AMS의 IAM 사용자 역할 - AMS 고급 사용 설명서
MALZ: 기본 IAM 사용자 역할SALZ: 기본 IAM 사용자 역할

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AMS의 IAM 사용자 역할

IAM 역할은 자격 AWS 증명이 할 수 있는 것과 없는 것을 결정하는 권한 정책이 있는 자격 증명이라는 점에서 IAM 사용자와 유사합니다 AWS. 그러나 역할은 한 사람하고만 연관되지 않고 해당 역할이 필요한 사람이라면 누구든지 맡을 수 있어야 합니다.

현재 Customer_ReadOnly_Role표준 AMS 계정의 경우 AMS 기본 사용자 역할 1개가 있고 관리형 Active Directory가 있는 AMS 계정customer_managed_ad_user_role의 경우 추가 역할 1개가 있습니다.

역할 정책은 CloudWatch 및 Amazon S3 로그 작업, AMS 콘솔 액세스, 대부분의 읽기 전용 제한, 계정 S3 콘솔에 대한 AWS 서비스제한된 액세스, AMS 변경 유형 액세스에 대한 권한을 설정합니다.

또한 Customer_ReadOnly_Role에는 인스턴스를 예약할 수 있는 변경 가능한 예약 인스턴스 권한이 있습니다. 일부 비용 절감 값이 있으므로 특정 수의 Amazon EC2 인스턴스가 장기간 필요할 경우 해당 APIs. 자세한 내용은 Amazon EC2 예약 인스턴스를 참조하세요.

참고

기존 정책을 재사용하지 않는 한, IAM 사용자에 대한 사용자 지정 IAM 정책을 생성하기 위한 AMS 서비스 수준 목표(SLO)는 영업일 기준 4일입니다. 기존 IAM 사용자 역할을 수정하거나 새 역할을 추가하려면 각각 IAM: 개체 업데이트 또는 IAM: 개체 RFC 생성을 제출합니다.

Amazon IAM 역할에 익숙하지 않은 경우 IAM 역할에서 중요한 정보를 참조하세요.

다중 계정 랜딩 존(MALZ): AMS 다중 계정 랜딩 존의 사용자 지정되지 않은 기본 사용자 역할 정책을 보려면 다음 단원MALZ: 기본 IAM 사용자 역할을 참조하십시오.

MALZ: 기본 IAM 사용자 역할

기본 다중 계정 AMS 다중 계정 랜딩 존 사용자 역할에 대한 JSON 정책 설명입니다.

참고

사용자 역할은 사용자 지정할 수 있으며 계정별로 다를 수 있습니다. 역할을 찾는 방법에 대한 지침이 제공됩니다.

다음은 기본 MALZ 사용자 역할의 예입니다. 필요한 정책이 설정되어 있는지 확인하려면 AWS 명령을 실행get-role하거나 AWS 관리 -> IAM 콘솔에 로그인하고 탐색 창에서 역할을 선택합니다.

코어 OU 계정 역할

코어 계정은 MALZ 관리형 인프라 계정입니다. AMS 다중 계정 랜딩 존 코어 계정에는 관리 계정과 네트워킹 계정이 포함됩니다.

코어 OU 계정: 공통 역할 및 정책
역할 정책 또는 정책

AWSManagedServicesReadOnlyRole

ReadOnlyAccess(퍼블릭 AWS 관리형 정책).

AWSManagedServicesCaseRole

ReadOnlyAccess

AWSSupportAccess(퍼블릭 AWS 관리형 정책).

AWSManagedServicesChangeManagementRole(코어 계정 버전)

ReadOnlyAccess

AWSSupportAccess

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementInfrastructurePolicy

코어 OU 계정: 관리 계정 역할 및 정책
역할 정책 또는 정책

AWSManagedServicesBillingRole

AMSBillingPolicy(AMSBillingPolicy).

AWSManagedServicesReadOnlyRole

ReadOnlyAccess(퍼블릭 AWS 관리형 정책).

AWSManagedServicesCaseRole

ReadOnlyAccess

AWSSupportAccess(퍼블릭 AWS 관리형 정책).

