기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AMS의 IAM 사용자 역할
<a name="defaults-user-role"></a>

IAM 역할은 자격 AWS 증명이 할 수 있는 것과 없는 것을 결정하는 권한 정책이 있는 자격 증명이라는 점에서 IAM 사용자와 유사합니다 AWS. 그러나 역할은 한 사람하고만 연관되지 않고 해당 역할이 필요한 사람이라면 누구든지 맡을 수 있어야 합니다.

현재 표준 AMS 계정의 경우 AMS 기본 사용자 역할 `Customer_ReadOnly_Role`1개가 있고 관리형 Active Directory가 있는 AMS 계정`customer_managed_ad_user_role`의 경우 추가 역할 1개가 있습니다.

역할 정책은 CloudWatch 및 Amazon S3 로그 작업, AMS 콘솔 액세스, 대부분의 읽기 전용 제한, 계정 S3 콘솔에 대한 AWS 서비스제한된 액세스 및 AMS 변경 유형 액세스에 대한 권한을 설정합니다.

또한 `Customer_ReadOnly_Role`에는 인스턴스를 예약할 수 있는 변경 가능한 예약 인스턴스 권한이 있습니다. 일부 비용 절감 값이 있으므로 특정 수의 Amazon EC2 인스턴스가 장기간 필요할 경우 해당 APIs. 자세한 내용은 [Amazon EC2 예약 인스턴스를 참조하세요](https://aws.amazon.com/ec2/pricing/reserved-instances/).

**참고**  
기존 정책을 재사용하지 않는 한, IAM 사용자에 대한 사용자 지정 IAM 정책을 생성하기 위한 AMS 서비스 수준 목표(SLO)는 영업일 기준 4일입니다. 기존 IAM 사용자 역할을 수정하거나 새 역할을 추가하려면 각각 [IAM: 개체 업데이트](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-review-required.html) 또는 [IAM: 개체 RFC 생성을](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy.html) 제출합니다.

Amazon IAM 역할에 익숙하지 않은 경우 [IAM 역할에서 중요한 정보를 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).

**다중 계정 랜딩 존(MALZ)**: AMS 다중 계정 랜딩 존 기본 사용자 지정되지 않은 사용자 역할 정책을 보려면 다음 단원[MALZ: 기본 IAM 사용자 역할](#json-default-role-malz)을 참조하십시오.

## MALZ: 기본 IAM 사용자 역할
<a name="json-default-role-malz"></a>

기본 다중 계정 AMS 다중 계정 랜딩 존 사용자 역할에 대한 JSON 정책 설명입니다.

**참고**  
사용자 역할은 사용자 지정할 수 있으며 계정별로 다를 수 있습니다. 역할을 찾는 방법에 대한 지침이 제공됩니다.

다음은 기본 MALZ 사용자 역할의 예입니다. 필요한 정책이 설정되어 있는지 확인하려면 AWS 명령을 실행[https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)하거나 AWS 관리 -> [IAM 콘솔](https://console.aws.amazon.com/iam/)에 로그인하고 탐색 창에서 **역할을** 선택합니다.

### 코어 OU 계정 역할
<a name="core-accounts"></a>

코어 계정은 MALZ 관리형 인프라 계정입니다. AMS 다중 계정 랜딩 존 코어 계정에는 관리 계정과 네트워킹 계정이 포함됩니다.


**코어 OU 계정: 공통 역할 및 정책**  
<a name="core-roles-common"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/userguide/defaults-user-role.html)


**코어 OU 계정: 관리 계정 역할 및 정책**  
<a name="core-roles-mgmt"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/userguide/defaults-user-role.html)


**코어 OU 계정: 네트워킹 계정 역할 및 정책**  
<a name="core-roles-networking"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/userguide/defaults-user-role.html)

### 애플리케이션 계정 역할
<a name="app-accounts"></a>

애플리케이션 계정 역할은 애플리케이션별 계정에 적용됩니다.


