• AWS Systems Manager CloudWatch 대시보드는 2026년 4월 30일 이후에는 더 이상 사용할 수 없습니다. 고객은 Amazon CloudWatch 콘솔을 계속 사용하여 현재와 마찬가지로 Amazon CloudWatch 대시보드를 보고, 생성하고, 관리할 수 있습니다. 자세한 내용은 [Amazon CloudWatch 대시보드 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)를 참조하세요.

# AWS Systems Manager의 보안
<a name="security"></a>

Amazon Web Services에서 가장 우선순위가 높은 것이 클라우드 보안입니다. AWS 고객은 보안에 가장 보안에 민감한 조직의 요구 사항에 부합하도록 빌드된 데이터 센터 및 네트워크 아키텍처의 혜택을 누릴 수 있습니다.

보안은 AWS와 여러분의 공동 책임입니다. [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)은 이 사항을 클라우드*의* 보안 및 클라우드 *내* 보안으로 설명합니다.
+ **클라우드의 보안** - AWS는 AWS 클라우드에서 AWS 서비스를 실행하는 인프라를 보호합니다. AWS는 또한 안전하게 사용할 수 있는 서비스를 제공합니다. 타사 감사자는 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/)의 일환으로 보안 효과를 정기적으로 테스트하고 검증합니다. AWS Systems Manager에 적용되는 규정 준수 프로그램에 대한 자세한 내용은 [규정 준수 프로그램의 범위에 속하는 AWS 서비스](https://aws.amazon.com/compliance/services-in-scope/)을(를) 참조하세요.
+ **클라우드 내 보안** – 사용자의 책임은 사용자가 사용하는 AWS 서비스에 의해 결정됩니다. 또한 귀하는 데이터의 민감도, 회사 요구 사항, 관련 법률 및 규정을 비롯한 기타 요소에 대해서도 책임이 있습니다.

이 설명서는 AWS Systems Manager 사용 시 공동 책임 모델을 적용하는 방법을 이해하는 데 도움이 됩니다. 다음 주제에서는 보안 및 규정 준수 목표를 충족하도록 Systems Manager를 구성하는 방법을 보여줍니다. 또한 Systems Manager 리소스를 모니터링하고 보호하는 데 도움이 되는 다른 AWS 서비스을(를) 사용하는 방법을 배우게 됩니다.

**Topics**
+ [AWS Systems Manager의 데이터 보호](data-protection.md)
+ [AWS Systems Manager의 데이터 경계](data-perimeters.md)
+ [AWS Systems Manager의 I자격 증명 및 액세스 관리](security-iam.md)
+ [Systems Manager에 서비스 연결 역할 사용](using-service-linked-roles.md)
+ [AWS Systems Manager에서 로깅 및 모니터링](logging-and-monitoring.md)
+ [AWS Systems Manager의 규정 준수 확인](compliance-validation.md)
+ [AWS Systems Manager의 복원성](disaster-recovery-resiliency.md)
+ [AWS Systems Manager에서 인프라 보안](infrastructure-security.md)
+ [AWS Systems Manager의 구성 및 취약성 분석](vulnerability-analysis-and-management.md)
+ [Systems Manager의 보안 모범 사례](security-best-practices.md)

# AWS Systems Manager의 데이터 보호
<a name="data-protection"></a>

데이터 보호란 *전송 중*(Systems Manager 안팎으로 데이터가 이동 중)과 *저장된*(AWS 데이터 센터에 데이터가 저장됨) 동안 데이터를 보호하는 것을 말합니다.

AWS [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)은 AWS Systems Manager의 데이터 보호에 적용됩니다. 이 모델에서 설명하는 것처럼 AWS는 모든 AWS 클라우드를 실행하는 글로벌 인프라를 보호할 책임이 있습니다. 사용자는 인프라에서 호스팅되는 콘텐츠를 관리해야 합니다. 사용하는 AWS 서비스의 보안 구성과 관리 태스크에 대한 책임도 사용자에게 있습니다. 데이터 프라이버시에 대한 자세한 내용은 [데이터 프라이버시 FAQ](https://aws.amazon.com/compliance/data-privacy-faq/)를 참조하세요. 유럽의 데이터 보호에 대한 자세한 내용은 *AWS 보안 블로그*의 [AWS 공동 책임 모델 및 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 블로그 게시물을 참조하세요.

데이터를 보호하려면 AWS 계정 자격 증명을 보호하고 AWS IAM Identity Center 또는 AWS Identity and Access Management(IAM)를 통해 개별 사용자 계정을 설정하는 것이 좋습니다. 이렇게 하면 개별 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.
+ 각 계정에 다중 인증(MFA)을 사용하세요.
+ SSL/TLS를 사용하여 AWS 리소스와 통신하세요. TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ AWS CloudTrail로 API 및 사용자 활동 로깅을 설정하세요. AWS 활동 캡처에 CloudTrail 추적을 사용하는 방법에 대한 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [CloudTrail 추적 작업](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)을 참조하세요.
+ AWS 암호화 솔루션을 AWS 서비스 내의 모든 기본 보안 컨트롤과 함께 사용하세요.
+ Amazon S3에 저장된 민감한 데이터를 검색하고 보호하는 데 도움이 되는 Amazon Macie와 같은 고급 관리형 보안 서비스를 사용하세요.
+ 명령줄 인터페이스 또는 API를 통해 AWS에 액세스할 때 FIPS 140-3 검증된 암호화 모듈이 필요한 경우, FIPS 엔드포인트를 사용합니다. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 [Federal Information Processing Standard(FIPS) 140-3](https://aws.amazon.com/compliance/fips/)을 참조하세요.

고객의 이메일 주소와 같은 기밀 정보나 중요한 정보는 태그나 **이름** 필드와 같은 자유 형식 텍스트 필드에 입력하지 않는 것이 좋습니다. 여기에는 Systems Manager 또는 기타 AWS 서비스에서 콘솔, API, AWS CLI 또는 AWS SDK를 사용하여 작업하는 경우가 포함됩니다. 이름에 사용되는 태그 또는 자유 형식 텍스트 필드에 입력하는 모든 데이터는 청구 또는 진단 로그에 사용될 수 있습니다. 외부 서버에 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 자격 증명을 URL에 포함해서는 안 됩니다.

## 데이터 암호화
<a name="data-encryption"></a>

### 저장 시 암호화
<a name="encryption-at-rest"></a>

**Parameter Store 파라미터**  
AWS Systems Manager의 도구인 Parameter Store에서 생성할 수 있는 파라미터 유형으로는 `String`, `StringList`, `SecureString`이 있습니다.

모든 파라미터는 유형에 관계없이 전송 중과 저장 시에 암호화됩니다. 전송 중에 파라미터는 Transport Layer Security(TLS)를 사용하여 암호화되어 API 요청에 대한 보안 HTTPS 연결을 생성합니다. 저장 시 AWS Key Management Service의 AWS 소유 키(AWS KMS)로 암호화됩니다. AWS 소유 키 암호화에 대한 자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [AWS 소유 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)를 참조하세요.

`SecureString` 유형은 추가 암호화 옵션을 제공하며 모든 민감한 데이터에 권장됩니다. 다음 유형의 AWS KMS 키 중에서 선택하여 `SecureString` 파라미터 값을 암호화하고 해독할 수 있습니다.
+ 계정의 AWS 관리형 키
+ 계정에서 생성한 고객 관리형 키(CMK)
+ 사용자와 공유된 다른 AWS 계정의 CMK

AWS KMS 암호화에 대한 자세한 내용은 [AWS Key Management Service 개발자 가이드](https://docs.aws.amazon.com/kms/latest/developerguide/)를 참조하세요.

**S3 버킷의 콘텐츠**  
Systems Manager 작업의 일부로 데이터를 하나 이상의 Amazon Simple Storage Service(Amazon S3) 버킷에 업로드하거나 저장하도록 선택할 수 있습니다.

S3 버킷 암호화에 대한 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [암호화를 사용하여 데이터 보호](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) 및 [Amazon S3에서 데이터 보호](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html)를 참조하세요.

다음은 Systems Manager 활동의 일부로 S3 버킷에 업로드하거나 저장할 수 있는 데이터 형식입니다.
+ AWS Systems Manager의 도구인 Run Command의 명령 출력
+ AWS Systems Manager의 도구인 Distributor의 패키지
+ AWS Systems Manager의 도구인 Patch Manager의 패치 작업 로그
+ Patch Manager 패치 재정의 목록
+ AWS Systems Manager의 도구인 Automation의 런북 워크플로에서 실행할 스크립트 또는 Ansible 플레이북 
+ AWS Systems Manager의 도구인 Compliance의 검사에 사용할 Chef InSpec 프로파일
+ AWS CloudTrail 로그
+ AWS Systems Manager의 도구인 Session Manager의 세션 기록 로그
+ AWS Systems Manager의 도구인 Explorer의 보고서
+ AWS Systems Manager의 도구인 OpsCenter의 OpsData
+ 자동화 워크플로에 사용할 AWS CloudFormation 템플릿
+ 리소스 데이터 동기화 검사의 규정 준수 데이터
+ 관리형 노드에서 AWS Systems Manager의 도구인 State Manager의 연결 생성 또는 편집 요청 출력
+ AWS 관리형 SSM 문서 `AWS-RunDocument`를 사용하여 실행할 수 있는 사용자 정의 Systems Manager 문서(SSM 문서)

**CloudWatch Logs 로그 그룹**  
Systems Manager 작업의 일부로 데이터를 하나 이상의 Amazon CloudWatch Logs 로그 그룹으로 스트리밍하도록 선택할 수 있습니다.

CloudWatch Logs 로그 그룹 암호화에 대한 자세한 내용은 *Amazon CloudWatch Logs 사용 설명서*의 [AWS Key Management Service를 사용하여 CloudWatch Logs에서 로그 데이터 암호화](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html)를 참조하세요.

다음은 Systems Manager 활동의 일부로 CloudWatch Logs 로그 그룹으로 스트리밍할 수 있는 데이터 형식입니다.
+ Run Command 명령의 출력
+ 스크립트 출력은 Automation 실행서의 `aws:executeScript` 작업을 사용하여 실행됩니다.
+ Session Manager 세션 기록 로그
+ 관리형 노드의 SSM Agent의 로그

### 전송 중 암호화
<a name="encryption-in-transit"></a>

클라이언트와 노드 간에 전송되는 중요한 데이터를 암호화하려면 전송 계층 보안(TLS)과 같은 암호화 프로토콜을 사용하는 것이 좋습니다.

Systems Manager는 전송 중인 데이터의 암호화에 대해 다음과 같은 지원을 제공합니다.

**Systems Manager API 엔드포인트에 연결**  
Systems Manager API 엔드포인트는 HTTPS를 통한 보안 연결만을 지원합니다. AWS Management Console, AWS SDK 또는 Systems Manager API를 사용하여 Systems Manager 리소스를 관리하면 모든 통신이 TLS(전송 계층 보안)로 암호화됩니다. API 엔드포인트의 전체 목록은 **Amazon Web Services 일반 참조의 [AWS 서비스 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/rande.html)를 참조하세요.

**관리형 인스턴스**  
AWS에서는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 간에 안전한 프라이빗 연결을 제공합니다. 또한 256비트 암호화의 AEAD 알고리즘을 사용하여 동일한 Virtual Private Cloud(VPC) 또는 피어 VPC의 지원되는 인스턴스 간 전송 중인 트래픽을 자동으로 암호화합니다. 이 암호화 기능은 기본 하드웨어의 오프라인 기능을 사용하며 네트워크 성능에는 영향을 주지 않습니다. 지원되는 인스턴스는 C5n, G4, I3en, M5dn, M5n, P3dn, R5dn 및 R5n입니다.

**Session Manager 세션**  
기본적으로 Session Manager에서 TLS 1.3을 사용하여 계정 내 사용자의 로컬 머신과 EC2 인스턴스 사이에 전송되는 세션 데이터를 암호화합니다. AWS KMS에서 생성된 AWS KMS key를 사용하여 전송 중인 데이터를 추가로 암호화하도록 선택할 수도 있습니다. AWS KMS 암호화는 `Standard_Stream`, `InteractiveCommands`, 및 `NonInteractiveCommands` 세션 유형에 사용할 수 있습니다.

**Run Command 액세스**  
기본적으로 Run Command를 사용하는 노드에 대한 원격 액세스는 TLS 1.3을 사용하여 암호화되며, 연결을 생성하기 위한 요청은 SigV4를 사용하여 서명됩니다.

## 인터네트워크 트래픽 개인 정보
<a name="internetwork-privacy"></a>

Amazon Virtual Private Cloud(Amazon VPC)를 사용하여 관리형 노드의 리소스 간 경계를 생성하고 리소스, 온프레미스 네트워크 및 인터넷 간의 트래픽을 제어할 수 있습니다. 자세한 내용은 [Systems Manager용 VPC 엔드포인트를 사용하여 EC2 인스턴스의 보안 개선](setup-create-vpc.md)을 참조하세요.

Amazon Virtual Private Cloud 보안에 대한 자세한 내용은 *Amazon VPC 사용 설명서*의 [Amazon VPC의 인터네트워크 트래픽 개인 정보 보호](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)를 참조하세요.

# AWS Systems Manager의 데이터 경계
<a name="data-perimeters"></a>

데이터 경계는 예상 네트워크 및 리소스에서 신뢰할 수 있는 ID만 신뢰할 수 있는 리소스에 액세스하도록 하는 데 사용하는 AWS 환경의 권한 가드레일 세트입니다. 데이터 경계 제어를 구현할 때 Systems Manager가 사용자를 대신하여 액세스하는 AWS 서비스 소유 리소스에 대한 예외를 포함해야 할 수 있습니다.

**예제 시나리오: SSM 문서 범주 S3 버킷**  
Systems Manager는 AWS 관리형 S3 버킷에 액세스하여 [AWS Systems Manager Documents](documents.md)에 대한 문서 범주 정보를 검색합니다. 이 버킷에는 콘솔에서 SSM 문서를 구성하고 분류하는 데 도움이 되는 문서 범주에 대한 메타데이터가 포함되어 있습니다.

리소스 ARN 패턴  
`arn:aws:s3:::ssm-document-categories-region`  
리전별 예제:  
+ `arn:aws:s3:::ssm-document-categories-us-east-1`
+ `arn:aws:s3:::ssm-document-categories-us-west-2`
+ `arn:aws:s3:::ssm-document-categories-eu-west-1`
+ `arn:aws:s3:::ssm-document-categories-ap-northeast-1`

액세스 시  
이 리소스는 Systems Manager 콘솔에서 SSM 문서를 보거나 문서 메타데이터 및 범주를 검색하는 API를 사용할 때 액세스됩니다.

저장된 데이터  
버킷에는 문서 범주 정의 및 메타데이터가 포함된 JSON 파일이 포함되어 있습니다. 이 데이터는 읽기 전용이며 고객별 정보를 포함하지 않습니다.

사용된 자격 증명  
Systems Manager는 사용자의 요청을 대신하여 AWS 서비스 자격 증명을 사용해 이 리소스에 액세스합니다.

필수 권한  
버킷 콘텐츠의 `s3:GetObject`.

**데이터 경계 정책의 고려 사항**  
서비스 제어 정책(SCP) 또는 `aws:ResourceOrgID`와 같은 조건의 VPC 엔드포인트 정책을 사용하여 데이터 경계 제어를 구현하는 경우 Systems Manager에 필요한 AWS 서비스 소유 리소스에 대한 예외를 생성해야 합니다.

예를 들어 `aws:ResourceOrgID`에서 SCP를 사용하여 조직 외부의 리소스에 대한 액세스를 제한하는 경우 SSM 문서 범주 버킷에 대한 예외를 추가해야 합니다.

정책은 조직 외부의 리소스에 액세스해야 하지만 적절한 S3 버킷에 대한 예외를 포함하여 Systems Manager가 계속 제대로 작동할 수 있도록 합니다.

마찬가지로 VPC 엔드포인트 정책을 사용하여 S3 액세스를 제한하는 경우 VPC 엔드포인트를 통해 SSM 문서 범주 버킷에 액세스할 수 있는지 확인해야 합니다.

**추가 정보**  
AWS에서의 데이터 경계에 대한 자세한 내용은 다음 주제를 참조하세요.
+ [AWS에서의 데이터 경계](https://aws.amazon.com/identity/data-perimeters-on-aws/).
+ *IAM 사용 설명서*의 [데이터 경계를 사용하여 권한 가드레일 설정](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_data-perimeters.html)
+ GibHub의 *AWS Samples* 리포지토리의 [Service-specific guidance: AWS Systems Manager](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_specific_guidance/ssm-specific-guidance.md) 및 [Service-owned resources](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_owned_resources.md)

# AWS Systems Manager의 I자격 증명 및 액세스 관리
<a name="security-iam"></a>

AWS Identity and Access Management(IAM)는 관리자가 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있도록 지원하는 AWS 서비스입니다. IAM 관리자는 어떤 사용자가 Systems Manager 리소스를 사용할 수 있는 *인증*(로그인) 및 *권한*(권한 있음)을 받을 수 있는지 제어합니다. IAM은 추가 비용 없이 사용할 수 있는 AWS 서비스입니다.

**Topics**
+ [고객](#security_iam_audience)
+ [ID를 통한 인증](#security_iam_authentication)
+ [정책을 사용하여 액세스 관리](#security_iam_access-manage)
+ [AWS Systems Manager에서 IAM을 사용하는 방식](security_iam_service-with-iam.md)
+ [AWS Systems Manager 자격 증명 기반 정책 예시](security_iam_id-based-policy-examples.md)
+ [AWS Systems Manager의 AWS 관리형 정책](security-iam-awsmanpol.md)
+ [AWS Systems Manager ID 및 액세스 문제 해결](security_iam_troubleshoot.md)

## 고객
<a name="security_iam_audience"></a>

AWS Identity and Access Management(IAM)를 사용하는 방법은 역할에 따라 다릅니다.
+ **서비스 사용자** - 기능에 액세스할 수 없는 경우 관리자에게 권한 요청(참조[AWS Systems Manager ID 및 액세스 문제 해결](security_iam_troubleshoot.md))
+ **서비스 관리자** - 사용자 액세스 결정 및 권한 요청 제출([AWS Systems Manager에서 IAM을 사용하는 방식](security_iam_service-with-iam.md) 참조)
+ **IAM 관리자** - 액세스를 관리하기 위한 정책 작성([AWS Systems Manager 자격 증명 기반 정책 예시](security_iam_id-based-policy-examples.md) 참조)

## ID를 통한 인증
<a name="security_iam_authentication"></a>

인증은 ID 자격 증명을 사용하여 AWS에 로그인하는 방식입니다. AWS 계정 루트 사용자이나 IAM 사용자로, 또는 IAM 역할을 수임하여 인증(에 로그인)받아야 합니다.

AWS IAM Identity Center(IAM Identity Center), Single Sign-On 인증 또는 Google/Facebook 자격 증명과 같은 자격 증명 소스의 자격 증명을 사용하여 페더레이션 ID로 로그인할 수 있습니다. 로그인하는 방법에 대한 자세한 내용은 *AWS Sign-In사용 설명서*의 [AWS 계정에 로그인하는 방법](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) 섹션을 참조하세요.

프로그래밍 방식 액세스를 위해 AWS는 요청에 암호화 방식으로 서명할 수 있는 SDK 및 CLI를 제공합니다. 자세한 내용은 *IAM 사용 설명서*의 [API 요청용 AWS Signature Version 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) 섹션을 참조하세요.

### AWS 계정 루트 사용자
<a name="security_iam_authentication-rootuser"></a>

 AWS 계정을 생성하는 경우에는 모든 AWS 서비스 서비스와 리소스에 대한 완전한 액세스 권한이 있는 AWS 계정 *루트 사용자*라는 단일 로그인 ID로 시작합니다. 일상적인 태스크에 루트 사용자를 사용하지 않을 것을 강력히 권장합니다. 루트 사용자가 필요한 작업 목록은 *IAM 사용자 설명서*의 [루트 사용자 자격 증명이 필요한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)을 참조하세요.

### IAM 사용자 및 그룹
<a name="security_iam_authentication-iamuser"></a>

*[IAM 사용자](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*는 단일 개인 또는 애플리케이션에 대한 특정 권한을 가진 ID입니다. 장기 자격 증명이 있는 IAM 사용자 대신 임시 자격 증명을 사용하는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*에서 [임시 자격 증명을 사용하여 AWS에 액세스하려면 인간 사용자가 ID 제공업체와의 페더레이션을 사용하도록 요구](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)를 참조하세요.

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)은 IAM 사용자 모음을 지정하고 대규모 사용자 집합에 대한 관리 권한을 더 쉽게 만듭니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 사용자 사용 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) 섹션을 참조하세요.

### IAM 역할
<a name="security_iam_authentication-iamrole"></a>

*[IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*은 임시 자격 증명을 제공하는 특정 권한이 있는 자격 증명입니다. [사용자에서 IAM 역할(콘솔)로 전환](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)하거나 AWS CLI 또는 AWS API 작업을 직접적으로 호출하여 역할을 수임할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [역할 수임 방법](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)을 참조하세요.

IAM 역할은 페더레이션 사용자 액세스, 임시 IAM 사용자 권한, 교차 계정 액세스, 교차 서비스 액세스 및 Amazon EC2에서 실행되는 애플리케이션에 유용합니다. 자세한 내용은 *IAM 사용 설명서*의 [교차 계정 리소스 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)를 참조하세요.

## 정책을 사용하여 액세스 관리
<a name="security_iam_access-manage"></a>

정책을 생성하고 AWS ID 또는 리소스에 연결하여 AWS에서 내 액세스를 제어합니다. 정책은 자격 증명이나 리소스와 연결될 때 해당 권한을 정의합니다. AWS는 보안 주체가 요청을 보낼 때 이러한 정책을 평가합니다. 대부분의 정책은 AWS에 JSON 문서로 저장됩니다. JSON 정책 문서에 대한 자세한 내용은 *IAM 사용 설명서*의 [JSON 정책 개요](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) 섹션을 참조하세요.

정책을 사용하여 관리자는 어떤 **보안 주체**가 어떤 **리소스**에 대해 어떤 **조건**에서 **작업**을 수행할 수 있는지 정의하여 누가 무엇을 액세스할 수 있는지 지정합니다.

기본적으로 사용자 및 역할에는 어떠한 권한도 없습니다. IAM 관리자는 IAM 정책을 생성하고 사용자가 수임할 수 있는 역할에 추가합니다. IAM 정책은 작업을 수행하기 위해 사용하는 방법과 관계없이 작업에 대한 권한을 정의합니다.

### ID 기반 정책
<a name="security_iam_access-manage-id-based-policies"></a>

ID 기반 정책은 ID(사용자, 사용자 그룹 또는 역할)에 연결하는 JSON 권한 정책 문서입니다. 이러한 정책은 자격 증명이 수행할 수 있는 작업, 대상 리소스 및 이에 관한 조건을 제어합니다. ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*에서 [고객 관리형 정책으로 사용자 지정 IAM 권한 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)를 참조하세요.

ID 기반 정책은 *인라인 정책*(단일 ID에 직접 포함) 또는 *관리형 정책*(여러 ID에 연결된 독립 실행형 정책)일 수 있습니다. 관리형 정책 또는 인라인 정책을 선택하는 방법을 알아보려면 *IAM 사용 설명서*의 [관리형 정책 및 인라인 정책 중에서 선택](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) 섹션을 참조하세요.

AWS의 Systems Manager 관리형 정책에 대한 자세한 내용은 [AWS Systems Manager 관리형 정책](security_iam_service-with-iam.md#managed-policies) 섹션을 참조하세요.

### 리소스 기반 정책
<a name="security_iam_access-manage-resource-based-policies"></a>

리소스 기반 정책은 리소스에 연결하는 JSON 정책 설명서입니다. 예를 들어 IAM *역할 신뢰 정책* 및 Amazon S3 *버킷 정책*이 있습니다. 리소스 기반 정책을 지원하는 서비스에서 서비스 관리자는 이러한 정책을 사용하여 특정 리소스에 대한 액세스를 통제할 수 있습니다. 리소스 기반 정책에서 [보안 주체를 지정](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)해야 합니다.

