변경 작업을 수행할 수 없습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"trustedadvisor:Describe*",
"trustedadvisor:Get*",
"trustedadvisor:List*"
],
"Resource": "*"
}
]
}
```
------
### 에 대한 액세스 거부 Trusted Advisor
다음 정책은 사용자가 Trusted Advisor 콘솔에서 검사를 보거나 조치를 Trusted Advisor 취하는 것을 허용하지 않습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "trustedadvisor:*",
"Resource": "*"
}
]
}
```
------
### 특정 작업 허용 및 거부
다음 정책은 사용자가 콘솔에서 Trusted Advisor 모든 Trusted Advisor 검사를 볼 수 있도록 허용하지만 검사를 새로 고칠 수는 없습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "trustedadvisor:*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "trustedadvisor:RefreshCheck",
"Resource": "*"
}
]
}
```
------
### 의 지원 API 작업에 대한 액세스 제어 Trusted Advisor
에서 별도의 `trustedadvisor` IAM 네임스페이스 AWS Management Console는에 대한 액세스를 제어합니다 Trusted Advisor. `trustedadvisor` 네임스페이스를 사용하여 Trusted Advisor API에서 지원 API 작업을 허용하거나 거부할 수 없습니다. 대신 `support` 네임스페이스를 사용합니다. Trusted Advisor 프로그래밍 방식으로를 호출하려면 지원 API에 대한 권한이 있어야 합니다.
예를 들어, [RefreshTrustedAdvisorCheck](https://docs.aws.amazon.com/awssupport/latest/APIReference/API_RefreshTrustedAdvisorCheck.html) 작업을 호출하려면 정책에 이 작업에 대한 권한이 있어야 합니다.
**Example : Trusted Advisor API 작업만 허용**
다음 정책은 사용자가의 지원 API 작업에 액세스할 수 있도록 허용 Trusted Advisor하지만 나머지 지원 API 작업은 허용하지 않습니다. 예를 들어 사용자는 API를 사용하여 검사를 보거나 새로 고칠 수 있습니다. AWS Support 사례를 생성, 보기, 업데이트 또는 해결할 수 없습니다.
이 정책을 사용하여 Trusted Advisor API 작업을 프로그래밍 방식으로 호출할 수 있지만이 정책을 사용하여 콘솔에서 Trusted Advisor 검사를 보거나 새로 고칠 수는 없습니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"support:DescribeTrustedAdvisorCheckRefreshStatuses",
"support:DescribeTrustedAdvisorCheckResult",
"support:DescribeTrustedAdvisorChecks",
"support:DescribeTrustedAdvisorCheckSummaries",
"support:RefreshTrustedAdvisorCheck",
"trustedadvisor:Describe*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"support:AddAttachmentsToSet",
"support:AddCommunicationToCase",
"support:CreateCase",
"support:DescribeAttachment",
"support:DescribeCases",
"support:DescribeCommunications",
"support:DescribeServices",
"support:DescribeSeverityLevels",
"support:ResolveCase"
],
"Resource": "*"
}
]
}
```
IAM이 지원 및와 작동하는 방식에 대한 자세한 내용은 섹션을 Trusted Advisor참조하세요[작업](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions).
### Trusted Advisor Priority에 대한 IAM 정책 예제
다음 AWS 관리형 정책을 사용하여 Trusted Advisor Priority에 대한 액세스를 제어할 수 있습니다. 자세한 내용은 [AWS 에 대한 관리형 정책 AWS Trusted Advisor](aws-managed-policies-for-trusted-advisor.md) 및 [AWS Trusted Advisor Priority 시작하기](trusted-advisor-priority.md) 섹션을 참조하세요.
## 다음 사항도 참조하세요.
Trusted Advisor 권한에 대한 자세한 내용은 다음 리소스를 참조하세요.
+ *IAM 사용 설명서*의 [AWS Trusted Advisor에서 정의한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awstrustedadvisor.html#awstrustedadvisor-actions-as-permissions).
+ [Trusted Advisor 콘솔에 대한 액세스 제어](https://aws.amazon.com/premiumsupport/ta-iam/)
# 에 대한 서비스 제어 정책 예제 AWS Trusted Advisor
AWS Trusted Advisor 는 서비스 제어 정책(SCPs 지원합니다. SCP는 조직 내 구성 요소에 연결하여 해당 조직 내의 권한을 관리하는 정책입니다. SCP는 [ SCP를 연결하는 요소의](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html) 모든 AWS 계정에 적용됩니다. SCP는 조직의 모든 계정에 사용 가능한 최대 권한을 중앙에서 제어합니다. 이는 AWS 계정이 조직의 액세스 제어 지침 내에서 유지되도록 하는 데 도움이 될 수 있습니다. 자세한 내용은AWS Organizations 사용 설명서의 [서비스 제어 정책](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)을 참조하세요.**
**Topics**
+ [사전 조건](#prerequisites-trusted-advisor-scps)
+ [예제 서비스 제어 정책](#example-service-control-policies)
## 사전 조건
SCP를 사용하려면 먼저 다음 사항을 수행해야 합니다.