**애플리케이션 계정: 역할 및 정책**  
<a name="app-roles"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/userguide/defaults-user-role.html)

### 정책 예제
<a name="policy-examples"></a>

사용되는 대부분의 정책에 대한 예제가 제공됩니다. 활성 AWS 계정이 있는 경우 ReadOnlyAccess 정책(모든 AWS 서비스에 대한 읽기 전용 액세스를 제공하는 페이지)을 보려면이 링크를 사용할 수 [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary). 또한 여기에 요약된 버전이 포함되어 있습니다.

#### AMSBillingPolicy
<a name="ABP"></a>

`AMSBillingPolicy`

회계 부서에서 새 결제 역할을 사용하여 관리 계정의 결제 정보 또는 계정 설정을 보고 변경할 수 있습니다. 대체 연락처와 같은 정보에 액세스하거나, 계정 리소스 사용량을 보거나, 결제 탭을 유지하거나, 결제 방법을 수정하려면이 역할을 사용합니다. 이 새 역할은 [ AWS Billing IAM 작업 웹 페이지에](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#example-billing-deny-modifyaccount) 나열된 모든 권한으로 구성됩니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "aws-portal:ViewBilling",
                "aws-portal:ModifyBilling"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToBilling"
        },
        {
            "Action": [
                "aws-portal:ViewAccount",
                "aws-portal:ModifyAccount"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToAccountSettings"
        },
        {
            "Action": [
                "budgets:ViewBudget",
                "budgets:ModifyBudget"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToAccountBudget"
        },
        {
            "Action": [
                "aws-portal:ViewPaymentMethods",
                "aws-portal:ModifyPaymentMethods"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToPaymentMethods"
        },
        {
            "Action": [
                "aws-portal:ViewUsage"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToUsage"
        },
        {
            "Action": [
                "cur:DescribeReportDefinitions",
                "cur:PutReportDefinition",
                "cur:DeleteReportDefinition",
                "cur:ModifyReportDefinition"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToCostAndUsageReport"
        },
        {
            "Action": [
                "pricing:DescribeServices",
                "pricing:GetAttributeValues",
                "pricing:GetProducts"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToPricing"
        },
        {
            "Action": [
                "ce:*",
                "compute-optimizer:*"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToCostExplorerComputeOptimizer"
        },
        {
            "Action": [
                "purchase-orders:ViewPurchaseOrders",
                "purchase-orders:ModifyPurchaseOrders"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToPurchaseOrders"
        },
        {
            "Action": [
                "redshift:AcceptReservedNodeExchange",
                "redshift:PurchaseReservedNodeOffering"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToRedshiftAction"
        },
        {
            "Action": "savingsplans:*",
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AWSSavingsPlansFullAccess"
        }
    ]
}
```

------

#### AMSChangeManagementReadOnlyPolicy
<a name="ROP"></a>

`AMSChangeManagementReadOnlyPolicy`

모든 AMS 변경 유형과 요청된 변경 유형의 기록을 볼 수 있는 권한.

#### AMSMasterAccountSpecificChangeManagementInfrastructurePolicy
<a name="MASCMIP"></a>

`AMSMasterAccountSpecificChangeManagementInfrastructurePolicy`

배포 \$1 관리형 랜딩 존 \$1 관리 계정 \$1 애플리케이션 계정 생성(VPC 사용) 변경 유형을 요청할 수 있는 권한.

#### AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy
<a name="NASCMIP"></a>

`AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy `

배포 \$1 관리형 랜딩 존 \$1 네트워킹 계정 \$1 애플리케이션 라우팅 테이블 변경 유형 생성을 요청할 수 있는 권한.

#### AMSChangeManagementInfrastructurePolicy
<a name="INP"></a>

`AMSChangeManagementInfrastructurePolicy` (관리용 \$1 기타 \$1 기타 CTs)

관리 \$1 기타 \$1 기타 \$1 생성 및 관리 \$1 기타 \$1 기타 \$1 변경 유형 업데이트를 요청할 수 있는 권한.

#### AMSSecretsManagerSharedPolicy
<a name="SMS"></a>

`AMSSecretsManagerSharedPolicy`

를 통해 AMS가 공유하는 보안 암호/해시를 볼 수 있는 권한 AWS Secrets Manager (예: 감사를 위한 인프라에 대한 암호).

AMS와 공유할 보안 암호/해시를 생성할 수 있는 권한(예: 배포해야 하는 제품의 라이선스 키).

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
			"Sid": "AllowAccessToSharedNameSpaces",
			"Effect": "Allow",
			"Action": "secretsmanager:*",
			"Resource": [
				"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
				"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
			]
		},
		{
			"Sid": "DenyGetSecretOnCustomerNamespace",
			"Effect": "Deny",
			"Action": "secretsmanager:GetSecretValue",
			"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
		},
		{
			"Sid": "AllowReadAccessToAMSNameSpace",
			"Effect": "Deny",
			"NotAction": [
				"secretsmanager:Describe*",
				"secretsmanager:Get*",
				"secretsmanager:List*"
			],
			"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
		}
	]
}
```