리소스 기반 정책은 해당 서비스에 있는 인라인 정책입니다. 리소스 기반 정책에서는 IAM의 AWS관리형 정책을 사용할 수 없습니다.

### 정책 조건 키
<a name="policy-condition-keys"></a>

사용자와 역할이 수행할 수 있는 작업과 이러한 작업을 수행할 수 있는 리소스는 특정 *조건*에 따라 추가로 제한될 수 있습니다.

JSON 정책 문서에서 `Condition` 요소(또는 `Condition` 블록)를 사용하면 정책이 발효되는 조건을 지정할 수 있습니다. `Condition` 요소는 옵션입니다. `StringEquals` 또는 `StringNotLike`와 같은 [조건 연산자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)를 사용하여 정책의 조건을 요청의 값과 일치시키는 조건식을 생성할 수 있습니다.

한 문에서 여러 `Condition` 요소를 지정하거나 단일 `Condition` 요소에서 여러 키를 지정하는 경우, AWS는 논리적 `AND` 작업을 사용하여 평가합니다. 단일 조건 키의 여러 값을 지정하는 경우, AWS는 논리적 `OR` 작업을 사용하여 조건을 평가합니다. 문의 권한을 부여하기 전에 모든 조건을 충족해야 합니다.

조건을 지정할 때 자리 표시자 변수를 사용할 수도 있습니다. 예를 들어, IAM 사용자에게 IAM 사용자 이름으로 태그가 지정된 경우에만 리소스에 액세스할 수 있는 권한을 부여할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 정책 요소: 변수 및 태그](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)를 참조하세요.

AWS는 전역 조건 키와 서비스별 조건 키를 지원합니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 글로벌 조건 컨텍스트 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)를 참조하세요.

**중요**  
Systems Manager Automation을 사용하는 경우 정책에 [aws:SourceIp](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) 조건 키를 사용하지 않는 것이 좋습니다. 이 조건 키의 동작은 Automation 런북 실행을 위한 IAM 역할이 제공되는지 여부와 런북에 사용된 Automation 작업을 비롯한 여러 요인에 따라 달라집니다. 결과적으로 조건 키는 예상치 못한 동작을 생성할 수 있습니다. 따라서 사용하지 않는 것이 좋습니다.

Systems Manager는 몇 가지 자체 조건 키를 지원합니다. 자세한 내용은 **서비스 권한 부여 참조의 [AWS Systems Manager 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys)를 참조하세요. Systems Manager 조건 키를 사용할 수 있는 작업 및 리소스는 **서비스 권한 부여 참조에서 [AWS Systems Manager에서 정의한 리소스 유형](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys)에 나열되어 있습니다.

정책이 Systems Manager 서비스에서 소유한 서비스 보안 주체 이름에 의존해야 하는 경우 `aws:PrincipalServiceName` 조건 키가 아닌 `aws:PrincipalServiceNamesList` [다중 값 조건 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html#reference_policies_condition-multi-valued-context-keys)를 사용하여 보안 주체의 존재 여부를 확인하는 것이 좋습니다. `aws:PrincipalServiceName` 조건 키에는 서비스 보안 주체 이름 목록에서 하나의 항목만 포함되고 항상 원하는 서비스 보안 주체 이름이 아닐 수 있습니다. 다음 `Condition` 블록은 `ssm.amazonaws.com`의 존재 여부 확인을 보여줍니다.

```
{
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:PrincipalServiceNamesList": "ssm.amazonaws.com"
        }
    }
}
```

System Manager ID 기반 정책의 예제를 보려면 [AWS Systems Manager 자격 증명 기반 정책 예시](security_iam_id-based-policy-examples.md) 섹션을 참조하세요.

### 액세스 제어 목록(ACL)
<a name="security_iam_access-manage-acl"></a>

액세스 제어 목록(ACL)은 어떤 위탁자(계정 멤버, 사용자 또는 역할)가 리소스에 액세스할 수 있는 권한을 가지고 있는지를 제어합니다. ACLs는 JSON 정책 문서 형식을 사용하지 않지만 리소스 기반 정책과 유사합니다.

Amazon S3, AWS WAF 및 Amazon VPC는 ACL을 지원하는 대표적인 서비스입니다. ACL에 관한 자세한 내용은 *Amazon Simple Storage Service 개발자 가이드*의 [액세스 제어 목록(ACL) 개요](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)를 참조하세요.

### 기타 정책 유형
<a name="security_iam_access-manage-other-policies"></a>

AWS는 이러한 정책 타입이 부여하는 최대 권한을 설정할 수 있는 추가 정책 타입을 지지합니다.
+ **권한 경계** - ID 기반 정책에서 IAM 엔터티에 부여할 수 있는 최대 권한을 설정합니다. 자세한 정보는 *IAM 사용 설명서*의 [IAM 엔터티의 권한 범위](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)를 참조하세요.
+ **서비스 제어 정책(SCP)** - AWS Organizations내 조직 또는 조직 단위에 대한 최대 권한을 지정합니다. 자세한 내용은 AWS Organizations사용 설명서의 [서비스 제어 정책](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)을 참조하세요.**
+ **리소스 제어 정책(RCP)** – 계정의 리소스에 사용할 수 있는 최대 권한을 설정합니다. 자세한 내용은 *AWS Organizations사용 설명서*의 [리소스 제어 정책(RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)을 참조하세요.
+ **세션 정책** – 역할 또는 페더레이션 사용자에 대해 임시 세션을 프로그래밍 방식으로 생성할 때 파라미터로 전달하는 고급 정책입니다. 자세한 내용은 *IAM 사용 설명서*의 [세션 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)을 참조하세요.

### 여러 정책 유형
<a name="security_iam_access-manage-multiple-policies"></a>

여러 정책 유형이 요청에 적용되는 경우, 결과 권한은 이해하기가 더 복잡합니다. 여러 정책 유형이 관련될 때 AWS가 요청을 허용할지를 결정하는 방법을 알아보려면 IAM 사용 설명서**의 [정책 평가 로직](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)을 참조하세요.

# AWS Systems Manager에서 IAM을 사용하는 방식
<a name="security_iam_service-with-iam"></a>

AWS Identity and Access Management (IAM)를 사용하여 AWS Systems Manager에 대한 액세스를 관리하려면 먼저 어떤 IAM 기능을 Systems Manager에 사용할 수 있는지를 이해해야 합니다. Systems Manager 및 기타 AWS 서비스에서 IAM을 사용하는 방법을 전체적으로 알아보려면 *IAM 사용 설명서*의 [IAM으로 작업하는 AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)을(를) 참조하세요.

**Topics**
+ [Systems Manager ID 기반 정책](#security_iam_service-with-iam-id-based-policies)
+ [Systems Manager 리소스 기반 정책](#security_iam_service-with-iam-resource-based-policies)
+ [Systems Manager 태그 기반 인증](#security_iam_service-with-iam-tags)
+ [Systems Manager IAM 역할](#security_iam_service-with-iam-roles)

## Systems Manager ID 기반 정책
<a name="security_iam_service-with-iam-id-based-policies"></a>

IAM 자격 증명 기반 정책을 사용하면 허용되거나 거부되는 작업 및 리소스를 지정할 수 있을 뿐 아니라 작업이 허용되거나 거부되는 조건도 지정할 수 있습니다. Systems Manager는 특정 작업, 리소스 및 조건 키를 지원합니다. JSON 정책에서 사용하는 모든 요소에 대해 알아보려면 *IAM 사용 설명서*의 [IAM JSON 정책 요소 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)를 참조하세요.

### 작업
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

관리자는 AWSJSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지를 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.

JSON 정책의 `Action`요소는 정책에서 액세스를 허용하거나 거부하는 데 사용할 수 있는 작업을 설명합니다. 연결된 작업을 수행할 수 있는 권한을 부여하기 위한 정책에 작업을 포함하세요.

Systems Manager의 정책 작업은 작업 앞에 `ssm:` 접두사를 사용합니다. 예를 들어 Systems Manager `PutParameter` API 작업으로 Systems Manager 파라미터(SSM 파라미터)를 생성할 수 있는 권한을 부여하려면 해당 정책에 `ssm:PutParameter` 작업을 포함합니다. 정책 문에는 `Action` 또는 `NotAction` 요소가 포함되어야 합니다. Systems Manager는 이 서비스로 수행할 수 있는 작업을 설명하는 고유한 작업 집합을 정의합니다.

명령문 하나에 여러 작업을 지정하려면 다음과 같이 쉼표로 구분합니다.

```
"Action": [
      "ssm:action1",
      "ssm:action2"
]
```

**참고**  
AWS Systems Manager의 다음 도구에서는 작업 앞에 다른 접두사를 사용합니다.  
AWS AppConfig는 작업 앞에 `appconfig:` 접두사를 사용합니다.
Incident Manager는 작업 앞에 접두사 `ssm-incidents:` 또는 `ssm-contacts:`를 사용합니다.
Systems Manager GUI Connect는 작업 앞에 `ssm-guiconnect:` 접두사를 사용합니다.
Quick Setup는 작업 앞에 `ssm-quicksetup:` 접두사를 사용합니다.

와일드카드(\$1)를 사용하여 여러 작업을 지정할 수 있습니다. 예를 들어, `Describe`라는 단어로 시작하는 모든 작업을 지정하려면 다음 작업을 포함합니다.

```
"Action": "ssm:Describe*"
```



Systems Manager 작업 목록을 보려면 *Service Authorization Reference*의 [Actions Defined by AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions)를 참조하세요.

### 리소스
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지를 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.

`Resource` JSON 정책 요소는 작업이 적용되는 하나 이상의 객체를 지정합니다. 모범 사례에 따라 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)을 사용하여 리소스를 지정합니다. 리소스 수준 권한을 지원하지 않는 작업의 경우, 와일드카드(\$1)를 사용하여 해당 문이 모든 리소스에 적용됨을 나타냅니다.

```
"Resource": "*"
```



예를 들어, Systems Manager 유지 관리 기간 리소스에는 다음과 같은 ARN 형식이 있습니다.

```
arn:aws:ssm:region:account-id:maintenancewindow/window-id
```

미국 동부(오하이오) 리전에서 명령문에 mw-0c50858d01EXAMPLE 유지 관리 기간을 지정하려면 다음과 유사한 ARN을 사용합니다.

```
"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
```

특정 계정에 속하는 모든 유지 관리 기간을 지정하려면 와일드카드(\$1)를 사용합니다.

```
"Resource": "arn:aws:ssm:region:123456789012:maintenancewindow/*"
```

`Parameter Store` API 작업의 경우 다음과 같이 AWS Identity and Access Management(IAM) 정책과 계층적 이름을 사용하여 계층 구조의 한 수준 내에 있는 모든 파라미터에 대한 액세스를 제공하거나 제한할 수 있습니다.

```
"Resource": "arn:aws:ssm:region:123456789012:parameter/Dev/ERP/Oracle/*"
```

리소스를 생성하기 위한 작업과 같은 일부 Systems Manager 작업은 특정 리소스에서 수행할 수 없습니다. 이러한 경우, 와일드카드(\$1)를 사용해야 합니다.

```
"Resource": "*"
```

일부 Systems Manager API 작업에서는 여러 리소스 사용을 허용합니다. 명령문 하나에 여러 리소스를 지정하려면 다음과 같이 각 ARN을 쉼표로 구분합니다.

```
"Resource": [
      "resource1",
      "resource2"
```

**참고**  
대부분의 AWS 서비스은(는) 콜론(:) 또는 슬래시(/)를 ARN에서 동일한 문자로 처리합니다. 하지만 Systems Manager에서는 리소스 패턴 및 규칙에 정확히 일치하는 항목이 있어야 합니다. 이벤트 패턴을 만들 때 리소스의 ARN이 일치하도록 정확한 ARN 문자를 사용해야 합니다.

아래 표에서는 Systems Manager에서 지원하는 리소스 유형의 ARN 형식을 설명합니다.

**참고**  
ARN 형식에는 다음과 같은 예외가 있습니다.  
AWS Systems Manager의 다음 도구에서는 작업 앞에 다른 접두사를 사용합니다.  
AWS AppConfig는 작업 앞에 `appconfig:` 접두사를 사용합니다.
Incident Manager는 작업 앞에 접두사 `ssm-incidents:` 또는 `ssm-contacts:`를 사용합니다.
Systems Manager GUI Connect는 작업 앞에 `ssm-guiconnect` 접두사를 사용합니다.
Amazon 소유의 문서 및 자동화 정의 리소스뿐 아니라 Amazon 및 타사 소스에서 제공하는 공용 파라미터에는 ARN 형식의 계정 ID가 포함되지 않습니다. 예제:  
SSM 문서 `AWS-RunPatchBaseline`:  
`arn:aws:ssm:us-east-2::document/AWS-RunPatchBaseline` 
Automation 런북 `AWS-ConfigureMaintenanceWindows`:   
`arn:aws:ssm:us-east-2::automation-definition/AWS-ConfigureMaintenanceWindows`
공용 파라미터 `/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`:   
`arn:aws:ssm:us-east-2::parameter/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`
이러한 리소스 유형에 대한 자세한 내용은 다음 주제를 참조하세요.  
[문서 작업](documents-using.md)
[Systems Manager Automation을 기반으로 자동화된 작업 실행](running-simple-automations.md)
[Parameter Store에서의 퍼블릭 파라미터 작업](parameter-store-public-parameters.md)
Quick Setup는 작업 앞에 `ssm-quicksetup:` 접두사를 사용합니다.


| 리소스 유형 | ARN 형식 | 
| --- | --- | 
| 애플리케이션(AWS AppConfig) | arn:aws:appconfig:region:account-id:application/application-id | 
| 연결 | arn:aws:ssm:region:account-id:association/association-id | 
| 자동화 실행 | arn:aws:ssm:region:account-id:automation-execution/automation-execution-id | 
| 자동화 정의(버전 하위 리소스 사용) |  arn:aws:ssm:*region*:*account-id*:automation-definition/*automation-definition-id*:*version-id* **1**  | 
| 구성 프로파일(AWS AppConfig) | arn:aws:appconfig:region:account-id:application/application-id/configurationprofile/configurationprofile-id | 
| 연락처(Incident Manager) |  arn:aws:ssm-contacts:*region*:*account-id*:contact/*contact-alias*  | 
| 배포 전략(AWS AppConfig) | arn:aws:appconfig:region:account-id:deploymentstrategy/deploymentstrategy-id | 
| 문서 |  arn:aws:ssm:*region*:*account-id*:document/*document-name*  | 
| 환경(AWS AppConfig) | arn:aws:appconfig:region:account-id:application/application-id/environment/environment-id | 
| 인시던트 |  arn:aws:ssm-incidents:*region*:*account-id*:incident-record/*response-plan-name*/*incident-id*  | 
| 유지 관리 윈도우 |  arn:aws:ssm:*region*:*account-id*:maintenancewindow/*window-id*  | 
| 관리형 노드 |  arn:aws:ssm:*region*:*account-id*:managed-instance/*managed-node-id*  | 
| 관리형 노드 인벤토리 | arn:aws:ssm:region:account-id:managed-instance-inventory/managed-node-id | 
| OpsItem | arn:aws:ssm:region:account-id:opsitem/OpsItem-id | 
| 파라미터 |  단일 수준 파라미터: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/systems-manager/latest/userguide/security_iam_service-with-iam.html) 계층 구조적 구성으로 이름이 지정된 파라미터: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/systems-manager/latest/userguide/security_iam_service-with-iam.html)  | 
| 패치 기준 |  arn:aws:ssm:*region*:*account-id*:patchbaseline/*patch-baseline-id*   | 
| 대응 계획 |  arn:aws:ssm-incidents:*region*:*account-id*:response-plan/*response-plan-name*  | 
| 세션 |  arn:aws:ssm:*region*:*account-id*:session/*session-id* **3**  | 
|  모든 Systems Manager 리소스  |  arn:aws:ssm:\$1  | 
|  지정한 AWS 리전에서 지정한 AWS 계정가 소유한 모든 Systems Manager 리소스  |  arn:aws:ssm:*region*:*account-id*:\$1  | 

**참고**  
자동화 정의 리소스는 더 이상 사용되지 않습니다. `document` 및 `automation-execution` 리소스에 대해 `ssm:StartAutomationExecution` 또는 `ssm:StartChangeRequestExecution`의 허용을 포함하도록 IAM 정책을 업데이트하세요. IAM 권한 설정에 대한 모범 사례와 예제를 보려면 [자격 증명 기반 정책 설정 예제](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-setup-identity-based-policies.html) 사용 설명서를 참조하세요.

**1** 자동화 정의의 경우, Systems Manager는 두 번째 수준 리소스인 *버전 ID*를 지원합니다. AWS에서는 이러한 두 번째 수준 리소스를 *하위 리소스*라고 합니다. 자동화 정의 리소스에 대해 버전 하위 리소스를 지정하면 자동화 정의의 특정 버전에 대한 액세스를 제공할 수 있습니다. 예를 들어, 자동화 정의의 최신 버전만 노드 관리에 사용되도록 하고자 할 수 있습니다.

**2** 파라미터를 구성하고 관리하려면 계층 구조적 구성으로 파라미터에 대해 이름을 생성하면 됩니다. 계층 구조적 구성을 사용하면, 슬래시를 사용하여 정의한 경로를 파라미터 이름에 포함할 수 있습니다. 최대 15개의 수준으로 파라미터 리소스의 이름을 지정할 수 있습니다. 현재 환경의 기존 계층 구조를 반영하는 계층 구조를 생성하는 것이 좋습니다. 자세한 내용은 [Systems Manager에서 Parameter Store 파라미터 생성](sysman-paramstore-su-create.md) 섹션을 참조하세요.

**3** 대부분의 경우 세션 ID는 세션을 시작한 계정 사용자의 ID와 영숫자 접미사로 구성됩니다. 예제:

```
arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLE
```

단, 사용자 ID를 사용할 수 없는 경우 ARN은 다음과 같은 방법으로 구성됩니다.

```
arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLE
```

ARN 형식에 대한 자세한 내용은 *Amazon Web Services 일반 참조*의 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)을 참조하세요.

Systems Manager 리소스 유형 및 해당 ARN의 목록을 보려면 *Service Authorization Reference*의 [Resources Defined by AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-resources-for-iam-policies)를 참조하세요. 각 리소스의 ARN을 지정할 수 있는 작업을 알아보려면 [AWS Systems Manager가 정의한 작업](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions)을 참조하세요.<a name="policy-conditions"></a>

### Systems Manager에 사용되는 조건 키
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지를 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.

`Condition` 요소는 정의된 기준에 따라 문이 실행되는 시기를 지정합니다. 같음(equals) 또는 미만(less than)과 같은 [조건 연산자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)를 사용하여 정책의 조건을 요청의 값과 일치시키는 조건식을 생성할 수 있습니다. 모든 AWS 전역 조건 키를 보려면 *IAM 사용자 설명서*의 [AWS 전역 조건 컨텍스트 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)를 참조하세요.



Systems Manager 조건 키 목록을 보려면 *Service Authorization Reference*의 [Condition Keys for AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys)를 참조하세요. 조건 키를 사용할 수 있는 작업과 리소스를 알아보려면 [AWS Systems Manager가 정의한 작업](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions) 섹션을 참조하세요.

`ssm:resourceTag/*` 조건 키 사용에 대한 자세한 내용은 다음 주제를 참조하세요.
+ [SSM Agent를 통한 루트 수준 명령에 대한 액세스 제한](ssm-agent-restrict-root-level-commands.md)
+ [태그를 기반으로 Run Command 액세스 제한](run-command-setting-up.md#tag-based-access) 
+ [인스턴스 태그를 기준으로 세션 액세스 제한](getting-started-restrict-access-examples.md#restrict-access-example-instance-tags)

`ssm:Recursive`, `ssm:Policies`, `ssm:Overwrite` 조건 키 사용에 관한 자세한 내용은 [Parameter Store API 작업에 대한 액세스 차단](parameter-store-policy-conditions.md) 섹션을 참조하세요.

### 예제
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Systems Manager ID 기반 정책의 예를 보려면 [AWS Systems Manager 자격 증명 기반 정책 예시](security_iam_id-based-policy-examples.md)을 참조하세요.

## Systems Manager 리소스 기반 정책
<a name="security_iam_service-with-iam-resource-based-policies"></a>

Amazon Simple Storage Service(Amazon S3)와 같은 다른 AWS 서비스도 리소스 기반 권한 정책을 지원합니다. 예를 들어, 권한 정책을 S3 버킷에 연결하여 해당 버킷에 대한 액세스 권한을 관리할 수 있습니다.

Systems Manager에서는 리소스 기반 정책을 지원하지 않습니다.

## Systems Manager 태그 기반 인증
<a name="security_iam_service-with-iam-tags"></a>

태그를 Systems Manager 리소스에 연결하거나 요청을 통해 태그를 Systems Manager에 전달할 수 있습니다. 태그를 기반으로 액세스를 제어하려면 `ssm:resourceTag/key-name`, `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` 또는 `aws:TagKeys` 조건 키를 사용하여 정책의 [조건 요소](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)에 태그 정보를 제공합니다. 다음 리소스 유형을 생성하거나 업데이트할 때 태그를 추가할 수 있습니다.
+ 문서
+ 관리형 노드
+ 유지 관리 윈도우
+ 파라미터
+ 패치 기준
+ OpsItem

리소스의 태그를 기반으로 리소스에 대한 액세스를 제한하는 자격 증명 기반 정책의 예시는 [태그 기준으로 Systems Manager 문서 보기](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-documents-tags)에서 확인할 수 있습니다.

## Systems Manager IAM 역할
<a name="security_iam_service-with-iam-roles"></a>

[IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)은 특정 권한을 가지고 있는 AWS 계정 계정 내 엔터티입니다.

### Systems Manager에서 임시 보안 인증 사용
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

임시 보안 인증을 사용하여 페더레이션을 통해 로그인하거나, IAM 역할을 맡거나, 교차 계정 역할을 맡을 수 있습니다. [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 또는 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) 같은 AWS Security Token Service(AWS STS) API 작업을 호출하여 임시 보안 자격 증명을 가져옵니다.

Systems Manager는 임시 자격 증명 사용을 지원합니다.

### 서비스 연결 역할
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[서비스 연결 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)을 사용하면 AWS 서비스이(가) 다른 서비스의 리소스에 액세스하여 사용자 대신 태스크를 완료할 수 있습니다. 서비스 연결 역할은 IAM 계정에 나열되고, 서비스가 소유합니다. 관리자는 서비스 연결 역할의 권한을 볼 수 있지만 편집할 수는 없습니다.

Systems Manager에서는 서비스 연결 역할을 지원합니다. Systems Manager 서비스 연결 역할을 생성 또는 관리하는 방법에 대한 자세한 내용은 [Systems Manager에 서비스 연결 역할 사용](using-service-linked-roles.md)을 참조하세요.

### 서비스 역할
<a name="security_iam_service-with-iam-roles-service"></a>

이 기능을 사용하면 서비스가 사용자를 대신하여 [서비스 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)을 수임할 수 있습니다. 이 역할을 사용하면 서비스가 다른 서비스의 리소스에 액세스해 사용자를 대신해 작업을 완료할 수 있습니다. 서비스 역할은 IAM 계정에 표시되고, 해당 계정이 소유합니다. 즉, 관리자가 이 역할에 대한 권한을 변경할 수 있습니다. 그러나 권한을 변경하면 서비스의 기능이 손상될 수 있습니다.

Systems Manager는 서비스 역할을 지원합니다.

### Systems Manager에서 IAM 역할 선택
<a name="security_iam_service-with-iam-roles-choose"></a>

Systems Manager에서 관리형 노드와 상호 작용하려면 Systems Manager에서 사용자를 대신하여 노드에 액세스할 수 있는 역할을 선택해야 합니다. 이전에 서비스 역할 또는 서비스 연결 역할을 생성한 경우 Systems Manager는 선택할 수 있는 역할 목록을 제공합니다. 관리형 노드 시작 및 중지에 대한 액세스를 허용하는 역할을 선택하는 것이 중요합니다.