+ 조직 내에서 모든 기능을 활성화합니다. 자세한 내용은AWS Organizations 사용 설명서**의 [조직 내 모든 기능 활성화](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)를 참조하세요.
+ 조직에 대해 SCP를 활성화합니다. 자세한 내용은 *AWS Organizations 사용 설명서*의 [정책 유형 활성화 및 비활성화](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html)를 참조하세요.
+ 필요한 SCP를 생성합니다. SCP를 생성하는 방법에 대한 자세한 내용은 *AWS Organizations 사용 설명서*의 [서비스 제어 정책 생성, 업데이트 및 삭제](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html)를 참조하세요.
## 예제 서비스 제어 정책
다음 예에서는 조직에서 리소스 공유의 다양한 측면을 제어할 수 있는 방법을 보여줍니다.
**Example : 사용자가 Trusted Advisor Engage에서 참여를 생성하거나 편집하지 못하도록 방지**
다음 SCP는 사용자가 새 계약을 만들거나 기존 계약을 편집하지 못하도록 합니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"trustedadvisor:CreateEngagement",
"trustedadvisor:UpdateEngagement*"
],
"Resource": [
"*"
]
}
]
}
```
**Example : Trusted Advisor 참여 거부 및 Trusted Advisor 우선 액세스**
다음 SCP는 사용자가 Trusted Advisor 참여 및 Trusted Advisor 우선순위 내에서 어떤 작업에도 액세스하거나 수행할 수 없도록 합니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"trustedadvisor:ListEngagement*",
"trustedadvisor:GetEngagement*",
"trustedadvisor:CreateEngagement*",
"trustedadvisor:UpdateEngagement*",
"trustedadvisor:DescribeRisk*",
"trustedadvisor:UpdateRisk*",
"trustedadvisor:DownloadRisk"
],
"Resource": [
"*"
]
}
]
}
```
# AWS Support 자격 증명 및 액세스 문제 해결
다음 정보를 사용하여 및 IAM으로 작업할 때 발생할 수 있는 일반적인 문제를 진단 지원 하고 수정할 수 있습니다.
**Topics**
+ [iam:PassRole을 수행하도록 인증되지 않음](#security_iam_troubleshoot-passrole)
+ [액세스 키를 보아야 합니다.](#security_iam_troubleshoot-access-keys)
+ [관리자인데 다른 사람이에 액세스하도록 허용하려고 함 지원](#security_iam_troubleshoot-admin-delegate)
+ [내 AWS 계정 외부의 사람이 내 지원 리소스에 액세스하도록 허용하려고 함](#security_iam_troubleshoot-cross-account-access)
## iam:PassRole을 수행하도록 인증되지 않음
`iam:PassRole` 작업을 수행할 수 있는 권한이 없다는 오류가 수신되면 지원에 역할을 전달할 수 있도록 정책을 업데이트해야 합니다.
일부 AWS 서비스 에서는 새 서비스 역할 또는 서비스 연결 역할을 생성하는 대신 기존 역할을 해당 서비스에 전달할 수 있습니다. 이렇게 하려면 역할을 서비스에 전달할 권한이 있어야 합니다.
다음 예 오류는 `marymajor`라는 IAM 사용자가 콘솔을 사용하여 지원에서 작업을 수행하려고 하는 경우에 발생합니다. 하지만 작업을 수행하려면 서비스 역할이 부여한 권한이 서비스에 있어야 합니다. Mary는 서비스에 역할을 전달할 권한이 없습니다.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
이 경우, Mary가 `iam:PassRole`작업을 수행할 수 있도록 Mary의 정책을 업데이트해야 합니다.
도움이 필요한 경우 AWS 관리자에게 문의하세요. 관리자는 로그인 자격 증명을 제공한 사람입니다.
## 액세스 키를 보아야 합니다.
IAM 사용자 액세스 키를 생성한 후에는 언제든지 액세스 키 ID를 볼 수 있습니다. 하지만 보안 액세스 키는 다시 볼 수 없습니다. 보안 액세스 키를 잃어버린 경우 새로운 액세스 키 페어를 생성해야 합니다.
