기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS 리소스 액세스
<a name="accessing-data-sources"></a>


|  | 
| --- |
|    적용 대상: 엔터프라이즈 에디션 및 스탠다드 에디션  | 


|  | 
| --- |
|    대상:  시스템 관리자 및 Amazon Quick 관리자  | 

Amazon Quick이 액세스하고 이러한 AWS 리소스에 대한 액세스 범위를 보다 세분화된 수준에서 축소할 수 있는 리소스를 제어할 수 있습니다. 엔터프라이즈 에디션에서는 또한 계정의 모든 사용자에 대해 일반 액세스 기본값을 설정할 수 있으며 개별 사용자 및 그룹에 대해 특정 액세스를 설정할 수 있습니다.

이러한 액세스 구성은 Amazon Quick Sight 데이터 소스 연결에 필수적이며 데이터 분석 및 시각화를 위해 Amazon S3, Amazon RDS, Amazon Redshift 및 Athena와 같은 AWS 서비스에 대한 보안 연결을 지원합니다. 적절한 리소스 액세스 설정을 통해 Amazon Quick Sight는 적절한 보안 경계를 유지하면서 데이터 소스에서 AWS 데이터를 검색하고 처리할 수 있습니다.

다음 섹션을 사용하면 빠른 작업을 위해 AWS 리소스를 구성하는 데 도움이 됩니다.

시작하기 전에 시스템 관리자에게 이러한 권한을 제공할 수 있는 올바른 권한이 있는지 확인하십시오. 이를 위해 시스템 관리자는 사용자가 특정 IAM 작업을 사용할 수 있는 정책을 생성합니다. 그러면 시스템 관리자가 해당 정책을 IAM의 사용자 또는 그룹과 연결합니다. 요청한 작업은 다음과 같습니다.
+ **`quicksight:AccountConfigurations`** - AWS 리소스에 대한 기본 액세스 설정을 활성화하려면
+ **`quicksight:ScopeDownPolicy`** - AWS 리소스에 대한 권한 정책 범위 지정
+ 자체 IAM 역할을 Amazon Quick으로 가져올 수도 있습니다. 자세한 내용은 [Amazon Quick에 IAM 역할 전달을 참조하세요](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role.html).

**Amazon Quick이 액세스할 수 있는 AWS 서비스를 활성화 또는 비활성화하려면**

1. 에서 Amazon Quick에 로그인합니다[https://quicksight.aws.amazon.com/](https://quicksight.aws.amazon.com/).

1. 오른쪽 상단에서 사용자 이름을 선택한 다음 **빠른 관리를** 선택합니다.

1. **보안 및 권한**을 선택합니다.

1. ** AWS 서비스에 대한 QuickSight 액세스**에서 **추가 또는 제거**를 선택합니다.

   사용 가능한 모든 AWS 서비스를 활성화할 수 있는 화면이 나타납니다.
**참고**  
권한 오류가 표시되고 권한이 부여된 Amazon Quick 관리자인 경우 시스템 관리자에게 문의하여 지원을 받으세요.

1. 허용하려는 서비스의 확인란을 선택하십시오. 허용하지 않으려는 서비스의 확인란을 선택 취소하십시오.

    AWS 서비스를 이미 활성화한 경우 해당 서비스의 확인란이 이미 선택되어 있습니다. Amazon Quick이 특정 AWS 서비스에 액세스할 수 없는 경우 해당 확인란이 선택되지 않습니다.

   다음과 같은 메시지가 표시되는 경우도 있습니다.

   `This policy used by Amazon Quick for AWS resource access was modified outside of Amazon Quick, so you can no longer edit this policy to provide AWS resource permission to Amazon Quick. To edit this policy permissions, go to the IAM console and delete this policy permission with policy arn - arn:aws:iam::111122223333:policy/service-role/AWSQuickSightS3Policy. `

   이 유형의 메시지는 Amazon Quick이 사용하는 IAM 정책 중 하나가 수동으로 변경되었음을 의미합니다. 이 문제를 해결하려면 시스템 관리자가 오류 메시지에 나열된 IAM 정책을 삭제하고 **보안 및 권한** 화면을 다시 로드한 다음 다시 시도해야 합니다.

