AWS 관리형 정책
AWS 관리형 정책은 AWS에 의해 생성되고 관리되는 독립 실행형 정책입니다. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
사용자, 그룹 또는 역할에 권한을 추가할 때 정책을 직접 작성하는 것보다 AWS관리형 정책을 사용하는 것이 더욱 편리합니다. 팀에 필요한 권한만 제공하는 IAM 고객 관리형 정책을 생성하려면 시간과 전문 지식이 필요합니다. 빨리 시작하려면 AWS관리형 정책을 사용할 수 있습니다. 이러한 정책은 일반적인 사용 사례에 적용되며 AWS계정에서 사용할 수 있습니다. AWS 관리형 정책에 대한 자세한 정보는 IAM 사용 설명서에서 AWS관리형 정책을 참조하세요.
AWS 서비스가 연결된 AWS 관리형 정책을 유지하고 업데이트입니다. AWS 관리형 정책에서는 권한을 변경할 수 없습니다. 서비스에서 때때로 추가 권한을 AWS 관리형 정책에 추가하여 새로운 기능을 지원합니다. 이 유형의 업데이트는 정책이 연결된 모든 ID(사용자, 그룹 및 역할)에 적용됩니다. 서비스는 새로운 기능이 시작되거나 새 태스크를 사용할 수 있을 때 AWS 관리형 정책에 업데이트됩니다. 서비스는 AWS관리형 정책에서 권한을 제거하지 않기 때문에 정책 업데이트로 인해 기존 권한이 손상되지 않습니다.
또한 AWS는 여러 서비스의 직무에 대한 관리형 정책을 지원합니다. 예를 들어 ReadOnlyAccess라는 이름의 AWS 관리형 정책은 모든 AWS 서비스 및 리소스에 대한 읽기 전용 액세스 권한을 제공합니다. 서비스에서 새 기능을 시작하면 AWS가 새 작업 및 리소스에 대한 읽기 전용 권한을 추가합니다. 직무 정책의 목록과 설명은 IAM 사용 설명서의 직무에 관한 AWS 관리형 정책을 참조하세요.
AWS 관리형 정책: AWSSecurityIncidentResponseServiceRolePolicy
AWS 보안 인시던트 대응는 AWSSecurityIncidentResponseServiceRolePolicy AWS 관리형 정책을 사용합니다. AWSServiceRoleForSecurityIncidentResponse 서비스 연결 역할에는 AWS 관리형 정책이 연결됩니다. 이 정책은 AWS 보안 인시던트 대응에서 구독된 계정을 식별하고, 사례를 생성하고, 관련 리소스에 태그를 지정할 수 있는 액세스 권한을 제공합니다.
중요
개인 식별 정보(PII)나 기타 기밀 정보 또는 민감한 정보를 태그에 저장하지 마세요. AWS 보안 인시던트 대응는 태그를 사용하여 관리 서비스를 제공합니다. 태그는 개인 데이터나 민감한 데이터에 사용하기 위한 것이 아닙니다.
권한 세부 정보
서비스는 이 정책을 사용하여 다음 리소스에 대한 작업을 수행합니다.
AWS Organizations: 서비스에서 사용할 멤버십 계정을 조회할 수 있도록 허용합니다.
CreateCase: 서비스가 멤버십 계정을 대신하여 서비스 사례를 생성할 수 있도록 허용합니다.
TagResource: 서비스의 일부로 구성된 서비스 태그 리소스를 허용합니다.
AWSSecurityIncidentResponseServiceRolePolicy에 대한 AWS 관리형 정책에서 이 정책과 연결된 권한을 볼 수 있습니다.
AWS 관리형 정책: AWSSecurityIncidentResponseFullAccess
AWS 보안 인시던트 대응는 AWSSecurityIncidentResponseAdmin AWS 관리형 정책을 사용합니다. 이 정책은 서비스 리소스에 대한 전체 액세스 권한과 관련 AWS 서비스에 대한 액세스 권한을 부여합니다. 이 정책을 IAM 위탁자와 함께 사용하여 AWS 보안 인시던트 대응에 대한 권한을 빠르게 추가할 수 있습니다.
중요
개인 식별 정보(PII)나 기타 기밀 정보 또는 민감한 정보를 태그에 저장하지 마세요. AWS 보안 인시던트 대응는 태그를 사용하여 관리 서비스를 제공합니다. 태그는 개인 데이터나 민감한 데이터에 사용하기 위한 것이 아닙니다.