AWSManagedServicesChangeManagementRole(관리 계정 버전)

ReadOnlyAccess

AWSSupportAccess

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementInfrastructurePolicy

AMSMasterAccountSpecificChangeManagementInfrastructurePolicy

코어 OU 계정: 네트워킹 계정 역할 및 정책
역할 정책 또는 정책

AWSManagedServicesReadOnlyRole

ReadOnlyAccess(퍼블릭 AWS 관리형 정책).

AWSManagedServicesCaseRole

ReadOnlyAccess

AWSSupportAccess(퍼블릭 AWS 관리형 정책).

AWSManagedServicesChangeManagementRole(네트워킹 계정 버전)

ReadOnlyAccess

AWSSupportAccess

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementInfrastructurePolicy

AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy

애플리케이션 계정 역할

애플리케이션 계정 역할은 애플리케이션별 계정에 적용됩니다.

애플리케이션 계정: 역할 및 정책
역할 정책 또는 정책

AWSManagedServicesReadOnlyRole

ReadOnlyAccess(퍼블릭 AWS 관리형 정책).

AWSManagedServicesCaseRole

ReadOnlyAccess

AWSSupportAccess(퍼블릭 AWS 관리형 정책).

이 정책은 모든 지원 작업 및 리소스에 대한 액세스를 제공합니다. 자세한 내용은 AWS Support 시작하기를 참조하세요.

AWSManagedServicesSecurityOpsRole

ReadOnlyAccess

AWSSupportAccess 예제

이 정책은 모든 지원 작업 및 리소스에 대한 액세스를 제공합니다.

AWSCertificateManagerFullAccess 정보, (퍼블릭 AWS 관리형 정책)

AWSWAFFullAccess information, (퍼블릭 AWS 관리형 정책). 이 정책은 AWS WAF 리소스에 대한 전체 액세스 권한을 부여합니다.

AMSSecretsManagerSharedPolicy

AWSManagedServicesChangeManagementRole(애플리케이션 계정 버전)

ReadOnlyAccess

AWSSupportAccess(퍼블릭 AWS 관리형 정책).

이 정책은 모든 지원 작업 및 리소스에 대한 액세스를 제공합니다. 자세한 내용은 AWS Support 시작하기를 참조하세요.

AMSSecretsManagerSharedPolicy

AMSChangeManagementPolicy

AMSReservedInstancesPolicy

AMSS3Policy

AWSManagedServicesAdminRole

ReadOnlyAccess

AWSSupportAccess

AMSChangeManagementInfrastructurePolicy

AWSMarketplaceManageSubscriptions

AMSSecretsManagerSharedPolicy

AMSChangeManagementPolicy

AWSCertificateManagerFullAccess

AWSWAFFullAccess

AMSS3Policy

AMSReservedInstancesPolicy

정책 예제

사용되는 대부분의 정책에 대한 예제가 제공됩니다. 활성 AWS 계정이 있는 경우 ReadOnlyAccess 정책(모든 AWS 서비스에 대한 읽기 전용 액세스를 제공하는 페이지)을 보려면이 링크를 사용할 수 ReadOnlyAccess. 또한 요약된 버전이 여기에 포함되어 있습니다.

AMSBillingPolicy

AMSBillingPolicy

회계 부서에서 새 결제 역할을 사용하여 관리 계정의 결제 정보 또는 계정 설정을 보고 변경할 수 있습니다. 대체 연락처와 같은 정보에 액세스하거나, 계정 리소스 사용량을 보거나, 결제 탭을 유지하거나, 결제 방법을 수정하려면이 역할을 사용합니다. 이 새 역할은 AWS Billing IAM 작업 웹 페이지에 나열된 모든 권한으로 구성됩니다.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "aws-portal:ViewBilling",
                "aws-portal:ModifyBilling"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToBilling"
        },
        {
            "Action": [
                "aws-portal:ViewAccount",
                "aws-portal:ModifyAccount"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToAccountSettings"
        },
        {
            "Action": [
                "budgets:ViewBudget",
                "budgets:ModifyBudget"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToAccountBudget"
        },
        {
            "Action": [
                "aws-portal:ViewPaymentMethods",
                "aws-portal:ModifyPaymentMethods"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToPaymentMethods"
        },
        {
            "Action": [
                "aws-portal:ViewUsage"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToUsage"
        },
        {
            "Action": [
                "cur:DescribeReportDefinitions",
                "cur:PutReportDefinition",
                "cur:DeleteReportDefinition",
                "cur:ModifyReportDefinition"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToCostAndUsageReport"
        },
        {
            "Action": [
                "pricing:DescribeServices",
                "pricing:GetAttributeValues",
                "pricing:GetProducts"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToPricing"
        },
        {
            "Action": [
                "ce:*",
                "compute-optimizer:*"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToCostExplorerComputeOptimizer"
        },
        {
            "Action": [
                "purchase-orders:ViewPurchaseOrders",
                "purchase-orders:ModifyPurchaseOrders"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToPurchaseOrders"
        },
        {
            "Action": [
                "redshift:AcceptReservedNodeExchange",
                "redshift:PurchaseReservedNodeOffering"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToRedshiftAction"
        },
        {
            "Action": "savingsplans:*",
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AWSSavingsPlansFullAccess"
        }
    ]
}