1. 확인을 위해 **업데이트**를 선택하거나 이전 화면으로 돌아가려면 **취소**를 선택하십시오.

**Topics**
+ [IAM을 통해 AWS 서비스에 대한 세분화된 액세스 설정](scoping-policies-iam-interface.md)
+ [Quick에서 데이터베이스 자격 증명 대신 AWS Secrets Manager 보안 암호 사용](secrets-manager-integration.md)

# IAM을 통해 AWS 서비스에 대한 세분화된 액세스 설정
<a name="scoping-policies-iam-interface"></a>


|  | 
| --- |
|  적용 대상: Enterprise Edition  | 


|  | 
| --- |
|    대상:  시스템 관리자 및 Amazon Quick 관리자  | 

Enterprise Edition에서 Amazon Quick은 AWS 서비스의 리소스에 대한 세부 액세스를 설정할 수 있는 방법을 제공합니다. 다른 모든 AWS 서비스와 마찬가지로 Quick은 IAM 정책을 사용하여 사용자 및 그룹에 대한 액세스를 제어합니다.

시작하기 전에 관리자에게 필요한 IAM 정책을 미리 설정해 달라고 요청하십시오. 설정이 완료되면 이 섹션의 절차에 따라 이를 선택할 수 있습니다. Quick과 함께 사용할 IAM 정책 생성에 대한 자세한 내용은 [Quick의 Identity and Access Management](https://docs.aws.amazon.com/quicksight/latest/user/identity.html)를 참조하세요.

**사용자 또는 그룹에게 IAM 정책을 할당하려면**

1. 에서 Quick에 로그인합니다[https://quicksight.aws.amazon.com/](https://quicksight.aws.amazon.com/).

1. 왼쪽 상단에서 사용자 이름을 선택한 다음 **QuickSight 관리**를 선택합니다.

1. **보안 및 권한**을 선택합니다.

1. **Resource access for individual users and groups(개별 사용자 및 그룹에 대한 리소스 액세스)**에서 **IAM policy assignments(IAM 정책 할당)**을 선택합니다.

   나머지 단계에서는 사용자 또는 그룹에 할당할 IAM 정책을 선택합니다. 하나의 Amazon Quick 사용자 또는 그룹에 여러 IAM 정책을 할당할 수 있습니다. 권한을 결정하기 위해 Amazon Quick은 AWS 계정수준 정책과의 통합 및 교차를 수행합니다.

   활성 IAM 정책 할당이 이미 있는 경우 이 페이지에 나열됩니다. 검색 창을 사용하여 기존 할당을 검색할 수 있습니다. 아직 활성화되지 않은 초안이 있는 경우 **Assignment drafts(할당 초안)**에 나열됩니다.

1. 다음 중 하나를 선택합니다.
   + IAM 정책 할당을 만들려면 **Add new assignment(새 할당 추가)**를 선택합니다.
   + 기존 할당을 편집하려면 해당 할당에 대한 **Edit assignment(할당 편집)** 아이콘을 선택하십시오.
   + 정책을 활성화 또는 비활성화하려면 해당 정책의 확인란을 선택한 다음 **활성화** 또는 **비활성화**를 선택합니다. 한 번에 여러 정책 할당을 선택할 수 있습니다.
   + 기존 할당을 삭제하려면 할당 이름 옆에 있는 **Remove assignment(할당 제거)** 아이콘을 선택하십시오. 선택을 확인하려면 확인 화면에서 **삭제**를 선택하십시오. 또는 **뒤로**를 선택하여 삭제를 취소합니다.

   할당을 만들거나 편집하는 중이라면 다음 단계를 계속 진행하십시오. 그렇지 않으면 이 절차의 끝으로 건너 뜁니다.

