기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 보안
<a name="security"></a>

AWS 인프라에 시스템을 빌드하면 보안 책임은 사용자와 AWS가 분담합니다. 이 [공유 모델은](https://aws.amazon.com/compliance/shared-responsibility-model/) AWS가 호스트 운영 체제 및 가상화 계층에서 서비스가 운영되는 시설의 물리적 보안에 이르기까지 구성 요소를 운영, 관리 및 제어할 때 운영 부담을 줄일 수 있습니다. AWS에서의 보안에 대한 자세한 내용은 [AWS 보안 센터](https://aws.amazon.com/security/)를 참조하십시오.

## IAM 역할
<a name="iam-roles"></a>

이 솔루션은 최소 권한의 모범 사례에 따라 권한을 제어하고 격리하는 IAM 역할을 생성합니다. 이 솔루션은 서비스에 다음 권한을 부여합니다.

## 허브 템플릿
<a name="hub-template"></a>

 `RegisterSpokeAccountsFunctionLambdaRole` 
+ 스포크 계정이 등록된 Amazon DynamoDB 테이블에 대한 쓰기 권한

 `InvokeECSTaskRole` 
+ Amazon ECS 작업을 생성하고 실행할 수 있는 권한

 `CostOptimizerAdminRole` 
+ 스포크 계정이 등록된 Amazon DynamoDB 테이블에 대한 읽기 권한
+ 스포크 계정`WorkspacesManagementRole`의에 역할 권한 수임
+ AWS Directory Service에 대한 읽기 전용 권한
+ Amazon CloudWatch Logs에 대한 쓰기 권한
+ Amazon S3에 대한 쓰기 권한
+ WorkSpaces에 대한 읽기 및 쓰기 권한

 `SolutionHelperRole` 
+ AWS Lambda 함수를 호출하여 솔루션 지표에 대한 범용 고유 식별자(UUID)를 생성하는 권한

## 스포크 템플릿
<a name="spoke-template"></a>

 `WorkSpacesManagementRole` 
+ AWS Directory Service에 대한 읽기 전용 권한
+ Amazon CloudWatch Logs에 대한 쓰기 권한
+ Amazon S3에 대한 쓰기 권한
+ WorkSpaces에 대한 읽기/쓰기 권한

 `AccountRegistrationProviderRole` 
+ Lambda 함수를 호출하여 허브 계정 스택에 스포크 계정 등록