EC2 인스턴스에 액세스하려면 인스턴스 권한을 구성해야 합니다. 자세한 내용은 [Systems Manager에 필요한 인스턴스 권한 구성](setup-instance-permissions.md)을 참조하세요.

[하이브리드 및 멀티클라우드](operating-systems-and-machine-types.md#supported-machine-types)에서 비 EC2 노드에 액세스하려는 AWS 계정에 필요한 역할은 IAM 서비스 역할입니다. 자세한 내용은 [하이브리드 및 멀티클라우드 환경에서 Systems Manager에 필요한 IAM 서비스 역할 생성](hybrid-multicloud-service-role.md)을 참조세요.

자동화 워크플로는 서비스 역할(또는 수임 역할) 컨텍스트에 따라 시작할 수 있습니다. 그러면 서비스가 사용자 대신 작업을 수행할 수 있습니다. 수임 역할이 지정되어 있지 않으면 Automation은 실행을 호출한 사용자 컨텍스트를 사용합니다. 그러나 특정 상황에서는 자동화를 위한 서비스 역할을 지정해야 합니다. 자세한 내용은 [자동화에 대한 서비스 역할(수임 역할) 액세스 구성](automation-setup.md#automation-setup-configure-role) 섹션을 참조하세요.

### AWS Systems Manager 관리형 정책
<a name="managed-policies"></a>

AWS는 AWS에서 생성하고 관리하는 독립형 IAM 정책을 제공하여 많은 일반 사용 사례를 처리합니다. 이러한 AWS *관리형 정책*은 사용자가 필요한 권한을 조사할 필요가 없도록 일반 사용 사례에 필요한 권한을 부여합니다. Systems Manager 작업 및 리소스에 대한 권한을 허용하는 고유의 사용자 정의 IAM 정책을 생성할 수도 있습니다.

Systems Manager의 관리형 정책에 대한 자세한 내용은 [AWS Systems Manager의 AWS 관리형 정책](security-iam-awsmanpol.md)을 참조하세요.

관리형 정책에 대한 일반 정보는 IAM 사용자 설명서의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.

# AWS Systems Manager 자격 증명 기반 정책 예시
<a name="security_iam_id-based-policy-examples"></a>

기본적으로 AWS Identity and Access Management(IAM) 엔터티(사용자 및 역할)에는 AWS Systems Manager 리소스를 생성하거나 수정할 수 있는 권한이 없습니다. 이 사용자와 역할은 Systems Manager 콘솔, AWS Command Line Interface(AWS CLI) 또는 AWS API를 사용하여 태스크를 수행할 수 없습니다. 관리자는 지정된 리소스에서 특정 API 태스크를 수행할 수 있는 권한을 사용자와 역할에게 부여하는 IAM 정책을 생성해야 합니다. 그런 다음 관리자는 해당 권한이 필요한 사용자 또는 그룹에 이러한 정책을 연결해야 합니다.

다음은 사용자가 미국 동부(오하이오)(us-east-2) AWS 리전에서 **MyDocument-**로 시작하는 이름의 문서를 삭제하는 것을 허용하는 권한 정책의 예입니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "ssm:DeleteDocument"
      ],
      "Resource" : [
        "arn:aws:ssm:us-east-1:111122223333:document/MyDocument-*"
      ]
    }
  ]
}
```

------

이러한 예제 JSON 정책 문서를 사용하여 IAM 자격 증명 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*의 [IAM 정책 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)을 참조하세요.

**Topics**
+ [정책 모범 사례](#security_iam_service-with-iam-policy-best-practices)
+ [예제: Systems Manager 콘솔을 사용할 수 있는 권한](#security_iam_id-based-policy-examples-console)
+ [예제: 사용자가 자신의 권한을 볼 수 있도록 허용하는 권한](#security_iam_id-based-policy-examples-view-own-permissions)
+ [예제: 개별 파라미터를 읽고 설명할 수 있는 권한](#security_iam_id-based-policy-examples-view-one-parameter)
+ [교차 서비스 혼동된 대리인 방지](cross-service-confused-deputy-prevention.md)
+ [고객 관리형 정책 예제](#customer-managed-policies)
+ [태그 기준으로 Systems Manager 문서 보기](#security_iam_id-based-policy-examples-view-documents-tags)

## 정책 모범 사례
<a name="security_iam_service-with-iam-policy-best-practices"></a>

자격 증명 기반 정책에 따라 계정에서 사용자가 Systems Manager 리소스를 생성, 액세스 또는 삭제할 수 있는지 여부가 결정됩니다. 이 작업으로 인해 AWS 계정에 비용이 발생할 수 있습니다. ID 기반 정책을 생성하거나 편집할 때는 다음 지침과 권장 사항을 따르세요.
+ **AWS 관리형 정책으로 시작하고 최소 권한을 향해 나아가기** - 사용자 및 워크로드에 권한 부여를 시작하려면 많은 일반 사용 사례에 대한 권한을 부여하는 *AWS관리형 정책*을 사용합니다. AWS 계정에서 사용할 수 있습니다. 사용 사례에 고유한 AWS고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) 또는 [AWS직무에 대한 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)을 참조하세요.
+ **최소 권한 적용** – IAM 정책을 사용하여 권한을 설정하는 경우, 작업을 수행하는 데 필요한 권한만 부여합니다. 이렇게 하려면 *최소 권한*으로 알려진 특정 조건에서 특정 리소스에 대해 수행할 수 있는 작업을 정의합니다. IAM을 사용하여 권한을 적용하는 방법에 대한 자세한 정보는 *IAM 사용 설명서*에 있는 [IAM의 정책 및 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)을 참조하세요.
+ **IAM 정책의 조건을 사용하여 액세스 추가 제한** – 정책에 조건을 추가하여 작업 및 리소스에 대한 액세스를 제한할 수 있습니다. 예를 들어, SSL을 사용하여 모든 요청을 전송해야 한다고 지정하는 정책 조건을 작성할 수 있습니다. CloudFormation와 같이, 특정 AWS 서비스를 통해 사용되는 경우에만 서비스 작업에 대한 액세스 권한을 부여할 수도 있습니다. 자세한 내용은 *IAM 사용자 설명서*의 [IAM JSON 정책 요소: 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하세요.
+ **IAM Access Analyzer를 통해 IAM 정책을 확인하여 안전하고 기능적인 권한 보장** - IAM Access Analyzer에서는 IAM 정책 언어(JSON)와 모범 사례가 정책에서 준수되도록 새로운 및 기존 정책을 확인합니다. IAM Access Analyzer는 100개 이상의 정책 확인 항목과 실행 가능한 추천을 제공하여 안전하고 기능적인 정책을 작성하도록 돕습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM Access Analyzer에서 정책 검증](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)을 참조하세요.
+ **다중 인증(MFA) 필요** – AWS 계정에 IAM 사용자 또는 루트 사용자가 필요한 시나리오가 있는 경우, 추가 보안을 위해 MFA를 설정합니다. API 작업을 직접적으로 호출할 때 MFA가 필요하면 정책에 MFA 조건을 추가합니다. 자세한 내용은 *IAM 사용 설명서*의 [MFA를 통한 보안 API 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)를 참조하세요.

IAM의 모범 사례에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.

## 예제: Systems Manager 콘솔을 사용할 수 있는 권한
<a name="security_iam_id-based-policy-examples-console"></a>

Systems Manager 콘솔에 액세스하려면 최소 권한 집합이 있어야 합니다. 이러한 권한은 AWS 계정에서 Systems Manager 리소스 및 기타 리소스에 대한 세부 정보를 나열하고 볼 수 있도록 허용해야 합니다.

최소 필수 권한보다 더 제한적인 자격 증명 기반 정책을 생성하면 콘솔이 해당 정책을 사용하는 IAM 엔티티(사용자 또는 역할)에 대해 의도한 대로 작동하지 않습니다.

AWS CLI 또는 AWSAPI만 호출하는 사용자에게 최소 콘솔 권한을 허용할 필요가 없습니다. 그 대신 수행하려는 API 작업과 일치하는 작업에만 액세스할 수 있도록 합니다.

사용자와 역할이 Systems Manager 콘솔을 계속해서 사용할 수 있도록 하려면 [AmazonSSMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html) 또는 [AmazonSSMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) AWS 관리형 정책을 개체에 연결합니다. 자세한 내용은 *IAM 사용 설명서*의 [사용자에게 권한 추가](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)를 참조하세요.

## 예제: 사용자가 자신의 권한을 볼 수 있도록 허용하는 권한
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

이 예제는 IAM 사용자가 자신의 사용자 ID에 연결된 인라인 및 관리형 정책을 볼 수 있도록 허용하는 정책을 생성하는 방법을 보여 줍니다. 이 정책에는 콘솔에서 또는 AWS CLI나 AWS API를 사용하여 프로그래밍 방식으로 이 작업을 완료할 수 있는 권한이 포함됩니다.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## 예제: 개별 파라미터를 읽고 설명할 수 있는 권한
<a name="security_iam_id-based-policy-examples-view-one-parameter"></a>

**Example 단일 파라미터 읽기 및 설명**  
자격 증명에 다음 정책을 연결하여 파라미터에 대한 액세스 권한을 부여할 수 있습니다.    
****  

```
{
"Version":"2012-10-17",		 	 	 
"Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "ssm:GetParameter",
      "ssm:DescribeParameters"
      ],
    "Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/parameter-name"
  }
]
}
```

# 교차 서비스 혼동된 대리인 방지
<a name="cross-service-confused-deputy-prevention"></a>

혼동된 대리자 문제는 작업을 수행할 권한이 없는 엔터티가 권한이 더 많은 엔터티에게 작업을 수행하도록 강요할 수 있는 보안 문제입니다. AWS에서는 교차 서비스 가장으로 인해 혼동된 대리자 문제가 발생할 수 있습니다. 교차 서비스 가장은 한 서비스(*직접 호출하는 서비스*)가 다른 서비스(*직접 호출되는 서비스*)를 직접 호출할 때 발생할 수 있습니다. 직접 호출하는 서비스는 다른 고객의 리소스에 대해 액세스 권한이 없는 방식으로 작동하게 권한을 사용하도록 조작될 수 있습니다. 이를 방지하기 위해 AWS에서는 계정의 리소스에 대한 액세스 권한이 부여된 서비스 위탁자를 사용하여 모든 서비스에 대한 데이터를 보호하는 데 도움이 되는 도구를 제공합니다.

AWS Systems Manager이 리소스에 다른 서비스를 제공하는 권한을 제한하려면 리소스 정책에서 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 및 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 글로벌 조건 컨텍스트 키를 사용하는 것이 좋습니다. `aws:SourceArn` 값에 S3 버킷의 Amazon 리소스 이름(ARN)과 같은 계정 ID가 포함되지 않은 경우 권한을 제한하려면 두 전역 조건 컨텍스트 키를 모두 사용해야 합니다. 두 전역 조건 컨텍스트 키와 계정을 포함한 `aws:SourceArn` 값을 모두 사용하는 경우, `aws:SourceAccount` 값 및 `aws:SourceArn` 값의 계정은 동일한 정책 명령문에서 사용할 경우 반드시 동일한 계정 ID를 사용해야 합니다. 하나의 리소스만 교차 서비스 액세스와 연결되도록 허용하려는 경우 `aws:SourceArn`을 사용하세요. 해당 계정의 모든 리소스가 교차 서비스 사용과 연결되도록 허용하려는 경우 `aws:SourceAccount`를 사용하세요.

다음 섹션에서는 AWS Systems Manager 도구에 대한 예시 정책을 제공합니다.

## 하이브리드 정품 인증 정책 예제
<a name="cross-service-confused-deputy-prevention-hybrid"></a>

[하이브리드 정품 인증](activations.md)에 사용되는 서비스 역할의 경우 `aws:SourceArn`의 값은 AWS 계정의 ARN이어야 합니다. 하이브리드 정품 인증을 생성한 ARN에서 AWS 리전을 지정해야 합니다. 리소스의 전체 ARN을 모를 경우 또는 여러 리소스를 지정하는 경우, ARN의 알 수 없는 부분에 대해 와일드카드(`*`)를 포함한 `aws:SourceArn` 글로벌 조건 컨텍스트 키를 사용합니다. 예를 들어 `arn:aws:ssm:*:region:123456789012:*`입니다.

다음 예제에서는 미국 동부(오하이오) 리전(us-east-2) 에서 혼동된 대리자 문제를 방지하기 위해 자동화에 대한 `aws:SourceArn` 및 `aws:SourceAccount` 전역 조건 컨텍스트 키를 사용하는 방법을 보여줍니다.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"",
         "Effect":"Allow",
         "Principal":{
            "Service":"ssm.amazonaws.com"
         },
         "Action":"sts:AssumeRole",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"123456789012"
            },
            "ArnEquals":{
               "aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
            }
         }
      }
   ]
}
```

------

## 리소스 데이터 동기화 정책 예제
<a name="cross-service-confused-deputy-prevention-rds"></a>

Systems Manager 인벤토리, Explorer, 및 규정 준수를 사용하면 리소스 데이터 동기화를 생성하여 중앙 Amazon Simple Storage 서비스 버킷에서 운영 데이터(OpsData) 의 스토리지를 중앙 집중화할 수 있습니다. (선택 사항) AWS Key Management Service(AWS KMS)을 사용하여 리소스 데이터 동기화를 암호화하려면 다음 정책을 포함하는 새 키를 생성하거나 기존 키를 업데이트하고 이 정책을 키에 추가해야 합니다. 이 정책의 `aws:SourceArn` 및 `aws:SourceAccount` 조건 키는 혼동된 대리자 문제를 방지합니다. 다음은 예시 정책입니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "ssm-access-policy",
    "Statement": [
        {
            "Sid": "ssm-access-policy-statement",
            "Action": [
                "kms:GenerateDataKey"
            ],
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm.amazonaws.com"
            },
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/KMS_key_id",
            "Condition": {
                "StringLike": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:ssm:*:123456789012:role/aws-service-role/ssm.amazonaws.com/AWSServiceRoleForAmazonSSM"
                }
            }
        }
    ]
}
```

------

**참고**  
정책 예시의 ARN을 사용하면 시스템이 AWS Security Hub CSPM을 제외한 모든 소스에서 OpsData를 암호화할 수 있습니다. Security Hub CSPM 데이터를 암호화해야 하는 경우, 예를 들어 Explorer을 사용하여 Security Hub CSPM 데이터를 수집해야 하는 경우, 다음 ARN을 지정하는 추가 정책을 연결해야 합니다.  
`"aws:SourceArn": "arn:aws:ssm:*:account-id:role/aws-service-role/opsdatasync.ssm.amazonaws.com/AWSServiceRoleForSystemsManagerOpsDataSync"` 

## 고객 관리형 정책 예제
<a name="customer-managed-policies"></a>

사용자는 자체 AWS 계정에서 관리할 독립형 정책을 생성할 수 있습니다. 이를 *고객 관리형 정책*이라고 합니다. 이러한 정책은 AWS 계정에 속한 다수의 보안 주체 객체에 추가할 수 있습니다. 정책을 보안 주체 엔터티에 추가할 경우 정책에서 정의한 권한까지 엔터티에게 부여하게 됩니다. 자세한 내용은 *[IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/)*의 [고객 관리형 정책 예제](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)를 참조하세요.

다음은 다양한 Systems Manager 작업에 대한 권한을 부여하는 사용자 정책의 예입니다. 이러한 정책을 사용하여 IAM 엔터티(사용자 및 역할)에 대한 Systems Manager 액세스를 제한할 수 있습니다. 이러한 정책은 Systems Manager API, AWS SDK 또는 AWS CLI에서 작업을 수행할 때 유효합니다. 콘솔을 사용하는 사용자는 콘솔에 특정한 추가 권한을 부여해야 합니다. 자세한 내용은 [예제: Systems Manager 콘솔을 사용할 수 있는 권한](#security_iam_id-based-policy-examples-console) 섹션을 참조하세요.

**참고**  
모든 예에서는 미국 서부(오레곤) 리전(us-west-2)을 사용하며 가상의 계정 ID를 포함합니다. AWS 퍼블릭 문서(`AWS-*`로 시작하는 문서)의 경우 Amazon 리소스 이름(ARN)에 계정 ID를 지정해서는 안 됩니다.

 **예제** 
+  [예제 1: 사용자가 단일 리전에서 Systems Manager 작업을 수행하도록 허용](#identity-based-policies-example-1) 
+  [예제 2: 사용자가 단일 리전의 문서를 나열하도록 허용](#identity-based-policies-example-2) 

### 예제 1: 사용자가 단일 리전에서 Systems Manager 작업을 수행하도록 허용
<a name="identity-based-policies-example-1"></a>

다음 예에서는 미국 동부(오하이오) 리전(us-east-2)에서만 Systems Manager 작업을 수행하는 권한을 부여합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:*"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:*"
            ]
        }
    ]
}
```

------

### 예제 2: 사용자가 단일 리전의 문서를 나열하도록 허용
<a name="identity-based-policies-example-2"></a>

다음 예에서는 미국 동부(오하이오) 리전(us-east-2)에서 **Update**로 시작하는 모든 문서 이름을 나열할 수 있는 권한을 부여합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:ListDocuments"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:document/Update*"
            ]
        }
    ]
}
```

------

### 예제 3: 사용자가 특정 SSM 문서를 사용하여 특정 노드에서 명령을 실행하도록 허용
<a name="identity-based-policies-example-3"></a>

다음은 IAM 정책 예제에서는 사용자가 미국 동부(오하이오) 리전(us-east-2)에서 다음을 수행할 수 있도록 허용합니다.
+ Systems Manager 문서(SSM 문서) 및 문서 버전을 나열합니다.
+ 문서에 대한 세부 정보를 봅니다.
+ 정책에 지정된 문서를 사용하여 명령을 보냅니다. 문서 이름은 다음 항목에 의해 결정됩니다.

  ```
  arn:aws:ssm:us-east-2:aws-account-ID:document/Systems-Manager-document-name
  ```
+ 명령을 세 개의 노드로 보냅니다. 노드는 두 번째 `Resource` 섹션의 다음 항목에 의해 결정됩니다.

  ```
  "arn:aws:ec2:us-east-2:aws-account-ID:instance/i-02573cafcfEXAMPLE",
  "arn:aws:ec2:us-east-2:aws-account-ID:instance/i-0471e04240EXAMPLE",
  "arn:aws:ec2:us-east-2:aws-account-ID:instance/i-07782c72faEXAMPLE"
  ```
+ 명령이 전송된 후 해당 명령에 대한 세부 정보를 봅니다.
+ AWS Systems Manager의 도구인 Automation에서 워크플로를 시작하고 중지합니다.
+ Automation 워크플로에 대한 정보를 가져옵니다.

사용자에게 이 문서를 사용하여 액세스 권한을 갖는 노드에 대한 명령을 보낼 수 있는 권한을 부여하려는 경우 `Resource` 섹션에 다음 항목과 유사한 항목을 지정하고 다른 노드 항목을 제거할 수 있습니다. 다음 예제에서는 미국 동부(오하이오) 리전(us-east-2)을 사용합니다.

```
"arn:aws:ec2:us-east-2:*:instance/*"
```

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ssm:ListDocuments",
                "ssm:ListDocumentVersions",
                "ssm:DescribeDocument",
                "ssm:GetDocument",
                "ssm:DescribeInstanceInformation",
                "ssm:DescribeDocumentParameters",
                "ssm:DescribeInstanceProperties"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "ssm:SendCommand",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
                "arn:aws:ec2:us-east-1:111122223333:instance/i-0471e04240EXAMPLE",
                "arn:aws:ec2:us-east-1:111122223333:instance/i-07782c72faEXAMPLE",
                
                "arn:aws:ssm:us-east-1:111122223333:document/Systems-Manager-document-name"
            ]
        },
        {
            "Action": [
                "ssm:CancelCommand",
                "ssm:ListCommands",
                "ssm:ListCommandInvocations"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "ec2:DescribeInstanceStatus",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "ssm:StartAutomationExecution",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:document/*",
                "arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
            ]
        },
        {
            "Action": "ssm:DescribeAutomationExecutions",
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        },
        {
            "Action": [
                "ssm:StopAutomationExecution",
                "ssm:GetAutomationExecution"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

## 태그 기준으로 Systems Manager 문서 보기
<a name="security_iam_id-based-policy-examples-view-documents-tags"></a>

자격 증명 기반 정책의 조건을 사용하여 태그를 기반으로 Systems Manager 리소스에 대한 액세스를 제어할 수 있습니다. 이 예에서는 SSM 문서 보기를 허용하는 정책을 생성할 수 있는 방법을 보여줍니다. 하지만 문서 태그 `Owner`가 해당 사용자의 사용자 이름 값을 가지고 있는 경우에만 권한이 부여됩니다. 이 정책은 콘솔에서 이 작업을 완료하는 데 필요한 권한도 부여합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListDocumentsInConsole",
            "Effect": "Allow",
            "Action": "ssm:ListDocuments",
            "Resource": "*"
        },
        {
            "Sid": "ViewDocumentIfOwner",
            "Effect": "Allow",
            "Action": "ssm:GetDocument",
            "Resource": "arn:aws:ssm:*:*:document/*",
            "Condition": {
                "StringEquals": {"ssm:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}
```

------

이 정책을 계정의 사용자에게 연결할 수 있습니다. 이름이 `richard-roe`인 사용자가 Systems Manager 문서를 보려고 하면 문서에 `Owner=richard-roe` 또는 `owner=richard-roe` 태그를 지정해야 합니다. 그렇지 않으면 액세스가 거부됩니다. 조건 키 이름은 대/소문자를 구분하지 않기 때문에 태그 키 `Owner`는 `Owner` 및 `owner` 모두와 일치합니다. 자세한 정보는 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하세요.

# AWS Systems Manager의 AWS 관리형 정책
<a name="security-iam-awsmanpol"></a>





AWS 관리형 정책은 AWS에서 생성되고 관리되는 독립 실행형 정책입니다. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있기 때문에 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.

AWS 관리형 정책에서 정의한 권한은 변경할 수 없습니다. 만약 AWS가 AWS 관리형 정책에 정의된 권한을 업데이트할 경우 정책이 연결되어 있는 모든 보안 주체 ID(사용자, 그룹 및 역할)에도 업데이트가 적용됩니다. 새 AWS 서비스을(를) 시작하거나 새 API 작업을 기존 서비스에 이용하는 경우, AWS가 AWS 관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.









