# Amazon IVS 보안
AWS에서는 클라우드 보안을 가장 중요하게 생각합니다. AWS 고객은 보안에 가장 보안에 민감한 조직의 요구 사항에 부합하도록 빌드된 데이터 센터 및 네트워크 아키텍처의 혜택을 누릴 수 있습니다.
보안은 AWS과 사용자의 공동 책임입니다. [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)은 이 사항을 클라우드 *내* 보안 및 클라우드*의* 보안으로 설명합니다.
+ **클라우드의 보안** - AWS는 AWS 클라우드에서 AWS 서비스를 실행하는 인프라를 보호합니다. AWS는 또한 안전하게 사용할 수 있는 서비스를 제공합니다. 서드 파티 감사원은 정기적으로 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/)의 일환으로 보안 효과를 테스트하고 검증합니다.
+ **클라우드 내 보안** - 사용자의 책임은 사용하는 AWS 서비스에 의해 결정됩니다. 또한 데이터의 민감도, 조직의 요건 및 관련 법률 및 규정을 비롯한 기타 요소에 대해서도 책임이 있습니다.
이 설명서는 Amazon IVS를 사용할 때 공동 책임 모델을 적용하는 방법을 이해하는 데 도움이 됩니다. 다음 주제에서는 보안 및 규정 준수 목적에 맞게 Amazon IVS를 구성하는 방법을 보여줍니다.
**Topics**
+ [IVS 데이터 보호](security-data-protection.md)
+ [IVS의 ID 및 액세스 관리](security-iam.md)
+ [Amazon IVS에 대한 관리형 정책](security-iam-awsmanpol.md)
+ [Amazon IVS에 대해 서비스 연결 역할 사용](security-service-linked-roles.md)
+ [IVS 로깅 및 모니터링](security-logging-monitoring.md)
+ [IVS 인시던트 대응](security-incident-response.md)
+ [IVS 복원성](security-resilience.md)
+ [IVS 인프라 보안](security-infrastructure.md)
# IVS 데이터 보호
Amazon Interactive Video Service(IVS)로 전송되는 데이터의 경우 다음과 같은 데이터 보호 기능이 적용됩니다.
+ Amazon IVS는 HTTPS API 엔드포인트, RTMPS 수집 및 HTTPS 재생을 통해 전송 중인 데이터를 암호화합니다. API 엔드포인트에 대한 구성은 필요하지 않습니다.
+ 수집의 경우 스트리머는 RTMPS를 사용하여 콘텐츠를 보호할 수 있습니다. 이 기능은 기본적으로 사용 가능합니다. [IVS 지연 시간이 짧은 스트리밍 시작하기](getting-started.md) 섹션을 참조하세요.
+ 비보안 RTMP 수집을 허용하도록 IVS 채널을 구성할 수 있지만 RTMP가 필요한 구체적이고 검증된 사용 사례가 없는 한 RTMPS를 사용하는 것이 좋습니다.
+ 트랜스코딩/트랜스먹싱의 경우 Amazon 내부 네트워크에서 암호화되지 않은 상태로 데이터가 전송될 수 있습니다.
+ 재생을 위해 데이터는 HTTPS를 통해 제공됩니다.
+ 라이브 비디오 콘텐츠는 일시적이며 저장되지 않습니다. 단순히 시스템을 통해 이동하고 보는 동안에 내부 시스템에 캐시됩니다.
+ S3 자동 레코딩 기능의 경우 동영상 콘텐츠가 Amazon S3에 기록됩니다. 자세한 내용은 [Amazon S3의 데이터 보호](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html)를 참조하세요.
+ 저장된 모든 고객 입력 메타데이터는 서버 측 암호화를 사용하여 AWS 관리형 서비스에 존재합니다.
+ 서비스 품질을 향상시키기 위해 Amazon IVS는 고객(최종 사용자) 메타데이터(예: 특정 리전의 버퍼 속도)를 저장합니다. 이 메타데이터는 최종 사용자를 개인적으로 식별하는 데 사용할 수 없습니다.
+ 사용자가 관리하는 퍼블릭 암호화 키는 `ImportPlaybackKeyPair` API 작업에서 사용할 수 있습니다. 자세한 내용은 [IVS Low-Latency Streaming API Reference](https://docs.aws.amazon.com/ivs/latest/LowLatencyAPIReference/Welcome.html)를 참조하세요. *이러한 암호화 키를 공유하면 안 됩니다*.
Amazon IVS는 고객(최종 사용자) 데이터를 제공하도록 요구하지 않습니다. 고객(최종 사용자) 데이터를 제공해야 하는 채널, 입력 또는 입력 보안 그룹에 필드가 없습니다.
이름 필드와 같은 자유 형식 필드에 고객(최종 사용자) 계정 번호와 같은 중요 식별 정보를 입력하지 마세요. 여기에는 Amazon IVS 콘솔이나 API, AWS CLI 또는 AWS SDK를 사용하여 작업하는 경우가 포함됩니다. Amazon IVS에 입력하는 모든 데이터는 진단 로그에 포함될 수 있습니다.
