기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# DataSync에 역할 사용
<a name="using-service-linked-roles-service-action-2"></a>

AWS DataSync 는 AWS Identity and Access Management (IAM) [서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 DataSync에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 DataSync에서 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.

서비스 연결 역할을 사용하면 필요한 권한을 수동으로 추가할 필요가 없으므로 DataSync를 더 쉽게 설정할 수 있습니다. DataSync에서 서비스 연결 역할의 권한을 정의하므로 다르게 정의되지 않은 한, DataSync만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.

먼저 관련 리소스를 삭제한 후에만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 부주의로 삭제할 수 없기 때문에 DataSync 리소스가 보호됩니다.

서비스 연결 역할을 지원하는 다른 서비스에 대한 자세한 내용은 [AWS IAM으로 작업하는 서비스를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 참조하고 **서비스 연결 역할** 열에서 **예**인 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예** 링크를 선택합니다.

## DataSync에 대한 서비스 연결 역할 권한
<a name="service-linked-role-permissions-service-action-2"></a>

DataSync는 **AWSServiceRoleForDataSync**라는 서비스 연결 역할을 사용합니다. DataSync는에서 보안 암호 읽기 AWS Secrets Manager, CloudWatch 로그 그룹 및 이벤트 생성 등 전송 작업 실행에 필요한 작업을 수행할 수 있습니다.

AWSServiceRoleForDataSync 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `datasync.amazonaws.com`

서비스 연결 역할은 [AWSDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdatasyncservicerolepolicy)라는 AWS 관리형 정책을 사용하며, 이를 통해 DataSync는 지정된 리소스에서 다음 작업을 완료할 수 있습니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "DataSyncCloudWatchLogCreateAccess",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:*:logs:*:*:log-group:/aws/datasync*"
            ]
        },
        {
            "Sid": "DataSyncCloudWatchLogStreamUpdateAccess",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:*:logs:*:*:log-group:/aws/datasync*:log-stream:*"
            ]
        },
        {
            "Sid": "DataSyncSecretsManagerReadAccess",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:*:secretsmanager:*:*:secret:aws-datasync!*"
            ],
            "Condition": {
                "StringEquals": {
                    "secretsmanager:ResourceTag/aws:secretsmanager:owningService": "aws-datasync",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}
```

------

사용자, 그룹 또는 역할이 서비스 연결 역할을 생성, 편집 또는 삭제할 수 있도록 사용 권한을 구성해야 합니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)을 참조하세요.

## DataSyn 에 대한 서비스 연결 역할 생성
<a name="create-service-linked-role-service-action-2"></a>

서비스 연결 역할은 수동으로 생성할 필요가 없습니다. AWS Management Console AWS CLI, 또는 AWS API에서 DataSync 작업을 생성하면 DataSync가 서비스 연결 역할을 생성합니다.

 AWS CLI 또는 AWS API에서 서비스 이름으로 `datasync.amazonaws.com` 서비스 연결 역할을 생성할 수 있습니다. 자세한 내용은 *IAM 사용자 설명서*의 [서비스 연결 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) 섹션을 참조하세요. 이 서비스 연결 역할을 삭제하면 동일한 프로세스를 사용하여 역할을 다시 생성할 수 있습니다.

이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. DataSync 작업을 생성할 때 DataSync는 사용자를 위해 서비스 연결 역할을 다시 생성합니다.

이 서비스 연결 역할을 삭제한 후 동일한 IAM 프로세스를 사용하여 역할을 다시 생성할 수 있습니다.

## DataSync에 대한 서비스 연결 역할 편집
<a name="edit-service-linked-role-service-action-2"></a>

DataSync는 AWSServiceRoleForDataSync 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.

## DataSync에 대한 서비스 연결 역할 삭제
<a name="delete-service-linked-role-service-action-2"></a>

서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 연결 역할을 정리해야 수동으로 삭제할 수 있습니다.

### 서비스 연결 역할을 정리
<a name="service-linked-role-review-before-delete-service-action-2"></a>

IAM을 사용하여 서비스 연결 역할을 삭제하기 전에 먼저 역할에서 사용되는 리소스를 삭제해야 합니다.

**참고**  
리소스를 삭제하려 할 때 DataSync 서비스가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

**AWSServiceRoleForDataSync에서 사용하는 DataSync 리소스를 삭제하는 방법**

1. 작업에서 사용하는 [DataSync 에이전트를 삭제](clean-up.md#deleting-agent)합니다(있는 경우).

1. [작업의 위치를 삭제](clean-up.md#deleting-location)합니다.

1. [작업을 삭제](clean-up.md#delete-task)합니다.

### 수동으로 서비스 연결 역할 삭제
<a name="slr-manual-delete-service-action-2"></a>

IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 AWSServiceRoleForDataSync 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)**를 참조하십시오.

## DataSync 서비스 연결 역할이 지원되는 리전
<a name="slr-regions-service-action-2"></a>

DataSync는 서비스를 사용할 수 있는 모든 리전에 서비스 연결 역할을 사용하도록 지원합니다. 자세한 내용은 [AWS 리전 및 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/rande.html) 단원을 참조하세요.