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementReadOnlyPolicy

모든 AMS 변경 유형과 요청된 변경 유형의 기록을 볼 수 있는 권한.

AMSMasterAccountSpecificChangeManagementInfrastructurePolicy

AMSMasterAccountSpecificChangeManagementInfrastructurePolicy

배포 | 관리형 랜딩 존 | 관리 계정 | 애플리케이션 계정 생성(VPC 사용) 변경 유형을 요청할 수 있는 권한.

AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy

AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy

배포 | 관리형 랜딩 존 | 네트워킹 계정 | 애플리케이션 라우팅 테이블 변경 유형 생성을 요청할 수 있는 권한.

AMSChangeManagementInfrastructurePolicy

AMSChangeManagementInfrastructurePolicy (관리용 | 기타 | 기타 CTs)

관리 | 기타 | 기타 | 생성 및 관리 | 기타 | 기타 | 변경 유형 업데이트를 요청할 수 있는 권한.

AMSSecretsManagerSharedPolicy

AMSSecretsManagerSharedPolicy

를 통해 AMS에서 공유하는 보안 암호/해시를 볼 수 있는 권한 AWS Secrets Manager (예: 감사를 위한 인프라에 대한 암호).

AMS와 공유할 보안 암호/해시를 생성할 수 있는 권한(예: 배포해야 하는 제품의 라이선스 키).

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
			"Sid": "AllowAccessToSharedNameSpaces",
			"Effect": "Allow",
			"Action": "secretsmanager:*",
			"Resource": [
				"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
				"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
			]
		},
		{
			"Sid": "DenyGetSecretOnCustomerNamespace",
			"Effect": "Deny",
			"Action": "secretsmanager:GetSecretValue",
			"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
		},
		{
			"Sid": "AllowReadAccessToAMSNameSpace",
			"Effect": "Deny",
			"NotAction": [
				"secretsmanager:Describe*",
				"secretsmanager:Get*",
				"secretsmanager:List*"
			],
			"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
		}
	]
}

AMSChangeManagementPolicy

AMSChangeManagementPolicy

모든 AMS 변경 유형 및 요청된 변경 유형의 기록을 요청하고 볼 수 있는 권한.

AMSReservedInstancesPolicy

AMSReservedInstancesPolicy

Amazon EC2 예약 인스턴스를 관리할 수 있는 권한. 요금 정보는 Amazon EC2 예약 인스턴스를 참조하세요.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
		"Sid": "AllowReservedInstancesManagement",
		"Effect": "Allow",
		"Action": [
			"ec2:ModifyReservedInstances",
			"ec2:PurchaseReservedInstancesOffering"
		],
		"Resource": [
			"*"
		]
	}]
}

AMSS3Policy

AMSS3Policy

기존 Amazon S3 버킷에서 파일을 생성하고 삭제할 수 있는 권한.