------

#### AMSChangeManagementPolicy
<a name="CMP"></a>

`AMSChangeManagementPolicy`

모든 AMS 변경 유형 및 요청된 변경 유형의 기록을 요청하고 볼 수 있는 권한.

#### AMSReservedInstancesPolicy
<a name="RIP"></a>

`AMSReservedInstancesPolicy`

Amazon EC2 예약 인스턴스를 관리할 수 있는 권한. 요금 정보는 [Amazon EC2 예약 인스턴스를 참조하세요](https://aws.amazon.com/ec2/pricing/reserved-instances/).

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
		"Sid": "AllowReservedInstancesManagement",
		"Effect": "Allow",
		"Action": [
			"ec2:ModifyReservedInstances",
			"ec2:PurchaseReservedInstancesOffering"
		],
		"Resource": [
			"*"
		]
	}]
}
```

------

#### AMSS3Policy
<a name="S3P"></a>

`AMSS3Policy`

기존 Amazon S3 버킷에서 파일을 생성하고 삭제할 수 있는 권한.

**참고**  
이러한 권한은 배포 \$1 고급 스택 구성 요소 \$1 S3 스토리지 \$1 변경 유형 생성으로 수행해야 하는 S3 버킷을 생성할 수 있는 권한을 부여하지 않습니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:PutObject"
            ],
            "Resource": "*"
        }
    ]
}
```

------

#### AWSSupportAccess
<a name="SAP"></a>

`AWSSupportAccess`

에 대한 전체 액세스 권한 지원. 자세한 내용은 [시작하기를 참조하세요 지원](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html). Premium Support에 대한 자세한 내용은 섹션을 참조하세요[지원](https://aws.amazon.com/premiumsupport/).

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
		"Effect": "Allow",
		"Action": [
			"support:*"
		],
		"Resource": "*"
	}]
}
```

------

#### AWSMarketplaceManageSubscriptions
<a name="MMS"></a>

`AWSMarketplaceManageSubscriptions` (퍼블릭 AWS관리형 정책)

구독, 구독 취소 및 AWS Marketplace 구독 보기 권한.

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
		"Action": [
			"aws-marketplace:ViewSubscriptions",
			"aws-marketplace:Subscribe",
			"aws-marketplace:Unsubscribe"
		],
		"Effect": "Allow",
		"Resource": "*"
	}]
}
```

------

#### AWSCertificateManagerFullAccess
<a name="CMFA"></a>

`AWSCertificateManagerFullAccess`

에 대한 전체 액세스 권한 AWS Certificate Manager. 자세한 내용은 [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/) 단원을 참조하십시오.

[https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy](https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy) information, (퍼블릭 AWS 관리형 정책).

