

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon EBS 스냅샷 아카이빙에 필요한 IAM 권한
<a name="snapshot-archiving-iam"></a>

기본적으로 사용자에게는 스냅샷 아카이빙을 사용할 수 있는 권한이 없습니다. 사용자가 스냅샷 아카이브를 사용하도록 허용하려면 특정 리소스 및 API 작업을 사용할 권한을 부여하는 IAM 정책을 생성해야 합니다. 자세한 내용은 IAM 사용 설명서의 [IAM 정책 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)을 참조하세요.

스냅샷 아카이빙을 사용하려면 사용자에게 다음 권한이 필요합니다.
+ `ec2:DescribeSnapshotTierStatus`
+ `ec2:ModifySnapshotTier`
+ `ec2:RestoreSnapshotTier`

콘솔 사용자에게는 `ec2:DescribeSnapshots` 등의 추가 권한이 필요할 수 있습니다.

암호화된 스냅샷을 아카이브하고 복원하려면 다음과 같은 추가 AWS KMS 권한이 필요합니다.
+ `kms:CreateGrant`
+ `kms:Decrypt`
+ `kms:DescribeKey`

다음은 암호화된 스냅샷과 암호화되지 않은 스냅샷을 보관 및 복원하고 볼 수 있는 권한을 IAM 사용자에게 부여하는 IAM 정책의 예제입니다. 여기에는 콘솔 사용자에 대한 `ec2:DescribeSnapshots` 권한이 포함됩니다. 일부 권한이 필요하지 않은 경우 정책에서 권한을 제거할 수 있습니다.

**작은 정보**  
최소 권한의 원칙을 따르려면 `kms:CreateGrant`에 대한 전체 액세스 권한을 허용하지 마세요. 대신 다음 예제와 같이 `kms:GrantIsForAWSResource` 조건 키를 사용하여 AWS 사용자가 서비스에 의해 사용자를 대신하여 권한 부여가 생성되는 경우에만 KMS 키에 대한 권한 부여를 생성할 수 있도록 허용합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "ec2:DescribeSnapshotTierStatus",
            "ec2:ModifySnapshotTier",
            "ec2:RestoreSnapshotTier",
            "ec2:DescribeSnapshots",
            "kms:CreateGrant",
            "kms:Decrypt",
            "kms:DescribeKey"
        ],
        "Resource": "*",
        "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
    }]
}
```

------

액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요.
+ 의 사용자 및 그룹 AWS IAM Identity Center:

  권한 세트를 생성합니다. *AWS IAM Identity Center 사용자 안내서*에서 [권한 세트 생성](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)의 지침을 따릅니다.
+ ID 제공업체를 통해 IAM에서 관리되는 사용자:

  ID 페더레이션을 위한 역할을 생성합니다. *IAM 사용자 설명서*의 [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)의 지침을 따릅니다.
+ IAM 사용자:
  + 사용자가 맡을 수 있는 역할을 생성합니다. *IAM 사용자 설명서*에서 [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)의 지침을 따릅니다.
  + (권장되지 않음) 정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. *IAM 사용 설명서*에서 [사용자(콘솔)에 권한 추가](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)의 지침을 따릅니다.