# 3단계: IAM 권한 설정
<a name="getting-started-iam-permissions"></a>

다음으로 사용자에게 기본 권한 집합(예: Amazon IVS 채널 생성, 스트리밍 정보 가져오기, S3에 자동 레코딩)을 제공하는 AWS Identity and Access Management(IAM) 정책을 생성하고 해당 정책을 사용자에게 할당해야 합니다. [새 사용자](#iam-permissions-new-user)를 생성할 때 권한을 할당하거나 [기존 사용자](#iam-permissions-existing-user)에 권한을 추가할 수 있습니다. 두 절차 모두 아래에 나와 있습니다.

IAM 사용자 및 정책에 대한 자세한 내용, 사용자에게 정책을 연결하는 방법, Amazon IVS로 수행할 수 있는 작업 등 자세한 내용은 다음을 참조하세요.
+ *IAM 사용 설명서*의 [IAM 사용자 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#Using_CreateUser_console)
+ IAM 및 ‘IVS에 대한 관리형 정책’에 대한 [Amazon IVS 보안](security.md)의 정보입니다.
+ S3에 레코딩 기능의 경우:[서비스 연결 역할 사용](security-service-linked-roles.md) 및 *Amazon IVS 사용 설명서*의 [Amazon S3에 자동 레코딩](record-to-s3.md)

Amazon IVS에 대한 기존 AWS 관리형 정책을 사용하거나 사용자, 그룹 또는 역할 집합에 부여할 권한을 사용자 지정하는 새 정책을 생성할 수 있습니다. 아래에 두 가지 접근 방식이 모두 설명되어 있습니다.

## IVS 권한에 대한 기존 정책 사용
<a name="iam-permissions-existing-policy"></a>

대부분의 경우 Amazon IVS에 대한 AWS 관리형 정책을 사용하는 것이 좋습니다. **IVS 보안의 [IVS에 대한 관리형 정책](security-iam-awsmanpol.md) 섹션에 자세히 설명되어 있습니다.
+ `IVSReadOnlyAccess` AWS 관리형 정책을 사용하여 애플리케이션 개발자에게 모든 IVS Get 및 List API 정책에 대한 액세스 권한을 부여합니다(저지연 스트리밍과 실시간 스트리밍에 모두 해당).
+ `IVSFullAccess` AWS 관리형 정책을 사용하여 애플리케이션 개발자에게 모든 IVS API 작업에 대한 액세스 권한을 부여합니다(저지연 스트리밍과 실시간 스트리밍에 모두 해당).

## 선택 사항: Amazon IVS 권한에 대한 사용자 지정 정책 생성
<a name="iam-permissions-new-policy"></a>

다음 단계를 수행합니다.

1. AWS Management Console에 로그인하여 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.

1. 탐색 창에서 **정책**을 선택한 다음 **정책 생성**을 선택합니다. **권한 지정** 창이 열립니다.

1. **권한 지정** 창에서 **JSON** 탭을 선택하고 다음 IVS 정책을 복사하여 **권한 편집기** 텍스트 영역에 붙여넣습니다. (이 정책에 모든 Amazon IVS 작업이 포함되어 있는 것은 아닙니다. 필요에 따라 작업 액세스 권한을 추가/삭제(허용/거부)할 수 있습니다. IVS 작업에 대한 자세한 내용은 [IVS Low-Latency Streaming API Reference](https://docs.aws.amazon.com//ivs/latest/LowLatencyAPIReference/Welcome.html)를 참조하세요.)