1. 다음 화면에서 여러 단계로 나누어진 정책 할당 프로세스를 수행합니다. 단계를 진행하면서 앞뒤로 탐색하여 변경할 수 있습니다. 화면을 종료하면 모든 단계의 변경 사항이 저장됩니다.

   1. **1단계: 이름 지정** - 새 할당인 경우 할당 이름을 입력하고 **다음**을 선택하여 계속하십시오. 이름을 변경하려면 왼쪽에서 **Step 1(1단계)**을 선택하십시오.

   1. **2단계: IAM 정책 선택** - 사용할 IAM 정책을 선택합니다. 이 화면에서 다음과 같이 정책과 상호 작용할 수 있습니다.
      + 사용할 정책을 선택합니다.
      + 정책 이름을 검색합니다.
      + 목록을 필터링하여 모든 IAM 정책, AWS관리형 정책 또는 고객 관리형 정책을 확인합니다.
      + **정책보기**를 선택하여 정책을 봅니다.

      정책을 선택하려면 옆에 있는 버튼을 선택하고 **다음**을 선택하여 계속하십시오.

   1. **3단계: 사용자 및 그룹 할당** - 특정 사용자 또는 그룹을 선택합니다. 또는 모든 사용자 및 그룹에 대해 선택한 IAM 정책을 사용하도록 선택합니다.

      다음 중 하나를 선택합니다.
      + **모든 사용자 및 그룹에 할당**에서 확인란을 선택하여 모든 Amazon Quick 사용자 및 그룹에 IAM 정책을 할당합니다. 이 옵션을 선택하면 현재 및 미래의 모든 사용자 및 그룹에 정책이 할당됩니다.
      + 이 IAM 정책에 할당할 사용자 및 그룹을 선택하십시오. 이름, 전자 메일 주소 또는 그룹 이름으로 검색할 수 있습니다.

      사용자 및 그룹 선택이 끝나면 계속하려면 **다음**을 선택하십시오.

   1. **4단계 : 변경 내용 검토 및 사용** - 변경 내용을 저장합니다.

      다음 중 하나를 선택합니다.
      + 선택 사항을 편집하려면 해당 단계를 선택하여 편집하십시오.
      + 이 정책 할당을 초안으로 저장하려면 **Save as draft(초안으로 저장)**를 선택하십시오. 나중에 초안을 활성화할 수 있습니다.
      + 이 정책을 즉시 사용하려면 **Save and enable(저장 후 사용)**을 선택하십시오. 이 옵션은 동일한 이름의 기존 정책 할당을 덮어씁니다.

# Quick에서 데이터베이스 자격 증명 대신 AWS Secrets Manager 보안 암호 사용
<a name="secrets-manager-integration"></a>


|  | 
| --- |
|    대상:  Amazon Quick Administrators 및 Amazon Quick 개발자  | 

AWS Secrets Manager 는 데이터베이스 자격 증명, API 키 및 기타 보안 암호 정보를 보호하는 데 사용할 수 있는 보안 암호 스토리지 서비스입니다. 키를 사용하면 보안 암호가 코드에 저장되지 않기 때문에 여러분의 코드를 검사하는 누군가에 의해 보안 암호가 손상되지 않도록 방지할 수 있습니다. 개요는 [AWS Secrets Manager 사용 설명서](https://docs.aws.amazon.com/secretsmanager/latest/userguide)를 참조하십시오.

빠른 관리자는 Amazon Quick에 Secrets Manager에서 생성한 보안 암호에 대한 읽기 전용 액세스 권한을 부여할 수 있습니다. 이러한 보안 암호는 Quick API를 사용하여 데이터 소스를 생성하고 편집할 때 데이터베이스 자격 증명 대신 사용할 수 있습니다.

Quick은 자격 증명 페어 인증을 지원하는 데이터 소스 유형과 함께 보안 암호 사용을 지원합니다. Jira와 ServiceNow는 현재 지원되지 않습니다.

