부록: 샘플 프로필 및 역할 정책 - AWS 권장 가이드
애플리케이션 1애플리케이션 2

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

부록: 샘플 프로필 및 역할 정책

애플리케이션 1에 대한 샘플 정책

프로파일 1의 샘플 정책은 Amazon Simple Storage Service(Amazon S3)에서 버킷 1에 대한 일부 작업을 허용합니다.

{
    "Version": "2012-10-17", 		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetObjectTagging",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1",
                "arn:aws:s3:::amzn-s3-demo-bucket1/*"
            ]
        }
    ]
}

역할 1에 대한 샘플 정책은 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 대한 DescribeInstances 작업을 허용하고 Amazon S3의 버킷 1버킷 2에 대한 일부 작업을 허용합니다.

{
    "Version": "2012-10-17", 		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:123456789012:instance/i-01234567890abcdef"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetObjectTagging",
                "s3:GetObjectVersion",
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:PutObjectLegalHold",
                "s3:PutObjectTagging"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1",
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket2",
                "arn:aws:s3:::amzn-s3-demo-bucket2/*"
            ]
        }
    ]
}

프로필 1 정책은 역할 1 정책에서 부여한 권한을 제한합니다. 역할을 수임할 때 역할 세션에 적용됩니다 IAM Roles Anywhere. 역할 1을 수임하는 애플리케이션은 버킷 1에만 액세스할 수 있습니다. 프로파일 1 정책은 이러한 권한을 부여하지 않으므로 버킷 2에 액세스하거나 Amazon EC2 작업을 수행할 수 없습니다.

애플리케이션 2에 대한 샘플 정책

프로파일 2의 샘플 정책은 Amazon S3에서 버킷 2에 대한 일부 작업을 허용합니다.

{
    "Version": "2012-10-17", 		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetObjectTagging",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket2",
                "arn:aws:s3:::amzn-s3-demo-bucket2/*"
            ]
        }
    ]
}

역할 2에 대한 샘플 정책은 Amazon EC2 인스턴스에 대한 DescribeInstances 작업을 허용하고 Amazon S3의 버킷 1버킷 2에 대한 일부 작업을 허용합니다.

{
    "Version": "2012-10-17", 		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:567890123456:instance/i-05678901234ghijk"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetObjectTagging",
                "s3:GetObjectVersion",
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:PutObjectLegalHold",
                "s3:PutObjectTagging"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1",
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket2",
                "arn:aws:s3:::amzn-s3-demo-bucket2/*"
            ]
        }
    ]
}

프로필 2에 대한 정책은 역할 2에서 부여한 권한을 제한합니다. 역할을 수임할 때 역할 세션에 적용됩니다 IAM Roles Anywhere. 역할 2를 수임하는 애플리케이션은 버킷 2에만 액세스할 수 있습니다. 프로파일 2 정책은 이러한 권한을 부여하지 않으므로 버킷 1에 액세스하거나 Amazon EC2 작업을 수행할 수 없습니다.