기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon WorkSpaces에 사용되는 작업, 리소스 및 조건 키
Amazon WorkSpaces(서비스 접두사: workspaces)는 IAM 권한 정책에 사용할 수 있는 다음과 같은 서비스별 리소스, 작업 및 조건 컨텍스트 키를 제공합니다.
참조:
-
이 서비스를 구성하는 방법을 알아봅니다.
-
이 서비스에 사용 가능한 API 작업의 목록을 봅니다.
-
IAM 권한 정책을 사용하여 이 서비스와 리소스를 보호하는 방법을 알아봅니다.
Amazon WorkSpaces에서 정의한 작업
IAM 정책 설명의 Action 요소에서는 다음 작업을 지정할 수 있습니다. 정책을 사용하여 AWS에서 작업할 수 있는 권한을 부여합니다. 정책에서 작업을 사용하면 일반적으로 이름이 같은 API 작업 또는 CLI 명령에 대한 액세스를 허용하거나 거부합니다. 그러나 경우에 따라 하나의 작업으로 둘 이상의 작업에 대한 액세스가 제어됩니다. 또는 일부 작업을 수행하려면 다양한 작업이 필요합니다.
작업 테이블의 액세스 수준 열은 작업이 분류되는 방법(목록, 읽기, 권한 관리 또는 태그 지정)을 설명합니다. 이 분류는 정책에서 사용하는 작업이 부여하는 액세스 레벨을 이해하는 데 도움이 될 수 있습니다. 액세스 수준에 대한 자세한 내용은 정책 요약의 액세스 수준을 참조하세요.
작업 테이블의 리소스 유형 열에는 각 작업이 리소스 수준 권한을 지원하는지 여부가 표시됩니다. 리소스 열에 값이 없으면 정책 문의 Resource 요소에서 정책이 적용되는 모든 리소스("*")를 지정해야 합니다. 리소스 열에 리소스 유형이 포함되어 있으면 해당 작업 시 문에서 해당 유형의 ARN을 지정할 수 있습니다. 작업에 필요한 리소스가 하나 이상 있는 경우, 호출자에게 해당 리소스와 함께 작업을 사용할 수 있는 권한이 있어야 합니다. 필수 리소스는 테이블에서 별표(*)로 표시됩니다. IAM 정책의 Resource 요소로 리소스 액세스를 제한하는 경우, 각 필수 리소스 유형에 대해 ARN 또는 패턴을 포함해야 합니다. 일부 작업은 다수의 리소스 유형을 지원합니다. 리소스 유형이 옵션(필수 리소스로 표시되지 않은 경우)인 경우에는 선택적 리소스 유형 중 하나를 사용하도록 선택할 수 있습니다.
작업 테이블의 조건 키 열에는 정책 설명의 Condition 요소에서 지정할 수 있는 키가 포함됩니다. 서비스의 리소스와 연결된 조건 키에 대한 자세한 내용은 리소스 유형 테이블의 조건 키 열을 참조하세요.
작업 테이블의 종속 작업 열에는 작업을 성공적으로 호출하는 데 필요할 수 있는 추가 권한이 표시됩니다. 이러한 권한은 작업 자체에 대한 권한 외에 추가로 필요할 수 있습니다. 작업이 종속 작업을 지정하는 경우 해당 종속성은 테이블에 나열된 첫 번째 리소스뿐만 아니라 해당 작업에 정의된 추가 리소스에도 적용될 수 있습니다.
참고
리소스 조건 키는 리소스 유형 표에 나열되어 있습니다. 작업에 적용되는 리소스 유형에 대한 링크는 리소스 유형(*필수) 작업 표의 열에서 찾을 수 있습니다. 리소스 유형 테이블의 리소스 유형에는 조건 키 열이 포함되고 이는 작업 표의 작업에 적용되는 리소스 조건 키입니다.