**참고**  
Quick AWS Secrets Manager 과 함께를 사용하는 경우 [AWS Secrets Manager 요금 페이지에](https://aws.amazon.com/secrets-manager/pricing) 설명된 대로 액세스 및 유지 관리에 대한 요금이 청구됩니다. 결제 명세서에서 비용은 Amazon Quick이 아닌 Secrets Manager로 항목화됩니다.

다음 섹션에 설명된 절차를 사용하여 Secrets Manager를 Amazon Quick과 통합합니다.

**Topics**
+ [Amazon Quick에 Secrets Manager 및 선택한 보안 암호에 대한 액세스 권한 부여](#secrets-manager-integration-select-secrets)
+ [Amazon Quick API를 사용하여 보안 인증 정보로 데이터 소스 생성 또는 업데이트](#secrets-manager-integration-api)
+ [보안 암호의 의미](#secrets-manager-integration-whats-in-secret)
+ [보안 암호 수정](#secrets-manager-integration-modifying)

## Amazon Quick에 Secrets Manager 및 선택한 보안 암호에 대한 액세스 권한 부여
<a name="secrets-manager-integration-select-secrets"></a>

관리자이고 Secrets Manager에 보안 암호가 있는 경우 Amazon Quick에 선택한 보안 암호에 대한 읽기 전용 액세스 권한을 부여할 수 있습니다.

**Amazon Quick에 Secrets Manager 및 선택한 보안 암호에 대한 액세스 권한을 부여하려면**

1. Amazon Quick에서 오른쪽 상단의 사용자 아이콘을 선택한 다음 **빠른 관리를** 선택합니다.

1. 왼쪽에서 **보안 및 권한**을 선택합니다.

1. **Amazon Quick에서 AWS 리소스에 대한 액세스** **관리를** 선택합니다.

1. **이러한 리소스에 대한 액세스 및 자동 검색 허용**에서 **AWS Secrets Manager**, **보안 암호 선택**을 선택합니다.

   **AWS Secrets Manager 보안 암호** 페이지가 열립니다.

1. Amazon Quick 읽기 전용 액세스 권한을 부여하려는 보안 암호를 선택합니다.

   Amazon Quick Sign-up 리전의 보안 암호가 자동으로 표시됩니다. 홈 리전 이외의 암호를 선택하려면 **기타 AWS 리전의 보안 암호**를 선택한 다음 해당 암호의 Amazon 리소스 이름(ARN)을 입력하십시오.

1. 모두 마쳤으면 **완료**를 선택합니다.

   Amazon Quick은 `aws-quicksight-secretsmanager-role-v0` 계정에 라는 IAM 역할을 생성합니다. 계정의 사용자에게 지정된 암호에 대한 읽기 전용 액세스 권한을 부여하는데, 이는 다음과 비슷합니다.

   Amazon Quick 사용자가 보안 암호가 있는 데이터 소스를 사용하는 대시보드에서 분석을 생성하거나 볼 때 Amazon Quick은이 Secrets Manager IAM 역할을 수임합니다. 암호 권한 정책에 대한 자세한 내용은AWS Secrets Manager 사용 설명서의 [AWS Secrets Manager에 대한 인증 및 액세스 제어](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html)를 참조하십시오.

   Amazon Quick IAM 역할에서 지정된 보안 암호에는 액세스를 거부하는 추가 리소스 정책이 있을 수 있습니다. 자세한 내용을 알아보려면 *AWS Secrets Manager 사용 설명서*의 [암호에 권한 정책 첨부](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html)를 참조하세요.

    AWS 관리형 AWS KMS 키를 사용하여 보안 암호를 암호화하는 경우 Amazon Quick은 Secrets Manager에서 추가 권한을 설정할 필요가 없습니다.

   고객 관리형 키를 사용하여 보안 암호를 암호화하는 경우 Amazon Quick IAM 역할에 `aws-quicksight-secretsmanager-role-v0` `kms:Decrypt` 권한이 있는지 확인합니다. 자세한 내용은AWS Secrets Manager 사용 설명서의 [KMS 키에 대한 권한](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html#security-encryption-authz)을 참조하십시오.