권한 세부 정보
서비스는 이 정책을 사용하여 다음 리소스에 대한 작업을 수행합니다.
IAM 위탁자 읽기 전용 액세스: 서비스 사용자에게 기존 AWS 보안 인시던트 대응 리소스에 대해 읽기 전용 작업을 수행할 수 있는 권한을 부여합니다.
IAM 위탁자 쓰기 액세스: 서비스 사용자에게 AWS 보안 인시던트 대응 리소스를 업데이트, 수정, 삭제 및 생성할 수 있는 권한을 부여합니다.
AWSSecurityIncidentResponseFullAccess에 대한 AWS 관리형 정책에서 이 정책과 연결된 권한을 볼 수 있습니다.
AWS 관리형 정책: AWSSecurityIncidentResponseReadOnlyAccess
AWS 보안 인시던트 대응는 AWSSecurityIncidentResponseReadOnlyAccess AWS 관리형 정책을 사용합니다. 이 정책은 서비스 사례 리소스에 대한 읽기 전용 액세스 권한을 부여합니다. 이 정책을 IAM 위탁자와 함께 사용하여 AWS 보안 인시던트 대응에 대한 권한을 빠르게 추가할 수 있습니다.
중요
개인 식별 정보(PII)나 기타 기밀 정보 또는 민감한 정보를 태그에 저장하지 마세요. AWS 보안 인시던트 대응는 태그를 사용하여 관리 서비스를 제공합니다. 태그는 개인 데이터나 민감한 데이터에 사용하기 위한 것이 아닙니다.
권한 세부 정보
서비스는 이 정책을 사용하여 다음 리소스에 대한 작업을 수행합니다.
IAM 위탁자 읽기 전용 액세스: 서비스 사용자에게 기존 AWS 보안 인시던트 대응 리소스에 대해 읽기 전용 작업을 수행할 수 있는 권한을 부여합니다.
AWSSecurityIncidentResponseReadOnlyAccess에 대한 AWS 관리형 정책에서 이 정책과 연결된 권한을 볼 수 있습니다.
AWS 관리형 정책: AWSSecurityIncidentResponseCaseFullAccess
AWS 보안 인시던트 대응는 AWSSecurityIncidentResponseCaseFullAccess AWS 관리형 정책을 사용합니다. 이 정책은 서비스 사례 리소스에 대한 전체 액세스 권한을 부여합니다. 이 정책을 IAM 위탁자와 함께 사용하여 AWS 보안 인시던트 대응에 대한 권한을 빠르게 추가할 수 있습니다.
중요
개인 식별 정보(PII)나 기타 기밀 정보 또는 민감한 정보를 태그에 저장하지 마세요. AWS 보안 인시던트 대응는 태그를 사용하여 관리 서비스를 제공합니다. 태그는 개인 데이터나 민감한 데이터에 사용하기 위한 것이 아닙니다.
권한 세부 정보
서비스는 이 정책을 사용하여 다음 리소스에 대한 작업을 수행합니다.
IAM 위탁자 사례 읽기 전용 액세스: 서비스 사용자에게 기존 AWS 보안 인시던트 대응 사례에 대해 읽기 전용 작업을 수행할 수 있는 권한을 부여합니다.
IAM 위탁자 사례 쓰기 액세스: 서비스 사용자에게 AWS 보안 인시던트 대응 사례를 업데이트, 수정, 삭제 및 생성할 수 있는 권한을 부여합니다.
AWSSecurityIncidentResponseCaseFullAccess에 대한 AWS 관리형 정책에서 이 정책과 연결된 권한을 볼 수 있습니다.
AWS 관리형 정책: AWSSecurityIncidentResponseTriageServiceRolePolicy
AWS 보안 인시던트 대응는 AWSSecurityIncidentResponseTriageServiceRolePolicy AWS 관리형 정책을 사용합니다. 이 AWS 관리형 정책은 AWSServiceRoleForSecurityIncidentResponse_Triage 서비스 연결 역할에 연결됩니다.
이 정책은 AWS 보안 인시던트 대응에 대한 액세스를 제공하여 환경에 보안 위협이 있는지 지속적으로 모니터링하고, 보안 서비스를 튜닝하여 알림 노이즈를 줄이고, 잠재적 인시던트를 조사하기 위한 정보를 수집합니다. IAM 엔터티에 이 정책을 연결할 수 없습니다.
