Resource Explorer 뷰 공유 - AWS Resource Explorer

AWS 계정와 뷰를 공유하기 위한 권한 정책

의 보기는 AWS Resource Explorer 주로 리소스 기반 정책을 사용하여 액세스 권한을 부여합니다. Amazon S3 버킷 정책과 마찬가지로 이러한 정책은 뷰에 연결되며 뷰를 사용할 수 있는 사용자를 지정합니다. 이는 (IAM) 자격 증명 기반 정책과는 대조적 AWS Identity and Access Management 입니다. IAM 자격 증명 기반 정책은 역할, 그룹 또는 사용자에게 할당되며 역할, 그룹 또는 사용자가 액세스할 수 있는 작업 및 리소스를 지정합니다. Resource Explorer 뷰에서는 다음과 같이 두 가지 유형의 정책을 사용할 수 있습니다.

리소스를 소유한 관리 계정 또는 위임된 관리자 계정 내에서 해당 보안 주체에 대한 액세스를 명시적으로 거부하는 다른 정책이 없는 경우 두 정책 유형 중 하나를 사용하여 액세스 권한을 부여합니다.
계정 전반에 걸쳐 두 정책 유형을 모두 사용해야 합니다. 공유 계정의 뷰에 연결된 리소스 기반 정책은 다른 소비 계정과의 공유를 활성화합니다. 하지만 해당 정책은 소비 계정의 개별 사용자 또는 역할에 액세스 권한을 부여하지 않습니다. 또한 소비 계정의 관리자는 소비 계정의 원하는 역할과 사용자에게 자격 증명 기반 정책을 할당해야 합니다. 이 정책은 보기의 Amazon 리소스 이름(ARN)에 대한 액세스 권한을 부여합니다.

다른 계정과 뷰를 공유하려면 AWS Resource Access Manager (AWS RAM. AWS RAM hands of resource-based policies for you를 사용해야 합니다. 공유하기 전에 다음 작업을 수행해야 합니다.

다중 계정 검색 을 켭니다.
뷰를 공유 및 공유 해제하는 데 사용하는 리소스 기반 정책 또는 IAM 자격 증명 기반 정책에 및 resource-explorer-2:GetResourcePolicy resource-explorer-2:PutResourcePolicy resource-explorer-2:DeleteResourcePolicy 권한이 포함되어 있는지 확인합니다.

뷰를 공유하려면 조직의 관리 계정 또는 위임된 관리자여야 합니다. 리소스를 공유할 계정 또는 자격 증명을 지정합니다. 는 Resource Explorer 뷰를 AWS RAM 완벽하게 지원합니다. 는 공유하기로 선택한 보안 주체의 유형에 따라 다음 섹션에 설명된 것과 유사한 정책을 AWS RAM 사용합니다. 리소스 공유 방법에 대한 지침은AWS Resource Access Manager 사용 설명서의 AWS 리소스 공유를 참조하세요.

관리자와 위임된 관리자는 조직 범위 뷰, OU(조직 단위) 범위 뷰, 계정 수준 범위 뷰 등 3가지 유형의 뷰를 생성하고 공유할 수 있습니다. 조직, OUs또는 계정과 공유할 수 있습니다. 계정이 조직에 가입하거나 조직을 떠날 때 는 공유 뷰를 AWS RAM 자동으로 부여하거나 취소합니다.

다음 예제 정책은 두 가지 다른 의 보안 주체가 뷰를 사용할 수 있도록 하는 방법을 보여줍니다 AWS 계정.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [ "111122223333", "444455556666" ]
            },
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            ], 
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111",
            "Condition": {"StringEquals": {"aws:PrincipalOrgID": "o-123456789012"},
                "StringNotEquals": {"aws:PrincipalAccount": "123456789012"}
            }
        }
    ]
    }"
}

지정된 각 계정의 관리자는 이제 역할, 그룹 및 사용자에 자격 증명 기반 권한 정책을 연결하여 뷰에 액세스할 수 있는 역할과 사용자를 지정해야 합니다. 계정 111122223333 또는 444455556666의 관리자는 다음과 같은 예제 정책을 생성할 수 있습니다. 그런 다음 원래 계정에서 공유된 뷰를 사용하여 검색할 수 있는 해당 계정의 역할, 그룹 및 사용자에게 정책을 할당할 수 있습니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
        }
    ]
}

이러한 IAM 자격 증명 기반 정책을 속성 기반 액세스 제어(ABAC) 보안 전략의 일부로 사용할 수 있습니다. 해당 패러다임에서는 모든 리소스와 모든 자격 증명에 태그가 지정되도록 해야 합니다. 그런 다음 액세스를 허용하려면 자격 증명과 리소스 간에 일치해야 하는 태그 키와 값을 정책에 지정합니다. 계정의 뷰에 태그를 지정하는 방법에 대한 자세한 내용은 뷰에 태그 추가를 참조하세요. 속성 기반 액세스 제어에 대한 자세한 내용은 IAM 사용 설명서의 태그 를 사용하여 리소스에 ABAC 대한 액세스 제어 AWS및 의 정의 섹션을 참조하세요. AWS

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

뷰 태그 지정

뷰 삭제