지원 종료 알림: 2026년 5월 31일에에 대한 지원이 AWS 종료됩니다 AWS Panorama. 2026년 5월 31일 이후에는 AWS Panorama 콘솔 또는 AWS Panorama 리소스에 더 이상 액세스할 수 없습니다. 자세한 내용은 [AWS Panorama 지원 종료를 참조하세요](https://docs.aws.amazon.com/panorama/latest/dev/panorama-end-of-support.html).

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Panorama 권한
<a name="panorama-permissions"></a>

 AWS Identity and Access Management (IAM)를 사용하여 어플라이언스 및 애플리케이션과 같은 AWS Panorama 서비스 및 리소스에 대한 액세스를 관리할 수 있습니다. 를 사용하는 계정의 사용자의 경우 IAM 역할에 적용할 수 있는 권한 정책에서 권한을 AWS Panorama관리합니다. 애플리케이션에 대한 권한을 관리하려면 역할을 생성하여 애플리케이션에 할당합니다.

계정의 [사용자에 대한 권한을 관리](permissions-user.md)하려면에서 AWS Panorama 제공하는 관리형 정책을 사용하거나 직접 작성합니다. 애플리케이션 및 어플라이언스 로그를 가져오고, 지표를 보고, 애플리케이션에 역할을 할당하려면 다른 AWS 서비스에 대한 권한이 필요합니다.

 AWS Panorama 어플라이언스에는 AWS 서비스 및 리소스에 액세스할 수 있는 권한을 부여하는 역할도 있습니다. 어플라이언스의 역할은 AWS Panorama 서비스가 사용자를 대신하여 다른 서비스에 액세스하는 데 사용하는 서비스 [역할](permissions-services.md) 중 하나입니다.

[애플리케이션 역할은](permissions-application.md) 애플리케이션에 대해 생성한 별도의 서비스 역할로,에서 AWS 서비스를 사용할 수 있는 권한을 부여합니다 AWS SDK for Python (Boto). 애플리케이션 역할을 생성하려면 관리자 권한이나 관리자의 도움이 필요합니다.

작업이 영향을 주는 리소스별로 또는 경우에 따라 추가 조건을 적용하여 사용자 권한을 제한할 수 있습니다. 예를 들어 애플리케이션의 Amazon 리소스 이름(ARN) 패턴을 지정하여 생성하는 애플리케이션 이름에 사용자가 사용자 이름을 포함시키도록 할 수 있습니다. 각 작업에서 지원되는 리소스 및 조건에 대해서는 서비스 승인 참조에서 [AWS Panorama의 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspanorama.html)를 참조하십시오.

자세한 내용은 IAM 사용 설명서의 [IAM이란?](https://docs.aws.amazon.com/IAM/latest/UserGuide/)을 참조하십시오.

**Topics**
+ [AWS Panorama에 대한 보안 인증 기반 IAM 정책](permissions-user.md)
+ [AWS Panorama 서비스 역할 및 교차 서비스 리소스](permissions-services.md)
+ [애플리케이션에 권한 부여](permissions-application.md)

# AWS Panorama에 대한 보안 인증 기반 IAM 정책
<a name="permissions-user"></a>

계정의 사용자에게 AWS Panorama에 대한 액세스 권한을 부여하려면 AWS Identity and Access Management (IAM)에서 자격 증명 기반 정책을 사용합니다. 보안 인증 기반 정책은 사용자와 연결된 IAM 역할에 적용합니다. 다른 계정의 사용자에게 내 계정의 역할을 수행할 수 있는 권한 및 AWS Panorama 리소스에 대한 액세스 권한을 부여할 수도 있습니다.

AWS Panorama는 AWS Panorama API 작업에 대해 액세스 권한을 부여하는 관리형 정책을 제공합니다. 경우에 따라 이 정책은 AWS Panorama 리소스를 개발하고 관리하는 데 사용되는 다른 서비스에 대한 액세스 권한도 부여합니다. AWS Panorama는 필요에 따라 관리형 정책을 업데이트하여 정책 릴리스 시 사용자가 새 기능에 대한 액세스 권한을 가질 수 있도록 보장합니다.
+ **AWSPanoramaFullAccess** – Amazon S3의 AWS Panorama 액세스 포인트, Amazon CloudWatch의 어플라이언스 자격 증명 AWS Secrets Manager및 어플라이언스 로그에 대한 전체 액세스를 제공합니다. AWS Panorama의 [서비스 연결 역할](permissions-services.md)을 생성할 수 있는 권한이 포함되어 있습니다. [정책 보기](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSPanoramaFullAccess)

`AWSPanoramaFullAccess` 정책을 통해 AWS Panorama 리소스에 태그를 지정할 수 있지만, AWS Panorama 콘솔에서 사용하는 모든 태그 관련 권한을 갖고 있지는 않습니다. 이러한 권한을 부여하려면 다음 정책을 추가하십시오.
+ **ResourceGroupsandTagEditorFullAccess** – [정책 보기](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)