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
		"Effect": "Allow",
		"Action": [
			"acm:*"
		],
		"Resource": "*"
	}]
}
```

------

#### AWSWAFFullAccess
<a name="WAF"></a>

`AWSWAFFullAccess`

에 대한 전체 액세스 권한 AWS WAF. 자세한 내용은 [AWS WAF - 웹 애플리케이션 방화벽](https://aws.amazon.com/waf/)을 참조하세요.

[https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html](https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html) information, (퍼블릭 AWS 관리형 정책). 이 정책은 AWS WAF 리소스에 대한 전체 액세스 권한을 부여합니다.

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
		"Action": [
			"waf:*",
			"waf-regional:*",
			"elasticloadbalancing:SetWebACL"
		],
		"Effect": "Allow",
		"Resource": "*"
	}]
}
```

------

#### ReadOnlyAccess
<a name="ROA"></a>

`ReadOnlyAccess`

 AWS 콘솔의 모든 AWS 서비스 및 리소스에 대한 읽기 전용 액세스. 가 새 서비스를 AWS 시작하면 AMS는 ReadOnlyAccess 정책을 업데이트하여 새 서비스에 대한 읽기 전용 권한을 추가합니다. 이렇게 업데이트된 권한은 정책이 추가되는 모든 보안 주체 엔터티에게 적용됩니다.

이렇게 해도 EC2 호스트 또는 데이터베이스 호스트에 로그인할 수 있는 기능은 부여되지 않습니다.

활성가 있는 경우이 링크 [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary)를 사용하여 전체 ReadOnlyAccess 정책을 볼 AWS 계정수 있습니다. 전체 ReadOnlyAccess 정책은 모든에 대한 읽기 전용 액세스를 제공하는 한 매우 깁니다 AWS 서비스. 다음은 ReadOnlyAccess 정책의 부분 발췌문입니다.

**단일 계정 랜딩 존(SALZ)**: AMS 단일 계정 랜딩 존 기본 사용자 지정되지 않은 사용자 역할 정책을 보려면 다음 단원[SALZ: 기본 IAM 사용자 역할](#json-default-role)을 참조하십시오.

## SALZ: 기본 IAM 사용자 역할
<a name="json-default-role"></a>

기본 AMS 단일 계정 랜딩 존 사용자 역할에 대한 JSON 정책 설명입니다.

**참고**  
SALZ 기본 사용자 역할은 사용자 지정할 수 있으며 계정별로 다를 수 있습니다. 역할을 찾는 방법에 대한 지침이 제공됩니다.

다음은 기본 SALZ 사용자 역할의 예입니다. 정책이 설정되어 있는지 확인하려면 [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) 명령을 실행합니다. 또는 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) AWS Identity and Access Management 콘솔에 로그인한 다음 **역할을** 선택합니다.

고객 읽기 전용 역할은 여러 정책의 조합입니다. 역할 분석(JSON)은 다음과 같습니다.

관리형 서비스 감사 정책:

