기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# IAM을 사용하여 휴지통에 대한 액세스 제어
기본적으로 사용자는 휴지통, 보존 규칙 또는 휴지통에 있는 리소스로 작업할 수 있는 권한이 없습니다. 사용자가 이러한 리소스로 작업하도록 허용하려면 특정 리소스 및 API 작업을 사용할 권한을 부여하는 IAM 정책을 생성해야 합니다. 정책이 생성된 후에는 사용자, 그룹 또는 역할에 권한을 추가해야 합니다.
**Topics**
+ [휴지통 및 보존 규칙 작업을 위한 권한](#rule-perms)
+ [휴지통의 리소스 작업을 위한 권한](#resource-perms)
+ [휴지통에 사용되는 조건 키](#rbin-condition-keys)
## 휴지통 및 보존 규칙 작업을 위한 권한
휴지통과 보존 규칙을 사용하려면 사용자에게 다음 권한이 필요합니다.
+ `rbin:CreateRule`
+ `rbin:UpdateRule`
+ `rbin:GetRule`
+ `rbin:ListRules`
+ `rbin:DeleteRule`
+ `rbin:TagResource`
+ `rbin:UntagResource`
+ `rbin:ListTagsForResource`
+ `rbin:LockRule`
+ `rbin:UnlockRule`
휴지통 콘솔을 사용하려면 사용자에게 `tag:GetResources` 권한이 필요합니다.
다음은 콘솔 사용자의 `tag:GetResources` 권한을 포함하는 IAM 정책의 예입니다. 일부 권한이 필요하지 않은 경우 정책에서 권한을 제거할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rbin:CreateRule",
"rbin:UpdateRule",
"rbin:GetRule",
"rbin:ListRules",
"rbin:DeleteRule",
"rbin:TagResource",
"rbin:UntagResource",
"rbin:ListTagsForResource",
"rbin:LockRule",
"rbin:UnlockRule",
"tag:GetResources"
],
"Resource": "*"
}
]
}
```
------
액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요.
+ 의 사용자 및 그룹 AWS IAM Identity Center:
권한 세트를 생성합니다. *AWS IAM Identity Center 사용자 안내서*에서 [권한 세트 생성](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)의 지침을 따릅니다.
+ ID 제공업체를 통해 IAM에서 관리되는 사용자:
ID 페더레이션을 위한 역할을 생성합니다. *IAM 사용자 설명서*의 [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)의 지침을 따릅니다.
+ IAM 사용자:
+ 사용자가 맡을 수 있는 역할을 생성합니다. *IAM 사용자 설명서*에서 [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)의 지침을 따릅니다.
+ (권장되지 않음) 정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. *IAM 사용 설명서*에서 [사용자(콘솔)에 권한 추가](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)의 지침을 따릅니다.
## 휴지통의 리소스 작업을 위한 권한
휴지통의 리소스 작업에 필요한 IAM 권한에 대한 자세한 내용은 다음을 참조하세요.
+ [휴지통의 볼륨 작업에 대한 권한](recycle-bin-working-with-volumes.md#volume-perms)
+ [휴지통의 스냅샷 작업을 위한 권한](recycle-bin-working-with-snaps.md#snap-perms)
+ [휴지통의 AMI 작업을 위한 권한](recycle-bin-working-with-amis.md#ami-perms)
## 휴지통에 사용되는 조건 키
휴지통은 IAM 정책의 `Condition` 요소에서 정책 설명이 적용되는 조건을 제어하는 데 사용할 수 있는 다음의 조건 키를 정의합니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하세요.
**Topics**
+ [`rbin:Request/ResourceType` 조건 키](#resource-type-parameter)
+ [`rbin:Attribute/ResourceType` 조건 키](#resource-type-attribute)
### `rbin:Request/ResourceType` 조건 키
이 `rbin:Request/ResourceType` 조건 키는 `ResourceType` 요청 파라미터에 지정된 값을 기반으로 [CreateRule](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_CreateRule.html) 및 [ListRules](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_ListRules.html) 요청에 대한 액세스를 필터링하는 데 사용될 수 있습니다.
**예제 1 - CreateRule**
다음 샘플 IAM 정책은 `ResourceType` 요청 파라미터에 지정된 값이 `EBS_SNAPSHOT` 또는 `EC2_IMAGE`일 때만 IAM 보안 주체가 **CreateRule** 요청을 하도록 허용합니다. 이렇게 하면 보안 주체가 스냅샷 및 AMI에 대해서만 새 보존 규칙을 생성할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" :[
"rbin:CreateRule"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
}
}
}
]
}
```
------
**예제 2 - ListRules**
다음 샘플 IAM 정책은 `ResourceType` 요청 파라미터에 지정된 값이 `EBS_SNAPSHOT`일 때만 IAM 보안 주체가 **ListRules** 요청을 하도록 허용합니다. 이렇게 하면 보안 주체가 스냅샷에 대해서만 보존 규칙을 나열할 수 있으며 다른 리소스 유형에 대한 보존 규칙을 나열할 수 없습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" :[
"rbin:ListRules"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"rbin:Request/ResourceType" : "EBS_SNAPSHOT"
}
}
}
]
}
```
------
### `rbin:Attribute/ResourceType` 조건 키
이 `rbin:Attribute/ResourceType` 조건 키는 보존 규칙의 `ResourceType` 속성 값을 기준으로 [DeleteRule](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_DeleteRule.html), [GetRule](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_GetRule.html), [UpdateRule](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_UpdateRule.html), [LockRule](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_LockRule.html), [UnlockRule](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_UnlockRule.html), [TagResource](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_TagResource.html), [UntagResource](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_UntagResource.html) 및 [ListTagsForResource](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_ListTagsForResource.html) 요청에 대한 액세스를 필터링하는 데 사용될 수 있습니다.
**예제 1 - UpdateRule**
다음 샘플 IAM 정책은 요청된 보존 규칙의 `ResourceType` 속성이 `EBS_SNAPSHOT` 또는 `EC2_IMAGE`일 때만 IAM 보안 주체가 **UpdateRule** 요청을 하도록 허용합니다. 이렇게 하면 보안 주체가 스냅샷 및 AMI에 대해서만 보존 규칙을 업데이트할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" :[
"rbin:UpdateRule"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
}
}
}
]
}
```
------
**예제 2 - DeleteRule**
다음 샘플 IAM 정책은 요청된 보존 규칙의 `ResourceType` 속성이 `EBS_SNAPSHOT`일 때만 IAM 보안 주체가 **DeleteRule** 요청을 하도록 허용합니다. 이렇게 하면 보안 주체가 스냅샷에 대해서만 보존 규칙을 삭제할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" :[
"rbin:DeleteRule"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"rbin:Attribute/ResourceType" : "EBS_SNAPSHOT"
}
}
}
]
}
```
------