참고

이러한 권한은 배포 | 고급 스택 구성 요소 | S3 스토리지 | 변경 유형 생성으로 수행해야 하는 S3 버킷을 생성할 수 있는 권한을 부여하지 않습니다.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:PutObject"
            ],
            "Resource": "*"
        }
    ]
}

AWSSupportAccess

AWSSupportAccess

에 대한 전체 액세스 권한 지원. 자세한 내용은 시작하기를 참조하세요 지원. Premium Support에 대한 자세한 내용은 섹션을 참조하세요지원.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
		"Effect": "Allow",
		"Action": [
			"support:*"
		],
		"Resource": "*"
	}]
}

AWSMarketplaceManageSubscriptions

AWSMarketplaceManageSubscriptions (공개 AWS관리형 정책)

구독, 구독 취소 및 AWS Marketplace 구독 보기 권한.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
		"Action": [
			"aws-marketplace:ViewSubscriptions",
			"aws-marketplace:Subscribe",
			"aws-marketplace:Unsubscribe"
		],
		"Effect": "Allow",
		"Resource": "*"
	}]
}

AWSCertificateManagerFullAccess

AWSCertificateManagerFullAccess

에 대한 전체 액세스 권한 AWS Certificate Manager. 자세한 내용은 AWS Certificate Manager 단원을 참조하십시오.

AWSCertificateManagerFullAccess information, (퍼블릭 AWS 관리형 정책).

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
		"Effect": "Allow",
		"Action": [
			"acm:*"
		],
		"Resource": "*"
	}]
}

AWSWAFFullAccess

AWSWAFFullAccess

에 대한 전체 액세스 권한 AWS WAF. 자세한 내용은 AWS WAF - 웹 애플리케이션 방화벽을 참조하세요.

AWSWAFFullAccess information, (퍼블릭 AWS 관리형 정책). 이 정책은 AWS WAF 리소스에 대한 전체 액세스 권한을 부여합니다.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
		"Action": [
			"waf:*",
			"waf-regional:*",
			"elasticloadbalancing:SetWebACL"
		],
		"Effect": "Allow",
		"Resource": "*"
	}]
}

ReadOnlyAccess

ReadOnlyAccess

AWS 콘솔의 모든 AWS 서비스 및 리소스에 대한 읽기 전용 액세스. 가 새 서비스를 AWS 시작하면 AMS는 ReadOnlyAccess 정책을 업데이트하여 새 서비스에 대한 읽기 전용 권한을 추가합니다. 이렇게 업데이트된 권한은 정책이 추가되는 모든 보안 주체 엔터티에게 적용됩니다.

이렇게 해도 EC2 호스트 또는 데이터베이스 호스트에 로그인할 수 있는 기능은 부여되지 않습니다.

활성가 있는 경우이 링크 ReadOnlyAccess를 사용하여 전체 ReadOnlyAccess 정책을 볼 AWS 계정수 있습니다. 전체 ReadOnlyAccess 정책은 모든에 대한 읽기 전용 액세스를 제공하는 한 매우 깁니다 AWS 서비스. 다음은 ReadOnlyAccess 정책의 부분 발췌문입니다.

단일 계정 랜딩 존(SALZ): AMS 단일 계정 랜딩 존 기본 사용자 지정되지 않은 사용자 역할 정책을 보려면 SALZ: 기본 IAM 사용자 역할다음을 참조하세요.

SALZ: 기본 IAM 사용자 역할

기본 AMS 단일 계정 랜딩 존 사용자 역할에 대한 JSON 정책 설명입니다.

참고

SALZ 기본 사용자 역할은 사용자 지정할 수 있으며 계정별로 다를 수 있습니다. 역할을 찾는 방법에 대한 지침이 제공됩니다.

다음은 기본 SALZ 사용자 역할의 예입니다. 정책이 설정되어 있는지 확인하려면 get-role 명령을 실행합니다. 또는 https://console.aws.amazon.com/iam/ AWS Identity and Access Management 콘솔에 로그인한 다음 역할을 선택합니다.

고객 읽기 전용 역할은 여러 정책의 조합입니다. 역할 분석(JSON)은 다음과 같습니다.