다음 테이블의 열에 대한 자세한 내용은 작업 테이블을 참조하세요.
| 작업 | 설명 | 액세스 레벨 | 리소스 유형(*필수) | 조건 키 | 종속 작업 |
|---|---|---|---|---|---|
| AcceptAccountLinkInvitation | WorkSpaces BYOL에 대해 동일한 구성을 공유하도록 다른 AWS 계정의 초대를 수락할 수 있는 권한을 부여합니다. | 쓰기 | |||
| AssociateConnectionAlias | 연결 별칭을 디렉토리와 연결할 수 있는 권한을 부여합니다. | Write | |||
| AssociateIpGroups | IP 액세스 제어 그룹을 디렉터리와 연결할 수 있는 권한을 부여합니다. | 쓰기 | |||
| AssociateWorkspaceApplication | WorkSpace에 작업 영역 애플리케이션을 연결할 수 있는 권한을 부여합니다. | 쓰기 | |||
| AuthorizeIpRules | IP 액세스 제어 그룹에 규칙을 추가할 수 있는 권한을 부여합니다. | Write |
workspaces:UpdateRulesOfIpGroup |
||
| CopyWorkspaceImage | WorkSpaces 이미지를 복사할 수 있는 권한을 부여합니다. | 쓰기 |
workspaces:DescribeWorkspaceImages |
||
| CreateAccountLinkInvitation | WorkSpaces BYOL에 대해 동일한 구성을 공유하도록 다른 AWS 계정을 초대할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CreateConnectClientAddIn | 디렉터리 내에서 Amazon Connect 클라이언트 추가 기능을 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CreateConnectionAlias | 교차 리전 리디렉션에 사용할 연결 별칭을 생성할 수 있는 권한을 부여합니다. | Write | |||
| CreateIpGroup | IP 액세스 제어 그룹을 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CreateRootClientCertificate [권한만 해당] | 루트 클라이언트 인증서를 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CreateStandbyWorkspaces | 하나 이상의 Standby WorkSpaces를 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CreateTags | WorkSpaces 리소스에 대한 태그를 생성할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| CreateUpdatedWorkspaceImage | 업데이트된 WorkSpace 이미지를 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CreateWorkspaceBundle | WorkSpaces 번들을 생성할 수 있는 권한을 부여합니다. | 쓰기 |
workspaces:CreateTags |
||
| CreateWorkspaceImage | 새 WorkSpaces 이미지를 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CreateWorkspaces | 하나 이상의 WorkSpaces를 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CreateWorkspacesPool | WorkSpaces 풀을 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteAccountLinkInvitation | WorkSpaces BYOL에 대해 동일한 구성을 공유하도록 다른 AWS 계정에 대한 초대를 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteClientBranding | 디렉터리 내에서 AWS WorkSpaces Client 브랜딩 데이터를 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteConnectClientAddIn | 디렉터리 내에서 구성된 Amazon Connect 클라이언트 추가 기능을 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteConnectionAlias | 연결 별칭을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteIpGroup | IP 액세스 제어 그룹을 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteRootClientCertificate [권한만 해당] | 루트 클라이언트 인증서를 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteTags | WorkSpaces 리소스에서 태그를 삭제할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| DeleteWorkspaceBundle | WorkSpaces 번들을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteWorkspaceImage | WorkSpaces 이미지를 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeployWorkspaceApplications | WorkSpace에 보류 중인 모든 작업 영역 애플리케이션을 배포할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeregisterWorkspaceDirectory | Amazon WorkSpaces에서 디렉터리의 사용을 취소할 수 있는 권한을 부여합니다. | Write | |||