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
         {
            "Effect": "Allow",
            "Action": [
               "ivs:CreateChannel",
               "ivs:CreateRecordingConfiguration",
               "ivs:GetChannel",
               "ivs:GetRecordingConfiguration",
               "ivs:GetStream",
               "ivs:GetStreamKey",
               "ivs:GetStreamSession",
               "ivs:ListChannels",
               "ivs:ListRecordingConfigurations",
               "ivs:ListStreamKeys",
               "ivs:ListStreams",
               "ivs:ListStreamSessions"
             ],
             "Resource": "*"
         },
         {
            "Effect": "Allow",
            "Action": [
               "cloudwatch:DescribeAlarms",
               "cloudwatch:GetMetricData",
               "s3:CreateBucket",
               "s3:GetBucketLocation",
               "s3:ListAllMyBuckets",
               "servicequotas:ListAWSDefaultServiceQuotas",
               "servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota",
               "servicequotas:ListServiceQuotas",
               "servicequotas:ListServices",
               "servicequotas:ListTagsForResource"
            ],
            "Resource": "*"
         },
         {
            "Effect": "Allow",
            "Action": [
               "iam:AttachRolePolicy",
               "iam:CreateServiceLinkedRole",
               "iam:PutRolePolicy"
            ],
            "Resource": 
   "arn:aws:iam::*:role/aws-service-role/ivs.amazonaws.com/AWSServiceRoleForIVSRecordToS3*"
         }
      ]
   }
   ```

------

1. 여전히 **권한 지정** 창에서 **다음**(창 아래쪽으로 스크롤하여 확인)을 선택합니다. **검토 및 생성** 창이 열립니다.

1. **검토 및 생성** 창에서 **정책 이름**을 입력하고 선택적으로 **설명**을 추가합니다. 사용자를 생성할 때(아래) 필요한 정책 이름을 기록해 둡니다. **정책 생성**(창 하단)을 선택합니다.

1. IAM 콘솔 창으로 돌아가면 새 정책이 생성되었음을 확인하는 배너가 표시됩니다.

## 새 사용자 생성 및 권한 추가
<a name="iam-permissions-new-user"></a>

### IAM 사용자 액세스 키
<a name="iam-permissions-new-user-access-keys"></a>

IAM 액세스 키는 액세스 키 ID와 비밀 액세스 키로 구성됩니다. 이 키들은 AWS에 보내는 프로그래밍 방식의 요청에 서명하는 데 사용됩니다. 액세스 키가 없는 경우 AWS Management Console에서 액세스 키를 생성할 수 있습니다. 루트 사용자 액세스 키는 사용하지 않는 것이 좋습니다.

*비밀 액세스 키는 액세스 키를 생성할 때만 보고 다운로드할 수 있습니다. 나중에 복구할 수 없습니다.* 언제든지 새 액세스 키를 생성할 수 있지만 필요한 IAM 작업을 수행할 수 있는 권한이 있어야 합니다.

항상 액세스 키를 안전하게 보관하세요. 절대로 (Amazon에서 문의가 온 것처럼 보여도) 제3자와 공유하지 마세요. 자세한 내용은 * IAM 사용 설명서*의 [IAM 사용자의 액세스 키 관리](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)를 참조하세요.

### 절차
<a name="iam-permissions-new-user-procedure"></a>

다음 단계를 따릅니다.

1. 탐색 창에서 **사용자**를 선택한 다음, **사용자 생성**을 선택합니다. **사용자 세부 정보 지정** 창이 열립니다.

1. **사용자 세부 정보 지정** 창에서,

   1. **사용자 세부 정보**에서 생성하려고 하는 신규 **사용자 이름**을 입력합니다.

   1. **AWS Management Console에 대한 사용자 액세스 제공**을 선택합니다.

   1. 메시지가 표시되면 **IAM 사용자를 생성하고 싶음**을 선택합니다.

   1. **콘솔 암호**에서 **자동 생성된 암호(권장)**을 선택합니다.

   1. **다음 로그인 시 사용자가 새 암호를 생성해야 함**을 선택합니다.

   1. **다음**을 선택합니다. **권한 설정** 창이 열립니다.

1. **권한 설정**에서 **정책 직접 연결**을 선택합니다. **권한 정책** 창이 열립니다.

1. 검색 상자에 IVS 정책 이름을 입력합니다(AWS 관리형 정책 또는 이전에 생성한 사용자 지정 정책). 검색되면 확인란을 선택하여 정책을 선택합니다.

1. **다음**(창 하단)을 선택합니다. **검토 및 생성** 창이 열립니다.

1. **검토 및 생성** 창에서 모든 사용자 세부 정보가 올바른지 확인한 다음 **사용자 생성**(창 하단)을 선택합니다.

1. **콘솔 로그인 세부 정보**가 포함되어 있는 **암호 검색** 창이 열립니다. *해당 정보를 안전하게 저장하여 향후에 참조하세요*. 완료되면 **사용자 목록으로 돌아가기**를 선택하세요.

## 기존 사용자에 권한 추가
<a name="iam-permissions-existing-user"></a>

다음 단계를 수행합니다.

1. AWS Management Console에 로그인하여 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.

1. 탐색 창에서 **사용자**를 선택한 다음 업데이트할 기존 사용자 이름을 선택합니다. (이름을 클릭하여 선택합니다. 선택 상자는 선택하지 마세요.)

1. **요약** 페이지의 **권한** 탭에서 **권한 추가**를 선택합니다. **권한 추가** 창이 열립니다.

1. **기존 정책 직접 연결**을 선택합니다. **권한 정책** 창이 열립니다.

1. 검색 상자에 IVS 정책 이름을 입력합니다(AWS 관리형 정책 또는 이전에 생성한 사용자 지정 정책). 정책을 찾으면 확인란을 선택하여 정책을 선택합니다.

1. **다음**(창 하단)을 선택합니다. **검토** 창이 열립니다.

1. **검토** 창에서 **권한 추가**(창 하단)를 선택합니다.

1. **요약** 페이지에서 IVS 정책이 추가되었는지 확인합니다.