기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 에 할당된 IAM 역할에 대한 권한 AWS Config
<a name="iamrole-permissions"></a>

IAM 역할을 사용하면 권한 세트를 정의할 수 있습니다.는 S3 버킷에 쓰고, SNS 주제에 게시하고, AWS 리소스에 대한 구성 세부 정보를 가져오기 위해 `Describe` 또는 `List` API 요청을 하기 위해 할당한 역할을 AWS Config 가정합니다. IAM 역할에 대한 자세한 내용은 IAM 사용 설명서의 [IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/WorkingWithRoles.html) 섹션을 참조하세요.**

 AWS Config 콘솔을 사용하여 IAM 역할을 생성하거나 업데이트하면가 필요한 권한을 AWS Config 자동으로 연결합니다. 자세한 내용은 [콘솔을 사용하여 AWS Config 설정](gs-console.md) 단원을 참조하십시오.

**정책 및 규정 준수 결과**  
[IAM 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) 및 [AWS Organizations에서 관리되는 기타 정책](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html)은 AWS Config 에 리소스에 대한 구성 변경을 기록할 권한이 있는지 여부에 영향을 미칠 수 있습니다. 또한 규칙은 리소스의 구성을 직접 평가하며, 규칙은 평가를 실행할 때 이러한 정책을 고려하지 않습니다. 적용 중인 정책이 AWS Config사용 의도와 일치하는지 확인합니다.

**Contents**
+ [IAM 역할 정책 생성](#iam-role-policies)
  + [역할에 IAM 신뢰 정책 추가](#iam-trust-policy)
  + [S3 버킷에 대한 IAM 역할 정책](#iam-role-policies-S3-bucket)
  + [KMS 키에 대한 IAM 역할 정책](#iam-role-policies-S3-kms-key)
  + [Amazon SNS 주제에 대한 IAM 역할 정책](#iam-role-policies-sns-topic)
  + [구성 세부 정보를 가져오기 위한 IAM 역할 정책](#iam-role-policies-describe-apis)
  + [S3 버킷 기록에 대한 권한 관리](#troubleshooting-recording-s3-bucket-policy)

## IAM 역할 정책 생성
<a name="iam-role-policies"></a>

 AWS Config 콘솔을 사용하여 IAM 역할을 생성하면가 필요한 권한을 역할에 AWS Config 자동으로 연결합니다.

를 사용하여 AWS CLI 를 설정 AWS Config 하거나 기존 IAM 역할을 업데이트하는 경우가 S3 버킷에 AWS Config 액세스하고 SNS 주제에 게시하며 리소스에 대한 구성 세부 정보를 가져올 수 있도록 정책을 수동으로 업데이트해야 합니다.

### 역할에 IAM 신뢰 정책 추가
<a name="iam-trust-policy"></a>

가 역할을 AWS Config 수임하고 이를 사용하여 리소스를 추적할 수 있도록 하는 IAM 신뢰 정책을 생성할 수 있습니다. 신뢰 정책에 대한 자세한 내용은 **IAM 사용 설명서의 [역할 용어 및 개념](https://docs.aws.amazon.com/IAM/latest/UserGuide/d_roles_terms-and-concepts.html)을 참조하세요.