스트림은 엔드포인트 사이에서 암호화되지 않습니다. 스트림은 IVS 네트워크에서 처리를 위해 내부적으로 암호화되지 않은 상태로 전송될 수 있습니다.
# IVS의 ID 및 액세스 관리
AWS Identity and Access Management(IAM)는 계정 관리자가 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있도록 지원하는 AWS 서비스입니다. 모든 AWS 리소스는 AWS 계정의 소유이고, 리소스 생성 또는 리소스 액세스 권한은 권한 정책에 따라 결정됩니다. IAM 계정 관리자는 어떤 사용자가 Amazon IVS 리소스를 사용할 수 있도록 인증(로그인)하고 권한을 부여(권한 있음)을 수 있는지를 제어합니다. IAM은 추가 비용 없이 AWS 계정에 제공되는 기능입니다.
**중요**: 자세한 내용은 [AWS IAM 제품 페이지](https://aws.amazon.com/iam/), [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/) 및 [AWS API 요청 서명](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html)을 참조하세요. 이 섹션에서는* IAM 사용 설명서*의 특정 섹션에 대한 링크도 확인하실 수 있습니다. 서비스를 이용하시기 전, 해당 내용을 한 검토해보시기 바랍니다.
## 대상
IAM을 사용하는 방법은 Amazon IVS에서 수행하는 작업에 따라 달라집니다.
+ **서비스 사용자** – Amazon IVS 서비스를 사용하여 작업을 수행하는 경우 필요한 자격 증명과 권한(permission)을 관리자가 제공합니다. 다른 Amazon IVS 기능을 사용하여 작업을 수행한다면 추가 권한이 필요할 수 있습니다. 액세스 권한 관리 방식을 이해하면 적절한 권한을 관리자에게 요청할 수 있습니다. Amazon IVS의 기능에 액세스할 수 없다면 [문제 해결](#security-iam-troubleshooting) 섹션을 참조하세요.
+ **서비스 관리자** – 회사에서 Amazon IVS 리소스를 책임지고 있다면 Amazon IVS에 대한 완전한 액세스 권한이 있을 것입니다. 서비스 관리자는 직원이 액세스해야 하는 Amazon IVS 기능과 리소스를 결정합니다. 그런 다음 IAM 관리자에게 요청을 제출하여 서비스 사용자의 권한을 변경해야 합니다. 이 페이지의 정보를 검토하여 IAM의 기본 개념을 이해합니다. 회사가 Amazon IVS에서 IAM을 사용하는 방법에 대해 자세히 알아보려면 [Amazon IVS가 IAM과 작동하는 방식](#security-iam-how-ivs-works) 섹션을 참조하세요.
+ **IAM 관리자** - IAM 관리자인 경우 Amazon IVS에 대한 액세스 권한을 관리하는 정책을 작성할 수 있습니다. IAM에서 사용할 수 있는 Amazon IVS 자격 증명 기반 정책(identity-based policies)의 예제를 확인하시려면 자격 증명 기반 정책 예제 [자격 증명 기반 정책 예제](#security-iam-policy-examples) 섹션을 참조하세요.
## Amazon IVS가 IAM과 작동하는 방식
Amazon IVS API 요청을 하기 전에 먼저 하나 이상의 IAM 자격 증명(사용자, 그룹 및 역할) 및 IAM 정책을 생성한 다음, 정책을 자격 증명에 연결해야 합니다. 권한이 전파되는 데에는 몇 분 정도 소요되며 그때까지 API 요청은 거부됩니다.
Amazon IVS가 IAM과 작동하는 방식에 대한 자세한 내용은 *IAM 사용 설명서*에서 [IAM으로 작업하는 AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조하세요.
## 자격 증명
IAM 자격 증명을 생성하여 AWS 계정의 사용자 및 프로세스에 대한 인증을 제공할 수 있습니다. IAM 그룹은 하나의 단위로 관리할 수 있는 IAM 사용자 모음입니다. [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)에서 *자격 증명(사용자, 그룹, 및 역할)*을 참조하세요.
## 정책
*IAM 사용 설명서*에서 다음 섹션을 참조하세요.
+ [액세스 관리](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)-정책에 대한 모든 내용을 설명합니다.
+ [Amazon IVS에 대한 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninteractivevideoservice.html)
+ [AWS 전역 조건 컨텍스트 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [IAM JSON 정책 요소 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)-JSON 정책에서 사용할 수 있는 모든 요소를 설명합니다.