    AWS Key Management Service에 사용되는 키 유형에 대한 자세한 내용은 *AWS Key Management Service 가이드*의 [고객 키 및 AWS 키를](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt) 참조하세요.

## Amazon Quick API를 사용하여 보안 인증 정보로 데이터 소스 생성 또는 업데이트
<a name="secrets-manager-integration-api"></a>

Amazon Quick 관리자가 Amazon Quick에 Secrets Manager에 대한 읽기 전용 액세스 권한을 부여한 후 관리자가 자격 증명으로 선택한 보안 암호를 사용하여 API에서 데이터 소스를 생성하고 업데이트할 수 있습니다.

다음은 Amazon Quick에서 데이터 소스를 생성하기 위한 API 호출의 예입니다. 이 예제에서는 `create-data-source` API 작업을 사용합니다. `update-data-source` 작업을 사용할 수도 있습니다. 자세한 내용은 Amazon Quick API 참조의 [CreateDataSource](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateDataSource.html) 및 [UpdateDataSource](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_UpdateDataSource.html)를 참조하세요. ** 

다음 API 호출 예제의 권한에 지정된 사용자는 Amazon Quick에서 지정된 MySQL 데이터 소스의 데이터 소스를 삭제, 확인 및 편집할 수 있습니다. 또한 데이터 소스 권한을 보고 업데이트할 수 있습니다. Amazon Quick 사용자 이름과 암호 대신 보안 암호 ARN이 데이터 소스의 자격 증명으로 사용됩니다.

```
aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2
```

이 호출에서 Amazon Quick은 IAM 서비스 역할의 정책이 아닌 API 호출자의 IAM 정책을 기반으로 보안 암호에 대한 `secretsmanager:GetSecretValue` 액세스를 승인합니다. IAM 서비스 역할은 계정 수준에서 작동하며 사용자가 분석 또는 대시보드를 볼 때 사용됩니다. 사용자가 데이터 소스를 생성하거나 업데이트할 때는 암호 액세스를 승인하는 데 사용할 수 없습니다.

Amazon Quick UI에서 데이터 소스를 편집하면 사용자는를 자격 증명 유형 AWS Secrets Manager 으로 사용하는 데이터 소스의 보안 암호 ARN을 볼 수 있습니다. 하지만 암호를 편집하거나 다른 암호를 선택할 수는 없습니다. 데이터베이스 서버 또는 포트와 같이 변경해야 하는 경우 사용자는 먼저 **자격 증명 페어**를 선택하고 Amazon Quick 계정 사용자 이름과 암호를 입력해야 합니다.

UI에서 데이터 소스를 변경하면 데이터 소스에서 보안 암호가 자동으로 제거됩니다. 비밀번호를 데이터 소스에 복원하려면 `update-data-source` API 작업을 사용하세요.

## 보안 암호의 의미
<a name="secrets-manager-integration-whats-in-secret"></a>

Amazon Quick에서 보안 암호에 액세스하려면 다음 JSON 형식이 필요합니다.

```
{
  "username": "username",
  "password": "password"
}
```

Amazon Quick이 보안 암호에 액세스하려면 `username` 및 `password` 필드가 필요합니다. 다른 모든 필드는 선택 사항이며 Amazon Quick에서는 무시됩니다.

JSON 형식은 데이터베이스 유형에 따라 다를 수 있습니다. 자세한 내용은 *AWS Secrets Manager 사용 설명서*의 [AWS Secrets Manager 데이터베이스 자격 증명 보안 암호의 JSON 구조를 참조하세요](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_secret_json_structure.html).

## 보안 암호 수정
<a name="secrets-manager-integration-modifying"></a>

보안 암호를 수정하려면 Secrets Manager를 사용합니다. 보안 암호를 변경하면 다음에 Amazon Quick에서 보안 암호에 대한 액세스를 요청할 때 업데이트를 사용할 수 있습니다.