이 `AWSPanoramaFullAccess` 정책에는 AWS Panorama 콘솔에서 디바이스를 구매할 수 있는 권한이 포함되어 있지 않습니다. 이러한 권한을 부여하려면 다음 정책을 추가하십시오.
+ **ElementalAppliancesSoftwareFullAccess** – [정책 보기](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ElementalAppliancesSoftwareFullAccess)

관리형 정책은 사용자가 수정할 수 있는 리소스를 제한하지 않고 API 작업에 대한 권한을 부여합니다. 보다 세부적으로 제어하기 위해 사용자의 권한을 제한하는 정책을 직접 만들 수 있습니다. 전체 액세스 정책을 정책의 출발점으로 활용하십시오.

**서비스 역할 생성**  
[AWS Panorama 콘솔](https://console.aws.amazon.com/panorama/home)을 처음 사용하는 경우, AWS Panorama 어플라이언스에서 사용하는 [서비스 역할](permissions-services.md)을 생성할 수 있는 권한이 필요합니다. 서비스 역할은 리소스를 관리하거나 다른 서비스와 상호 작용할 수 있는 권한을 서비스에 부여합니다. 사용자에게 액세스 권한을 부여하기 전에 먼저 이 역할을 생성하십시오.

AWS Panorama에서 사용자 권한 범위를 제한하는 데 사용할 수 있는 리소스 및 조건에 대한 자세한 내용은 서비스 인증 참조의 [AWS Panorama의 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspanorama.html)를 참조하십시오.

# AWS Panorama 서비스 역할 및 교차 서비스 리소스
<a name="permissions-services"></a>

AWS Panorama는 다른 AWS 서비스를 사용하여 AWS Panorama 어플라이언스를 관리하고, 데이터를 저장하고, 애플리케이션 리소스를 가져옵니다. 서비스 역할은 리소스를 관리하거나 다른 서비스와 상호 작용할 수 있는 권한을 서비스에 부여합니다. AWS Panorama 콘솔에 처음으로 로그인하는 경우 다음 서비스 역할을 생성합니다.

****
+ **AWSServiceRoleForAWSPanorama** – AWS Panorama에서 AWS IoT, AWS Secrets Manager, AWS Panorama 등에서 리소스를 관리할 수 있습니다.

  관리형 정책: [AWSPanoramaServiceLinkedRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSPanoramaServiceLinkedRolePolicy)
+ **AWSPanoramaApplianceServiceRole** – AWS Panorama 어플라이언스가 CloudWatch에 로그를 업로드하고, AWS Panorama에서 생성한 Amazon S3 액세스 포인트에서 개체를 가져올 수 있습니다.

  관리형 정책: [AWSPanoramaApplianceServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSPanoramaApplianceServiceRolePolicy)

각 역할에 연결된 권한을 보려면[ IAM 콘솔](https://console.aws.amazon.com/iam)을 사용하십시오. 가능한 경우 역할의 권한은 AWS Panorama가 사용하는 이름 지정 패턴과 일치하는 리소스로 제한됩니다. 예를 들어는 서비스가 이름에가 있는 AWS IoT 리소스`panorama`에 액세스할 수 있는 권한만 `AWSServiceRoleForAWSPanorama` 부여합니다.

**Topics**
+ [어플라이언스 역할 보안](#permissions-services-appliance)
+ [기타 서비스 사용](#permissions-services-otherservices)

## 어플라이언스 역할 보안
<a name="permissions-services-appliance"></a>

AWS Panorama 어플라이언스는 `AWSPanoramaApplianceServiceRole` 역할을 사용하여 계정의 리소스에 액세스합니다. 어플라이언스에는 CloudWatch Logs에 로그를 업로드하고,에서 카메라 스트림 자격 증명을 읽고 AWS Secrets Manager, AWS Panorama가 생성하는 Amazon Simple Storage Service(Amazon S3) 액세스 포인트의 애플리케이션 아티팩트에 액세스할 수 있는 권한이 있습니다.

**참고**  
애플리케이션은 어플라이언스의 권한을 사용하지 않습니다. 애플리케이션에 AWS 서비스 사용 권한을 부여하려면 [애플리케이션 역할](permissions-application.md)을 생성하십시오.

AWS Panorama는 계정의 모든 어플라이언스에서 동일한 서비스 역할을 사용하며 계정 간에 역할을 사용하지 않습니다. 보안을 강화하기 위해 어플라이언스 역할의 신뢰 정책을 수정하여 이를 명시적으로 적용할 수 있습니다. 역할을 사용하여 서비스에 계정의 리소스에 액세스할 수 있는 권한을 부여하는 것이 가장 좋습니다.