기본적으로 IAM 사용자와 역할에는 Amazon IVS 리소스를 생성 혹은 변경할 권한이 없습니다 (패스워드 변경도 불가함). 또한, 사용자와 역할은 AWS 콘솔, AWS CLI 또는 AWS API를 사용하여 작업을 수행할 수 없습니다. IAM 관리자는 지정된 리소스에서 특정 API 작업을 수행할 수 있는 권한을 사용자와 역할에게 부여하는 IAM 정책을 생성해야 합니다.
IAM 정책은 작업을 수행하기 위해 사용하는 방법과 관계없이 작업에 대한 권한을 정의합니다. 예를 들어, `iam:GetRole` 작업을 허용하는 정책이 있다고 가정해봅시다. 해당 정책을 보유한 사용자는 AWS Management Console, AWS CLI 또는 AWS API에서 역할에 대한 정보를 얻을 수 있습니다.
정책은 JSON 권한이며, 정책 문서는 *요소*로 구성됩니다. Amazon IVS는 다음 세 가지 요소를 지원합니다.
+ **조치**-Amazon IVS에 대한 정책 작업은 작업 앞에 `ivs` 접두사를 사용합니다. 예를 들어, Amazon IVS `CreateChannel` API 메서드로 Amazon IVS 채널을 생성할 권한을 누군가에게 부여하려면 해당 개인에 대한 정책에 `ivs:CreateChannel` 작업을 포함합니다. 정책 설명에는 `Action` 또는 `NotAction` 요소가 포함되어야 합니다.
+ **리소스**-Amazon IVS 채널 리소스에는 다음 [ARN](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 형식이 있습니다.
```
arn:aws:ivs:${Region}:${Account}:channel/${channelId}
```
예를 들어, 설명에서 `VgNkEJgOVX9N` 채널을 지정하려면 다음 ARN을 사용합니다.
```
"Resource": "arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N"
```
리소스 생성과 같은 일부 Amazon IVS 작업은 특정 리소스에서 수행할 수 없습니다. 이러한 경우 와일드카드(`*`)를 사용해야 합니다.
```
"Resource":"*"
```
+ **조건** - Amazon IVS는 `aws:RequestTag`, `aws:TagKeys`, `aws:ResourceTag` 등과 같은 몇 가지 글로벌 조건 키를 지원합니다.
정책에서 변수를 자리 표시자로 사용할 수 있습니다. 예를 들어, 사용자의 IAM 사용자 이름으로 태그가 지정된 경우에만 IAM 사용자에게 리소스에 액세스할 수 있는 권한을 부여할 수 있습니다. [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)에서 변수 및 태그를 참조하세요.
Amazon IVS에서는 미리 구성된 권한 세트를 자격 증명에 부여하는 데 사용할 수 있는 AWS 관리형 정책을 제공합니다(읽기 전용 또는 전체 액세스). 아래에 표시된 자격 증명 기반 정책 대신에 관리형 정책을 사용하도록 선택할 수 있습니다. 자세한 내용은 [Amazon IVS의 관리형 정책](security-iam-awsmanpol.md)을 참조하세요.
## Amazon IVS 태그를 기반으로 권한 부여
Amazon IVS 리소스에 태그를 연결하거나 Amazon IVS에 대한 요청에서 태그를 전달할 수 있습니다. 태그를 기반으로 액세스를 제어하려면 `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` 또는 `aws:TagKeys` 조건 키를 사용하여 정책의 조건 요소에서 태그 정보를 제공합니다. Amazon IVS 리소스에 태그를 지정하는 방법에 대한 자세한 내용은 [IVS Low-Latency Streaming API Reference](https://docs.aws.amazon.com/ivs/latest/LowLatencyAPIReference/Welcome.html), [IVS Real-Time Streaming API Reference](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/Welcome.html) 및 [IVS Chat API Reference](https://docs.aws.amazon.com/ivs/latest/ChatAPIReference/Welcome.html)의 'Tagging'을 참조하세요.
문제 해결 예는 [태그를 기반으로 Amazon IVS 채널 보기](#security-iam-policy-examples-tags)을(를) 참조하세요.
## 역할
IAM 사용 설명서에서 [IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) 및 [임시 보안 인증 정보](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)를 참조하세요.
IAM *역할*은 특정 권한을 가지고 있는 AWS 계정 내 엔터티입니다.
Amazon IVS는 임시 보안 인증 정보를 지원합니다. 임시 자격 증명을 사용하여 페더레이션으로 로그인하거나 IAM 역할을 수임하거나 교차 계정 역할을 수임할 수 있습니다. [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) API 작업(예: `AssumeRole` 또는 `GetFederationToken`)을 호출하여 임시 보안 인증 정보를 가져옵니다.
## 권한 있는 액세스 및 권한 없는 액세스
API 리소스는 권한 있는 액세스 권한을 지원합니다. 권한 없는 재생 액세스 권한은 프라이빗 채널을 통해 설정할 수 있습니다([프라이빗 채널 설정](private-channels.md) 참조).
## 정책에 대한 모범 사례
자세한 내용은 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)에서 IAM 모범 사례를 참조하세요.