액세스 키는 액세스 키 ID(예: `AKIAIOSFODNN7EXAMPLE`)와 보안 액세스 키(예: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`)의 두 가지 부분으로 구성됩니다. 사용자 이름 및 암호와 같이 액세스 키 ID와 보안 액세스 키를 함께 사용하여 요청을 인증해야 합니다. 사용자 이름과 암호를 관리하는 것처럼 안전하게 액세스 키를 관리합니다.
**중요**
[정식 사용자 ID를 찾는 데](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId) 도움이 되더라도 액세스 키를 타사에 제공하지 마시기 바랍니다. 이렇게 하면 누군가에게에 대한 영구 액세스 권한을 부여할 수 있습니다 AWS 계정.
액세스 키 페어를 생성할 때는 액세스 키 ID와 보안 액세스 키를 안전한 위치에 저장하라는 메시지가 나타납니다. 보안 액세스 키는 생성할 때만 사용할 수 있습니다. 하지만 보안 액세스 키를 잃어버린 경우 새로운 액세스 키를 IAM 사용자에게 추가해야 합니다. 최대 두 개의 액세스 키를 가질 수 있습니다. 이미 두 개가 있는 경우 새로 생성하려면 먼저 키 페어 하나를 삭제해야 합니다. 지침을 보려면 *IAM 사용 설명서*의 [액세스 키 관리](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)를 참조하십시오.
## 관리자인데 다른 사람이에 액세스하도록 허용하려고 함 지원
다른 사용자에게 액세스를 허용하려면 액세스 권한이 필요한 사용자 또는 애플리케이션에 권한을 부여해야 지원합니다. AWS IAM Identity Center 를 사용하여 사용자 및 애플리케이션을 관리하는 경우 사용자 또는 그룹에 권한 세트를 할당하여 액세스 수준을 정의합니다. 권한 세트는 IAM 정책을 자동으로 생성하고 사용자 또는 애플리케이션과 연결된 IAM 역할에 할당합니다. 자세한 내용은 *AWS IAM Identity Center 사용 설명서*에서 [권한 세트](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)를 참조하세요.
IAM Identity Center를 사용하지 않는 경우 액세스가 필요한 사용자 또는 애플리케이션에 대한 IAM 엔터티(사용자 또는 역할)를 생성해야 합니다. 그런 다음 지원에 대한 올바른 권한을 부여하는 정책을 엔터티에 연결해야 합니다. 권한이 부여되면 사용자 또는 애플리케이션 개발자에게 자격 증명을 제공합니다. 이들은 이 자격 증명을 사용하여 AWS에 액세스합니다. IAM 사용자, 그룹, 정책 및 권한 생성에 대해 자세히 알아보려면 *IAM 사용자 설명서*의 [IAM 자격 증명](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)과 [IAM의 권한 및 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)을 참조하세요.
## 내 AWS 계정 외부의 사람이 내 지원 리소스에 액세스하도록 허용하려고 함
다른 계정의 사용자 또는 조직 외부의 사람이 리소스에 액세스할 때 사용할 수 있는 역할을 생성할 수 있습니다. 역할을 수임할 신뢰할 수 있는 사람을 지정할 수 있습니다. 리소스 기반 정책 또는 액세스 제어 목록(ACL)을 지원하는 서비스의 경우, 이러한 정책을 사용하여 다른 사람에게 리소스에 대한 액세스 권한을 부여할 수 있습니다.
자세한 내용은 다음을 참조하세요.
+ 에서 이러한 기능을 지원 지원하는지 여부를 알아보려면 섹션을 참조하세요[AWS Support 에서 IAM을 사용하는 방법](security_iam_service-with-iam.md).
+ 소유 AWS 계정 한의 리소스에 대한 액세스 권한을 제공하는 방법을 알아보려면 [IAM 사용 설명서의 소유한 다른의 IAM 사용자에게 액세스 권한 제공을 참조 AWS 계정 하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html). **
+ 타사에 리소스에 대한 액세스 권한을 제공하는 방법을 알아보려면 *IAM 사용 설명서*의 [타사가 AWS 계정 소유한에 대한 액세스 권한 제공을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) AWS 계정참조하세요.
+ ID 페더레이션을 통해 액세스 권한을 제공하는 방법을 알아보려면 *IAM 사용 설명서*의 [외부에서 인증된 사용자에게 액세스 권한 제공(ID 페더레이션)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)을 참조하세요.
+ 크로스 계정 액세스에 대한 역할과 리소스 기반 정책 사용의 차이점을 알아보려면 *IAM 사용 설명서*의 [IAM의 크로스 계정 리소스 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)를 참조하세요.