관리형 서비스 IAM ReadOnly 정책

관리형 서비스 사용자 정책

```
	{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowCustomerToListTheLogBucketLogs",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "aws/*",
            "app/*",
            "encrypted",
            "encrypted/",
            "encrypted/app/*"
          ]
        }
      }
    },
    {
      "Sid": "BasicAccessRequiredByS3Console",
      "Effect": "Allow",
      "Action": [
        "s3:ListAllMyBuckets",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ]
    },
    {
      "Sid": "AllowCustomerToGetLogs",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*/aws/*",
        "arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
      ]
    },
    {
      "Sid": "AllowAccessToOtherObjects",
      "Effect": "Allow",
      "Action": [
        "s3:DeleteObject*",
        "s3:Get*",
        "s3:List*",
        "s3:PutObject*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowCustomerToListTheLogBucketRoot",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:prefix": [
            "",
            "/"
          ]
        }
      }
    },
    {
      "Sid": "AllowCustomerCWLConsole",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogStreams",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:*"
      ]
    },
    {
      "Sid": "AllowCustomerCWLAccessLogs",
      "Effect": "Allow",
      "Action": [
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/aws/*",
        "arn:aws:logs:*:*:log-group:/infra/*",
        "arn:aws:logs:*:*:log-group:/app/*",
        "arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
      ]
    },
    {
      "Sid": "AWSManagedServicesFullAccess",
      "Effect": "Allow",
      "Action": [
        "amscm:*",
        "amsskms:*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "ModifyAWSBillingPortal",
      "Effect": "Allow",
      "Action": [
        "aws-portal:Modify*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "DenyDeleteCWL",
      "Effect": "Deny",
      "Action": [
        "logs:DeleteLogGroup",
        "logs:DeleteLogStream"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:*"
      ]
    },
    {
      "Sid": "DenyMCCWL",
      "Effect": "Deny",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:DescribeLogStreams",
        "logs:FilterLogEvents",
        "logs:GetLogEvents",
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/mc/*"
      ]
    },
    {
      "Sid": "DenyS3MCNamespace",
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
        "arn:aws:s3:::mc-a*-logs-*/mc/*",
        "arn:aws:s3:::mc-a*-logs-*-audit/*",
        "arn:aws:s3:::mc-a*-internal-*/*",
        "arn:aws:s3:::mc-a*-internal-*"
      ]
    },
    {
      "Sid": "ExplicitDenyS3CfnBucket",
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "arn:aws:s3:::cf-templates-*"
      ]
    },
    {
      "Sid": "DenyListBucketS3LogsMC",
      "Action": [
        "s3:ListBucket"
      ],
      "Effect": "Deny",
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "auditlog/*",
            "encrypted/mc/*",
            "mc/*"
          ]
        }
      }
    },
    {
      "Sid": "DenyS3LogsDelete",
      "Effect": "Deny",
      "Action": [
        "s3:Delete*",
        "s3:Put*"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*/*"
      ]
    },
    {
      "Sid": "DenyAccessToKmsKeysStartingWithMC",
      "Effect": "Deny",
      "Action": [
        "kms:*"
      ],
      "Resource": [
        "arn:aws:kms::*:key/mc-*",
        "arn:aws:kms::*:alias/mc-*"
      ]
    },
    {
      "Sid": "DenyListingOfStacksStartingWithMC",
      "Effect": "Deny",
      "Action": [
        "cloudformation:*"
      ],
      "Resource": [
        "arn:aws:cloudformation:*:*:stack/mc-*"
      ]
    },
    {
      "Sid": "AllowCreateCWMetricsAndManageDashboards",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowCreateandDeleteCWDashboards",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DeleteDashboards",
        "cloudwatch:PutDashboard"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
```

Customer Secrets Manager 공유 정책 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowSecretsManagerListSecrets",
      "Effect": "Allow",
      "Action": "secretsmanager:listSecrets",
      "Resource": "*"
    },
    {
      "Sid": "AllowCustomerAdminAccessToSharedNameSpaces",
      "Effect": "Allow",
      "Action": "secretsmanager:*",
      "Resource": [
        "arn:aws:secretsmanager:*:*:secret:ams-shared/*",
        "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
      ]
    },
   {
      "Sid": "DenyCustomerGetSecretCustomerNamespace",
      "Effect": "Deny",
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
    },  
    {
      "Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace",
      "Effect": "Deny",
      "NotAction": [
        "secretsmanager:Describe*",
        "secretsmanager:Get*",
        "secretsmanager:List*"
      ],
      "Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
    }
  ]
}
```

------

Customer Marketplace 구독 정책

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowMarketPlaceSubscriptions",
      "Effect": "Allow",
      "Action": [
        "aws-marketplace:ViewSubscriptions",
        "aws-marketplace:Subscribe"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
```

------