자격 증명 기반 정책은 매우 강력합니다. 이 정책은 계정에서 사용자가 Amazon IVS 리소스를 생성, 액세스 또는 삭제할 수 있는지 여부를 결정합니다. 이 작업으로 인해 AWS 계정에 비용이 발생할 수 있습니다. 다음 권장 사항을 따릅니다.
+ **최소 권한 부여** - 사용자 지정 정책을 생성할 때 오직 작업을 수행하는 데 필요한 권한만을 부여합니다. 최소한의 권한을 조합하는 것으로 시작하여 추후 필요에 따라 권한을 추가로 부여합니다. 이는 초기에 권한을 많이 부여한 후 나중에 이를 줄이는 것보다 더 안전한 방법입니다. 특히, 관리 액세스 권한을 위해 `ivs:*`을(를) 예약한 후 이를 애플리케이션에서 사용하지 마시기 바랍니다.
+ **중요한 작업에 대해 Multi-Factor Authentication(MFA) 활성화** - 보안을 강화하기 위해 IAM 사용자가 중요한 리소스 또는 API 작업에 액세스할 때 MFA를 사용하도록 합니다.
+ **보안 강화를 위해 정책 조건 사용** – 실제로 가능한 경우 자격 증명 기반 정책이 리소스에 대한 액세스를 허용하는 조건을 정의합니다. 예를 들어, 요청할 수 있는 IP 주소의 범위를 지정하도록 조건을 작성할 수 있습니다. 지정된 날짜 또는 시간 범위 내에서만 요청을 허용하거나, SSL 또는 MFA를 사용해야 하는 조건을 작성할 수도 있습니다.
## 자격 증명 기반 정책 예제
### Amazon IVS 콘솔 사용
Amazon IVS 콘솔에 액세스하려면 AWS 계정의 Amazon IVS 리소스에 대한 세부 정보를 나열하고 볼 수 있는 최소 권한이 있어야 합니다. 최소 필수 권한보다 더 제한적인 자격 증명 기반 정책을 생성하면 콘솔이 해당 정책에 연결된 엔터티에 대해 의도대로 작동하지 않습니다. Amazon IVS 콘솔에 대한 액세스를 보장하려면 자격 증명에 다음 정책을 연결합니다(*IAM 사용 설명서*에서 [IAM 권한 추가 및 제거 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)).
다음 정책 부분은 다음에 대한 액세스를 제공합니다.
+ 모든 Amazon IVS API 작업
+ 사용자의 Amazon IVS [Service Quotas](service-quotas.md)
+ IVS의 S3에 자동 레코딩 기능에 필요한 Amazon S3 엔드포인트(저지연 스트리밍) 및 IVS의 복합 레코딩 기능(실시간 스트리밍).
+ S3에 자동 레코딩 서비스 연결 역할 생성
+ 라이브 스트림 세션에 대한 지표를 가져오는 Amazon Cloudwatch
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ivs:*",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"servicequotas:ListServiceQuotas"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"s3:CreateBucket",
"s3:DeleteBucketPolicy",
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:ListAllMyBuckets",
"s3:PutBucketPolicy"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"iam:AttachRolePolicy",
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/ivs.amazonaws.com/AWSServiceRoleForIVSRecordToS3*"
},
{
"Action": [
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"lambda:AddPermission",
"lambda:ListFunctions"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
### 사용자가 자신이 권한을 볼 수 있도록 허용
아래 예제는 IAM 사용자가 자신의 사용자 자격 증명에 연결된 인라인(inline) 및 관리형 정책을 볼 수 있도록 허용하는 정책에 대한 것입니다. 해당 정책에는 AWS 콘솔에서 또는 AWS CLI나 AWS API를 사용하여 프로그래밍 방식으로 이 작업을 완료할 수 있는 권한이 포함됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": [
"arn:aws:iam:*:*:user/${aws:username}"
]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
------
### Amazon IVS 채널에 액세스
AWS 계정의 IAM 사용자에게 Amazon IVS 채널 중 하나(`VgNkEJgOVX9N`)에 대한 액세스 권한을 부여하려고 합니다. 또한, 사용자가 스트림 중지(`ivs:StopStream`), 메타데이터 추가(`ivs:PutMetadata`), 채널 업데이트(`ivs:UpdateChannel`) 작업을 수행하도록 허용할 수 있습니다. 이 정책은 Amazon IVS 콘솔에 필요한 `ivs:ListChannels`, `ivs:ListStreams`, `ivs:GetChannel`, `ivs:GetStream` 권한도 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListChannelsInConsole",
"Effect":"Allow",
"Action":[
"ivs:ListChannels",
"ivs:ListStreams"
],