관리형 서비스 감사 정책:

관리형 서비스 IAM ReadOnly 정책

관리형 서비스 사용자 정책


	{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowCustomerToListTheLogBucketLogs",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "aws/*",
            "app/*",
            "encrypted",
            "encrypted/",
            "encrypted/app/*"
          ]
        }
      }
    },
    {
      "Sid": "BasicAccessRequiredByS3Console",
      "Effect": "Allow",
      "Action": [
        "s3:ListAllMyBuckets",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ]
    },
    {
      "Sid": "AllowCustomerToGetLogs",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*/aws/*",
        "arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
      ]
    },
    {
      "Sid": "AllowAccessToOtherObjects",
      "Effect": "Allow",
      "Action": [
        "s3:DeleteObject*",
        "s3:Get*",
        "s3:List*",
        "s3:PutObject*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowCustomerToListTheLogBucketRoot",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:prefix": [
            "",
            "/"
          ]
        }
      }
    },
    {
      "Sid": "AllowCustomerCWLConsole",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogStreams",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:*"
      ]
    },
    {
      "Sid": "AllowCustomerCWLAccessLogs",
      "Effect": "Allow",
      "Action": [
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/aws/*",
        "arn:aws:logs:*:*:log-group:/infra/*",
        "arn:aws:logs:*:*:log-group:/app/*",
        "arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
      ]
    },
    {
      "Sid": "AWSManagedServicesFullAccess",
      "Effect": "Allow",
      "Action": [
        "amscm:*",
        "amsskms:*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "ModifyAWSBillingPortal",
      "Effect": "Allow",
      "Action": [
        "aws-portal:Modify*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "DenyDeleteCWL",
      "Effect": "Deny",
      "Action": [
        "logs:DeleteLogGroup",
        "logs:DeleteLogStream"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:*"
      ]
    },
    {
      "Sid": "DenyMCCWL",
      "Effect": "Deny",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:DescribeLogStreams",
        "logs:FilterLogEvents",
        "logs:GetLogEvents",
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/mc/*"
      ]
    },
    {
      "Sid": "DenyS3MCNamespace",
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
        "arn:aws:s3:::mc-a*-logs-*/mc/*",
        "arn:aws:s3:::mc-a*-logs-*-audit/*",
        "arn:aws:s3:::mc-a*-internal-*/*",
        "arn:aws:s3:::mc-a*-internal-*"
      ]
    },
    {
      "Sid": "ExplicitDenyS3CfnBucket",
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "arn:aws:s3:::cf-templates-*"
      ]
    },
    {
      "Sid": "DenyListBucketS3LogsMC",
      "Action": [
        "s3:ListBucket"
      ],
      "Effect": "Deny",
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "auditlog/*",
            "encrypted/mc/*",
            "mc/*"
          ]
        }
      }
    },
    {
      "Sid": "DenyS3LogsDelete",
      "Effect": "Deny",
      "Action": [
        "s3:Delete*",
        "s3:Put*"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*/*"
      ]
    },
    {
      "Sid": "DenyAccessToKmsKeysStartingWithMC",
      "Effect": "Deny",
      "Action": [
        "kms:*"
      ],
      "Resource": [
        "arn:aws:kms::*:key/mc-*",
        "arn:aws:kms::*:alias/mc-*"
      ]
    },
    {
      "Sid": "DenyListingOfStacksStartingWithMC",
      "Effect": "Deny",
      "Action": [
        "cloudformation:*"
      ],
      "Resource": [
        "arn:aws:cloudformation:*:*:stack/mc-*"
      ]
    },
    {
      "Sid": "AllowCreateCWMetricsAndManageDashboards",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowCreateandDeleteCWDashboards",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DeleteDashboards",
        "cloudwatch:PutDashboard"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

Customer Secrets Manager 공유 정책

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowSecretsManagerListSecrets",
      "Effect": "Allow",
      "Action": "secretsmanager:listSecrets",
      "Resource": "*"
    },
    {
      "Sid": "AllowCustomerAdminAccessToSharedNameSpaces",
      "Effect": "Allow",
      "Action": "secretsmanager:*",
      "Resource": [
        "arn:aws:secretsmanager:*:*:secret:ams-shared/*",
        "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
      ]
    },
   {
      "Sid": "DenyCustomerGetSecretCustomerNamespace",
      "Effect": "Deny",
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
    },  
    {
      "Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace",
      "Effect": "Deny",
      "NotAction": [
        "secretsmanager:Describe*",
        "secretsmanager:Get*",
        "secretsmanager:List*"
      ],
      "Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
    }
  ]
}

Customer Marketplace 구독 정책

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowMarketPlaceSubscriptions",
      "Effect": "Allow",
      "Action": [
        "aws-marketplace:ViewSubscriptions",
        "aws-marketplace:Subscribe"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}