기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Elastic Beanstalk가 보안 암호 및 파라미터에 액세스하는 데 필요한 IAM 권한
<a name="AWSHowTo.secrets.IAM-permissions"></a>

 AWS Secrets Manager 및 파라미터 AWS Systems Manager 스토어의 보안 암호와 파라미터를 가져오는 데 필요한 권한을 환경의 EC2 인스턴스에 부여해야 합니다. 권한은 EC2 [인스턴스 프로파일 역할](iam-instanceprofile.md)을 통해 EC2 인스턴스에 제공됩니다.

다음 섹션에서는 사용하는 서비스에 따라 EC2 인스턴스 프로파일에 추가해야 하는 특정 권한을 나열합니다. *IAM 사용 설명서*의 [역할에 대한 권한 정책 업데이트](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-permissions.html)에 제공된 단계에 따라 이러한 권한을 추가합니다.

**ECS 관리형 Docker 플랫폼에 대한 IAM 권한**  
ECS 관리형 Docker 플랫폼에는 이 주제에 제공된 권한 외에 추가 IAM 권한이 필요합니다. ECS 관리형 Docker 플랫폼 환경이 보안 암호와의 Elastic Beanstalk 환경 변수 통합을 지원하는 데 필요한 모든 권한에 대한 자세한 내용은 [실행 역할 ARN 형식](create_deploy_docker_v2config.md#create_deploy_docker_v2config_executionRoleArn_format)을 참조하세요.

**Topics**
+ [Secrets Manager에 필요한 IAM 권한](#AWSHowTo.secrets.IAM-permissions.secrets-manager)
+ [Systems Manager Parameter Store에 필요한 IAM 권한](#AWSHowTo.secrets.IAM-permissions.ssm-paramter-store)

## Secrets Manager에 필요한 IAM 권한
<a name="AWSHowTo.secrets.IAM-permissions.secrets-manager"></a>

다음 권한은 AWS Secrets Manager 스토어에서 암호화된 보안 암호를 가져올 수 있는 액세스 권한을 부여합니다.
+ secretsmanager:GetSecretValue
+ kms:Decrypt

보안 암호 AWS KMS key 가 기본 키 대신 고객 관리형 키를 사용하는 경우에만를 복호화할 수 있는 권한이 필요합니다. 사용자 지정 키 ARN을 추가하면 고객 관리형 키를 해독할 수 있는 권한이 추가됩니다.

**Example Secrets Manager 및 KMS 키 권한이 있는 정책**    
****  

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:111122223333:secret:my-secret",
                "arn:aws:kms:us-east-1:111122223333:key/my-key"
            ]
        }
    ]
}
```

## Systems Manager Parameter Store에 필요한 IAM 권한
<a name="AWSHowTo.secrets.IAM-permissions.ssm-paramter-store"></a>

다음 권한은 파라미터 스토어에서 암호화된 AWS Systems Manager 파라미터를 가져올 수 있는 액세스 권한을 부여합니다.
+ ssm:GetParameter
+ kms:Decrypt 

를 복호화할 수 있는 권한 AWS KMS key 은 기본 키 대신 고객 관리형 키를 사용하는 `SecureString` 파라미터 유형에만 필요합니다. 사용자 지정 키 ARN을 추가하면 고객 관리형 키를 해독할 수 있는 권한이 추가됩니다. 암호화되지 않은 일반 파라미터 유형인 `String` 및 에는이 필요하지 `StringList`않습니다 AWS KMS key.

**Example Systems Manager 및 AWS KMS 키 권한이 있는 정책**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetParameter",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:parameter/my-parameter",
                "arn:aws:kms:us-east-1:111122223333:key/my-key"
            ]
        }
    ]
}
```