**Topics**
+ [AWS 관리형 정책: AmazonSSMServiceRolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy)
+ [AWS 관리형 정책: AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole)
+ [AWS 관리형 정책: AmazonSSMReadOnlyAccess](#security-iam-awsmanpol-AmazonSSMReadOnlyAccess)
+ [AWS 관리형 정책: AWSSystemsManagerOpsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy)
+ [AWS 관리형 정책: AmazonSSMManagedEC2InstanceDefaultPolicy](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy)
+ [AWS 관리형 정책: SSMQuickSetupRolePolicy](#security-iam-awsmanpol-SSMQuickSetupRolePolicy)
+ [AWS 관리형 정책: AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)
+ [AWS 관리형 정책: AWSQuickSetupPatchPolicyDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy)
+ [AWS 관리형 정책: AWSQuickSetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess)
+ [AWS 관리형 정책: `AWSSystemsManagerEnableExplorerExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy)
+ [AWS 관리형 정책: `AWSSystemsManagerEnableConfigRecordingExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy)
+ [AWS 관리형 정책: AWSQuickSetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary)
+ [AWS 관리형 정책: AWSQuickSetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary)
+ [AWS 관리형 정책: AWSQuickSetupSSMHostMgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary)
+ [AWS 관리형 정책: AWSQuickSetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary)
+ [AWS 관리형 정책: AWSQuickSetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary)
+ [AWS 관리형 정책: AWSQuickSetupCFGCPacksPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary)
+ [AWS 관리형 정책: AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy)
+ [AWS 관리형 정책: AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy)
+ [AWS 관리형 정책: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy)
+ [AWS 관리형 정책: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy)
+ [AWS 관리형 정책: AWS-SSM-RemediationAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy)
+ [AWS 관리형 정책: AWS-SSM-RemediationAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy)
+ [AWS 관리형 정책: AWSQuickSetupSSMManageResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy)
+ [AWS 관리형 정책: AWSQuickSetupSSMLifecycleManagementExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy)
+ [AWS 관리형 정책: AWSQuickSetupSSMDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy)
+ [AWS 관리형 정책: AWSQuickSetupSSMDeploymentS3BucketRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy)
+ [AWS 관리형 정책: AWSQuickSetupEnableDHMCExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy)
+ [AWS 관리형 정책: AWSQuickSetupEnableAREXExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy)
+ [AWS 관리형 정책: AWSQuickSetupManagedInstanceProfileExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy)
+ [AWS 관리형 정책: AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy)
+ [AWS 관리형 정책: AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy)
+ [AWS 관리형 정책: AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)
+ [AWS 관리형 정책: AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy)
+ [AWS 관리형 정책: AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy)
+ [AWS 관리형 정책: AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy)
+ [AWS 관리형 정책: AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy)
+ [AWS 관리형 정책: AWS-SSM-Automation-DiagnosisBucketPolicy](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy)
+ [AWS 관리형 정책: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy)
+ [AWS 관리형 정책: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy)
+ [AWS 관리형 정책으로 Systems Manager 업데이트](#security-iam-awsmanpol-updates)
+ [Systems Manager에 대한 추가 관리형 정책](#policies-list)

## AWS 관리형 정책: AmazonSSMServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonSSMServiceRolePolicy"></a>

이 정책은 Systems Manager 작업에서 AWS Systems Manager에 의해 관리되거나 사용되는 여러 AWS 리소스에 대한 액세스를 제공합니다.

`AmazonSSMServiceRolePolicy`를 AWS Identity and Access Management(IAM) 엔터티에 연결할 수 없습니다. 이 정책은 AWS Systems Manager에서 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결됩니다. 자세한 내용은 [역할을 사용하여 인벤토리 수집 및 OpsData 보기](using-service-linked-roles-service-action-1.md) 섹션을 참조하세요.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `ssm` - 위탁자가 Run Command 및 Automation 둘 다에 대한 실행을 시작하고 단계적으로 진행할 수 있으며, Run Command 및 Automation 작업에 대한 정보를 검색하고, Parameter Store 파라미터 Change Calendar 캘린더에 대한 정보를 검색하고, OpsCenter 리소스에 대한 Systems Manager 서비스 설정에 대한 정보를 업데이트 및 검색하고, 리소스에 적용된 태그에 대한 정보를 읽을 수 있도록 허용합니다.
+ `cloudformation` - 위탁자가 스택 세트 작업 및 스택 세트 인스턴스에 대한 정보를 검색하고 `arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*` 리소스에서 스택 세트를 삭제할 수 있도록 허용합니다. 위탁자가 다음 리소스와 연결된 스택 인스턴스를 삭제할 수 있도록 허용합니다.

  ```
  arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
  arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
  arn:aws:cloudformation:*:*:type/resource/*
  ```
+ `cloudwatch` - 위탁자가 Amazon CloudWatch 경보에 대한 정보를 검색할 수 있도록 허용합니다.
+ `compute-optimizer` - 위탁자가 AWS Compute Optimizer 서비스에 대한 계정의 등록(옵트인) 상태를 검색하고 명시된 특정 요구 사항을 충족하는 Amazon EC2 인스턴스에 대한 권장 사항을 검색할 수 있도록 허용합니다.
+ `config` - 위탁자가 AWS Config에서 정보 수정 구성 및 구성 레코더를 검색하고 지정된 AWS Config 규칙 및 AWS 리소스가 규정을 준수하는지 확인할 수 있도록 허용합니다.
+ `events` - 위탁자가 EventBridge 규칙에 대한 정보를 검색하고, Systems Manager 서비스(`ssm.amazonaws.com`)에 대해서만 EventBridge 규칙 및 대상을 생성하고, `arn:aws:events:*:*:rule/SSMExplorerManagedRule` 리소스에 대한 규칙 및 대상을 삭제할 수 있도록 허용합니다.
+ `ec2` - 위탁자가 Amazon EC2 인스턴스에 대한 정보를 검색할 수 있도록 허용합니다.
+ `iam` - 위탁자가 Systems Manager 서비스(`ssm.amazonaws.com`)에 대한 역할 권한을 전달할 수 있도록 허용합니다.
+ `lambda` - 위탁자가 Systems Manager에서 사용하도록 특별히 구성된 Lambda 함수를 호출할 수 있도록 허용합니다.
+ `resource-explorer-2` - 위탁자가 EC2 인스턴스에 대한 데이터를 검색하여 각 인스턴스가 현재 Systems Manager에 의해 관리되고 있는지 여부를 확인할 수 있도록 허용합니다.

  `arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM*` 리소스에 대해 `resource-explorer-2:CreateManagedView` 작업이 허용됩니다.
+ `resource-groups` - 위탁자가 리소스 그룹에 속한 AWS Resource Groups의 리소스에서 리소스 그룹과 해당 멤버 목록을 검색할 수 있도록 허용합니다.
+ `securityhub` - 위탁자가 현재 계정의 AWS Security Hub CSPM 허브 리소스에 대한 정보를 검색할 수 있도록 허용합니다.
+ `states` - 위탁자가 시작하고 Systems Manager에서 사용하도록 특별히 구성된 AWS Step Functions에 대한 정보를 검색할 수 있도록 허용합니다.
+ `support` - 위탁자가 AWS Trusted Advisor에서 검사 및 사례에 대한 정보를 검색할 수 있도록 허용합니다.
+ `tag` - 위탁자가 계정에 대해 지정된 AWS 리전에 있는 태그가 지정되었거나 이전에 태그가 지정된 모든 리소스에 대한 정보를 검색할 수 있도록 허용합니다.

최신 버전의 JSON 정책 문서를 비롯하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AmazonSSMServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMServiceRolePolicy.html)를 참조하세요.

## AWS 관리형 정책: AmazonSSMAutomationRole
<a name="security-iam-awsmanpol-AmazonSSMAutomationRole"></a>

`AmazonSSMAutomationRole` 정책을 IAM ID에 연결할 수 있습니다. 이 정책은 AWS Systems Manager Automation 서비스가 Automation 런북에 정의된 작업을 실행할 수 있는 권한을 부여합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `lambda` - 위탁자가 이름이 ‘Automation’으로 시작하는 Lambda 함수를 간접적으로 호출하도록 허용합니다. 이는 Automation 런북이 워크플로의 일부로 Lambda 함수를 실행하는 데 필요합니다.
+ `ec2` - 위탁자가 이미지 생성, 복사 및 등록 취소, 스냅샷 관리, 인스턴스 시작, 실행, 중지 및 종료, 인스턴스 상태 관리, 태그 생성, 삭제 및 설명 등 다양한 Amazon EC2 작업을 수행할 수 있도록 허용합니다. Automation 런북은 이러한 권한을 통해 실행 중에 Amazon EC2 리소스를 관리할 수 있습니다.
+ `cloudformation` - 위탁자가 CloudFormation 스택을 생성, 설명, 업데이트, 삭제할 수 있도록 허용합니다. 이를 통해 Automation 런북은 CloudFormation을 통해 코드형 인프라를 관리할 수 있습니다.
+ `ssm` - 위탁자가 모든 Systems Manager 작업을 사용할 수 있도록 허용합니다. Automation 런북이 모든 Systems Manager 기능과 상호 작용하려면 이러한 포괄적인 액세스가 필요합니다.
+ `sns` - 위탁자가 이름이 ‘Automation’으로 시작하는 Amazon SNS 주제에 메시지를 게시할 수 있도록 허용합니다. 이를 통해 Automation 런북은 실행 중에 알림을 보낼 수 있습니다.
+ `ssmmessages` - 보안 주체가 Systems Manager 세션에 대한 데이터 채널을 열 수 있도록 허용합니다. 이를 통해 Automation 런북이 세션 기반 작업을 위한 통신 채널을 설정할 수 있습니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AmazonSSMAutomationRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationRole.html)을 참조하세요.

## AWS 관리형 정책: AmazonSSMReadOnlyAccess
<a name="security-iam-awsmanpol-AmazonSSMReadOnlyAccess"></a>

`AmazonSSMReadOnlyAccess` 정책을 IAM ID에 연결할 수 있습니다. 이 정책에서는 `Describe*`, `Get*` 및 `List*`를 포함하여 AWS Systems Manager API 작업에 대한 읽기 전용 액세스 권한을 부여합니다.

최신 버전의 JSON 정책 문서를 비롯하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AmazonSSMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html)를 참조하세요.

## AWS 관리형 정책: AWSSystemsManagerOpsDataSyncServiceRolePolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy"></a>

`AWSSystemsManagerOpsDataSyncServiceRolePolicy`를 IAM 엔터티에 연결할 수 없습니다. 이 정책은 Systems Manager에서 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결됩니다. 자세한 내용은 [역할을 사용하여 Explorer용 OpsData 및 OpsItems 생성](using-service-linked-roles-service-action-3.md) 섹션을 참조하세요.

 `AWSSystemsManagerOpsDataSyncServiceRolePolicy`는 `AWSServiceRoleForSystemsManagerOpsDataSync` 서비스 연결 역할이 AWS Security Hub CSPM 결과에서 OpsItems 및 OpsData를 생성하고 업데이트하도록 허용합니다.

정책에서는 지정된 경우를 제외하고 Systems Manager에서 모든 관련 리소스(`"Resource": "*"`)에 대한 다음과 같은 작업을 완료하도록 허용합니다.
+ `ssm:GetOpsItem` [1]
+ `ssm:UpdateOpsItem` [1]
+ `ssm:CreateOpsItem`
+ `ssm:AddTagsToResource` [2]
+ `ssm:UpdateServiceSetting` [3]
+ `ssm:GetServiceSetting` [3]
+ `securityhub:GetFindings`
+ `securityhub:GetFindings`
+ `securityhub:BatchUpdateFindings` [4]

[1] `ssm:GetOpsItem` 및 `ssm:UpdateOpsItem` 작업은 Systems Manager 서비스에 대해서만 다음 조건에 의해 허용됩니다.

```
"Condition": {
    "StringEquals": {
        "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
    }
}
```

[2] `ssm:AddTagsToResource` 작업은 다음 리소스에 대해서만 허용되는 권한입니다.

```
arn:aws:ssm:*:*:opsitem/*
```

[3] `ssm:UpdateServiceSetting` 및 `ssm:GetServiceSetting` 작업은 다음 리소스에 대해서만 허용되는 권한입니다.

```
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
```

[4] `securityhub:BatchUpdateFindings`는 Systems Manager 서비스에 대해서만 다음 조건에 의해 거부되는 권한입니다.

```
{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Confidence": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Criticality": false
				}
			}
		},		
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.Text": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/RelatedFindings": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Types": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/VerificationState": false
				}
			}
```

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSSystemsManagerOpsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerOpsDataSyncServiceRolePolicy.html)를 참조하세요.

## AWS 관리형 정책: AmazonSSMManagedEC2InstanceDefaultPolicy
<a name="security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy"></a>

Systems Manager 기능 사용 권한을 원하는 Amazon EC2 인스턴스의 IAM 역할에만 `AmazonSSMManagedEC2InstanceDefaultPolicy`을 연결해야 합니다. 이 역할을 IAM 사용자 및 IAM 그룹과 같은 다른 IAM 엔티티나 용도가 다른 IAM 역할에 연결해서는 안 됩니다. 자세한 내용은 [기본 호스트 관리 구성을 사용한 자동 EC2 인스턴스 관리](fleet-manager-default-host-management-configuration.md) 섹션을 참조하세요.

이 정책은 Amazon EC2 인스턴스의 SSM Agent가 클라우드의 Systems Manager 서비스와 통신하여 다양한 작업을 수행할 수 있도록 허용하는 권한을 부여합니다. 또한 작업이 올바른 인스턴스에서 수행되도록 권한 부여 토큰을 제공하는 두 서비스에 대한 권한도 부여합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `ssm` - 보안 주체가 Documents를 검색하고, Run Command를 사용하여 명령을 실행하고, Session Manager를 사용하여 세션을 설정하고, 인스턴스 인벤토리를 수집하고, Patch Manager를 사용하여 패치 및 패치 규정 준수를 검색할 수 있도록 허용합니다.
+ `ssmmessages` - 보안 주체가 각 인스턴스에 대해 **[Amazon Message Gateway Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)에서 생성한 개인화된 권한 부여 토큰에 액세스할 수 있도록 허용합니다. Systems Manager에서는 API 작업에 제공된 인스턴스의 Amazon 리소스 이름(ARN)에 대해 개인화된 권한 부여 토큰을 검증합니다. SSM Agent가 올바른 인스턴스에서 API 작업을 수행하려면 이 액세스가 필요합니다.
+ `ec2messages` - 보안 주체가 각 인스턴스에 대해 **[Amazon 메시지 전송 서비스](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)에서 생성한 개인화된 권한 부여 토큰에 액세스할 수 있도록 허용합니다. Systems Manager에서는 API 작업에 제공된 인스턴스의 Amazon 리소스 이름(ARN)에 대해 개인화된 권한 부여 토큰을 검증합니다. SSM Agent가 올바른 인스턴스에서 API 작업을 수행하려면 이 액세스가 필요합니다.

`ssmmessages` 및 `ec2messages` 엔드포인트 간의 차이점을 비롯해 두 엔드포인트에 대한 관련 정보는 [에이전트 관련 API 작업(`ssmmessages`및 `ec2messages` 엔드포인트)](systems-manager-setting-up-messageAPIs.md#message-services) 문서를 참조하세요.

최신 버전의 JSON 정책 문서를 비롯하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AmazonSSMManagedEC2InstanceDefaultPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedEC2InstanceDefaultPolicy.html)를 참조하세요.

## AWS 관리형 정책: SSMQuickSetupRolePolicy
<a name="security-iam-awsmanpol-SSMQuickSetupRolePolicy"></a>

IAM 엔터티에 SSMQuickSetupRolePolicy를 연결할 수 없습니다. 이 정책은 Systems Manager이(가) 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결됩니다. 자세한 내용은 [역할을 사용하여 Quick Setup 프로비저닝된 리소스 상태 및 일관성 유지](using-service-linked-roles-service-action-5.md) 섹션을 참조하세요.

이 정책은 Systems Manager가 구성 상태를 확인하고, 파라미터 및 프로비저닝된 리소스의 일관된 사용을 보장하고, 드리프트가 감지되면 리소스를 수정할 수 있는 읽기 전용 권한을 부여합니다. 또한 서비스 연결 역할을 생성하기 위한 관리 권한도 부여합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `ssm` - 위탁자가 위임된 관리자 계정을 포함하여 Systems Manager에서 리소스 데이터 동기화 및 SSM 문서에 대한 정보를 읽도록 허용합니다. 이것은 Quick Setup이 구성된 리소스의 의도된 상태를 결정하는 데 필요합니다.
+ `organizations` – AWS Organizations에 구성된 대로 보안 주체가 조직에 속하는 멤버 계정에 대한 정보를 읽도록 허용합니다. 이것은 Quick Setup에서 리소스 상태 확인을 수행할 조직의 모든 계정을 식별할 수 있도록 하기 위해 필요합니다.
+ `cloudformation` – 보안 주체가 CloudFormation에서 정보를 읽도록 허용합니다. 이것은 Quick Setup에서 리소스 상태 및 CloudFormation 스택셋 작업 관리에 사용되는 CloudFormation 스택에 대한 데이터를 수집할 수 있도록 하기 위해 필요합니다.

최신 버전의 JSON 정책 문서를 비롯하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [SSMQuickSetupRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SSMQuickSetupRolePolicy.html)를 참조하세요.

## AWS 관리형 정책: AWSQuickSetupDeploymentRolePolicy
<a name="security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy"></a>

관리형 정책 `AWSQuickSetupDeploymentRolePolicy`는 여러 가지의 Quick Setup 구성 유형을 지원합니다. 이러한 구성 유형은 자주 사용하는 Amazon Web Services 서비스 및 기능을 권장 모범 사례에 따라 구성하는 IAM 역할 및 자동화를 생성합니다.

`AWSQuickSetupDeploymentRolePolicy`를 IAM 엔티티에 연결할 수 있습니다.

이 정책은 다음과 같은 Quick Setup 구성과 관련된 리소스를 생성하는 데 필요한 관리 권한을 부여합니다.
+ [Quick Setup을 사용한 Amazon EC2 호스트 관리 설정](quick-setup-host-management.md)
+ [Quick Setup을 사용하여 AWS Config 구성 레코더 생성](quick-setup-config.md)
+ [AWS Config을 사용하여 Quick Setup 적합성 팩 배포](quick-setup-cpack.md)
+ [Quick Setup을 사용한 DevOps Guru 설정](quick-setup-devops.md)
+ [Quick Setup을 사용하여 Distributor 패키지 배포](quick-setup-distributor.md)
+ [Quick Setup을 사용하여 일정에 따라 자동으로 EC2 인스턴스 중지 및 시작](quick-setup-scheduler.md)

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `ssm` - 보안 주체가 CloudFormation을 통해 직접 호출할 때 이름이 "AWSQuickSetup-" 또는 "AWSOperationsPack-"로 시작하는 SSM 문서를 읽고, 생성하고, 업데이트하고, 삭제하고, "AWSQuickSetupType-ManageInstanceProfile", "AWSQuickSetupType-ConfigureDevOpsGuru", "AWSQuickSetupType-DeployConformancePack" 등의 특정 AWS 소유 문서를 읽고, CloudFormation을 통해 직접 호출할 때 Quick Setup 문서 및 AWS 소유 문서에 대한 연결을 생성, 업데이트 및 삭제하고, `QuickSetupID` 태그가 지정된 레거시 리소스를 정리할 수 있도록 허용합니다. 이를 통해 Quick Setup은 자동화 워크플로 및 연결을 배포하고 관리할 수 있습니다.
+ `cloudformation` - 보안 주체가 CloudFormation 스택 및 스택 세트에 대한 정보를 읽고 스택을 생성, 업데이트 및 삭제하고, 이름이 "StackSet-AWS-QuickSetup-"로 시작하는 리소스에 대한 CloudFormation 스택을 생성, 업데이트 및 삭제하고 세트를 변경할 수 있습니다. 이를 통해 Quick Setup은 계정 및 리전 간의 인프라 배포를 관리할 수 있습니다.
+ `config` - 보안 주체가 AWS Config 적합성 팩 및 상태에 대한 정보를 읽고, CloudFormation을 통해 호출할 때 이름이 "AWS-QuickSetup-"로 시작하는 적합성 팩을 생성 및 삭제할 수 있습니다. 이렇게 하면 Quick Setup이 규정 준수 모니터링 구성을 배포할 수 있습니다.
+ `events` - 보안 주체가 이름이 "QuickSetup-"인 리소스에 대한 EventBridge 규칙 및 대상을 관리할 수 있도록 허용합니다. 이렇게 하면 Quick Setup이 예약된 자동화 워크플로를 생성할 수 있습니다.
+ `iam` - 보안 주체가 AWS Config 및 Systems Manager에 대한 서비스 연결 역할을 생성하고, CloudFormation을 통해 호출될 때 이름이 "AWS-QuickSetup-" 또는 "AWSOperationsPack-"로 시작하는 IAM 역할을 생성, 관리 및 삭제하고, 이러한 역할을 Systems Manager 및 EventBridge 서비스에 전달하며, 특정 AWS 관리형 정책을 이러한 역할에 연결하고, 특정 Quick Setup 관리형 정책을 사용하여 권한 경계를 설정할 수 있습니다. 이렇게 하면 Quick Setup이 작업에 필요한 서비스 역할을 생성할 수 있습니다.
+ `resource-groups` - 보안 주체가 리소스 그룹 쿼리를 검색할 수 있도록 허용합니다. 이렇게 하면 Quick Setup이 구성 관리를 위해 특정 리소스 세트를 대상으로 지정할 수 있습니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSQuickSetupDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDeploymentRolePolicy.html)를 참조하세요.

## AWS 관리형 정책: AWSQuickSetupPatchPolicyDeploymentRolePolicy
<a name="security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy"></a>

관리형 정책 `AWSQuickSetupPatchPolicyDeploymentRolePolicy`는 [Quick Setup 패치 정책을 사용한 조직 내 인스턴스에 대한 패치 적용 구성](quick-setup-patch-manager.md) Quick Setup 유형을 지원합니다. 이 구성 유형은 단일 계정 또는 조직 전체에서 애플리케이션과 노드의 패치 적용을 자동화합니다.

`AWSQuickSetupPatchPolicyDeploymentRolePolicy`를 IAM 엔터티와 연계할 수 있습니다. Systems Manager는 또한 이 정책을 서비스 역할에 연결하여 Systems Manager가 사용자를 대신하여 작업을 수행하도록 허용합니다.

이 정책은 Quick Setup에서 패치 정책 구성과 관련된 리소스를 생성하도록 허용하는 관리 권한을 부여합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `iam` – 보안 주체가 자동화 구성 작업에 필요한 IAM 역할을 관리 및 삭제하고 자동화 역할 정책을 관리하도록 허용합니다.
+ `cloudformation` – 보안 주체가 CloudFormation 스택 정보를 읽고 Quick Setup에서 CloudFormation 스택 세트를 사용하여 생성한 CloudFormation 스택을 제어하도록 허용합니다.
+ `ssm` – 보안 주체가 구성 작업에 필요한 자동화 런북을 생성, 업데이트, 읽기 및 삭제하고 State Manager 연결을 생성, 업데이트 및 삭제하도록 허용합니다.
+ `resource-groups` – 보안 주체가 Quick Setup 구성의 대상이 되는 리소스 그룹과 관련된 리소스 쿼리를 검색하도록 허용합니다.
+ `s3` – 보안 주체가 Amazon S3 버킷을 나열하고 패치 정책 액세스 로그를 저장하기 위한 버킷을 관리하도록 허용합니다.
+ `lambda` – 보안 주체가 구성을 올바른 상태로 유지하는 AWS Lambda 수정 기능을 관리하도록 허용합니다.
+ `logs` – 보안 주체가 Lambda 구성 리소스의 로그 그룹을 설명하고 관리하도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSQuickSetupPatchPolicyDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyDeploymentRolePolicy.html)를 참조하세요.

## AWS 관리형 정책: AWSQuickSetupPatchPolicyBaselineAccess
<a name="security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess"></a>

관리형 정책 `AWSQuickSetupPatchPolicyBaselineAccess`는 [Quick Setup 패치 정책을 사용한 조직 내 인스턴스에 대한 패치 적용 구성](quick-setup-patch-manager.md) Quick Setup 유형을 지원합니다. 이 구성 유형은 단일 계정 또는 조직 전체에서 애플리케이션과 노드의 패치 적용을 자동화합니다.

`AWSQuickSetupPatchPolicyBaselineAccess`를 IAM 엔터티와 연계할 수 있습니다. Systems Manager는 또한 이 정책을 서비스 역할에 연결하여 Systems Manager가 사용자를 대신하여 작업을 수행하도록 허용합니다.

이 정책은 Quick Setup을 사용하여 현재 AWS 계정 또는 조직의 관리자가 구성한 패치 기준에 액세스할 수 있는 읽기 전용 권한을 제공합니다. 패치 기준은 Amazon S3 버킷에 저장되며 단일 계정 또는 전체 조직의 인스턴스에 패치를 적용하는 데 사용할 수 있습니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `s3` – 보안 주체가 Amazon S3 버킷에 저장된 패치 기준 재정의를 읽도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSQuickSetupPatchPolicyBaselineAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyBaselineAccess.html)를 참조하세요.

## AWS 관리형 정책: `AWSSystemsManagerEnableExplorerExecutionPolicy`
<a name="security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy"></a>

관리형 정책 `AWSSystemsManagerEnableExplorerExecutionPolicy`는 AWS Systems Manager의 도구인 Explorer의 활성화를 지원합니다.