"Resource":"arn:aws:ivs:*:*:channel/*"
},
{
"Sid":"ViewSpecificChannelInfo",
"Effect":"Allow",
"Action":[
"ivs:GetChannel",
"ivs:GetStream"
],
"Resource":"arn:aws:ivs:*:*:channel/VgNkEJgOVX9N"
},
{
"Sid":"ManageChannel",
"Effect":"Allow",
"Action":[
"ivs:StopStream",
"ivs:PutMetadata",
"ivs:UpdateChannel"
],
"Resource":"arn:aws:ivs:*:*:channel/VgNkEJgOVX9N"
}
]
}
```
------
### 태그를 기반으로 Amazon IVS 채널 보기
자격 증명 기반 정책의 조건을 사용하여 태그를 기반으로 Amazon IVS 리소스에 대한 액세스를 제어할 수 있습니다. 이 예제에서는 채널 보기를 허용하는 정책을 보여줍니다. 이 정책은 Amazon IVS 콘솔에서 이 작업을 완료하는 데 필요한 권한도 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListWidgetsInConsole",
"Effect": "Allow",
"Action": "ivs:ListChannels",
"Resource": "arn:aws:ivs:*:*:channel/*"
},
{
"Sid": "ViewChannelIfOwner",
"Effect": "Allow",
"Action": "ivs:GetChannel",
"Resource": "arn:aws:ivs:*:*:channel/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
이 정책을 계정의 IAM 사용자에게 연결할 수 있습니다. 하지만 채널에 사용자 이름이 소유자로 태그 지정된 경우에만 권한이 부여됩니다. richard-roe라는 사용자가 Amazon IVS 채널을 보려고 시도하면 해당 채널에 `Owner=richard-roe` 또는 `owner=richard-roe` 태그가 지정되어야 합니다. 그렇지 않으면 액세스가 거부됩니다. (조건 태그 키 이름은 대소문자를 구분하지 않기 때문에 조건 태그 키(`Owner`)는 `Owner` 및 `owner` 모두와 일치합니다.)
## 문제 해결
다음 정보를 사용하여 Amazon IVS 및 IAM에서 작업할 때 발생할 수 있는 일반적인 문제를 진단하고 수정할 수 있습니다.
+ **Amazon IVS에서 작업을 수행할 권한이 없습니다.**
다음 예제 오류는 mateojackson이라고 하는 IAM 사용자가 AWS 콘솔을 사용하여 채널에 대한 세부 정보를 보려고 하지만 `ivs:GetChannel` 권한이 없는 경우에 발생합니다.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ivs:GetChannel on resource: arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N
```
이 경우 Mateo는 `ivs:GetChannel` 작업을 사용하여 `arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N` 리소스에 액세스하도록 허용하는 정책을 업데이트하도록 관리자에게 요청합니다.
+ **액세스 키를 확인하고자 합니다**.
IAM 사용자 액세스 키를 생성한 후에는 언제든지 액세스 키 ID를 볼 수 있습니다. 하지만 보안 액세스 키는 다시 볼 수 없습니다. 보안 액세스 키를 잃어버린 경우 새로운 액세스 키 페어를 생성해야 합니다. 액세스 키는 다음 두 부분으로 구성됩니다.
+ 액세스 키 ID(예: `AKIAIOSFODNN7EXAMPLE`)
+ 비밀 액세스 키(예: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`)
사용자 이름 및 암호와 같이, 액세스 키 ID와 비밀 액세스 키를 함께 사용하여 요청을 인증해야 합니다. 사용자 이름과 암호를 관리하는 것처럼 안전하게 액세스 키를 관리합니다.
***중요: [정식 사용자 ID를 찾는](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindingCanonicalId) 데 도움이 되더라도 액세스 키를 제3자에게 제공하지 마세요. 이로 인해 다른 사람에게 계정에 대한 영구 액세스를 제공하게 될 수 있습니다.***
액세스 키 페어를 생성할 때는 액세스 키 ID와 보안 액세스 키를 안전한 위치에 저장하라는 메시지가 나타납니다. 비밀 액세스 키는 생성할 때만 사용할 수 있습니다. 하지만 보안 액세스 키를 잃어버린 경우 새로운 액세스 키를 IAM 사용자에게 추가해야 합니다.
최대 두 개의 액세스 키를 보유할 수 있습니다. 이미 두 개가 있는 경우 새로 생성하려면 먼저 키 페어 하나를 삭제해야 합니다. 자세한 내용은 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)에서 IAM 사용자에 대한 액세스 키 관리를 참조하세요.
+ **관리자이며 다른 사용자가 Amazon IVS에 액세스하도록 허용하려고 합니다.**
다른 사용자가 Amazon IVS에 액세스하도록 허용하려면 액세스 권한이 필요한 사용자 또는 애플리케이션에 대한 IAM 엔터티(사용자 또는 역할)를 생성해야 합니다. 개인 또는 애플리케이션은 해당 엔터티에 대한 자격 증명을 사용하여 AWS에 액세스합니다. 이후, Amazon IVS에서 올바른 권한을 부여하는 정책을 엔터티에 연결해야 합니다.