**어플라이언스 역할 신뢰 정책을 업데이트하려면**

1. IAM 콘솔에서 어플라이언스 역할: [AWSPanoramaApplianceServiceRole](https://console.aws.amazon.com/iam/home#/roles/AWSPanoramaApplianceServiceRole?section=trust)을 엽니다.

1. **신뢰 관계 편집**을 선택합니다.

1. 정책 내용을 업데이트한 다음 **신뢰 정책 업데이트**를 선택합니다.

다음 신뢰 정책에는 AWS Panorama가 어플라이언스 역할을 맡을 때 계정의 어플라이언스에 대해 해당 역할을 수행하도록 보장하는 조건이 포함되어 있습니다. `aws:SourceAccount` 조건은 AWS Panorama에서 지정한 계정 ID를 정책에 포함된 계정 ID와 비교합니다.

**Example 신뢰 정책 – 특정 계정**    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}
```

AWS Panorama를 더 제한하여 특정 디바이스에서만 역할을 수행하도록 허용하려면 ARN으로 디바이스를 지정하면 됩니다. `aws:SourceArn` 조건은 AWS Panorama에서 지정한 어플라이언스 ARN을 정책에 포함된 어플라이언스 ARN과 비교합니다.

**Example 신뢰 정책 – 단일 어플라이언스**    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:panorama:us-east-1:123456789012:device/device-lk7exmplpvcr3heqwjmesw76ky"
        },
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}
```

어플라이언스를 재설정하고 다시 프로비저닝하는 경우 소스 ARN 조건을 일시적으로 제거한 다음 새 디바이스 ID로 다시 추가해야 합니다.

이러한 조건에 대한 자세한 내용과 서비스가 역할을 사용하여 계정의 리소스에 액세스할 때의 보안 모범 사례에 대한 자세한 내용은 IAM 사용 설명서의 [혼란스러운 대리인 문제](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)를 참조하십시오.

## 기타 서비스 사용
<a name="permissions-services-otherservices"></a>

AWS Panorama는 다음 서비스에서 리소스를 생성하거나 액세스합니다.

****
+ [AWS IoT](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiot.html) – AWS Panorama 어플라이언스를 위한 사물, 정책, 인증서 및 작업입니다.
+ [Amazon S3](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazons3.html) – 애플리케이션 모델, 코드 및 구성을 스테이징하기 위한 액세스 포인트입니다.
+ [Secrets Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssecretsmanager.html) – AWS Panorama 어플라이언스의 단기 보안 인증 정보입니다.

Amazon 리소스 이름(ARN) 형식 또는 각 서비스의 권한 범위에 대한 자세한 내용은 이 목록에 링크된 *IAM 사용 설명서*의 주제를 참조하십시오.

# 애플리케이션에 권한 부여
<a name="permissions-application"></a>

애플리케이션에 대한 역할을 생성하여 AWS 서비스를 호출할 수 있는 권한을 부여할 수 있습니다. 기본적으로 애플리케이션에는 권한이 없습니다. IAM에서 애플리케이션 역할을 생성하고 배포 중에 애플리케이션에 할당합니다. 애플리케이션에 필요한 권한만 부여하려면 특정 API 작업에 대한 권한이 있는 역할을 생성하십시오.

[샘플 애플리케이션에](gettingstarted-sample.md)는 애플리케이션 역할을 생성하는 CloudFormation 템플릿과 스크립트가 포함되어 있습니다. AWS Panorama가 맡을 수 있는 [서비스 역할](permissions-services.md)입니다. 이 역할은 애플리케이션이 CloudWatch를 직접적으로 호출하여 지표를 업로드할 수 있는 권한을 부여합니다.

**Example [aws-panorama-sample.yml](https://github.com/awsdocs/aws-panorama-developer-guide/blob/main/sample-apps/aws-panorama-sample/aws-panorama-sample.yml) – 애플리케이션 역할**  

```
Resources:
  runtimeRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: "2012-10-17"		 	 	 
        Statement:
          -
            Effect: Allow
            Principal:
              Service:
                - panorama.amazonaws.com
            Action:
              - sts:AssumeRole
      Policies:
        - PolicyName: cloudwatch-putmetrics
          PolicyDocument:
            Version: 2012-10-17		 	 	 
            Statement:
              - Effect: Allow
                Action: 'cloudwatch:PutMetricData'
                Resource: '*'
      Path: /service-role/
```

`Action`의 값에 대한 API 작업 또는 패턴 목록을 지정하고 이 스크립트를 확장하여 다른 서비스에 권한을 부여할 수 있습니다.

AWS Panorama에서 권한을 부여하는 방법에 대한 자세한 내용은 [AWS Panorama 권한](panorama-permissions.md) 단원을 참조하십시오.