`AWSSystemsManagerEnableExplorerExecutionPolicy`를 IAM 엔터티와 연계할 수 있습니다. Systems Manager는 또한 이 정책을 서비스 역할에 연결하여 Systems Manager가 사용자를 대신하여 작업을 수행하도록 허용합니다.

이 정책은 Explorer를 활성화하기 위한 관리 권한을 부여합니다. 여기에는 관련 Systems Manager 서비스 설정을 업데이트하고 Systems Manager에 대한 서비스 연결 역할을 생성할 수 있는 권한이 포함됩니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `config` – 보안 주체가 구성 레코더 세부 정보에 대한 읽기 전용 액세스를 제공하여 Explorer 활성화를 지원하도록 허용합니다.
+ `iam` – 보안 주체가 Explorer 활성화를 지원하도록 허용합니다.
+ `ssm` – 보안 주체가 Explorer를 활성화하는 자동화 워크플로를 시작하도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSSystemsManagerEnableExplorerExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableExplorerExecutionPolicy.html)를 참조하세요.

## AWS 관리형 정책: `AWSSystemsManagerEnableConfigRecordingExecutionPolicy`
<a name="security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy"></a>

관리형 정책 `AWSSystemsManagerEnableConfigRecordingExecutionPolicy`는 [Quick Setup을 사용하여 AWS Config 구성 레코더 생성](quick-setup-config.md) Quick Setup 구성 유형을 지원합니다. 이 구성 유형을 사용하면 Quick Setup이 AWS Config에 대해 선택한 AWS 리소스 유형의 변경 사항을 추적하고 기록할 수 있습니다. 또한 Quick Setup이 기록된 데이터에 대한 전송 및 알림 옵션을 구성할 수 있습니다.

`AWSSystemsManagerEnableConfigRecordingExecutionPolicy`를 IAM 엔터티와 연계할 수 있습니다. Systems Manager는 또한 이 정책을 서비스 역할에 연결하여 Systems Manager가 사용자를 대신하여 작업을 수행하도록 허용합니다.

이 정책은 Quick Setup이 AWS Config 구성 기록을 활성화하고 구성하도록 허용하는 관리 권한을 부여합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `s3` – 보안 주체가 구성 기록의 전달을 위한 Amazon S3 버킷을 생성 및 구성하도록 허용합니다.
+ `sns` - 보안 주체가 Amazon SNS 주제를 나열하고 생성하도록 허용합니다.
+ `config` – 보안 주체가 구성 레코더를 구성 및 시작하고 Explorer의 활성화를 돕도록 허용합니다.
+ `iam` – 보안 주체가 AWS Config에 대한 서비스 연결 역할을 만들고, 가져오고, 전달하고, Systems Manager에 대한 서비스 연결 역할을 생성하고, Explorer의 활성화를 돕도록 허용합니다.
+ `ssm` – 보안 주체가 Explorer를 활성화하는 자동화 워크플로를 시작하도록 허용합니다.
+ `compute-optimizer` – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.
+ `support` – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableConfigRecordingExecutionPolicy.html)를 참조하세요.

## AWS 관리형 정책: AWSQuickSetupDevOpsGuruPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary"></a>

**참고**  
이 정책은 *권한 경계*입니다. 권한 경계는 자격 증명 기반 정책에서 IAM 엔터티에 부여할 수 있는 최대 권한을 설정합니다. Quick Setup 권한 경계 정책을 직접 사용하고 연결해서는 안 됩니다. Quick Setup 권한 경계 정책은 Quick Setup 관리형 역할에만 연결해야 합니다. 권한 경계에 대한 자세한 정보는 *IAM 사용 설명서*의 [IAM 엔티티에 대한 권한 경계](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)를 참조하세요.

관리형 정책 `AWSQuickSetupDevOpsGuruPermissionsBoundary`는 [Quick Setup을 사용한 DevOps Guru 설정](quick-setup-devops.md) 유형을 지원합니다. 이 구성 유형을 사용하면 기계 학습 기반 Amazon DevOps Guru를 사용할 수 있습니다. DevOps Guru 서비스는 애플리케이션의 운영 성능과 가용성을 향상하는 데 도움이 될 수 있습니다.

Quick Setup을 사용하여 `AWSQuickSetupDevOpsGuruPermissionsBoundary` 구성을 생성하면 시스템은 이 권한 경계를 구성을 배포할 때 생성되는 IAM 역할에 적용합니다. 권한 경계는 Quick Setup에서 생성하는 역할의 범위를 제한합니다.

이 정책은 Quick Setup이 Amazon DevOps Guru를 활성화하고 구성하도록 허용하는 관리 권한을 부여합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `iam` – 보안 주체가 DevOps Guru 및 Systems Manager에 대한 서비스 연결 역할을 생성하고 Explorer 활성화에 도움이 되는 역할을 나열하도록 허용합니다.
+ `cloudformation` – 보안 주체가 CloudFormation 스택을 나열하고 설명하도록 허용합니다.
+ `sns` - 보안 주체가 Amazon SNS 주제를 나열하고 생성하도록 허용합니다.
+ `devops-guru` – 보안 주체가 DevOps Guru를 구성하고 알림 채널을 추가하도록 허용합니다.
+ `config` – 보안 주체가 구성 레코더 세부 정보에 대한 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.
+ `ssm` – 보안 주체가 Explorer를 활성화하는 자동화 워크플로를 시작하고 Explorer 서비스 설정을 읽고 업데이트하도록 허용합니다.
+ `compute-optimizer` – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.
+ `support` – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSQuickSetupDevOpsGuruPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDevOpsGuruPermissionsBoundary.html)를 참조하세요.

## AWS 관리형 정책: AWSQuickSetupDistributorPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary"></a>

**참고**  
이 정책은 *권한 경계*입니다. 권한 경계는 자격 증명 기반 정책에서 IAM 엔터티에 부여할 수 있는 최대 권한을 설정합니다. Quick Setup 권한 경계 정책을 직접 사용하고 연결해서는 안 됩니다. Quick Setup 권한 경계 정책은 Quick Setup 관리형 역할에만 연결해야 합니다. 권한 경계에 대한 자세한 정보는 *IAM 사용 설명서*의 [IAM 엔티티에 대한 권한 경계](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)를 참조하세요.

관리형 정책 `AWSQuickSetupDistributorPermissionsBoundary`는 [Quick Setup을 사용하여 Distributor 패키지 배포](quick-setup-distributor.md) Quick Setup 구성 유형을 지원합니다. 이 구성 유형을 사용하면 AWS Systems Manager의 도구인 Distributor를 사용하여 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스로의 소프트웨어 패키지(예: 에이전트) 배포를 활성화하는 데 도움이 됩니다.

Quick Setup을 사용하여 `AWSQuickSetupDistributorPermissionsBoundary` 구성을 생성하면 시스템은 이 권한 경계를 구성을 배포할 때 생성되는 IAM 역할에 적용합니다. 권한 경계는 Quick Setup에서 생성하는 역할의 범위를 제한합니다.

이 정책은 Quick Setup이 배포자를 사용하여 Amazon EC2로의 소프트웨어 패키지(예: 에이전트트) 배포를 활성화하도록 허용하는 관리 권한을 부여합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `iam` – 보안 주체가 배포자 자동화 역할을 가져와 전달하고, 기본 인스턴스 역할을 생성, 읽기, 업데이트 및 삭제하고, 기본 인스턴스 역할을 Amazon EC2 및 Systems Manager에 전달하고, 인스턴스 역할에 인스턴스 관리 정책을 연결하고, Systems Manager를 위한 서비스 연결 역할을 생성하고, 인스턴스 프로파일에 기본 인스턴스 역할을 추가하고, IAM 역할 및 인스턴스 프로파일에 대한 정보를 읽고, 기본 인스턴스 프로파일을 생성하도록 허용합니다.
+ `ec2` – 보안 주체가 기본 인스턴스 프로파일을 EC2 인스턴스와 연결하고 Explorer의 활성화를 돕도록 허용합니다.
+ `ssm` – 보안 주체가 인스턴스를 구성하고 패키지를 설치하는 자동화 워크플로를 시작하고, Explorer를 활성화하는 자동화 워크플로를 시작하고, Explorer 서비스 설정을 읽고 업데이트하도록 허용합니다.
+ `config` – 보안 주체가 구성 레코더 세부 정보에 대한 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.
+ `compute-optimizer` – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.
+ `support` – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSQuickSetupDistributorPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDistributorPermissionsBoundary.html)를 참조하세요.

## AWS 관리형 정책: AWSQuickSetupSSMHostMgmtPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary"></a>

**참고**  
이 정책은 *권한 경계*입니다. 권한 경계는 자격 증명 기반 정책에서 IAM 엔터티에 부여할 수 있는 최대 권한을 설정합니다. Quick Setup 권한 경계 정책을 직접 사용하고 연결해서는 안 됩니다. Quick Setup 권한 경계 정책은 Quick Setup 관리형 역할에만 연결해야 합니다. 권한 경계에 대한 자세한 정보는 *IAM 사용 설명서*의 [IAM 엔티티에 대한 권한 경계](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)를 참조하세요.

관리형 정책 `AWSQuickSetupSSMHostMgmtPermissionsBoundary`는 [Quick Setup을 사용한 Amazon EC2 호스트 관리 설정](quick-setup-host-management.md) Quick Setup 구성 유형을 지원합니다. 이 구성 유형은 IAM 역할을 구성하고, Amazon EC2 인스턴스를 안전하게 관리할 수 있도록 일반적으로 사용되는 Systems Manager 도구를 활성화합니다.

Quick Setup을 사용하여 `AWSQuickSetupSSMHostMgmtPermissionsBoundary` 구성을 생성하면 시스템은 이 권한 경계를 구성을 배포할 때 생성되는 IAM 역할에 적용합니다. 권한 경계는 Quick Setup에서 생성하는 역할의 범위를 제한합니다.

이 정책은 Quick Setup이 EC2 인스턴스를 안전하게 관리하는 데 필요한 Systems Manager 도구를 활성화하고 구성하도록 허용하는 관리 권한을 부여합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `iam` – 보안 주체가 서비스 역할을 가져와 자동화에 전달하도록 허용합니다. 보안 주체가 기본 인스턴스 역할을 생성, 읽기, 업데이트 및 삭제하고, 기본 인스턴스 역할을 Amazon EC2 및 Systems Manager에 전달하고, 인스턴스 역할에 인스턴스 관리 정책을 연결하고, Systems Manager를 위한 서비스 연결 역할을 생성하고, 인스턴스 프로파일에 기본 인스턴스 역할을 추가하고, IAM 역할 및 인스턴스 프로파일에 대한 정보를 읽고, 기본 인스턴스 프로파일을 생성하도록 허용합니다.
+ `ec2` – 보안 주체가 기본 인스턴스 프로파일을 EC2 인스턴스와 연결 및 연결 해제하도록 허용합니다.
+ `ssm` – 보안 주체가 Explorer를 활성화하는 자동화 워크플로를 시작하고, Explorer 서비스 설정을 읽고 업데이트하고, 인스턴스를 구성하고, 인스턴스에서 Systems Manager 도구를 활성화하도록 허용합니다.
+ `compute-optimizer` – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.
+ `support` – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSQuickSetupSSMHostMgmtPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMHostMgmtPermissionsBoundary.html)를 참조하세요.

## AWS 관리형 정책: AWSQuickSetupPatchPolicyPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary"></a>

**참고**  
이 정책은 *권한 경계*입니다. 권한 경계는 자격 증명 기반 정책에서 IAM 엔터티에 부여할 수 있는 최대 권한을 설정합니다. Quick Setup 권한 경계 정책을 직접 사용하고 연결해서는 안 됩니다. Quick Setup 권한 경계 정책은 Quick Setup 관리형 역할에만 연결해야 합니다. 권한 경계에 대한 자세한 정보는 *IAM 사용 설명서*의 [IAM 엔티티에 대한 권한 경계](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)를 참조하세요.

관리형 정책 `AWSQuickSetupPatchPolicyPermissionsBoundary`는 [Quick Setup 패치 정책을 사용한 조직 내 인스턴스에 대한 패치 적용 구성](quick-setup-patch-manager.md) Quick Setup 유형을 지원합니다. 이 구성 유형은 단일 계정 또는 조직 전체에서 애플리케이션과 노드의 패치 적용을 자동화합니다.

Quick Setup을 사용하여 `AWSQuickSetupPatchPolicyPermissionsBoundary` 구성을 생성하면 시스템은 이 권한 경계를 구성을 배포할 때 생성되는 IAM 역할에 적용합니다. 권한 경계는 Quick Setup에서 생성하는 역할의 범위를 제한합니다.

이 정책은 Quick Setup이 AWS Systems Manager 도구인 Patch Manager의 패치 정책을 활성화하고 구성하도록 허용하는 관리 권한을 부여합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `iam` – 보안 주체가 Patch Manager 자동화 역할을 가져오고, Patch Manager 패치 적용 작업에 자동화 역할을 전달하고, 기본 인스턴스 역할 `AmazonSSMRoleForInstancesQuickSetup`을 생성하고, Amazon EC2 및 Systems Manager에 기본 인스턴스 역할을 전달하고, 선택한 AWS 관리형 정책을 인스턴스 역할에 연결하고, Systems Manager용 서비스 연결 역할을 생성하고, 인스턴스 프로파일에 기본 인스턴스 역할을 추가하고, 인스턴스 프로파일 및 역할에 대한 정보을 읽고, 기본 인스턴스 프로파일을 생성하고, 패치 기준 재정의에 대한 읽기 권한이 있는 역할에 태그를 지정하도록 허용합니다.
+ `ssm` – 보안 주체가 Systems Manager에서 관리하는 인스턴스 역할을 업데이트하고, Quick Setup에서 만든 Patch Manager 패치 정책으로 생성된 연결을 관리하고, 패치 정책 구성의 대상이 되는 인스턴스에 태그를 지정하고, 인스턴스 및 패치 적용 상태에 대한 정보를 읽고, 인스턴스 패치 적용을 구성, 활성화 및 수정하는 자동화 워크플로를 시작하고, Explorer를 활성화하는 자동화 워크플로를 시작하고, Explorer의 활성화를 돕고, Explorer 서비스 설정을 읽고 업데이트하도록 허용합니다.
+ `ec2` – 보안 주체가 기본 인스턴스 프로파일을 EC2 인스턴스와 연결 및 연결 해제하고, 패치 정책 구성의 대상 인스턴스에 태그를 지정하고, Explorer의 활성화를 돕도록 허용합니다.
+ `s3` – 보안 주체가 패치 기준 재정의를 저장할 S3 버킷을 생성 및 구성하도록 허용합니다.
+ `lambda` – 보안 주체가 패치 적용을 구성하는 AWS Lambda 기능을 호출하고 Quick Setup 패치 정책 구성이 삭제된 후 정리 작업을 수행하도록 허용합니다.
+ `logs` – 보안 주체가 Patch Manager Quick Setup AWS Lambda 기능에 대한 로깅을 구성하도록 허용합니다.
+ `config` – 보안 주체가 구성 레코더 세부 정보에 대한 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.
+ `compute-optimizer` – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.
+ `support` – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSQuickSetupPatchPolicyPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyPermissionsBoundary.html)를 참조하세요.

## AWS 관리형 정책: AWSQuickSetupSchedulerPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary"></a>

**참고**  
이 정책은 *권한 경계*입니다. 권한 경계는 자격 증명 기반 정책에서 IAM 엔터티에 부여할 수 있는 최대 권한을 설정합니다. Quick Setup 권한 경계 정책을 직접 사용하고 연결해서는 안 됩니다. Quick Setup 권한 경계 정책은 Quick Setup 관리형 역할에만 연결해야 합니다. 권한 경계에 대한 자세한 정보는 *IAM 사용 설명서*의 [IAM 엔티티에 대한 권한 경계](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)를 참조하세요.

관리형 정책 `AWSQuickSetupSchedulerPermissionsBoundary`는 [Quick Setup을 사용하여 일정에 따라 자동으로 EC2 인스턴스 중지 및 시작](quick-setup-scheduler.md) Quick Setup 구성 유형을 지원합니다. 이 구성 유형을 사용하면 지정한 시간에 EC2 인스턴스와 기타 리소스를 중지 및 시작할 수 있습니다.

Quick Setup을 사용하여 `AWSQuickSetupSchedulerPermissionsBoundary` 구성을 생성하면 시스템은 이 권한 경계를 구성을 배포할 때 생성되는 IAM 역할에 적용합니다. 권한 경계는 Quick Setup에서 생성하는 역할의 범위를 제한합니다.

이 정책은 Quick Setup이 EC2 인스턴스와 기타 리소스에서 예약된 작업을 활성화하고 구성하도록 허용하는 관리 권한을 부여합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `iam` – 보안 주체가 인스턴스 관리 자동화 작업을 위한 역할을 검색 및 전달하고, EC2 인스턴스 관리를 위한 기본 인스턴스 역할을 관리, 전달 및 연결하고, 기본 인스턴스 프로파일을 생성하고, 인스턴스 프로파일에 기본 인스턴스 역할을 추가하고, Systems Manager의 서비스 연결 역할을 생성하고, IAM 역할 및 인스턴스 프로파일에 대한 정보를 읽고, EC2 인스턴스에 기본 인스턴스 프로파일을 연결하고, 인스턴스를 구성하고 해당 인스턴스에 Systems Manager 도구를 활성화하는 자동화 워크플로를 시작하도록 허용합니다.
+ `ssm` – 보안 주체가 Explorer를 활성화하는 자동화 워크플로를 시작하고, Explorer 서비스 설정을 읽고 업데이트하도록 허용합니다.
+ ec2 – 보안 주체가 대상 인스턴스를 찾고 일정에 따라 해당 인스턴스를 시작 및 중지하도록 허용합니다.
+ `config` – 보안 주체가 구성 레코더 세부 정보에 대한 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.
+ `compute-optimizer` – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.
+ `support` – 보안 주체가 계정의 AWS Trusted Advisor 확인에 대한 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSQuickSetupSchedulerPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSchedulerPermissionsBoundary.html)를 참조하세요.

## AWS 관리형 정책: AWSQuickSetupCFGCPacksPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary"></a>

**참고**  
이 정책은 *권한 경계*입니다. 권한 경계는 자격 증명 기반 정책에서 IAM 엔터티에 부여할 수 있는 최대 권한을 설정합니다. Quick Setup 권한 경계 정책을 직접 사용하고 연결해서는 안 됩니다. Quick Setup 권한 경계 정책은 Quick Setup 관리형 역할에만 연결해야 합니다. 권한 경계에 대한 자세한 정보는 *IAM 사용 설명서*의 [IAM 엔티티에 대한 권한 경계](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)를 참조하세요.

관리형 정책 `AWSQuickSetupCFGCPacksPermissionsBoundary`는 [AWS Config을 사용하여 Quick Setup 적합성 팩 배포](quick-setup-cpack.md) Quick Setup 구성 유형을 지원합니다. 이 구성 유형은 AWS Config 적합성 팩을 배포합니다. 적합성 팩은 단일 엔티티로 배포하고 모니터링할 수 있는 AWS Config 규칙 및 문제 해결 작업의 모음입니다.

Quick Setup을 사용하여 `AWSQuickSetupCFGCPacksPermissionsBoundary` 구성을 생성하면 시스템은 이 권한 경계를 구성을 배포할 때 생성되는 IAM 역할에 적용합니다. 권한 경계는 Quick Setup에서 생성하는 역할의 범위를 제한합니다.

이 정책은 Quick Setup이 AWS Config 적합성 팩을 배포하도록 허용하는 관리 권한을 부여합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `iam` – 보안 주체가 AWS Config를 위한 서비스 연결 역할을 만들고, 가져오고, 전달하도록 허용합니다.
+ `sns` – 보안 주체가 Amazon SNS의 플랫폼 애플리케이션을 나열하도록 허용합니다.
+ `config` – 보안 주체가 AWS Config 적합성 팩을 배포하고, 적합성 팩의 상태를 가져오고, 구성 레코더에 대한 정보를 가져오도록 허용합니다.
+ `ssm` – 보안 주체가 SSM 문서 및 자동화 워크플로에 대한 정보를 가져오고, 리소스 태그에 대한 정보를 가져오고, 서비스 설정에 대한 정보를 가져오고 업데이트하도록 허용합니다.
+ `compute-optimizer` – 보안 주체가 계정의 옵트인 상태를 가져오도록 허용합니다.
+ `support` – 보안 주체가 AWS Trusted Advisor 확인에 대한 정보를 가져오도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSQuickSetupCFGCPacksPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupCFGCPacksConfigurationPolicy.html)를 참조하세요.

## AWS 관리형 정책: AWSQuickSetupStartStopInstancesExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy"></a>

`AWSQuickSetupStartStopInstancesExecutionPolicy`를 IAM 엔티티에 연결할 수 있습니다. 이 정책은 Systems Manager 자동화를 사용하여 Amazon EC2 인스턴스의 시작 및 중지를 관리할 수 있는 권한을 Quick Setup에 제공합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `ec2` - 보안 주체가 Amazon EC2 인스턴스, 상태, 리전, 태그를 설명하도록 허용합니다. 또한 특정 Amazon EC2 인스턴스의 시작 및 중지를 허용합니다.
+ `ssm` - 보안 주체가 Quick Setup 변경 일정에서 일정 상태를 가져오고, 연결을 시작하고, 인스턴스 예약을 위해 자동화 문서를 실행할 수 있도록 허용합니다.
+ `iam` - 보안 주체가 자동화 실행을 위해 ssm.amazonaws.com과 특정 리소스 ARN으로 서비스를 제한하는 조건과 함께 Quick Setup IAM 역할을 Systems Manager에 전달할 수 있도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSQuickSetupStartStopInstancesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartStopInstancesExecutionPolicy.html)를 참조하세요.

## AWS 관리형 정책: AWSQuickSetupStartSSMAssociationsExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy"></a>

이 정책은 Quick Setup에서 `AWSQuickSetupType-Scheduler-ChangeCalendarState` Automation 런북을 실행할 수 있도록 권한을 부여합니다. 이 런북은 Quick Setup 구성에서 예약된 작업의 변경 일정 상태를 관리하는 데 사용됩니다.

`AWSQuickSetupStartSSMAssociationsExecutionPolicy`를 IAM 엔터티와 연계할 수 있습니다. Systems Manager는 또한 이 정책을 서비스 역할에 연결하여 Systems Manager가 사용자를 대신하여 작업을 수행하도록 허용합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `ssm` - 보안 주체가 `AWSQuickSetupType-Scheduler-ChangeCalendarState` 문서 전용 자동화 실행을 시작하도록 허용합니다. 이는 Quick Setup이 예약된 작업의 변경 일정 상태를 관리하기 위해 필요합니다.
+ `iam` - 보안 주체가 "AWS-QuickSetup-"로 시작하는 이름의 역할을 Systems Manager 서비스에 전달할 수 있습니다. 이 권한은 변경 일정 관리와 관련된 특정 SSM 문서에만 사용할 수 있습니다. 이는 Quick Setup이 자동화 프로세스에 적절한 실행 역할을 전달하는 데 필요합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSQuickSetupStartSSMAssociationsExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartSSMAssociationsExecutionPolicy.html)를 참조하세요.

## AWS 관리형 정책: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy"></a>

`AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` 정책은 노드가 관리되는 계정 및 리전에서 Automation 워크플로를 시작하여 Systems Manager 서비스와 상호 작용하는 노드의 문제를 진단할 수 있는 권한을 제공합니다.

`AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy`를 IAM 엔터티와 연결할 수 있습니다. Systems Manager는 또한 이 정책을 서비스 역할에 연결하여 Systems Manager가 사용자를 대신하여 진단 작업을 수행하도록 허용합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `ssm` - 위탁자가 노드 문제를 진단하고 워크플로의 실행 상태에 액세스하고 자동화 실행 세부 정보를 검색하는 특정 Automation 런북을 실행할 수 있도록 허용합니다. 이 정책은 자동화 실행을 설명하고, 자동화 단계 실행을 설명하고, 자동화 실행 세부 정보를 가져오고, 진단 관련 문서에 대한 자동화 실행을 시작할 수 있는 권한을 부여합니다.
+ `kms` - 위탁자가 진단 작업에 사용되는 Amazon S3 버킷의 암호화된 객체에 액세스할 때 암호 해독 및 데이터 키 생성에 고객 지정 AWS Key Management Service 키를 사용할 수 있도록 허용합니다. 이러한 권한은 특정 암호화 컨텍스트 요구 사항이 있는 Amazon S3 서비스를 통해 사용되고 `SystemsManagerManaged` 태그가 지정된 키로 제한됩니다.
+ `sts` - 위탁자가 진단 실행 역할을 수임하여 동일한 계정에서 Automation 런북을 실행할 수 있도록 허용합니다. 이 권한은 `AWS-SSM-DiagnosisExecutionRole` 이름 지정 패턴을 사용하는 역할로 제한되며 리소스 계정이 위탁자 계정과 일치하는지 확인하는 조건을 포함합니다.
+ `iam` - 위탁자가 진단 관리 역할을 Systems Manager에 전달하여 Automation 런북을 실행할 수 있도록 허용합니다. 이 권한은 `AWS-SSM-DiagnosisAdminRole` 이름 지정 패턴을 사용하는 역할로 제한되며 Systems Manager 서비스로만 전달할 수 있습니다.
+ `s3` - 위탁자가 진단 작업에 사용되는 Amazon S3 버킷의 객체에 액세스하고, 읽고, 쓰고, 삭제할 수 있도록 허용합니다. 이러한 권한은 `do-not-delete-ssm-diagnosis-` 이름 지정 패턴을 사용하는 버킷으로 제한되며 동일한 계정 내에서 작업이 수행되도록 하는 조건을 포함합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy.html)를 참조하세요.

## AWS 관리형 정책: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy"></a>

관리형 정책인 `AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy`는 대상 AWS 계정 및 리전에서 Automation 런북을 실행하여 Systems Manager 서비스와 상호 작용하는 관리형 노드 문제를 진단할 수 있는 관리 권한을 제공합니다.

`AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy`를 IAM 엔터티와 연계할 수 있습니다. Systems Manager는 또한 이 정책을 서비스 역할에 연결하여 Systems Manager가 사용자를 대신하여 작업을 수행하도록 허용합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `ec2` - 위탁자가 Amazon EC2 및 Amazon VPC 리소스와 해당 구성을 설명하여 Systems Manager 서비스 문제를 진단할 수 있도록 허용합니다. 여기에는 VPC, VPC 속성, VPC 엔드포인트, 서브넷, 보안 그룹, 인스턴스, 인스턴스 상태, 네트워크 ACL 및 인터넷 게이트웨이를 설명할 수 있는 권한이 포함됩니다.
+ `ssm` - 위탁자가 진단별 Automation 런북을 실행하고 자동화 워크플로 상태 및 실행 메타데이터에 액세스할 수 있도록 허용합니다. 여기에는 자동화 단계 실행을 설명하고, 인스턴스 정보를 설명하고, 자동화 실행을 설명하고, 활성화를 설명하고, 자동화 실행 세부 정보를 가져오고, 서비스 설정을 가져오고, 특정 AWS 비관리형 EC2 진단 문서에 대한 자동화 실행을 시작할 수 있는 권한이 포함됩니다.
+ `kms` - 위탁자가 진단 작업에 사용되는 Amazon S3 버킷의 암호화된 객체에 액세스할 때 암호 해독 및 데이터 키 생성에 고객 지정 AWS Key Management Service 키를 사용할 수 있도록 허용합니다. 이러한 권한은 진단 버킷에 대한 특정 암호화 컨텍스트 요구 사항이 있는 Amazon S3 서비스를 통해 사용되고 `SystemsManagerManaged` 태그가 지정된 키로 제한됩니다.
+ `iam` - 위탁자가 진단 실행 역할을 Systems Manager에 전달하여 Automation 문서를 실행할 수 있도록 허용합니다. 이 권한은 `AWS-SSM-DiagnosisExecutionRole` 이름 지정 패턴을 사용하는 역할로 제한되며 Systems Manager 서비스로만 전달할 수 있습니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy.html)를 참조하세요.

## AWS 관리형 정책: AWS-SSM-RemediationAutomation-AdministrationRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy"></a>

`AWS-SSM-RemediationAutomation-AdministrationRolePolicy` 정책은 Automation 문서에 정의된 작업을 실행하여 Systems Manager 서비스의 문제를 해결할 수 있는 권한을 제공하며 주로 Automation 문서를 실행하는 데 사용됩니다. 이 정책을 사용하면 노드가 관리되는 계정 및 리전에서 Automation 워크플로를 시작하여 연결 및 구성 문제를 해결할 수 있습니다.

`AWS-SSM-RemediationAutomation-AdministrationRolePolicy`를 IAM 엔터티에 연결할 수 있습니다. Systems Manager는 또한 이 정책을 서비스 역할에 연결하여 Systems Manager가 사용자를 대신하여 문제 해결 작업을 수행하도록 허용합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `ssm` - 위탁자가 노드 문제를 해결하고 워크플로의 실행 상태에 액세스하고 자동화 실행 세부 정보를 검색하는 특정 Automation 런북을 실행할 수 있도록 허용합니다. 이 정책은 자동화 실행을 설명하고, 자동화 단계 실행을 설명하고, 자동화 실행 세부 정보를 가져오고, 문제 해결 관련 문서에 대한 자동화 실행을 시작할 수 있는 권한을 부여합니다.
+ `kms` - 위탁자가 문제 해결 작업에 사용되는 Amazon S3 버킷의 암호화된 객체에 액세스할 때 암호 해독 및 데이터 키 생성에 고객 지정 AWS Key Management Service 키를 사용할 수 있도록 허용합니다. 이러한 권한은 특정 암호화 컨텍스트 요구 사항이 있는 Amazon S3 서비스를 통해 사용되고 `SystemsManagerManaged` 태그가 지정된 키로 제한됩니다.
+ `sts` - 위탁자가 문제 해결 실행 역할을 수임하여 동일한 계정에서 Automation 런북을 실행할 수 있도록 허용합니다. 이 권한은 `AWS-SSM-RemediationExecutionRole` 이름 지정 패턴을 사용하는 역할로 제한되며 리소스 계정이 위탁자 계정과 일치하는지 확인하는 조건을 포함합니다.
+ `iam` - 위탁자가 문제 해결 관리 역할을 Systems Manager에 전달하여 Automation 런북을 실행할 수 있도록 허용합니다. 이 권한은 `AWS-SSM-RemediationAdminRole` 이름 지정 패턴을 사용하는 역할로 제한되며 Systems Manager 서비스로만 전달할 수 있습니다.
+ `s3` - 위탁자가 문제 해결 작업에 사용되는 Amazon S3 버킷의 객체에 액세스하고, 읽고, 쓰고, 삭제할 수 있도록 허용합니다. 이러한 권한은 `do-not-delete-ssm-diagnosis-` 이름 지정 패턴을 사용하는 버킷으로 제한되며 동일한 계정 내에서 작업이 수행되도록 하는 조건을 포함합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWS-SSM-RemediationAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-AdministrationRolePolicy.html)를 참조하세요.

## AWS 관리형 정책: AWS-SSM-RemediationAutomation-ExecutionRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy"></a>

관리형 정책 `AWS-SSM-RemediationAutomation-ExecutionRolePolicy`는 특정 대상 계정 및 리전에서 Automation 런북을 실행하여 Systems Manager서비스와 상호 작용하는 관리형 노드의 네트워킹 및 연결 문제를 해결할 수 있는 권한을 제공합니다. 이 정책은 Automation 문서 내에 정의된 문제 해결 활동을 활성화하며, 주로 연결 및 구성 문제를 해결하기 위해 Automation 문서를 실행하는 데 사용됩니다.

 정책을 IAM 엔터티에 연결할 수 있습니다. 또한 Systems Manager는 이 정책을 서비스 역할에 연결하여 Systems Manager가 사용자를 대신하여 문제 해결 작업을 수행할 수 있도록 허용합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `ssm` - 위탁자가 Automation 실행 및 해당 단계 실행에 대한 정보를 검색하고 `AWS-OrchestrateUnmanagedEC2Actions` 및 `AWS-RemediateSSMAgent` 문서를 포함한 특정 문제 해결 Automation 런북을 시작할 수 있도록 허용합니다. 이 정책은 자동화 실행을 설명하고, 자동화 단계 실행을 설명하고, 자동화 실행 세부 정보를 가져오고, 문제 해결 관련 문서에 대한 자동화 실행을 시작할 수 있는 권한을 부여합니다.
+ `ec2` - 위탁자가 Amazon VPC 네트워킹 리소스를 설명 및 수정하여 연결 문제를 해결할 수 있도록 허용합니다. 여기에는 다음이 포함됩니다.
  + Amazon VPC 속성, 서브넷, Amazon VPC 엔드포인트 및 보안 그룹을 설명.
  + 필요한 태그를 사용하여 Systems Manager 서비스(`ssm`, `ssmmessages` 및 `ec2messages`)용 Amazon VPC 엔드포인트를 생성.
  + DNS 지원 및 호스트 이름을 활성화하도록 Amazon VPC 속성을 수정.
  + Amazon VPC 엔드포인트 액세스를 위해 특정 태그가 있는 보안 그룹을 생성 및 관리.
  + 적절한 태그를 사용하여 HTTPS 액세스에 대한 보안 그룹 규칙 승인 및 취소.
  + 리소스 생성 중에 Amazon VPC 엔드포인트, 보안 그룹 및 보안 그룹 규칙에 태그를 생성.
+ `kms` - 위탁자가 문제 해결 작업에 사용되는 Amazon S3 버킷의 암호화된 객체에 액세스할 때 암호 해독 및 데이터 키 생성에 고객 지정 AWS Key Management Service 키를 사용할 수 있도록 허용합니다. 이러한 권한은 특정 암호화 컨텍스트 요구 사항이 있는 Amazon S3 서비스를 통해 사용되고 `SystemsManagerManaged` 태그가 지정된 키로 제한됩니다.
+ `iam` - 위탁자가 문제 해결 실행 역할을 Systems Manager에 전달하여 Automation 런북을 실행할 수 있도록 허용합니다. 이 권한은 `AWS-SSM-RemediationExecutionRole` 이름 지정 패턴을 사용하는 역할로 제한되며 Systems Manager 서비스로만 전달할 수 있습니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWS-SSM-RemediationAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-ExecutionRolePolicy.html)를 참조하세요.

## AWS 관리형 정책: AWSQuickSetupSSMManageResourcesExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy"></a>

이 정책은 Quick Setup에서 `AWSQuickSetupType-SSM-SetupResources` Automation 런북을 실행할 수 있도록 권한을 부여합니다. 이 런북은 Quick Setup 연결에 대한 IAM 역할을 생성하며 이는 `AWSQuickSetupType-SSM` 배포에 의해 생성됩니다. 또한 Quick Setup 삭제 작업 중에 연결된 Amazon S3 버킷을 정리할 수 있는 권한도 부여합니다.

이 정책을 IAM 엔터티와 연결할 수 있습니다. Systems Manager는 또한 이 정책을 서비스 역할에 연결하여 Systems Manager가 사용자를 대신하여 작업을 수행하도록 허용합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `iam` - 위탁자가 Quick Setup Systems Manager Explorer 작업에 사용할 IAM 역할을 나열 및 관리하고, Quick Setup 및 Systems Manager Explorer와 함께 사용할 IAM 정책을 보고, 연결하고, 분리할 수 있도록 허용합니다. 이러한 권한은 Quick Setup에서 일부 구성 작업에 필요한 역할을 생성할 수 있도록 하는 데 필요합니다.
+ `s3` - 위탁자가 Quick Setup 구성 작업에 특별히 사용되는 위탁자 계정의 Amazon S3 버킷에서 객체에 대한 정보를 검색하고 객체를 삭제할 수 있도록 허용합니다. 이는 구성 후 더 이상 필요하지 않은 S3 객체를 제거할 수 있도록 하는 데 필요합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSQuickSetupSSMManageResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMManageResourcesExecutionPolicy.html)를 참조하세요.

## AWS 관리형 정책: AWSQuickSetupSSMLifecycleManagementExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy"></a>

`AWSQuickSetupSSMLifecycleManagementExecutionPolicy` 정책은 Quick Setup에서 Quick Setup 배포 중 Systems Manager의 수명 주기 이벤트에 대해 CloudFormation 사용자 지정 리소스를 실행할 수 있도록 허용하는 관리 권한을 부여합니다.

이 정책을 IAM 엔터티에 연결할 수 있습니다. Systems Manager는 또한 사용자를 대신하여 Systems Manager가 작업을 수행할 수 있는 서비스 역할에 이 정책을 연결합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `ssm` - 위탁자가 자동화 실행에 대한 정보를 가져오고 특정 Quick Setup 작업을 설정하기 위한 자동화 실행을 시작할 수 있도록 허용합니다.
+ `iam` - 위탁자가 특정 Quick Setup 리소스를 설정하기 위해 IAM에서 역할을 전달할 수 있도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSQuickSetupSSMLifecycleManagementExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMLifecycleManagementExecutionPolicy.html)를 참조하세요.

## AWS 관리형 정책: AWSQuickSetupSSMDeploymentRolePolicy
<a name="security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy"></a>

관리형 정책인 `AWSQuickSetupSSMDeploymentRolePolicy`는 Quick Setup에 Systems Manager 온보딩 프로세스 중에 사용되는 리소스를 생성할 수 있는 관리 권한을 부여합니다.

이 정책을 IAM 엔터티에 수동으로 연결할 수 있지만 이는 권장되지 않습니다. Quick Setup은 Systems Manager가 사용자를 대신하여 작업을 수행할 수 있도록 허용하는 서비스 역할에 이 정책을 연결하는 엔터티를 생성합니다.

이 정책은 `AWSServiceRoleForSSMQuickSetup` 서비스 연결 역할에 대한 권한을 제공하는 데 사용되는 [`SSMQuickSetupRolePolicy` 정책](using-service-linked-roles-service-action-5.md)과 관련이 없습니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `ssm` - 위탁자가 AWS CloudFormation 템플릿 및 특정 SSM 문서 세트를 사용하여 생성된 특정 리소스에 대한 연결을 관리하고, CloudFormation 템플릿을 통해 관리형 노드를 진단하고 문제를 해결하는 데 사용하는 역할 및 역할 정책을 관리하고, Quick Setup 수명 주기 이벤트에 대한 정책을 연결하고 삭제할 수 있도록 허용합니다.
+ `iam` - 위탁자가 역할의 태그를 지정하고 Systems Manager 서비스 및 Lambda 서비스에 대한 역할 권한을 전달하고, 진단 작업에 대한 역할 권한을 전달할 수 있도록 허용합니다.
+ `lambda` - 위탁자가 CloudFormation 템플릿을 사용하여 위탁자 계정의 Quick Setup 수명 주기에 대한 함수 태그를 지정하고 관리할 수 있도록 허용합니다.
+ `cloudformation` – 보안 주체가 CloudFormation에서 정보를 읽도록 허용합니다. 이것은 Quick Setup에서 리소스 상태 및 CloudFormation 스택셋 작업 관리에 사용되는 CloudFormation 스택에 대한 데이터를 수집할 수 있도록 하기 위해 필요합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSQuickSetupSSMDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentRolePolicy.html)를 참조하세요.

## AWS 관리형 정책: AWSQuickSetupSSMDeploymentS3BucketRolePolicy
<a name="security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy"></a>

이 `AWSQuickSetupSSMDeploymentS3BucketRolePolicy` 정책은 계정의 모든 S3 버킷을 나열하고 CloudFormation 템플릿을 통해 관리되는 위탁자 계정의 특정 버킷에 대한 정보를 관리하고 검색할 수 있는 권한을 부여합니다.

`AWSQuickSetupSSMDeploymentS3BucketRolePolicy`를 IAM 엔터티와 연계할 수 있습니다. Systems Manager는 또한 이 정책을 서비스 역할에 연결하여 Systems Manager가 사용자를 대신하여 작업을 수행하도록 허용합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `s3` - 위탁자가 계정의 모든 S3 버킷을 나열하고 CloudFormation 템플릿을 통해 관리되는 위탁자 계정의 특정 버킷에 대한 정보를 관리하고 검색할 수 있도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSQuickSetupSSMDeploymentS3BucketRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentS3BucketRolePolicy.html)를 참조하세요.

## AWS 관리형 정책: AWSQuickSetupEnableDHMCExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy"></a>

이 정책은 위탁자가 기본 호스트 관리 구성을 활성화하는 `AWSQuickSetupType-EnableDHMC` Automation 런북을 실행할 수 있도록 허용하는 관리 권한을 부여합니다. 기본 호스트 관리 구성 설정을 사용하면 Systems Manager가 Amazon EC2 인스턴스를 **관리형 인스턴스로 자동으로 관리할 수 있습니다. 관리형 인스턴스는 Systems Manager에 사용하도록 구성된 EC2 인스턴스입니다. 또한 이 정책은 Systems Manager 서비스 설정에서 SSM Agent에 대한 기본 역할로 지정된 IAM 역할을 생성할 수 있는 권한을 부여합니다.

`AWSQuickSetupEnableDHMCExecutionPolicy`를 IAM 엔터티와 연계할 수 있습니다. Systems Manager는 또한 이 정책을 서비스 역할에 연결하여 Systems Manager가 사용자를 대신하여 작업을 수행하도록 허용합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `ssm` - 위탁자가 Systems Manager 서비스 설정을 업데이트하고 정보를 가져올 수 있도록 허용합니다.
+ `iam` - 위탁자가 Quick Setup 작업을 위한 IAM 역할에 대한 정보를 생성하고 검색할 수 있도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html)를 참조하세요.

## AWS 관리형 정책: AWSQuickSetupEnableAREXExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy"></a>

이 정책은 `AWSQuickSetupType-EnableAREX` Automation 런북을 실행할 수 있도록 허용하는 관리 권한을 부여하며 이를 통해 AWS Resource Explorer를 Systems Manager와 함께 사용할 수 있습니다. Resource Explorer를 사용하면 인터넷 검색 엔진과 유사한 검색 환경을 통해 계정에 있는 리소스를 볼 수 있습니다. 또한 이 정책은 Resource Explorer 인덱스 및 보기를 관리할 수 있는 권한도 부여합니다.

`AWSQuickSetupEnableAREXExecutionPolicy`를 IAM 엔터티와 연계할 수 있습니다. Systems Manager는 또한 이 정책을 서비스 역할에 연결하여 Systems Manager가 사용자를 대신하여 작업을 수행하도록 허용합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `iam` - 위탁자가 AWS Identity and Access Management(IAM) 서비스에서 서비스 연결 역할을 생성할 수 있도록 허용합니다.
+ `resource-explorer-2` - 위탁자가 Resource Explorer 보기 및 인덱스에 대한 정보를 검색하고, Resource Explorer 보기 및 인덱스를 생성하고, Quick Setup에 표시된 인덱스에 대한 인덱스 유형을 변경할 수 있도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html)를 참조하세요.

## AWS 관리형 정책: AWSQuickSetupManagedInstanceProfileExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy"></a>

이 정책은 Systems Manager가 Quick Setup 도구에 대한 기본 IAM 인스턴스 프로파일을 생성하고 인스턴스 프로파일이 아직 연결되지 않은 Amazon EC2 인스턴스에 연결할 수 있도록 허용하는 관리 권한을 부여합니다. 또한 이 정책은 Systems Manager에 기존 인스턴스 프로파일에 권한을 연결할 수 있는 기능도 부여합니다. 이는 Systems Manager가 통신하는 데 필요한 권한을 보장하기 위해 수행됩니다. EC2 인스턴스의 SSM Agent가 있습니다.

`AWSQuickSetupManagedInstanceProfileExecutionPolicy`를 IAM 엔터티와 연계할 수 있습니다. Systems Manager는 또한 이 정책을 서비스 역할에 연결하여 Systems Manager가 사용자를 대신하여 작업을 수행하도록 허용합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `ssm` - 위탁자가 Quick Setup 프로세스와 연결된 자동화 워크플로를 시작할 수 있도록 허용합니다.
+ `ec2` - 위탁자가 Quick Setup에 의해 관리되는 EC2 인스턴스에 IAM 인스턴스 프로파일을 연결할 수 있도록 허용합니다.
+ `iam` - 위탁자가 Quick Setup 프로세스에서 사용되는 IAM의 역할에 대한 정보를 생성, 업데이트, 검색하고, IAM 인스턴스 프로파일을 생성하고, `AmazonSSMManagedInstanceCore` 관리형 정책을 IAM 인스턴스 프로파일에 연결할 수 있도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSQuickSetupManagedInstanceProfileExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManagedInstanceProfileExecutionPolicy.html)를 참조하세요.

## AWS 관리형 정책: AWSQuickSetupManageJITNAResourcesExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy"></a>

관리형 정책 `AWSQuickSetupManageJITNAResourcesExecutionPolicy`를 사용하면 Systems Manager의 도구인 Quick Setup에서 JIT(Just-in-Time) 노드 액세스를 설정할 수 있습니다.

`AWSQuickSetupManageJITNAResourcesExecutionPolicy`를 IAM 엔터티와 연계할 수 있습니다. Systems Manager는 또한 이 정책을 서비스 역할에 연결하여 Systems Manager가 사용자를 대신하여 작업을 수행하도록 허용합니다.

이 정책은 Systems Manager에서 JIT(Just-in-Time) 노드 액세스와 관련된 리소스를 생성하도록 허용하는 관리 권한을 부여합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `ssm` - 보안 주체가 JIT(Just-in-Time) 노드 액세스에 대한 자격 증명 공급자를 지정하는 서비스 설정을 가져오고 업데이트하도록 허용합니다.
+ `iam` - 보안 주체가 역할 생성, 태그 지정 및 가져오고, JIT(Just-in-Time) 노드 액세스 관리형 정책의 역할 정책을 연결하고, JIT(Just-in-Time) 노드 액세스 및 알림에 대한 서비스 연결 역할을 생성하도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSQuickSetupManageJITNAResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManageJITNAResourcesExecutionPolicy.html)를 참조하세요.

## AWS 관리형 정책: AWSQuickSetupJITNADeploymentRolePolicy
<a name="security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy"></a>

관리형 정책 `AWSQuickSetupJITNADeploymentRolePolicy`를 사용하면 Quick Setup에서 JIT(Just-in-Time) 노드 액세스 설정에 필요한 구성 유형을 배포할 수 있습니다.

`AWSQuickSetupJITNADeploymentRolePolicy`를 IAM 엔터티와 연계할 수 있습니다. Systems Manager는 또한 이 정책을 서비스 역할에 연결하여 Systems Manager가 사용자를 대신하여 작업을 수행하도록 허용합니다.

이 정책은 Systems Manager에서 JIT(Just-in-Time) 노드 액세스와 관련된 리소스를 생성하도록 허용하는 관리 권한을 부여합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `cloudformation` - 보안 주체의 CloudFormation 스택 생성, 업데이트, 삭제 및 읽기를 허용합니다.
+ `ssm` - 보안 주체의 CloudFormation에서 호출하는 State Manager 연결 생성, 삭제, 업데이트 및 읽기를 허용합니다.
+ `iam` - 보안 주체의 CloudFormation에서 호출하는 IAM 역할 생성, 삭제, 읽기 및 태그 지정을 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSQuickSetupJITNADeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupJITNADeploymentRolePolicy.html)를 참조하세요.

## AWS 관리형 정책: AWSSystemsManagerJustInTimeAccessServicePolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy"></a>

관리형 정책 `AWSSystemsManagerJustInTimeAccessServicePolicy`는 AWS Systems Manager JIT(just-in-time) 액세스 프레임워크에서 관리하거나 사용하는 AWS 리소스에 대한 액세스를 제공합니다. 이 정책 업데이트는 자동화 실행 태그 지정 권한을 추가하므로 고객이 운영자 권한을 특정 태그로 제한할 수 있게 됩니다.