중요
개인 식별 정보(PII)나 기타 기밀 정보 또는 민감한 정보를 태그에 저장하지 마세요. AWS 보안 인시던트 대응는 태그를 사용하여 관리 서비스를 제공합니다. 태그는 개인 데이터나 민감한 데이터에 사용하기 위한 것이 아닙니다.
권한 세부 정보
서비스는 이 정책을 사용하여 다음 리소스에 대한 작업을 수행합니다.
이벤트: 서비스가 Amazon EventBridge 관리형 규칙을 생성할 수 있도록 허용합니다. 이 규칙은 AWS 계정에서 서비스로 이벤트를 전달하는 데 필요한 인프라입니다. 이 작업은
triage.security-ir.amazonaws.com
에서 관리하는 모든 AWS 리소스에서 수행됩니다.Amazon GuardDuty: 서비스가 보안 서비스를 튜닝하여 알림 노이즈를 줄이고 정보를 수집하여 잠재적 인시던트를 조사할 수 있도록 허용합니다. 이 작업은 모든 AWS 리소스에서 수행됩니다.
AWS Security Hub: 서비스가 보안 서비스를 튜닝하여 알림 노이즈를 줄이고 정보를 수집하여 잠재적 인시던트를 조사할 수 있도록 허용합니다. 이 작업은 모든 AWS 리소스에서 수행됩니다.
AWSSecurityIncidentResponseTriageServiceRolePolicy에 대한 AWS 관리형 정책에서 이 정책과 연결된 권한을 볼 수 있습니다.
SLR 및 관리형 정책에 대한 AWS 보안 인시던트 대응 업데이트
이 서비스에서 이러한 변경 사항을 추적하기 시작한 이후부터 AWS 보안 인시던트 대응 SLR 및 관리 정책 역할에 대한 업데이트 세부 정보를 봅니다.
변경 사항 | 설명 | 날짜 |
---|---|---|
서비스 자격을 지원하기 위한 권한을 추가하는 SLR 업데이트 |
AWSSecurityIncidentResponseTriageServiceRolePolicy가 업데이트되어 security-ir:GetMembership, security-ir:ListMemberships, security-ir:UpdateCase, guardduty:ListFilters, guarduty:UpdateFilter, guardduty:DeleteFilter 및 guardduty:GetAdministratorAccount 권한이 추가되었습니다. guardduty:GetAdministratorAccount가 추가되어 위임 계정에서 GuardDuty 자동 아카이브 필터를 쉽게 관리할 수 있습니다. |
2025년 6월 2일 |
새 SLR - AWSServiceRoleForSecurityIncidentResponse 새 관리형 정책 - AWSSecurityIncidentResponseServiceRolePolicy. |
새로운 서비스 연결 역할과 연결된 정책을 통해 AWS Organizations 계정에 서비스 액세스를 허용하여 멤버십을 식별할 수 있습니다. | 2024년 12월 1일 |
새 SLR - AWSServiceRoleForSecurityIncidentResponse_Triage 새 관리형 정책 - AWSSecurityIncidentResponseTriageServiceRolePolicy |
새로운 서비스 연결 역할과 연결된 정책을 통해 AWS Organizations 계정에 서비스 액세스를 허용하여 보안 이벤트 분류를 수행할 수 있습니다. | 2024년 12월 1일 |
새 관리형 정책 - AWSSecurityIncidentResponseFullAccess |
AWS 보안 인시던트 대응는 서비스에 대한 읽기 및 쓰기 작업을 위해 IAM 위탁자에게 연결할 새 SLR을 추가합니다. |
2024년 12월 1일 |
새 관리형 정책 역할 - AWSSecurityIncidentResponseReadOnlyAccess |
AWS 보안 인시던트 대응는 읽기 작업을 위해 IAM 위탁자에게 연결할 새 SLR을 추가합니다. |
2024년 12월 1일 |
새 관리형 정책 역할 - AWSSecurityIncidentResponseCaseFullAccess |
AWS 보안 인시던트 대응는 서비스 사례에 대한 읽기 및 쓰기 작업을 위해 IAM 위탁자에게 연결할 새 SLR을 추가합니다. |
2024년 12월 1일 |
변경 내용 추적 시작 |
AWS 보안 인시던트 대응 SLR과 관리형 정책에 대한 변경 내용 추적을 시작했습니다. |
2024년 12월 1일 |