기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
IAM을 사용하여 EBS 다이렉트 API에 대한 액세스 제어
사용자는 다음 정책이 있어야 EBS 다이렉트 API를 사용할 수 있습니다. 자세한 내용은 IAM 사용자의 권한 변경을 참조하세요.
IAM 권한 정책에 사용할 수 있는 EBS 다이렉트 API 리소스, 작업 및 조건 컨텍스트 키에 대한 자세한 내용은 서비스 승인 참조에서 Amazon Elastic Block Store에 사용되는 작업, 리소스 및 조건 키를 참조하세요.
사용자에게 다음 정책을 할당할 때는 주의해야 합니다. 이 정책을 할당하면 CopySnapshot 또는 CreateVolume 작업과 같은 Amazon EC2 API를 통해 동일한 리소스에 액세스하는 것이 거부된 사용자에게 액세스 권한을 부여할 수 있습니다.
다음 정책은 특정 AWS 리전의 모든 스냅샷에서 읽기 EBS 다이렉트 APIs를 사용하도록 허용합니다. 정책에서 <Region>을 스냅샷의 리전으로 바꾸십시오.
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:<Region>::snapshot/*"
}
]
}
다음 정책은 특정 키-값 태그가 있는 스냅샷에 읽기 EBS 다이렉트 API를 사용할 수 있도록 허용합니다. 정책에서 <Key>를 태그의 키 값으로 바꾸고 <Value>를 태그 값으로 바꾸십시오.
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/<Key>": "<Value>"
}
}
}
]
}
다음 정책은 특정 시간 범위 내에서만 계정의 모든 스냅샷에 읽기 EBS 다이렉트 API를 사용할 수 있도록 허용합니다. 이 정책은 aws:CurrentTime 전역 조건 키를 기반으로 EBS 다이렉트 API를 사용할 수 있는 권한을 부여합니다. 정책에서 표시된 날짜 및 시간 범위를 정책의 날짜 및 시간 범위로 바꿔야 합니다.
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"DateGreaterThan": {
"aws:CurrentTime": "2018-05-29T00:00:00Z"
},
"DateLessThan": {
"aws:CurrentTime": "2020-05-29T23:59:59Z"
}
}
}
]
}
자세한 내용은 IAM 사용 설명서의 사용자의 권한 변경을 참조하세요.
다음 정책은 특정 AWS 리전의 모든 스냅샷에서 쓰기 EBS 다이렉트 APIs를 사용하도록 허용합니다. 정책에서 <Region>을 스냅샷의 리전으로 바꾸십시오.
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:StartSnapshot",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot"
],
"Resource": "arn:aws:ec2:<Region>::snapshot/*"
}
]
}
다음 정책은 특정 키-값 태그가 있는 스냅샷에 쓰기 EBS 다이렉트 API를 사용할 수 있도록 허용합니다. 정책에서 <Key>를 태그의 키 값으로 바꾸고 <Value>를 태그 값으로 바꾸십시오.
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:StartSnapshot",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/<Key>": "<Value>"
}
}
}
]
}
다음 정책은 모든 EBS 다이렉트 API를 사용할 수 있도록 허용합니다. 또한 상위 스냅샷 ID가 지정된 경우에 한해 StartSnapshot 작업을 허용합니다. 즉, 이 정책은 상위 스냅샷을 사용하지 않고는 새 스냅샷을 시작하지 못하도록 차단합니다.
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ebs:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*"
}
}
}
]
}
다음 정책은 모든 EBS 다이렉트 API를 사용할 수 있도록 허용합니다. 또한 새 스냅샷에 대해 user 태그 키만 생성할 수 있도록 합니다. 또한 이 정책은 사용자가 태그를 생성할 수 있는 액세스 권한을 갖도록 합니다. StartSnapshot 작업은 태그를 지정할 수 있는 유일한 작업입니다.
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ebs:*",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": "user"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "*"
}
]
}
다음 정책은 특정 시간 범위 내에서만 계정의 모든 스냅샷에 쓰기 EBS 다이렉트 API를 사용할 수 있도록 허용합니다. 이 정책은 aws:CurrentTime 전역 조건 키를 기반으로 EBS 다이렉트 API를 사용할 수 있는 권한을 부여합니다. 정책에서 표시된 날짜 및 시간 범위를 정책의 날짜 및 시간 범위로 바꿔야 합니다.
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:StartSnapshot",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"DateGreaterThan": {
"aws:CurrentTime": "2018-05-29T00:00:00Z"
},
"DateLessThan": {
"aws:CurrentTime": "2020-05-29T23:59:59Z"
}
}
}
]
}
자세한 내용은 IAM 사용 설명서의 사용자의 권한 변경을 참조하세요.
다음 정책은 특정 KMS 키를 사용하여 암호화된 스냅샷을 해독할 수 있는 권한을 부여합니다. 또한 EBS 암호화를 위한 기본 KMS 키를 사용하여 새 스냅샷을 암호화할 수 있는 권한을 부여합니다. 정책에서 <Region>을 KMS 키의 리전으로 바꾸고, <AccountId>를 KMS 키의 AWS 계정 ID로 바꾸고, <KeyId>를 KMS 키의 ID로 바꿉니다.
기본적으로 계정의 모든 보안 주체는 Amazon EBS 암호화를 위한 기본 AWS 관리형 KMS 키에 액세스할 수 있으며 EBS 암호화 및 복호화 작업에 사용할 수 있습니다. 고객 관리형 키를 사용하는 경우 고객 관리형 키에 대한 보안 주체 액세스 권한을 부여하려면 고객 관리형 키에 대한 새 키 정책을 생성하거나 기존 키 정책을 수정해야 합니다. 자세한 내용은AWS Key Management Service 개발자 안내서의 AWS KMS의 키 정책을 참조하세요.
최소 권한의 원칙을 따르려면 kms:CreateGrant에 대한 전체 액세스 권한을 허용하지 마세요. 대신 다음 예제와 AWS 같이 kms:GrantIsForAWSResource 조건 키를 사용하여 서비스가 사용자를 대신하여 권한 부여를 생성하는 경우에만 사용자가 KMS 키에 대한 권한 부여를 생성하도록 허용합니다.
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:ReEncrypt*",
"kms:CreateGrant",
"ec2:CreateTags",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:<Region>:<AccountId>:key/<KeyId>",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
자세한 내용은 IAM 사용 설명서의 사용자의 권한 변경을 참조하세요.