| DescribeAccount | WorkSpaces 계정에 대한 BYOL(사용자 라이선스 필요) 구성을 검색할 수 있는 권한을 부여합니다. | Read | |||
| DescribeAccountModifications | WorkSpaces 계정에 대한 BYOL(사용자 라이선스 필요) 구성의 수정 사항을 검색할 수 있는 권한을 부여합니다. | Read | |||
| DescribeApplicationAssociations | WorkSpace 애플리케이션과 연결된 리소스에 대한 정보를 검색할 수 있는 권한을 부여합니다. | List | |||
| DescribeApplications | WorkSpace 애플리케이션에 대한 정보를 얻을 수 있는 권한을 부여합니다. | List | |||
| DescribeBundleAssociations | WorkSpace 번들과 연결된 리소스에 대한 정보를 검색할 수 있는 권한을 부여합니다. | List | |||
| DescribeClientBranding | 디렉터리 내에서 AWS WorkSpaces Client 브랜딩 데이터를 검색할 수 있는 권한을 부여합니다. | Read | |||
| DescribeClientProperties | WorkSpaces 클라이언트에 대한 정보를 검색할 수 있는 권한을 부여합니다. | List | |||
| DescribeConnectClientAddIns | 생성된 Amazon Connect 클라이언트 추가 기능 목록을 검색할 수 있는 권한을 부여합니다. | List | |||
| DescribeConnectionAliasPermissions | 연결 별칭 소유자가 연결 별칭에 대해 다른 AWS 계정에 부여한 권한을 검색할 수 있는 권한을 부여합니다. | Read | |||
| DescribeConnectionAliases | 교차 리전 리디렉션에 사용되는 연결 별칭을 설명하는 목록을 검색할 수 있는 권한을 부여합니다. | Read | |||
| DescribeConsent [권한만 해당] | BYOL 최소 요구 사항에 대한 동의 계약에 대한 정보를 검색할 수 있는 권한을 부여합니다. | Read | |||
| DescribeCustomWorkspaceImageImport | WorkSpace BYOL 이미지 가져오기 작업에 대한 정보를 검색할 수 있는 권한을 부여합니다. | Read | |||
| DescribeImageAssociations | WorkSpace 이미지와 연결된 리소스에 대한 정보를 검색할 수 있는 권한을 부여합니다. | List | |||
| DescribeIpGroups | IP 액세스 제어 그룹에 대한 정보를 검색할 수 있는 권한을 부여합니다. | Read | |||
| DescribeTags | WorkSpaces 리소스의 태그를 설명할 수 있는 권한을 부여합니다. | Read | |||
| DescribeWorkspaceAssociations | WorkSpace와 연결된 리소스에 대한 정보를 검색할 수 있는 권한을 부여합니다. | List | |||
| DescribeWorkspaceBundles | WorkSpaces 번들에 대한 정보를 얻을 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeWorkspaceDirectories | WorkSpaces에 등록된 디렉토리에 대한 정보를 검색할 수 있는 권한을 부여합니다. | Read | |||
| DescribeWorkspaceImagePermissions | WorkSpaces 이미지 권한에 대한 정보를 검색할 수 있는 권한을 부여합니다. | Read | |||
| DescribeWorkspaceImages | WorkSpaces 이미지에 대한 정보를 검색할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeWorkspaceSnapshots | WorkSpaces 스냅샷에 대한 정보를 검색할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeWorkspaces | WorkSpaces에 대한 정보를 얻을 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeWorkspacesConnectionStatus | WorkSpaces의 연결 상태를 얻을 수 있는 권한을 부여합니다. | Read | |||
| DescribeWorkspacesPoolSessions | WorkSpaces 풀의 세션에 대한 정보를 검색할 수 있는 권한을 부여합니다. | List | |||
| DescribeWorkspacesPools | WorkSpaces 풀에 대한 정보를 검색할 수 있는 권한을 부여합니다. | List | |||
| DirectoryAccessManagement [권한만 해당] | 워크스페이스를 관리하고 프로비저닝하는 동안 디렉터리 관리 작업에 대한 권한을 부여합니다. | List | |||
| DisassociateConnectionAlias | 디렉토리에서 연결 별칭의 연결을 해제할 수 있는 권한을 부여합니다. | Write | |||
| DisassociateIpGroups | 디렉토리에서 IP 액세스 제어 그룹의 연결을 해제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DisassociateWorkspaceApplication | WorkSpace에서 작업 영역 애플리케이션을 연결 해제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| GetAccountLink | WorkSpaces BYOL에 대한 구성을 공유하기 위해 다른 AWS 계정과의 링크를 검색할 수 있는 권한을 부여합니다. | Read | |||