시작하려면 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html)에서 첫 번째 IAM 위임 사용자 및 그룹 생성을 참조하세요.
+ **AWS 계정 외부의 사용자가 Amazon IVS 리소스에 액세스할 수 있도록 허용하려고 합니다.**
다른 계정의 사용자 또는 조직 외부의 개인이 리소스에 액세스하는 데 사용할 수 있는 역할을 생성할 수 있습니다. 역할을 수임하는 데 있어 신뢰할 수 있는 사람을 지정할 수 있습니다. 리소스 기반 정책 또는 ACL(액세스 제어 목록)을 지원하는 서비스의 경우 이러한 정책을 사용하여 다른 사람에게 리소스에 대한 액세스 권한을 부여할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*에서 다음 섹션을 참조하세요.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ivs/latest/LowLatencyUserGuide/security-iam.html)
# Amazon IVS에 대한 관리형 정책
AWS 관리형 정책은 AWS에 의해 생성되고 관리되는 독립 실행형 정책입니다. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있기 때문에 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에서 정의한 권한은 변경할 수 없습니다. 만약 AWS가 AWS 관리형 정책에 정의된 권한을 업데이트할 경우 정책이 연결되어 있는 모든 보안 주체 ID(사용자, 그룹 및 역할)에도 업데이트가 적용됩니다. 새 AWS 서비스을(를) 시작하거나 새 API 작업을 기존 서비스에 이용하는 경우, AWS가 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 *IAM 사용자 가이드*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.
## IVSReadOnlyAccess
[IVSReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/IVSReadOnlyAccess.html) AWS 관리형 정책을 사용하여 애플리케이션 개발자에게 모든 변경 불가 IVS API 작업에 대한 액세스 권한을 부여합니다(저지연 스트리밍과 실시간 스트리밍에 모두 해당).
## IVSFullAccess
[IVSFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/IVSFullAccess.html) AWS 관리형 정책을 사용하여 사용자에게 모든 IVS 및 IVS 챗 API 작업(저지연 스트리밍과 실시간 스트리밍에 모두 해당)에 대한 액세스 권한을 부여합니다. 이 정책에는 IVS 콘솔에 대한 모든 액세스를 허용하는 종속 서비스에 대한 추가 권한이 포함되어 있습니다.
## 정책 업데이트
이 서비스에서 이러한 변경 사항을 추적하기 시작한 이후의 Amazon IVS에 대한 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 Amazon IVS Low-Latency Streaming [Document History](doc-history.md) 페이지에서 RSS 피드를 구독하세요.
| 변경 | 설명 | 날짜 |
| --- | --- | --- |
| [IVSReadOnlyAccess](#security-iam-awsmanpol-ivsreadonlyaccess) – 변경 | IVS에는 참가자 복제 실시간 스트리밍 릴리스를 지원하는 ListParticipantReplicas 권한을 부여하는 새 작업을 추가했습니다. | 2025년 7월 24일 |
| [IVSReadOnlyAccess](#security-iam-awsmanpol-ivsreadonlyaccess) – 변경 | IVS는 두 가지 실시간 스트리밍 릴리스인 'RTMP 수집' 및 '키 페어로 참가자 토큰 생성'을 지원하기 위해 다음과 같은 권한을 부여하는 새 작업을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ivs/latest/LowLatencyUserGuide/security-iam-awsmanpol.html) | 2024년 9월 18일 |
| [IVSReadOnlyAccess](#security-iam-awsmanpol-ivsreadonlyaccess) – 변경 | IVS는 서버 측 구성, 실시간 복합 레코딩, 토큰 없는 재생 제한을 지원하는 다음과 같은 권한을 부여하는 새 작업을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ivs/latest/LowLatencyUserGuide/security-iam-awsmanpol.html) | 2024년 2월 16일 |
| [IVSFullAccess](#security-iam-awsmanpol-ivsfullaccess) – 새 정책 | IVS에서는 IVS(저지연 스트리밍 및 실시간 스트리밍에 모두 해당) 및 IVS 챗에 대한 전체 액세스를 허용하는 새 정책을 추가했습니다. | 2023년 12월 5일 |
| [IVSReadOnlyAccess](#security-iam-awsmanpol-ivsreadonlyaccess) – 새 정책 | IVS에서는 IVS(저지연 스트리밍 및 실시간 스트리밍에 모두 해당)에 대한 읽기 전용 액세스를 허용하는 새 정책을 추가했습니다. | 2023년 12월 5일 |
| Amazon IVS에서 변경 사항 추적 시작함 | Amazon IVS에서 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. | 2023년 12월 5일 |
# Amazon IVS에 대해 서비스 연결 역할 사용
Amazon IVS는 IAM [서비스 연결 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)을 사용합니다. 서비스 연결 역할은 AWS 서비스에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 Amazon IVS에서 사전 정의하며, 서비스에서 다른 AWS 서비스를 자동으로 호출하기 위해 필요한 모든 권한을 포함합니다.
