기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 부록: 샘플 프로필 및 역할 정책
<a name="appendix-sample-policies"></a>

## 애플리케이션 1에 대한 샘플 정책
<a name="appendix-sample-policies-app-1"></a>

**프로파일 1**의 샘플 정책은 Amazon Simple Storage Service(Amazon S3)에서 **버킷 1**에 대한 일부 작업을 허용합니다.

```
{
    "Version": "2012-10-17", 		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetObjectTagging",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1",
                "arn:aws:s3:::amzn-s3-demo-bucket1/*"
            ]
        }
    ]
}
```

**역할 1**에 대한 샘플 정책은 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 대한 `DescribeInstances` 작업을 허용하고 Amazon S3의 **버킷 1** 및 **버킷 2**에 대한 일부 작업을 허용합니다.

```
{
    "Version": "2012-10-17", 		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:123456789012:instance/i-01234567890abcdef"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetObjectTagging",
                "s3:GetObjectVersion",
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:PutObjectLegalHold",
                "s3:PutObjectTagging"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1",
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket2",
                "arn:aws:s3:::amzn-s3-demo-bucket2/*"
            ]
        }
    ]
}
```

**프로필 1** 정책은 **역할 1** 정책에서 부여한 권한을 제한합니다. 역할을 수임할 때 역할 세션에 적용됩니다 IAM Roles Anywhere. **역할 1**을 수임하는 애플리케이션은 **버킷 1**에만 액세스할 수 있습니다. **프로파일 ** **1 정책은 이러한 권한을 부여하지 않으므로 버킷 2**에 액세스하거나 Amazon EC2 작업을 수행할 수 없습니다.

## 애플리케이션 2에 대한 샘플 정책
<a name="appendix-sample-policies-app-2"></a>

**프로필 2**의 샘플 정책은 Amazon S3에서 **버킷 2**에 대한 일부 작업을 허용합니다.

```
{
    "Version": "2012-10-17", 		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetObjectTagging",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket2",
                "arn:aws:s3:::amzn-s3-demo-bucket2/*"
            ]
        }
    ]
}
```

**역할 2**에 대한 샘플 정책은 Amazon EC2 인스턴스에 대한 `DescribeInstances` 작업을 허용하고 Amazon S3의 **버킷 1** 및 **버킷 2**에 대한 일부 작업을 허용합니다.

```
{
    "Version": "2012-10-17", 		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:567890123456:instance/i-05678901234ghijk"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetObjectTagging",
                "s3:GetObjectVersion",
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:PutObjectLegalHold",
                "s3:PutObjectTagging"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1",
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket2",
                "arn:aws:s3:::amzn-s3-demo-bucket2/*"
            ]
        }
    ]
}
```

**프로필 2**에 대한 정책은 **역할 2**에서 부여한 권한을 제한합니다. 역할을 수임할 때 역할 세션에 적용됩니다 IAM Roles Anywhere. **역할 2**를 수임하는 애플리케이션은 **버킷 2**에만 액세스할 수 있습니다. 프로파일 **2 정책은 이러한 권한을 부여하지 않으므로 버킷 1**에 액세스하거나 Amazon EC2 작업을 수행할 수 없습니다. ** **