기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 리소스에 대한 액세스 관리
<a name="access-control-manage-access-intro"></a>

*권한 정책*은 누가 무엇에 액세스할 수 있는지를 나타냅니다. 다음 섹션에서는 권한 정책을 만드는 데 사용 가능한 옵션에 대해 설명합니다.

**참고**  
이 섹션에서는 AWS Control Tower의 맥락에서 IAM을 사용하는 방법에 대해 설명하며, IAM 서비스에 대한 자세한 내용은 다루지 않습니다. IAM 설명서의 전체 내용은 *IAM 사용자 안내서*의 [IAM이란?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)을 참조하세요. IAM 정책 구문과 설명에 대한 자세한 내용은 *IAM 사용자 안내서*의 [AWS IAM 정책 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)를 참조하세요.

IAM ID에 연결된 정책을 *ID 기반* 정책(IAM 정책)이라고 하며, 리소스에 연결된 정책을 *리소스 기반* 정책이라고 합니다.

**참고**  
 AWS Control Tower는 ID 기반 정책(IAM 정책)만 지원합니다.

**Topics**
+ [ID 기반 정책(IAM 정책) 정보](#access-control-manage-access-intro-iam-policies)
+ [역할 생성 및 권한 할당](assign-permissions.md)
+ [리소스 기반 정책](#access-control-manage-access-intro-resource-policies)

## ID 기반 정책(IAM 정책) 정보
<a name="access-control-manage-access-intro-iam-policies"></a>

정책을 IAM ID에 연결할 수 있습니다. 예를 들면, 다음을 수행할 수 있습니다.
+ **계정 내 사용자 또는 그룹에 권한 정책 연결** – 사용자에게 랜딩 존 설정과 같은 AWS Control Tower 리소스 생성 권한을 부여하려는 경우 사용자 혹은 해당 사용자가 속한 그룹에 권한 정책을 연결할 수 있습니다.
+  **역할에 정책 연결(교차 계정 권한 부여)** – ID 기반 권한 정책을 IAM 역할에 연결하여 교차 계정 권한을 부여할 수 있습니다. 예를 들어 한 AWS 계정의 관리자(*계정 A*)는 다른 AWS 계정(*계정 B*)에 교차 계정 권한을 부여하는 역할을 생성하거나 다른 서비스에 권한을 AWS 부여하는 역할을 생성할 수 있습니다.

  1. 계정 A 관리자는 IAM 역할을 생성하고 계정 A의 리소스에 대한 관리 권한을 부여하는 역할에 권한 정책을 연결합니다.

  1. 계정 A 관리자는 신뢰 정책을 역할에 연결합니다. 이 정책은 역할을 담당할 수 있는 위탁자로 계정 B를 식별합니다.

  1. 계정 B 관리자는 위탁자로서 계정 B의 모든 사용자에게 역할을 수임할 수 있는 권한을 부여할 수 있습니다. 계정 B의 사용자는 역할을 수임함으로써 계정 A에서 리소스를 생성하거나 계정 A의 리소스에 액세스할 수 있습니다.

  1.  AWS 서비스에 역할을 수임할 수 있는 기능(권한)을 부여하기 위해 신뢰 정책에서 지정하는 보안 주체가 AWS 서비스가 될 수 있습니다.

## 리소스 기반 정책
<a name="access-control-manage-access-intro-resource-policies"></a>

Amazon S3과 같은 다른 서비스도 리소스 기반 권한 정책을 지원합니다. 예를 들어, 정책을 S3 버킷에 연결하여 해당 버킷에 대한 액세스 권한을 관리할 수 있습니다. AWS Control Tower는 리소스 기반 정책을 지원하지 않습니다.