`AWSSystemsManagerJustInTimeAccessServicePolicy`를 IAM 엔터티에 연결할 수 없습니다. 이 정책은 Systems Manager에서 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결됩니다. 자세한 내용은 [역할을 사용하여 JIT(Just-in-Time) 노드 액세스 활성화](using-service-linked-roles-service-action-8.md) 섹션을 참조하세요.

이 정책은 JIT(Just-in-Time) 노드 액세스와 관련된 리소스 액세스를 허용하는 관리 권한을 부여합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `ssm` - 보안 주체가 OpsItems를 생성 및 관리하고, OpsItems 및 자동화 실행에 태그를 추가하고, OpsItems를 가져오고 업데이트하고, 문서를 검색 및 설명하고, OpsItems 문서 및 세션을 설명하고, 관리형 인스턴스에 대한 문서 및 태그를 나열할 수 있도록 허용합니다.
+ `ssm-guiconnect` - 보안 주체의 연결 나열을 허용합니다.
+ `identitystore` - 보안 주체가 사용자 및 그룹 ID를 가져오고, 사용자를 설명하고, 그룹 멤버십을 나열하도록 허용합니다.
+ `sso-directory` - 보안 주체의 사용자 설명 및 사용자가 그룹의 멤버인지 여부의 확인을 허용합니다.
+ `sso` - 보안 주체의 등록된 리전 설명과 인스턴스 및 디렉터리 연결 나열을 허용합니다.
+ `cloudwatch` - 보안 주체의 `AWS/SSM/JustInTimeAccess` 네임스페이스에 대한 지표 데이터 입력을 허용합니다.
+ `ec2` – 보안 주체의 태그 설명을 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSSystemsManagerJustInTimeAccessServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessServicePolicy.html)를 참조하세요.

## AWS 관리형 정책: AWSSystemsManagerJustInTimeAccessTokenPolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy"></a>

관리형 정책 `AWSSystemsManagerJustInTimeAccessTokenPolicy`는 사용자가 Just-In-Time 노드 액세스 워크플로의 일부로 Session Manager 및 Systems Manager GUI Connect RDP 연결을 통해 Amazon EC2 인스턴스 및 관리형 인스턴스에 대한 보안 연결을 설정할 수 있는 권한을 제공합니다.

`AWSSystemsManagerJustInTimeAccessTokenPolicy`를 IAM 엔티티에 연결할 수 있습니다.

이 정책은 사용자가 보안 세션을 시작 및 관리하고, RDP 연결을 설정하고, Just-In-Time 노드 액세스에 필요한 암호화 작업을 수행하도록 허용하는 권한을 참여자에게 부여합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `ssm` - 보안 주체가 SSM-SessionManagerRunShell 문서를 사용하여 Amazon EC2 인스턴스 및 관리형 인스턴스에서 Session Manager 세션을 시작하도록 허용합니다. 또한 세션 종료 및 재개, 명령 간접 호출 세부 정보 검색, Systems Manager GUI Connect를 통해 직접적으로 호출 시 SSO 사용자 설정을 위해 인스턴스에 명령 전송을 허용합니다. 또한 Systems Manager GUI Connect를 통해 직접적으로 호출 시 RDP 연결을 위한 포트 전달 세션 시작을 허용합니다.
+ `ssmmessages` - 보안 주체가 Session Manager 세션 중에 보안 통신을 위해 데이터 채널을 열 수 있도록 허용합니다.
+ `ssm-guiconnect` - 보안 주체가 인스턴스에 Systems Manager GUI Connect RDP 연결을 시작하고, 세부 정보를 가져오고, 취소하도록 허용합니다.
+ `kms` - 보안 주체가 Session Manager 암호화를 위한 데이터 키를 생성하고 RDP 연결을 위한 권한 부여를 생성할 수 있도록 허용합니다. 이러한 권한은 `SystemsManagerJustInTimeNodeAccessManaged=true` 태그가 지정된 AWS KMS 키로 제한됩니다. 권한 부여 생성은 Systems Manager GUI Connect 서비스를 통해서만 사용하도록 추가로 제한됩니다.
+ `sso` - 보안 주체가 Systems Manager GUI Connect를 통해 직접적으로 호출 시 디렉터리 연결을 나열하도록 허용합니다. 이는 RDP SSO 사용자 설정에 필수입니다.
+ `identitystore` - 보안 주체가 Systems Manager GUI Connect를 통해 직접적으로 호출 시 자격 증명 스토어의 사용자를 설명하도록 허용합니다. 이는 RDP SSO 사용자 설정에 필수입니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSSystemsManagerJustInTimeAccessTokenPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenPolicy.html)를 참조하세요.

## AWS 관리형 정책: AWSSystemsManagerJustInTimeAccessTokenSessionPolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy"></a>

관리형 정책 `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy`를 사용하면 Systems Manager에서 범위가 축소된 권한을 JIT(Just-in-Time) 노드 액세스 토큰에 적용할 수 있습니다.

`AWSSystemsManagerJustInTimeAccessTokenSessionPolicy`를 IAM 엔티티에 연결할 수 있습니다.

이 정책은 Systems Manager에서 JIT(Just-in-Time) 노드 액세스 토큰에 대한 권한을 축소할 수 있는 관리 권한을 부여합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `ssm` - 보안 주체의 `SSM-SessionManagerRunShell` 문서를 사용한 Session Manager 세션 시작을 허용합니다. 또한 `ssm-guiconnect`를 통해 처음 호출되면 `AWS-StartPortForwardingSession` 문서를 사용하여 세션을 시작하고, 명령 호출을 나열하고, `AWSSSO-CreateSSOUser` 문서를 사용하여 명령을 전송합니다.
+ `ssm-guiconnect` - 보안 주체의 모든 리소스에 대한 연결 취소, 가져오기 및 시작을 허용합니다.
+ `kms` - AWS 서비스를 사용하여 `ssm-guiconnect`를 통해 호출될 때 보안 주체의 `SystemsManagerJustInTimeNodeAccessManaged`로 태그가 지정된 키에 대한 권한 부여 생성 및 데이터 키 생성을 허용합니다.
+ `sso` - `ssm-guiconnect`를 통해 호출될 때 보안 주체의 디렉터리 연결 나열을 허용합니다.
+ `identitystore` – `ssm-guiconnect`를 통해 호출될 때 보안 주체의 사용자 설명을 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenSessionPolicy.html)를 참조하세요.

## AWS 관리형 정책: AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy"></a>

관리형 정책을 `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy`를 사용하면 Systems Manager가 위임된 관리자 계정의 액세스 거부 정책을 멤버 계정과 공유하고, 여러 AWS 리전에 정책을 복제할 수 있습니다.

`AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy`를 IAM 엔티티에 연결할 수 있습니다.

이 정책은 Systems Manager가 액세스 거부 정책을 공유 및 생성하는 데 필요한 관리 권한을 제공합니다. 이렇게 하면 JIT(Just-in-Time) 노드 액세스에 대해 구성된 AWS Organizations 조직 및 리전의 모든 계정에 액세스 거부 정책이 적용됩니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `ssm` - 보안 주체의 SSM 문서 및 리소스 정책 관리를 허용합니다.
+ `ssm-quicksetup` - 보안 주체의 Quick Setup 구성 관리자 읽기를 허용합니다.
+ `organizations` - 보안 주체의 AWS Organizations 조직 및 위임된 관리자에 대한 세부 정보 나열을 허용합니다.
+ `ram` - 보안 주체의 리소스 공유 생성, 태그 지정 및 설명을 허용합니다.
+ `iam` – 보안 주체의 서비스 역할 설명을 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy.html)를 참조하세요.

## AWS 관리형 정책: AWSSystemsManagerNotificationsServicePolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy"></a>

관리형 정책 `AWSSystemsManagerNotificationsServicePolicy`를 사용하면 Systems Manager가 액세스 요청 승인자에게 JIT(Just-in-Time) 노드 액세스 요청에 대한 이메일 알림을 보낼 수 있습니다.

`AWSSystemsManagerJustInTimeAccessServicePolicy`를 IAM 엔터티에 연결할 수 없습니다. 이 정책은 Systems Manager에서 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결됩니다. 자세한 내용은 [역할을 사용하여 JIT(Just-in-Time) 노드 액세스 요청 알림 전송](using-service-linked-roles-service-action-9.md) 섹션을 참조하세요.

이 정책은 Systems Manager에서 액세스 요청 승인자에게 JIT(Just-in-Time) 노드 액세스 요청에 대한 이메일 알림을 보낼 수 있는 관리 권한을 부여합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `identitystore` - 보안 주체의 사용자 및 그룹 멤버십 나열과 설명을 허용합니다.
+ `sso` - 보안 주체의 인스턴스, 디렉터리 나열과 등록된 리전 설명을 허용합니다.
+ `sso-directory` - 보안 주체의 사용자 설명 및 그룹 멤버 나열을 허용합니다.
+ `iam` - 보안 주체의 역할 관련 정보 가져오기를 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWSSystemsManagerNotificationsServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerNotificationsServicePolicy.html)를 참조하세요.

## AWS 관리형 정책: AWS-SSM-Automation-DiagnosisBucketPolicy
<a name="security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy"></a>

관리형 정책인 `AWS-SSM-Automation-DiagnosisBucketPolicy`는 문제의 진단 및 해결에 사용되는 S3 버킷에 대한 액세스를 허용하여 AWS Systems Manager 서비스와 상호 작용하는 노드의 문제를 진단할 수 있는 권한을 제공합니다.

`AWS-SSM-Automation-DiagnosisBucketPolicy` 정책을 IAM ID에 연결할 수 있습니다. 또한 Systems Manager는 이 정책을 IAM 역할에 연결하여 Systems Manager가 사용자를 대신하여 진단 작업을 수행할 수 있도록 허용합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `s3` - 위탁자가 Amazon S3 버킷에 대한 객체에 액세스하고 쓸 수 있도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-Automation-DiagnosisBucketPolicy.html)를 참조하세요.

## AWS 관리형 정책: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy"></a>

관리형 정책인 `AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy`는 조직별 권한을 제공하여 운영 계정에 노드 문제를 진단할 수 있는 권한을 제공합니다.

`AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy`를 IAM 자격 증명에 연결할 수 있습니다. 또한 Systems Manager는 이 정책을 IAM 역할에 연결하여 Systems Manager가 사용자를 대신하여 진단 작업을 수행할 수 있도록 허용합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `organizations` - 위탁자가 조직의 루트를 나열하고 멤버 계정을 가져와서 대상 계정을 결정할 수 있도록 허용합니다.
+ `sts` - 위탁자가 문제 해결 실행 역할을 수임하여 동일한 조직 내의 계정 및 리전 전반에 걸쳐 SSM Automation 문서를 실행할 수 있도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy.html)를 참조하세요.

## AWS 관리형 정책: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy"></a>

관리형 정책인 `AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy`는 조직별 권한을 제공하여 운영 계정에 노드 문제를 진단할 수 있는 권한을 제공합니다.

`AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` 정책을 IAM ID에 연결할 수 있습니다. 또한 Systems Manager는 이 정책을 IAM 역할에 연결하여 Systems Manager가 사용자를 대신하여 진단 작업을 수행할 수 있도록 허용합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `organizations` - 위탁자가 조직의 루트를 나열하고 멤버 계정을 가져와서 대상 계정을 결정할 수 있도록 허용합니다.
+ `sts` - 위탁자가 진단 실행 역할을 수임하여 동일한 조직 내의 계정 및 리전 전반에 걸쳐 SSM Automation 문서를 실행할 수 있도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 *AWS 관리형 정책 참조 안내서*의 [AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy.html)를 참조하세요.





## AWS 관리형 정책으로 Systems Manager 업데이트
<a name="security-iam-awsmanpol-updates"></a>



다음 테이블에는 2021년 3월 12일 해당 서비스가 변경 사항을 추적하기 시작한 이후 Systems Manager의 AWS 관리형 정책 업데이트에 대한 세부 정보가 나와 있습니다. Systems Manager 서비스의 다른 관리형 정책에 대한 자세한 내용은 이 항목의 [Systems Manager에 대한 추가 관리형 정책](#policies-list) 뒷부분을 참조하세요. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 Systems Manager [문서 이력](systems-manager-release-history.md) 페이지에서 RSS 피드를 구독하세요.




