정책이란 무엇입니까? - AWS RoboMaker
ID 기반 정책 정책 액세스 레벨 분류

지원 종료 공지:는 2025 AWS 년 9월 10일에 AWS RoboMaker에 대한 지원을 중단할 예정입니다. 2025년 9월 10일 이후에는 더 이상 AWS RoboMaker 콘솔 또는 AWS RoboMaker 리소스에 액세스할 수 없습니다. 컨테이너화된 시뮬레이션을 실행하기 위해 로 전환하는 AWS Batch 방법에 대한 자세한 내용은이 블로그 게시물을 참조하십시오.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

정책이란 무엇입니까?

정책을 AWS 생성하고 IAM 자격 증명 또는 AWS 리소스에 연결하여에서 액세스를 제어합니다.

참고

빠르게 시작하려면 AWS RoboMaker에 대한 인증 및 액세스 제어에 나와 있는 기본 정보를 검토한 다음 IAM 시작하기 섹션을 참조하세요.

정책은 개체 또는 리소스와 연결될 때 권한을 정의하는의 객체입니다.는 사용자와 같은 보안 주체 AWS 가 요청할 때 이러한 정책을 AWS 평가합니다. 정책에서 권한은 요청이 허용되거나 거부되는 지를 결정합니다. 대부분의 정책은에 JSON 문서 AWS 로 저장됩니다.

IAM 정책은 작업을 수행하기 위해 사용하는 방법과 상관없이 작업에 대한 권한을 정의합니다. 예를 들어 정책이 GetUser 작업을 허용하는 경우 해당 정책이 있는 사용자는 AWS Management Console AWS CLI, 또는 AWS API에서 사용자 정보를 가져올 수 있습니다. IAM 사용자를 생성할 경우, 사용자가 콘솔 또는 프로그래밍 방식 액세스를 허용하도록 설정할 수 있습니다. IAM 사용자는 사용자 이름 및 암호를 사용하는 콘솔에 로그인할 수 있습니다. 또는 CLI 또는 API를 사용해 액세스 키를 사용할 수 있습니다.

액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요:

  • 의 사용자 및 그룹 AWS IAM Identity Center:

    권한 세트를 생성합니다. AWS IAM Identity Center 사용 설명서권한 세트 생성의 지침을 따릅니다.

  • 보안 인증 공급자를 통해 IAM에서 관리되는 사용자:

    ID 페더레이션을 위한 역할을 생성합니다. IAM 사용 설명서Create a role for a third-party identity provider (federation)의 지침을 따릅니다.

  • IAM 사용자:

    • 사용자가 맡을 수 있는 역할을 생성합니다. IAM 사용 설명서에서 Create a role for an IAM user의 지침을 따릅니다.

    • (권장되지 않음)정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. IAM 사용 설명서에서 사용자(콘솔)에 권한 추가의 지침을 따르세요.

에서 지원되지 않는 정책 AWS RoboMaker

리소스 기반 정책 및 액세스 제어 목록(ACLs)은에서 지원되지 않습니다 AWS RoboMaker. 자세한 내용은 IAM 사용 설명서정책 유형을 참조하세요.

ID 기반 정책

정책을 IAM 보안 인증에 연결할 수 있습니다. 예를 들면, 다음을 수행할 수 있습니다:

  • 계정 내 사용자 또는 그룹에 권한 정책 연결 – 특정 사용자 또는 그 사용자가 속한 그룹에 권한 정책을 연결하여 AWS RoboMaker 리소스(예: 로봇 애플리케이션) 생성 권한을 해당 사용자에게 부여할 수 있습니다.

  • 역할에 권한 정책 연결(교차 계정 권한 부여) – ID 기반 권한 정책을 IAM 역할에 연결하여 교차 계정 권한을 부여할 수 있습니다. 예를 들어 계정 A의 관리자는 다음과 같이 다른 계정(예: AWS 계정 B) 또는 AWS 서비스에 교차 계정 권한을 부여하는 역할을 생성할 수 있습니다.

    1. 계정 A 관리자는 IAM 역할을 생성하고 계정 A의 리소스에 대한 권한을 부여하는 권한 정책을 역할에 연결합니다.

    2. 계정 A 관리자는 계정 B를 역할을 수임할 보안 주체로 식별하는 역할에 신뢰 정책을 연결합니다.

    3. 그런 다음 계정 B 관리자는 계정 B의 모든 사용자에게 역할을 수임할 권한을 위임할 수 있습니다. 이렇게 하면 계정 B의 사용자가 계정 A의 리소스를 생성하거나 액세스할 수 있습니다. 역할을 수임할 수 있는 AWS 서비스 권한을 부여하려는 경우 신뢰 정책의 보안 주체가 AWS 서비스 보안 주체가 될 수도 있습니다.

    IAM을 사용하여 권한을 위임하는 방법에 대한 자세한 내용은 IAM User GuideAccess Management를 참조하세요.

사용자, 그룹, 역할 및 권한에 대한 자세한 내용은 IAM 사용 설명서의 자격 증명(사용자, 그룹 및 역할)을 참조하세요.

정책 액세스 레벨 분류

IAM 콘솔에서는 다음 액세스 레벨 분류를 사용하여 작업이 그룹화됩니다.

  • 나열 – 서비스 내의 리소스를 나열하여 객체가 존재하는지 판단할 수 있는 권한을 제공합니다. 이 액세스 레벨의 작업은 객체를 나열할 수 있으나 리소스의 내용을 확인할 수 없습니다. 액세스 레벨이 나열인 대부분의 작업은 특정 리소스에 대해 수행할 수 없습니다. 이러한 작업에 관련한 정책 설명을 생성할 때 모든 리소스("*")를 지정해야 합니다.

  • 읽기 – 서비스에서 리소스 내용과 속성을 읽을 수 있으나 편집할 수 없는 권한을 제공합니다. 예를 들어 Amazon S3 작업 GetObjectGetBucketLocation의 액세스 수준은 Read입니다.

  • 쓰기 – 서비스에서 리소스를 생성, 삭제하거나 수정할 수 있는 권한을 제공합니다. 예를 들어 Amazon S3 작업 CreateBucket, DeleteBucketPutObject의 액세스 레벨은 쓰기입니다.

  • 권한 관리 – 서비스에서 리소스 권한을 부여하거나 수정할 수 있는 권한을 제공합니다. 예를 들어, 대부분의 IAM 및 AWS Organizations 정책 작업의 액세스 레벨은 권한 관리입니다.

    도움말

    AWS 계정의 보안을 개선하려면 권한 관리 액세스 수준 분류를 포함하는 정책을 제한하거나 정기적으로 모니터링하세요.

  • 태깅 – 서비스에서 리소스에 연결된 태그를 생성, 삭제하거나 수정할 수 있는 권한을 제공합니다. 예를 들어 Amazon EC2 CreateTagsDeleteTags 작업의 액세스 레벨은 태깅입니다.