IAM 역할 정책 설명을 사용하여 권한 제한 - AMS 고급 사용 설명서

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM 역할 정책 설명을 사용하여 권한 제한

AMS는 IAM 역할을 사용하여 페더레이션 서비스를 통해 사용자 권한을 설정합니다.

단일 계정 랜딩 존 AMS: SALZ: 기본 IAM 사용자 역할을 참조하세요.

다중 계정 랜딩 존 AMS: MALZ: 기본 IAM 사용자 역할을 참조하세요.

IAM 역할은 AWS 서비스 요청을 수행할 수 있는 권한 집합을 정의하는 IAM 엔터티입니다. IAM 역할은 특정 사용자 또는 그룹과 연결되지 않습니다. 대신 신뢰할 수 있는 엔터티는 IAM 사용자, 애플리케이션 또는 Amazon EC2와 같은 AWS 서비스와 같은 역할을 수임합니다. 자세한 내용은 IAM 역할을 참조하세요.

Policy 요청 필드 아래에 보다 제한적인 IAM 정책을 전달하여 AWS 보안 토큰 서비스(STS) API 작업 AssumeRole을 사용하여 AMS IAM 사용자 역할을 수임하는 사용자에 대해 원하는 정책의 범위를 좁힐 수 있습니다.

CT 액세스를 제한하는 데 사용할 수 있는 정책 설명의 예가 다음에 제공됩니다.

구성된 Active Directory(AD) 그룹과 AWS Security Token Service(STS) API 작업 AssumeRole을 사용하여 특정 변경 유형(CTs. 아래 표시된 정책 설명을 사용하여 다양한 방법으로 CT 액세스를 제한할 수 있습니다.

모든 AMS API 호출(amscm 및 amsskms) 및 모든 변경 유형에 대한 액세스를 허용하는 기본 IAM 인스턴스 프로파일의 AMS 변경 유형 문:

{
    "Sid": "AWSManagedServicesFullAccess",
    "Effect": "Allow",
    "Action": [
        "amscm:*",
        "amsskms:*"
    ],
    "Resource": [
        "*"
    ]
}

  1. 지정된 두 CT에 대해서만 액세스 및 모든 작업을 허용하는 문CTs 여기서 "Action"은 AMS API 작업( amscm 또는 amsskms)이고 "Resource"는 기존 변경 유형 IDs 및 버전 번호를 나타냅니다.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "amscm:*",
            "Resource": [
                "arn:aws:amscm:*:*:changetype/ct-ID1:1.0",
                "arn:aws:amscm:*:*:changetype/ct-ID2:1.0"
            ]
        }
    ]
}

  2. 지정된 두 CT에서만 CreateRfc, UpdateRfc 및 SubmitRfc에 대한 액세스를 허용하는 문CTs

  3. 사용 가능한 모든 CT에서 CreateRfc, UpdateRfc 및 SubmitRfc에 대한 액세스를 허용하는 문: CTs

  4. 제한된 CT의 모든 작업에 대한 액세스를 거부하고 다른 CTs