필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할로 Amazon IVS를 더 쉽게 설정할 수 있습니다. Amazon IVS에서 서비스 연결 역할의 권한을 정의하므로, Amazon IVS만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
먼저 관련 IVS 리소스를 삭제한 후에만 IVS 서비스 연결 역할을 삭제할 수 있습니다. 그러면 IVS가 서비스 연결 역할과 관련된 AWS 리소스에 액세스할 수 있는 권한을 실수로 제거하는 일이 방지됩니다.
서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 [IAM으로 작업하는 AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조하고 **서비스 연결 역할** 열에 **예**가 있는 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 [**예(Yes)**] 링크를 선택합니다.
## Amazon IVS에 대한 서비스 연결 역할 권한
Amazon IVS는 **AWSServiceRoleForIVSRecordToS3**와 같은 서비스 연결 역할을 사용하여 Amazon IVS 채널 대신, Amazon S3 버킷에 액세스합니다.
AWSServiceRoleForIVSRecordToS3 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `ivs.amazonaws.com`
역할 권한 정책은 Amazon IVS가 지정된 리소스에서 다음 작업을 완료하도록 허용합니다.
+ 작업: `your Amazon S3 buckets`에 대한 `s3:PutObject`
IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 링크 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)을 참조하세요.
## Amazon IVS에 대한 서비스 연결 역할 생성
IVS의 서비스 연결 역할을 수동으로 생성할 필요가 없습니다. Amazon IVS 콘솔, AWS CLI 또는 AWS API에서 레코딩 구성 리소스를 생성하면 Amazon IVS에서 해당 서비스 연결 역할을 자동으로 생성합니다. 바로 AWSServiceRoleForIVSRecordToS3입니다.
**중요**
이러한 서비스 연결 역할은 해당 역할이 지원하는 기능을 사용하는 다른 서비스에서 작업을 완료했을 경우 계정에 나타날 수 있습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요.
이 서비스 연결 역할을 삭제한 다음 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. 레코딩 구성 리소스를 생성할 때 Amazon IVS가 서비스 연결 역할을 다시 자동으로 생성합니다.
## Amazon IVS에 대한 서비스 연결 역할 편집
Amazon IVS는 AWSServiceRoleForIVSRecordToS3 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
## Amazon IVS에 대한 서비스 연결 역할 삭제
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제할 것을 권합니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.
**참고**
리소스를 삭제하려고 할 때 Amazon IVS 서비스가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.
**AWSServiceRoleForIVSRecordToS3 서비스 연결 역할에서 사용하는 Amazon IVS 리소스를 삭제하려면 다음을 수행합니다.**
Amazon IVS 콘솔, AWS CLI CLI 또는 AWS API를 사용하여 모든 채널에서 레코딩 구성 연결을 제거하고 리전의 모든 레코딩 구성 리소스를 삭제합니다.
**IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하는 방법:**
IAM 콘솔, AWS CLI 또는 AWS API를 사용하여 AWSServiceRoleForIVSRecordToS3 서비스 연결 역할을 삭제합니다. 자세한 내용은 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)의 *서비스 연결 역할 삭제*를 참조하세요.
## Amazon IVS 서비스 연결 역할에 대해 지원되는 리전
Amazon IVS는 서비스가 제공되는 모든 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 [Amazon IVS 서비스 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/ivs.html)를 참조하세요.
# IVS 로깅 및 모니터링
성능 또는 작업을 로깅하려면 Amazon CloudTrail 을 사용합니다. [AWS CloudTrail을 사용하여 Amazon IVS API 호출 로깅](cloudtrail.md)을(를) 참조하세요.
# IVS 인시던트 대응
인시던트를 감지하거나 경고하기 위해 Amazon EventBridge 이벤트를 통해 스트림의 상태를 모니터링할 수 있습니다. [Amazon IVS Low-Latency Streaming과 함께 Amazon EventBridge 사용](eventbridge.md)과 [Amazon IVS Real-Time Streaming과 함께 Amazon EventBridge 사용](https://docs.aws.amazon.com//ivs/latest/RealTimeUserGuide/eventbridge.html)을 참조하세요.
Amazon IVS의 전반적인 상태(리전별)에 대한 정보를 확인하려면 [AWS Health Dashboard](https://health.aws.amazon.com/health/status)를 사용하세요.
# IVS 복원성
IVS API는 AWS 글로벌 인프라를 사용하며, AWS 리전 및 가용 영역을 중심으로 구축됩니다. AWS 리전은 다음과 같은 특징을 갖춘 여러 가용 영역을 제공합니다.
+ 물리적으로 분리 및 격리되었습니다.
+ 짧은 지연 시간, 높은 처리량 및 높은 중복성을 갖춘 네트워크에 연결되어 있습니다.