| ImportClientBranding | 디렉터리 내에서 AWS WorkSpaces Client 브랜딩 데이터를 가져올 수 있는 권한을 부여합니다. | 쓰기 | |||
| ImportCustomWorkspaceImage | BYOL(사용자 라이선스 필요) 이미지를 Amazon WorkSpaces로 가져올 수 있는 권한을 부여합니다. | 쓰기 | |||
| ImportWorkspaceImage | BYOL(사용자 라이선스 필요) 이미지를 Amazon WorkSpaces로 가져올 수 있는 권한을 부여합니다. | 쓰기 |
ec2:DescribeImages ec2:ModifyImageAttribute |
||
| ListAccountLinks | WorkSpaces BYOL에 대한 구성을 공유하는 AWS 계정(들)과의 링크를 검색할 수 있는 권한을 부여합니다. | List | |||
| ListAvailableManagementCidrRanges | WorkSpaces 계정에 대해 BYOL(사용자 라이선스 필요)을 활성화하기 위해 사용 가능한 CIDR 범위를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| MigrateWorkspace | WorkSpaces를 마이그레이션할 수 있는 권한을 부여합니다. | Write | |||
| ModifyAccount | WorkSpaces 계정에 대한 BYOL(사용자 라이선스 필요) 구성을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
| ModifyCertificateBasedAuthProperties | 디렉터리의 인증서 기반 권한 부여 속성을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
| ModifyClientProperties | WorkSpaces 클라이언트의 속성을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
| ModifyEndpointEncryptionMode | 표준 TLS와 FIPS 140-2 검증 모드 간에 지정된 디렉터리를 구성할 수 있는 권한을 부여합니다. | 쓰기 | |||
| ModifySamlProperties | 디렉터리의 SAML 속성을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
| ModifySelfservicePermissions | 사용자의 셀프 서비스 WorkSpaces 관리 기능을 수정할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| ModifyStreamingProperties | 스트리밍 속성을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
| ModifyWorkspaceAccessProperties | 사용자가 WorkSpaces에 액세스하는 데 사용할 수 있는 장치 및 운영 체제를 지정할 수 있는 권한을 부여합니다. | Write | |||
| ModifyWorkspaceCreationProperties | WorkSpaces를 생성하는 데 사용되는 기본 속성을 수정할 수 있는 권한을 부여합니다. | Write | |||
| ModifyWorkspaceProperties | 실행 모드 및 AutoStop 기간을 포함하여 WorkSpaces 속성을 수정할 수 있는 권한을 부여합니다. | Write | |||
| ModifyWorkspaceState | WorkSpaces의 상태를 수정할 수 있는 권한을 부여합니다. | Write | |||
| RebootWorkspaces | WorkSpaces를 재부팅할 수 있는 권한을 부여합니다. | Write | |||
| RebuildWorkspaces | WorkSpaces를 다시 빌드할 수 있는 권한을 부여합니다 | Write | |||
| RegisterWorkspaceDirectory | Amazon WorkSpaces에서 사용할 디렉토리를 등록할 수 있는 권한을 부여합니다. | 쓰기 | |||
| RejectAccountLinkInvitation | WorkSpaces BYOL에 대해 동일한 구성을 공유하기 위해 다른 AWS 계정의 초대를 거부할 수 있는 권한을 부여합니다. | 쓰기 | |||
| RestoreWorkspace | WorkSpaces를 복원할 수 있는 권한을 부여합니다. | Write | |||
| RevokeIpRules | IP 액세스 제어 그룹에서 규칙을 제거할 수 있는 권한을 부여합니다. | Write |
workspaces:UpdateRulesOfIpGroup |
||
| StartWorkspaces | AutoStop WorkSpaces를 시작할 수 있는 권한을 부여합니다. | 쓰기 | |||
| StartWorkspacesPool | WorkSpaces 풀을 시작할 수 있는 권한을 부여합니다. | 쓰기 | |||
| StopWorkspaces | AutoStop WorkSpaces를 중지할 수 있는 권한을 부여합니다. | 쓰기 | |||
| StopWorkspacesPool | WorkSpaces 풀을 중지할 수 있는 권한을 부여합니다. | 쓰기 | |||
| Stream | 페더레이션 사용자에게 기존 보안 인증 정보를 사용하여 로그인하고 WorkSpaces를 스트리밍할 수 있는 권한을 부여합니다. | 쓰기 | |||
| TerminateWorkspaces | WorkSpaces를 종료할 수 있는 권한을 부여합니다. | 쓰기 | |||