다음은 AWS Config 역할에 대한 신뢰 정책의 예입니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "{{sourceAccountID}}"
        }
      }
    }
  ]
}
```

------

위의 IAM 역할 신뢰 관계의 `AWS:SourceAccount` 조건을 사용하여 특정 계정을 대신하여 작업을 수행할 때 Config 서비스 보안 주체가 AWS IAM 역할과만 상호 작용하도록 제한할 수 있습니다.

AWS Config 는 소유 계정을 대신하여 작업을 수행할 때 Config 서비스 보안 주체가 IAM 역할만 수임하도록 제한하는 `AWS:SourceArn` 조건도 지원합니다. AWS Config 서비스 보안 주체를 사용하는 경우 `AWS:SourceArn` 속성은 항상 로 설정됩니다. `arn:aws:config:sourceRegion:sourceAccountID:*` 여기서 `sourceRegion`는 고객 관리형 구성 레코더의 리전이고 `sourceAccountID`는 고객 관리형 구성 레코더가 포함된 계정의 ID입니다.

예를 들어, 다음 조건을 추가하여 Config 서비스 위탁자가 `123456789012`: `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}` 계정의 `us-east-1` 리전 내 고객 관리형 구성 레코더를 대신해서만 IAM 역할을 수임하도록 제한할 수 있습니다.

### S3 버킷에 대한 IAM 역할 정책
<a name="iam-role-policies-S3-bucket"></a>

다음 예제 정책은 S3 버킷에 액세스할 수 있는 AWS Config 권한을 부여합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource":[
        "arn:aws:s3:::{{amzn-s3-demo-bucket}}/{{prefix}}/AWSLogs/{{myAccountID}}/*"
      ],
      "Condition":{
        "StringLike":{
          "s3:x-amz-acl":"bucket-owner-full-control"
        }
      }
    },
    {
      "Effect":"Allow",
      "Action":[
        "s3:GetBucketAcl"
      ],
      "Resource":"arn:aws:s3:::{{amzn-s3-demo-bucket}}"
    }
  ]
}
```

------

### KMS 키에 대한 IAM 역할 정책
<a name="iam-role-policies-S3-kms-key"></a>

다음 예제 정책은 S3 버킷 전송을 위해 새 객체에 KMS 기반 암호화를 사용할 수 있는 AWS Config 권한을 부여합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
        }
    ]
}
```

------

### Amazon SNS 주제에 대한 IAM 역할 정책
<a name="iam-role-policies-sns-topic"></a>

다음 예제 정책은 SNS 주제에 액세스할 수 있는 AWS Config 권한을 부여합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": 
   [
     {
      "Effect":"Allow",
      "Action":"sns:Publish",
      "Resource":"arn:aws:sns:us-east-1:123456789012:MyTopic"
     }
    ]
}
```

------

SNS 주제가 암호화된 경우 추가 설정 지침은 **Amazon Simple Notification Service 개발자 안내서의 [AWS KMS 권한 구성](https://docs.aws.amazon.com/sns/latest/dg/sns-server-side-encryption.html#sns-what-permissions-for-sse)을 참조하세요.

### 구성 세부 정보를 가져오기 위한 IAM 역할 정책
<a name="iam-role-policies-describe-apis"></a>

 AWS Config 서비스 연결 역할인를 사용하는 것이 좋습니다`AWSServiceRoleForConfig`. 서비스 연결 역할은 사전 정의되며가 다른를 호출하는 데 AWS Config 필요한 모든 권한을 포함합니다 AWS 서비스. AWS Config 서비스 연결 구성 레코더에는 서비스 연결 역할이 필요합니다. 자세한 내용은 [AWS Config에 대한 서비스 연결 역할 사용](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html)을 참조하십시오.

콘솔을 사용하여 역할을 생성하거나 업데이트하면 AWS Config 가 **AWSServiceRoleForConfig**를 연결합니다.

를 사용하는 경우 `attach-role-policy` 명령을 AWS CLI사용하고 **AWSServiceRoleForConfig**의 Amazon 리소스 이름(ARN)을 지정합니다.

```
$ aws iam attach-role-policy --role-name {{myConfigRole}} --policy-arn arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForConfig
```

### S3 버킷 기록에 대한 권한 관리
<a name="troubleshooting-recording-s3-bucket-policy"></a>

AWS Config 는 S3 버킷이 생성, 업데이트 또는 삭제될 때 알림을 기록하고 전송합니다.

 AWS Config 서비스 연결 역할인를 사용하는 것이 좋습니다`AWSServiceRoleForConfig`. 서비스 연결 역할은 사전 정의되며가 다른를 호출하는 데 AWS Config 필요한 모든 권한을 포함합니다 AWS 서비스. AWS Config 서비스 연결 구성 레코더에는 서비스 연결 역할이 필요합니다. 자세한 내용은 [AWS Config에 대한 서비스 연결 역할 사용](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html)을 참조하십시오.