+ 기존의 단일 또는 다중 데이터 센터 인프라보다 가용성, 내결함성, 확장성이 뛰어납니다.
API에 대한 자세한 내용은 [IVS Low-Latency Streaming API Reference](https://docs.aws.amazon.com/ivs/latest/LowLatencyAPIReference/Welcome.html), [IVS Real-Time Streaming API Reference](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/Welcome.html) 및 [IVS Chat API Reference](https://docs.aws.amazon.com/ivs/latest/ChatAPIReference/Welcome.html)를 참조하세요. AWS 리전 및 가용 영역에 대한 자세한 내용은 [AWS 글로벌 인프라](https://aws.amazon.com/about-aws/global-infrastructure/)를 참조하십시오.
## Amazon IVS 비디오 데이터 플레인
비디오 수집 및 배포가 지연 시간이 짧은 비디오에 최적화된 글로벌 콘텐츠 전송 네트워크(CDN)를 통해 실행됩니다. 이를 통해 Amazon IVS 고객은 지연 시간을 최소화하면서 포괄적인 고품질 비디오를 전 세계 고객에게 제공할 수 있습니다. 비디오 CDN에는 글로벌 상호 접속 위치(POP)가 있어서 지리적으로 분산된 브로드캐스터와 시청자를 지원할 수 있습니다.
Amazon IVS 리소스를 구성하기로 선택한 AWS 리전과 관계없이 다음을 수행합니다.
+ 스트리머는 지리적으로 가까운 POP로 비디오를 자동으로 수집합니다.
+ 시청자는 글로벌 비디오 CDN을 통해 비디오를 스트리밍합니다.
비디오가 수집되면 여러 Amazon IVS 데이터 센터 중 하나에서 비디오 스트림이 처리되고 트랜스코딩됩니다. Amazon IVS는 수집 또는 트랜스코딩 실패에 대한 자동 장애 조치를 제공하지 않습니다. 대신, 스트리머는 브로드캐스트 실패 시 자동으로 다시 수집하도록 인코더 또는 브로드캐스트 클라이언트를 구성해야 합니다.
# IVS 인프라 보안
관리형 서비스인 Amazon IVS는 AWS 글로벌 네트워크 보안 절차에 의해 보호받습니다. 이 주제는 [보안, 자격 증명 및 규정 준수를 위한 모범 사례](https://aws.amazon.com/architecture/security-identity-compliance/)에 설명되어 있습니다.
## API 호출
AWS에서 게시한 API 호출을 사용하여 네트워크를 통해 Amazon IVS에 액세스합니다. 클라이언트가 전송 계층 보안(TLS) 1.2 이상을 지원해야 합니다. 이전 버전의 취약점으로 인해 TLS 1.3 이상을 권장합니다. 클라이언트는 Ephemeral Diffie-Hellman(DHE) 또는 Elliptic Curve Ephemeral Diffie-Hellman(ECDHE)과 같은 Perfect Forward Secrecy(PFS)가 포함된 암호 제품군도 지원해야 합니다. Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.
또한, API 요청은 액세스 키 ID 및 IAM 보안 주체와 관련된 비밀 액세스 키를 사용하여 서명해야 합니다. 또는 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html)를 사용해 요청에 서명하기 위한 임시 보안 자격 증명을 생성할 수도 있습니다.
이러한 API 작업은 어떤 네트워크 위치에서든 호출할 수 있지만, Amazon IVS는 소스 IP 주소에 따른 제한 사항을 포함할 수 있는 리소스 기반 액세스 정책을 지원합니다. Amazon IVS 정책을 사용하여 특정 Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트 또는 특정 VPC에서 액세스를 제어할 수도 있습니다. 그러면 AWS 네트워크 내의 특정 VPC에서만 특정 Amazon IVS 리소스에 대한 네트워크 액세스가 효과적으로 격리됩니다.
또한, 모든 API 요청은 서명된 sigv4입니다.
API 세부 정보는 [IVS Low-Latency Streaming API Reference](https://docs.aws.amazon.com/ivs/latest/LowLatencyAPIReference/Welcome.html), [IVS Real-Time Streaming API Reference](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/Welcome.html) 및 [IVS Chat API Reference](https://docs.aws.amazon.com/ivs/latest/ChatAPIReference/Welcome.html)를 참조하세요.
## 스트리밍 및 재생
재생 시 HTTPS를 통해 엣지에서 시청자에게 전달되며 TLS 기반 RTMP(RTMPS) 또는 채널이 비보안 수집을 허용하도록 구성된 경우 '기여 엣지(수집 엔드포인트)'는 RTMP를 지원합니다. Amazon IVS 스트리밍에는 TLS 버전 1.2 이상이 필요합니다. 스트림은 엔드포인트 사이에서 암호화되지 않습니다. 스트림은 IVS 네트워크에서 내부적으로 암호화되지 않은 상태로 전송되어 처리될 수 있습니다.