| TerminateWorkspacesPool | WorkSpaces 풀을 종료할 수 있는 권한을 부여합니다. | 쓰기 | |||
| TerminateWorkspacesPoolSession | WorkSpaces 풀 세션을 종료할 수 있는 권한을 부여합니다. | 쓰기 | |||
| UpdateConnectClientAddIn | Amazon Connect 클라이언트 추가 기능을 업데이트할 수 있는 권한을 부여합니다. 이 작업을 사용하면 Amazon Connect 클라이언트 추가 기능의 이름 및 엔드포인트 URL을 업데이트할 수 있습니다. | 쓰기 | |||
| UpdateConnectionAliasPermission | 연결 별칭을 다른 계정과 공유하거나 공유 해제할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| UpdateConsent [권한만 해당] | 동의 계약을 BYOL 최소 요구 사항으로 업데이트할 수 있는 권한을 부여합니다. | 쓰기 | |||
| UpdateRootClientCertificate [권한만 해당] | 루트 클라이언트 인증서를 업데이트할 수 있는 권한을 부여합니다. | 쓰기 | |||
| UpdateRulesOfIpGroup | IP 액세스 제어 그룹에 대한 규칙을 대체할 수 있는 권한을 부여합니다. | Write |
workspaces:AuthorizeIpRules workspaces:RevokeIpRules |
||
| UpdateWorkspaceBundle | WorkSpaces 번들에 사용된 WorkSpaces 이미지를 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateWorkspaceImagePermission | 다른 계정에 이미지를 복사할 수 있는 권한이 있는지 여부를 지정하여 WorkSpaces 이미지를 다른 계정과 공유하거나 공유 해제할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| UpdateWorkspacesPool | WorkSpaces 풀을 업데이트할 수 있는 권한을 부여합니다. | 쓰기 |
Amazon WorkSpaces에서 정의한 리소스 유형
이 서비스에서 정의하는 리소스 유형은 다음과 같으며, IAM 권한 정책 설명의 Resource 요소에서 사용할 수 있습니다. 작업 테이블의 각 작업은 해당 작업으로 지정할 수 있는 리소스 유형을 식별합니다. 리소스 유형은 정책에 포함할 조건 키를 정의할 수도 있습니다. 이러한 키는 리소스 유형 테이블의 마지막 열에 표시됩니다. 다음 테이블의 열에 관한 자세한 내용은 리소스 유형 테이블을 참조하세요.
| 리소스 유형 | ARN | 조건 키 |
|---|---|---|
| certificateid |
arn:${Partition}:workspaces:${Region}:${Account}:workspacecertificate/${CertificateId}
|
|
| directoryid |
arn:${Partition}:workspaces:${Region}:${Account}:directory/${DirectoryId}
|
|
| workspacebundle |
arn:${Partition}:workspaces:${Region}:${Account}:workspacebundle/${BundleId}
|
|
| workspaceid |
arn:${Partition}:workspaces:${Region}:${Account}:workspace/${WorkspaceId}
|
|
| workspaceimage |
arn:${Partition}:workspaces:${Region}:${Account}:workspaceimage/${ImageId}
|
|
| workspaceipgroup |
arn:${Partition}:workspaces:${Region}:${Account}:workspaceipgroup/${GroupId}
|
|
| workspacespoolid |
arn:${Partition}:workspaces:${Region}:${Account}:workspacespool/${PoolId}
|
|
| connectionalias |
arn:${Partition}:workspaces:${Region}:${Account}:connectionalias/${ConnectionAliasId}
|
|
| workspaceapplication |
arn:${Partition}:workspaces:${Region}:${Account}:workspaceapplication/${WorkSpaceApplicationId}
|
Amazon WorkSpaces에 사용되는 조건 키
Amazon WorkSpaces는 IAM 정책의 Condition 요소에 사용할 수 있는 다음과 같은 조건 키를 정의합니다. 이러한 키를 사용하여 정책 설명이 적용되는 조건을 보다 상세하게 설정할 수 있습니다. 다음 테이블의 열에 대한 자세한 내용은 조건 키 테이블을 참조하세요.
모든 서비스에서 사용할 수 있는 전역 조건 키를 보려면 AWS 전역 조건 컨텍스트 키를 참조하세요.
| 조건 키 | 설명 | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | 요청에서 전달되는 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
| aws:ResourceTag/${TagKey} | 리소스와 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
| aws:TagKeys | 요청에서 전달되는 태그 키를 기준으로 액세스를 필터링합니다. | ArrayOfString |
| workspaces:userId | WorkSpaces 사용자의 ID를 기준으로 액세스를 필터링합니다. | String |