| 변경 | 설명 | 날짜 | 
| --- | --- | --- | 
|  [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole) - 기존 정책 업데이트  |  Systems Manager에 `cloudformation:TagResource` 및 `cloudformation:UntagResource` 권한을 추가했습니다. 이러한 권한을 통해 CloudFormation 스택을 생성하는 Automation 런북이 리소스에서 태그를 추가하고 제거할 수 있습니다.  | 2026년 3월 20일 | 
|  [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) – 업데이트된 관리형 정책  |  Systems Manager는 향상된 진단 기능을 위한 별도의 EC2 및 SSM 권한을 추가하도록 관리형 정책을 업데이트했습니다. 이제 정책에는 EC2 인스턴스 상태 및 네트워크 ACL을 설명하고 SSM 활성화 및 서비스 설정을 설명할 수 있는 권한이 포함되며, 관리형 노드 문제를 해결하기 위한 보다 포괄적인 진단 정보를 제공합니다.  | 2025년 12월 19일 | 
|  [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy) – 업데이트된 관리형 정책  |  Systems Manager는 `AWSQuickSetupType-ConfigureDevOpsGuru` 및 `AWSQuickSetupType-DeployConformancePack`이라는 두 가지 추가 SSM 문서에 대한 지원을 추가하기 위해 관리형 정책 `AWSQuickSetupDeploymentRolePolicy`를 업데이트했습니다. 이러한 추가를 통해 Quick Setup은 정책을 통해 DevOps Guru 구성 및 규정 준수 팩을 배포할 수 있습니다.  | 2025년 12월 15일 | 
|  [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) – 기존 정책 업데이트  |  Systems Manager가 관리형 정책 `AWSSystemsManagerJustInTimeAccessTokenPolicy`를 업데이트했습니다. 문(`SID`) `TerminateAndResumeSession`의 이름이 `TerminateAndResumeSessionAndOpenDataChannel`로 변경되었으며 이제 세션 관리 및 데이터 채널 권한을 단일 문으로 결합하는 `ssmmessages:OpenDataChannel` 작업이 포함됩니다.  | 2025년 9월 25일 | 
| 업데이트된 관리형 정책: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/systems-manager/latest/userguide/security-iam-awsmanpol.html) | Systems Manager는 특정 Automation 런북 및 SSM 명령 문서를 포함한 추가 Systems Manager 리소스에서 Automation 실행 시작에 대한 지원을 추가하기 위해 세 가지 관리형 정책을 업데이트했습니다. | 2025년 9월 12일 | 
|  [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy) – 관리형 정책 업데이트  |  Systems Manager는 Quick Setup 스케줄러 구성을 위한 권한을 구체화하기 위해 관리형 정책을 업데이트했습니다. 이제 이 정책은 Amazon EC2 인스턴스를 시작 및 중지하고, 변경 일정에 액세스하고, 보안 조건이 향상된 자동화 문서를 실행할 수 있는 보다 구체적인 권한을 제공합니다.  | 2025년 9월 12일 | 
|  [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy) – 관리형 정책 업데이트  |  Systems Manager는 자동화 문서를 `AWSQuickSetupType-StartSSMAssociations`에서 `AWSQuickSetupType-Scheduler-ChangeCalendarState`로 변경하도록 관리형 정책을 업데이트했습니다. 이 업데이트는 정책의 목적을 SSM 연결 시작에서 예약된 작업의 변경 일정 상태 관리로 변경합니다.  | 2025년 9월 12일 | 
|  [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole) - 기존 정책 업데이트  |  Systems Manager는 Automation 런북이 세션 기반 작업을 위한 통신 채널을 설정할 수 있도록 새로운 권한을 추가했습니다. 리소스 `arn:*:ssm:*:*:session/*`을 위한 `ssmmessages:OpenDataChannel` 권한을 추가했습니다.  | 2025년 9월 11일 | 
|  [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy) – 관리형 정책 업데이트  |  Systems Manager에서 관리형 정책을 업데이트하여 자동화 실행 태그 지정 권한을 추가했습니다. 고객이 운영자 권한을 특정 태그로 제한할 수 있도록 서비스에서 자동화 실행에 `SystemsManagerJustInTimeNodeAccessManaged=true` 태그를 지정해야 합니다.  | 2025년 8월 25일 | 
|  [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy) – 새 정책  |  Systems Manager는 Quick Setup이 `AWSQuickSetupType-StartSSMAssociations` 자동화 런북을 실행하도록 허용하는 새 정책을 추가했습니다. 이 런북은 Quick Setup 구성에 의해 생성된 State Manager 연결을 시작하는 데 사용됩니다.  | 2025년 8월 12일 | 
|  [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy) – 새 정책  |  Systems Manager는 Quick Setup이 일정에 따라 Amazon EC2 인스턴스를 시작하고 중지할 수 있도록 허용하는 새 정책을 추가했습니다. 이 정책은 Quick Setup 스케줄러 구성 유형이 정의된 일정에 따라 인스턴스 상태를 관리하는 데 필요한 권한을 제공합니다.  | 2025년 8월 12일 | 
|  [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy) – 설명서 업데이트  |  Systems Manager는 추가 리소스에 대한 권한을 부여하도록 `AWSQuickSetupDeploymentRolePolicy` 관리형 정책을 업데이트했습니다. 또한 `AWSQuickSetupDeploymentRolePolicy`에 대한 설명서가 Quick Setup 구성 관리 작업에 대해 이 정책에서 부여한 권한에 대한 자세한 설명을 포함하여 업데이트되었습니다.  | 2025년 8월 12일 | 
|  [AWS-SSM-RemediationAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy) – 기존 정책 업데이트  |  Systems Manager는 ‘문서’ 및 ‘자동 실행’ 리소스 유형 모두에 대한 권한을 요구하여 ssm:StartAutomationExecution API의 보안 태세를 개선하도록 이 관리형 정책을 업데이트했습니다. 업데이트된 정책은 네트워킹 문제 해결 기능에 대한 향상된 설명, 보다 구체적인 Amazon VPC 엔드포인트 생성 권한, 세부적인 보안 그룹 관리 권한, 문제 해결 작업에 대한 향상된 리소스 태그 지정 제어 등 문제 해결 자동화 실행에 대한 보다 포괄적이고 상세한 권한을 제공합니다.  | 2025년 7월 16일 | 
|  [AWS-SSM-RemediationAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy) – 기존 정책 업데이트  |  Systems Manager는 문제 해결 자동화 작업에 대한 API 권한 부여 개선을 지원하도록 이 관리형 정책을 업데이트했습니다. 업데이트된 정책은 문제 해결 워크플로에 대한 보안 제어 및 리소스 액세스 패턴을 개선하여 Automation 문서에 정의된 활동을 실행할 수 있는 권한을 개선합니다.  | 2025년 7월 16일 | 
|  [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) – 기존 정책 업데이트  |  Systems Manager는 진단 자동화 실행에 대한 보다 세부적이고 정확한 권한을 제공하도록 이 관리형 정책을 업데이트했습니다. 업데이트된 정책에는 Amazon EC2 및 Amazon VPC 리소스 액세스에 대한 향상된 설명, 보다 구체적인 SSM 자동화 권한, 적절한 리소스 제한으로 향상된 AWS KMS 및 IAM 권한 설명이 포함되어 있습니다.  | 2025년 7월 16일 | 
|  [AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy) – 기존 정책 업데이트  |  Systems Manager는 진단 자동화 작업에 대한 보다 구체적인 권한 및 보안 조건을 제공하도록 이 관리형 정책을 업데이트했습니다. 업데이트된 정책은 더 엄격한 리소스 기반 조건 및 계정 수준 제한과 함께 AWS KMS 키 사용, Amazon S3 버킷 액세스 및 역할 수임에 대한 향상된 보안 제어를 제공합니다.  | 2025년 7월 16일 | 
|  [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy) – 정책 업데이트  |  Systems Manager는 Amazon 소유 런북 [AWSQuickSetupType-ManageInstanceProfile](https://console.aws.amazon.com/systems-manager/documents/AWSQuickSetupType-ManageInstanceProfile/content)에 액세스하기 위한 관리형 정책 `AWSQuickSetupDeploymentRolePolicy`에 권한을 추가했습니다. 이 권한을 사용하면 Quick Setup이 인라인 정책 대신 관리형 정책을 사용하여 연결을 생성할 수 있습니다.  | 2025년 7월 14일 | 
|  [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole) – 설명서 업데이트  |  Systems Manager는 Systems Manager Automation 서비스가 Automation 런북에 정의된 활동을 실행할 수 있는 권한을 제공하는 기존 `AmazonSSMAutomationRole` 정책에 대한 포괄적인 설명서를 추가했습니다.  | 2025년 7월 15일 | 
|  [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) – 정책 업데이트  |  Systems Manager에서 Systems Manager에 JIT(Just-in-Time) 노드 액세스에 대해 AWS Resource Access Manager가 공유한 리소스에 태그를 지정할 수 있도록 허용하는 권한이 추가되었습니다.  | 2025년 4월 30일 | 
|  [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) – 정책 업데이트  |  Systems Manager에서 Systems Manager에 JIT(Just-in-Time) 노드 액세스에 대해 생성된 IAM 역할에 태그를 지정할 수 있도록 허용하는 권한이 추가되었습니다.  | 2025년 4월 30일 | 
|  [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy) – 새 정책  |  Systems Manager에서 Systems Manager에 범위가 축소된 권한을 JIT(Just-in-Time) 노드 액세스 토큰에 적용할 수 있도록 허용하는 새 정책이 추가되었습니다.  | 2025년 4월 30일 | 
|  [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy) – 새 정책  |  Systems Manager에서 Systems Manager에 액세스 요청 승인자에게 JIT(Just-in-Time) 노드 액세스 요청에 대한 이메일 알림을 보낼 수 있도록 허용하는 새 정책이 추가되었습니다.  | 2025년 4월 30일 | 
|  [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) - 새 정책  |  Systems Manager에서 Systems Manager가 승인 정책을 다른 리전에 복제할 수 있도록 허용하는 새 정책이 추가되었습니다.  | 2025년 4월 30일 | 
|  [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) – 새 정책  |  Systems Manager에서 Systems Manager에 JIT(Just-in-Time) 노드 액세스에 사용되는 액세스 토큰을 생성하도록 허용하는 새 정책이 추가되었습니다.  | 2025년 4월 30일 | 
|  [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy) – 새 정책  |  Systems Manager에서 Systems Manager JIT(Just-in-Time) 노드 액세스 기능에서 관리 또는 사용하는 AWS 리소스에 대한 권한을 제공하는 새 정책이 추가되었습니다.  | 2025년 4월 30일 | 
|  [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) – 새 정책  |  Systems Manager에서 Systems Manager의 도구인 Quick Setup에 JIT(Just-in-Time) 노드 액세스에 필요한 IAM 역할을 생성할 수 있도록 허용하는 새 정책이 추가되었습니다.  | 2025년 4월 30일 | 
|  [AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy) – 새 정책  |  Systems Manager에서 Quick Setup에 JIT(Just-in-Time) 노드 액세스를 설정하는 데 필요한 구성 유형을 배포할 수 있도록 허용하는 권한을 제공하는 새 정책이 추가되었습니다.  | 2025년 4월 30일 | 
|  [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) – 정책 업데이트  |  Systems Manager에서 Systems Manager에 JIT(Just-in-Time) 노드 액세스에 대해 AWS Resource Access Manager가 공유한 리소스에 태그를 지정할 수 있도록 허용하는 권한이 추가되었습니다.  | 2025년 4월 30일 | 
|  [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) – 정책 업데이트  |  Systems Manager에서 Systems Manager에 JIT(Just-in-Time) 노드 액세스에 대해 생성된 IAM 역할에 태그를 지정할 수 있도록 허용하는 권한이 추가되었습니다.  | 2025년 4월 30일 | 
|  [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy) – 새 정책  |  Systems Manager에서 Systems Manager에 범위가 축소된 권한을 JIT(Just-in-Time) 노드 액세스 토큰에 적용할 수 있도록 허용하는 새 정책이 추가되었습니다.  | 2025년 4월 30일 | 
|  [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy) – 새 정책  |  Systems Manager에서 Systems Manager에 액세스 요청 승인자에게 JIT(Just-in-Time) 노드 액세스 요청에 대한 이메일 알림을 보낼 수 있도록 허용하는 새 정책이 추가되었습니다.  | 2025년 4월 30일 | 
|  [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) - 새 정책  |  Systems Manager에서 Systems Manager가 승인 정책을 다른 리전에 복제할 수 있도록 허용하는 새 정책이 추가되었습니다.  | 2025년 4월 30일 | 
|  [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) – 새 정책  |  Systems Manager에서 Systems Manager에 JIT(Just-in-Time) 노드 액세스에 사용되는 액세스 토큰을 생성하도록 허용하는 새 정책이 추가되었습니다.  | 2025년 4월 30일 | 
|  [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy) – 새 정책  |  Systems Manager에서 Systems Manager JIT(Just-in-Time) 노드 액세스 기능에서 관리 또는 사용하는 AWS 리소스에 대한 권한을 제공하는 새 정책이 추가되었습니다.  | 2025년 4월 30일 | 
|  [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) – 새 정책  |  Systems Manager에서 Systems Manager의 도구인 Quick Setup에 JIT(Just-in-Time) 노드 액세스에 필요한 IAM 역할을 생성할 수 있도록 허용하는 새 정책이 추가되었습니다.  | 2025년 4월 30일 | 
|  [AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy) – 새 정책  |  Systems Manager에서 Quick Setup에 JIT(Just-in-Time) 노드 액세스를 설정하는 데 필요한 구성 유형을 배포할 수 있도록 허용하는 권한을 제공하는 새 정책이 추가되었습니다.  | 2025년 4월 30일 | 
|  [`AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy) - 새 정책  |  Systems Manager는 조직별 권한을 제공하여 노드 문제를 진단할 수 있는 운영 계정에 대한 권한을 제공하는 새 정책을 추가했습니다.  | 2024년 11월 21일 | 
|  [`AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy) - 새 정책  |  Systems Manager는 조직별 권한을 제공하여 노드 문제를 진단할 수 있는 운영 계정에 대한 권한을 제공하는 새 정책을 추가했습니다.  | 2024년 11월 21일 | 
|  [`AWS-SSM-Automation-DiagnosisBucketPolicy`](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy) - 새 정책  |  Systems Manager는 대상 계정 및 리전의 관리형 노드 문제를 진단하는 Automation 워크플로 시작을 지원하는 새 정책을 추가했습니다.  | 2024년 11월 21일 | 
|  [`AmazonSSMServiceRolePolicy`](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy) - 기존 정책 업데이트  |  Systems Manager는 AWS Resource Explorer에서 Amazon EC2 인스턴스에 대한 세부 정보를 수집하고 새 Systems Manager 대시보드의 위젯에 결과를 표시할 수 있도록 허용하는 새 권한을 추가했습니다.  | 2024년 11월 21일 | 
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) - 기존 정책 업데이트 | Systems Manager는 관리형 정책인 SSMQuickSetupRolePolicy를 업데이트했습니다. 이 업데이트를 통해 연결된 서비스 연결 역할(AWSServiceRoleForSSMQuickSetup)이 리소스 데이터 동기화를 관리할 수 있습니다. | 2024년 11월 21일 | 
| [`AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy `](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy) - 새 정책 | Systems Manager는 대상 계정 및 리전의 관리형 노드 문제를 진단하는 Automation 워크플로 시작을 지원하는 새 정책을 추가했습니다. | 2024년 11월 21일 | 
| [`AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) - 새 정책 | Systems Manager는 대상 계정 및 리전의 관리형 노드 문제를 진단하는 Automation 워크플로 시작을 지원하는 새 정책을 추가했습니다. | 2024년 11월 21일 | 
| [`AWS-SSM-RemediationAutomation-AdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy) - 새 정책 | Systems Manager는 대상 계정 및 리전의 관리형 노드 문제를 해결하는 Automation 워크플로 시작을 지원하는 새 정책을 추가했습니다. | 2024년 11월 21일 | 
| [`AWS-SSM-RemediationAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy) - 새 정책 | Systems Manager는 대상 계정 및 리전의 관리형 노드 문제를 해결하는 Automation 워크플로 시작을 지원하는 새 정책을 추가했습니다. | 2024년 11월 21일 | 
|  [AWSQuickSetupSSMDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy) – 정책 업데이트  |  Systems Manager에서 Systems Manager가 통합 콘솔용으로 생성된 IAM 역할 및 Lambda에 태그를 지정할 수 있는 권한이 추가되었습니다.  | 2025년 5월 7일 | 
| [`AWSQuickSetupSSMManageResourcesExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy) - 새 정책 | Systems Manager는 Quick Setup 연결에 대한 IAM 역할을 생성하는 Quick Setup에서 작업 실행을 지원하는 새 정책을 추가했으며 이는 AWSQuickSetupType-SSM 배포에 의해 생성됩니다. | 2024년 11월 21일 | 
| [`AWSQuickSetupSSMLifecycleManagementExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy) - 새 정책 | Systems Manager는 Quick Setup 배포 중에 수명 주기 이벤트에서 Quick Setup이 CloudFormation 사용자 지정 리소스를 실행하도록 지원하는 새 정책을 추가했습니다. | 2024년 11월 21일 | 
| [`AWSQuickSetupSSMDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy) - 새 정책 | Systems Manager 온보딩 프로세스 중에 Quick Setup이 사용 중인 리소스를 생성할 수 있도록 허용하는 관리 권한 부여를 지원하는 새 정책을 추가했습니다. | 2024년 11월 21일 | 
| [`AWSQuickSetupSSMDeploymentS3BucketRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy) - 새 정책 | Systems Manager는 CloudFormation 템플릿을 통해 관리되는 위탁자 계정의 특정 버킷에 대한 정보를 관리하고 검색할 수 있도록 지원하는 새로운 정책을 추가했습니다. | 2024년 11월 21일 | 
| [`AWSQuickSetupEnableDHMCExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy) - 새 정책 | Systems Manager는 Quick Setup에서 기존 [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy)를 사용하는 IAM 역할을 생성할 수 있도록 허용하는 새 정책을 도입합니다. 이 정책에는 SSM Agent가 Systems Manager 서비스와 통신하는 데 필요한 모든 권한이 포함되어 있습니다. 또한 새 정책은 Systems Manager 서비스 설정을 수정할 수 있도록 허용합니다. | 2024년 11월 21일 | 
| [`AWSQuickSetupEnableAREXExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy) - 새 정책 | Systems Manager는 Quick Setup에서 AWS Resource Explorer에 대한 서비스 연결 역할을 생성하여 Resource Explorer 보기 및 애그리게이터 인덱스에 액세스할 수 있도록 허용하는 새 정책을 추가했습니다. | 2024년 11월 21일 | 
| [`AWSQuickSetupManagedInstanceProfileExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy) - 새 정책 |  Systems Manager는 Quick Setup에서 기본 Quick Setup 인스턴스 프로파일을 생성하고 연결된 인스턴스 프로파일이 없는 Amazon EC2 인스턴스에 연결할 수 있도록 허용하는 새 정책을 추가했습니다. 또한 이 새로운 정책은 Quick Setup에서 기존 프로파일에 권한을 연결하여 필요한 모든 Systems Manager 권한이 부여되었는지 확인할 수 있도록 허용합니다.  | 2024년 11월 21일 | 
|  [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) - 기존 정책 업데이트  |  Systems Manager는 Quick Setup이 생성한 추가 AWS CloudFormation 스택 세트의 상태를 확인할 수 있도록 새로운 권한을 추가했습니다.  | 2024년 8월 13일 | 
| [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) - 기존 정책 업데이트 | Systems Manager는 AmazonSSMManagedEC2InstanceDefaultPolicy에 대한 JSON 정책에 명령문 ID(Sid)를 추가했습니다. 이 Sid는 각 정책 문의 용도에 대한 인라인 설명을 제공합니다. | 2024년 7월 18일 | 
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) - 새 정책 | Systems Manager에 Quick Setup가 배포된 리소스의 상태를 확인하고 원래 구성에서 벗어난 인스턴스를 수정하도록 허용하는 새 정책이 추가되었습니다. | 2024년 7월 3일 | 
| [`AWSQuickSetupDeploymentRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) - 새 정책 | Systems Manager에 IAM 역할과 자동화를 생성하는 여러 빠른 설정 구성 유형을 지원하는 새 정책이 추가되었습니다. 이러한 역할과 자동화는 자주 사용하는 Amazon Web Services 서비스 및 기능을 권장 모범 사례에 따라 구성합니다. | 2024년 7월 3일 | 
|  [`AWSQuickSetupPatchPolicyDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy)  - 새 정책  |  Systems Manager에 Quick Setup가 Patch Manager 패치 정책 Quick Setup 구성과 관련된 리소스를 생성하도록 허용하는 새 정책이 추가되었습니다.  | 2024년 7월 3일 | 
|  [AWSQuickSetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess) – 새 정책  |  Systems Manager에 Quick Setup가 Patch Manager에서 읽기 전용 권한으로 패치 기준에 액세스하도록 허용하는 새 정책이 추가되었습니다.  | 2024년 7월 3일 | 
| [AWSSystemsManagerEnableExplorerExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy) – 새 정책 | Systems Manager에 Quick Setup가 Explorer 활성화에 대한 관리자 권한을 부여하도록 허용하는 새 정책이 추가되었습니다. | 2024년 7월 3일 | 
| [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy) – 새 정책 | Systems Manager에 Quick Setup가 AWS Config 구성 기록을 활성화하고 구성하도록 허용하는 새 정책이 추가되었습니다. | 2024년 7월 3일 | 
|  [AWSQuickSetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary) – 새 정책  |  Systems Manager에 Quick Setup가 Amazon DevOps Guru를 활성화하고 구성하도록 허용하는 새 정책이 추가되었습니다.  | 2024년 7월 3일 | 
|  [AWSQuickSetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary) – 새 정책  |  Systems Manager에 Quick Setup가 AWS Systems Manager의 도구인 Distributor를 활성화 및 구성하도록 허용하는 새 정책이 추가되었습니다.  | 2024년 7월 3일 | 
|  [AWSQuickSetupSSMHostMgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary) – 새 정책  |  Systems Manager에 Quick Setup가 Amazon EC2 인스턴스를 안전하게 관리하기 위해 Systems Manager 도구를 활성화 및 구성하도록 허용하는 새 정책이 추가되었습니다.  | 2024년 7월 3일 | 
|  [AWSQuickSetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary) – 새 정책  |  Systems Manager에 Quick Setup가 AWS Systems Manager의 도구인 Patch Manager의 패치 정책을 활성화하고 구성하도록 허용하는 새 정책이 추가되었습니다.  | 2024년 7월 3일 | 
|  [AWSQuickSetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary) – 새 정책  |  Systems Manager에 Quick Setup가 Amazon EC2 인스턴스 및 기타 리소스에서 예약된 작업을 활성화하고 구성하도록 허용하는 새 정책이 추가되었습니다.  | 2024년 7월 3일 | 
|  [AWSQuickSetupCFGCPacksPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary) – 새 정책  |  Systems Manager에 Quick Setup가 AWS Config 적합성 팩을 배포하도록 허용하는 새 정책이 추가되었습니다.  | 2024년7월 3일 | 
|  [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy) - 기존 정책 업데이트  | OpsCenter에서는 정책을 업데이트하여 OpsData 관련 작업을 관리하는 Explorer에 대한 서비스 연결 역할 내 서비스 코드의 보안을 개선했습니다. | 2023년 7월 3일 | 
|  [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) - 새 정책  |  Systems Manager가 IAM 인스턴스 프로파일을 사용하지 않고 Amazon EC2 인스턴스에서 Systems Manager 기능을 허용하는 새로운 정책을 추가했습니다.  | 2022년 8월 18일 | 
|  [AmazonSSMServiceRolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy) – 기존 정책에 대한 업데이트  |  Systems Manager에 Explorer가 Explorer 또는 OpsCenter에서 Security Hub CSPM을 설정할 때 관리형 규칙을 생성하도록 허용하는 새로운 권한이 추가되었습니다. 구성 및 Compute Optimizer가 OpsData를 허용하기 전에 필요한 요구 사항을 충족하는지 확인하기 위해 새로운 권한이 추가되었습니다.  | 2021년 4월 27일 | 
|  [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy) - 새 정책  |  Systems Manager에 Explorer 및 OpsCenter의 Security Hub CSPM 조사 결과에서 OpsItems 및 OpsData를 생성하고 업데이트하는 새로운 정책이 추가되었습니다.  | 2021년 4월 27일 | 
|  `AmazonSSMServiceRolePolicy` - 기존 정책 업데이트  |  Systems Manager에 Explorer의 여러 계정 및 AWS 리전에서 집계 OpsData 및 OpsItems 세부 정보를 보도록 허용하는 새로운 권한이 추가되었습니다.  | 2021년 3월 24일 | 
|  Systems Manager에서 변경 사항 추적 시작  |  Systems Manager가 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다.  | 2021년 3월 12일 | 

## Systems Manager에 대한 추가 관리형 정책
<a name="policies-list"></a>

이 주제의 앞부분에서 설명한 관리형 정책 외에도 Systems Manager에서는 다음과 같은 정책도 지원합니다.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html) - 자동화 실행을 보고, 승인 대기 중인 자동화로 승인 결정을 전송하는 액세스 권한을 허용하는 AWS 관리형 정책.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html)-SSM Agent가 관리형 노드의 도메인 조인 요청에 대해 사용자 대신 Directory Service에 액세스하도록 허용하는 AWS 관리형 정책.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html)-Systems Manager API 및 문서에 대한 전체 액세스 권한을 부여하는 AWS 관리형 정책.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html)-유지 관리 기간에 Systems Manager API에 대한 권한을 제공하는 AWS 관리형 정책.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html) – 노드가 Systems Manager 서비스 코어 기능을 사용하도록 허용하는 AWS 관리형 정책.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html)-패치 연결 작업을 위해 하위 인스턴스에 대한 액세스를 제공하는 AWS 관리형 정책.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html)-Systems Manager 읽기 전용 API 작업(예: `Get*`, `List*`)에 대한 액세스 권한을 부여하는 AWS 관리형 정책.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html) - Systems Manager에서 운영 인사이트 *OpsItems*를 생성하고 업데이트할 수 있는 권한을 제공하는 AWS 관리형 정책. 서비스 연결 역할 [`AWSServiceRoleForAmazonSSM_OpsInsights`](using-service-linked-roles-service-action-4.md)을 통해 권한을 제공하는 데 사용됩니다.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html)-Systems Manager에 AWS 계정 정보를 검색할 수 있는 권한을 부여하는 AWS 관리형 정책.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html)-이 정책은 더 이상 지원되지 않으므로 사용해서는 안 됩니다. 대신 EC2 인스턴스에서 `AmazonSSMManagedInstanceCore` 정책을 사용하여 Systems Manager 서비스 핵심 기능을 허용합니다. 자세한 내용은 [Systems Manager에 필요한 인스턴스 권한 구성](setup-instance-permissions.md)을 참조하세요.

# AWS Systems Manager ID 및 액세스 문제 해결
<a name="security_iam_troubleshoot"></a>

다음 정보를 사용하여 AWS Systems Manager 및 AWS Identity and Access Management (IAM)로 작업할 때 발생할 수 있는 일반적인 문제를 진단하고 수정할 수 있습니다.

**Topics**
+ [Systems Manager에서 작업을 수행할 권한이 없음](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole을 수행하도록 인증되지 않음](#security_iam_troubleshoot-passrole)
+ [내 AWS 계정 외부의 사람이 내 Systems Manager 리소스에 액세스할 수 있게 허용하기를 원합니다.](#security_iam_troubleshoot-cross-account-access)

## Systems Manager에서 작업을 수행할 권한이 없음
<a name="security_iam_troubleshoot-no-permissions"></a>

AWS Management Console에서 태스크를 수행할 권한이 없다는 메시지가 나타나는 경우, 관리자에게 문의하여 도움을 받아야 합니다. 관리자는 로그인 보안 인증 정보를 제공한 사람입니다.

다음 예제 오류는 `mateojackson` 사용자가 콘솔을 사용하여 문서에 대한 세부 정보를 보려고 하지만 `ssm:GetDocument` 권한이 없는 경우에 발생합니다.

```
User: arn:aws:ssm::123456789012:user/mateojackson isn't authorized to perform: ssm:GetDocument on resource: MyExampleDocument
```

이 경우, Mateo는 `MyExampleDocument` 작업을 사용하여 `ssm:GetDocument` 리소스에 액세스하도록 허용하는 정책을 업데이트하라고 관리자에게 요청합니다.

## iam:PassRole을 수행하도록 인증되지 않음
<a name="security_iam_troubleshoot-passrole"></a>

`iam:PassRole` 작업을 수행할 수 있는 권한이 없다는 오류가 수신되면 Systems Manager에 역할을 전달할 수 있도록 정책을 업데이트해야 합니다.

일부 AWS 서비스에서는 새 서비스 역할 또는 서비스 연결 역할을 생성하는 대신, 해당 서비스에 기존 역할을 전달할 수 있습니다. 이렇게 하려면 사용자가 서비스에 역할을 전달할 수 있는 권한을 가지고 있어야 합니다.

다음 예 오류는 `marymajor`라는 IAM 사용자가 콘솔을 사용하여 Systems Manager에서 작업을 수행하려고 하는 경우에 발생합니다. 하지만 작업을 수행하려면 서비스 역할이 부여한 권한이 서비스에 있어야 합니다. Mary는 서비스에 역할을 전달할 수 있는 권한을 가지고 있지 않습니다.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

이 경우, Mary가 `iam:PassRole`작업을 수행할 수 있도록 Mary의 정책을 업데이트해야 합니다.

도움이 필요한 경우 AWS 관리자에게 문의하세요. 관리자는 로그인 자격 증명을 제공한 사람입니다.

## 내 AWS 계정 외부의 사람이 내 Systems Manager 리소스에 액세스할 수 있게 허용하기를 원합니다.
<a name="security_iam_troubleshoot-cross-account-access"></a>

다른 계정의 사용자 또는 조직 외부의 사람이 리소스에 액세스할 때 사용할 수 있는 역할을 생성할 수 있습니다. 역할을 수임할 신뢰할 수 있는 사람을 지정할 수 있습니다. 리소스 기반 정책 또는 액세스 제어 목록(ACL)을 지원하는 서비스의 경우, 이러한 정책을 사용하여 다른 사람에게 리소스에 대한 액세스 권한을 부여할 수 있습니다.

자세히 알아보려면 다음을 참조하세요.
+ Systems Manager에서 이러한 기능을 지원하는지 여부를 알아보려면 [AWS Systems Manager에서 IAM을 사용하는 방식](security_iam_service-with-iam.md)을 참조하세요.
+ 소유하고 있는 AWS 계정의 리소스에 대한 액세스 권한을 제공하는 방법을 알아보려면 *IAM 사용자 설명서*의 [자신이 소유한 다른 AWS 계정의 IAM 사용자에 대한 액세스 권한 제공](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)을 참조하세요.
+ 리소스에 대한 액세스 권한을 서드 파티 AWS 계정에게 제공하는 방법을 알아보려면 *IAM 사용 설명서*의 [서드 파티가 소유한 AWS 계정에 대한 액세스 제공](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)을 참조하세요.
+ ID 페더레이션을 통해 액세스 권한을 제공하는 방법을 알아보려면 *IAM 사용 설명서*의 [외부에서 인증된 사용자에게 액세스 권한 제공(ID 페더레이션)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)을 참조하세요.
+ 크로스 계정 액세스에 대한 역할과 리소스 기반 정책 사용의 차이점을 알아보려면 *IAM 사용 설명서*의 [IAM의 크로스 계정 리소스 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)를 참조하세요.

# Systems Manager에 서비스 연결 역할 사용
<a name="using-service-linked-roles"></a>

AWS Systems Manager는 AWS Identity and Access Management(IAM) [서비스 연결 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)을 사용합니다. 서비스 연결 역할은 Systems Manager에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 Systems Manager에서 사전 정의하며 서비스에서 다른 AWS 서비스을(를) 자동으로 호출하기 위해 필요한 모든 권한을 포함합니다.

**참고**  
*서비스 역할* 역할은 서비스 연결 역할과 다릅니다. 서비스 역할은 AWS 리소스에 액세스할 수 있는 권한을 AWS 서비스에 부여하는 AWS Identity and Access Management(IAM) 역할의 한 유형입니다. 몇 가지 Systems Manager 시나리오에만 서비스 역할이 필요합니다. Systems Manager용 서비스 역할을 생성하는 경우 이 역할이 다른 AWS 리소스에 액세스하거나 상호 작용하도록 부여할 권한을 선택합니다.

서비스 연결 역할을 통해 Systems Manager 설정이 쉬워지는데 필요한 권한을 수동으로 추가할 필요가 없기 때문입니다. Systems Manager에서 서비스 연결 역할 권한을 정의하므로, 달리 정의되지 않은 한 Systems Manager에서만 해당 역할을 맡을 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며, 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.

먼저 관련 리소스를 삭제한 후에만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 부주의로 삭제할 수 없기 때문에 Systems Manager 리소스가 보호됩니다.

**참고**  
[하이브리드 및 멀티클라우드](operating-systems-and-machine-types.md#supported-machine-types) 환경의 비 EC2 노드에는 해당 시스템에서 Systems Manager 서비스와 통신할 수 있는 추가 IAM 역할이 필요합니다. 이것이 Systems Manager용 IAM 서비스 역할입니다. 이 역할은 AWS Security Token Service(AWS STS) *AssumeRole* 신뢰를 Systems Manager 서비스에 부여합니다. `AssumeRole` 작업은 액세스 키 ID, 보안 액세스 키 및 보안 토큰으로 구성된 일련의 임시 보안 자격 증명을 반환합니다. 이러한 임시 자격 증명을 사용하여 평소에는 액세스 권한이 없을 수 있는 AWS 리소스에 액세스할 수 있습니다. 자세한 내용은 *[AWS Security Token Service API 참조](https://docs.aws.amazon.com/STS/latest/APIReference/)*의 [하이브리드 및 멀티클라우드 환경에서 Systems Manager에 필요한 IAM 서비스 역할 생성](hybrid-multicloud-service-role.md) 및 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)을 참조하세요.

서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 [IAM으로 작업하는 AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)을(를) 참조하고 **서비스 연결 역할** 열에 **예**가 있는 서비스를 찾아보세요. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예(Yes)** 링크를 선택합니다.

**Topics**
+ [역할을 사용하여 인벤토리 수집 및 OpsData 보기](using-service-linked-roles-service-action-1.md)
+ [역할을 사용하여 OpsCenter 및 Explorer에 대한 AWS 계정 정보 수집](using-service-linked-roles-service-action-2.md)
+ [역할을 사용하여 Explorer용 OpsData 및 OpsItems 생성](using-service-linked-roles-service-action-3.md)
+ [역할을 사용하여 Systems Manager OpsCenter에서 운영 인사이트 OpsItems 생성](using-service-linked-roles-service-action-4.md)
+ [역할을 사용하여 Quick Setup 프로비저닝된 리소스 상태 및 일관성 유지](using-service-linked-roles-service-action-5.md)
+ [역할을 사용하여 Explorer OpsData 내보내기](using-service-linked-roles-service-action-6.md)
+ [역할을 사용하여 JIT(Just-in-Time) 노드 액세스 활성화](using-service-linked-roles-service-action-8.md)
+ [역할을 사용하여 JIT(Just-in-Time) 노드 액세스 요청 알림 전송](using-service-linked-roles-service-action-9.md)

# 역할을 사용하여 인벤토리 수집 및 OpsData 보기
<a name="using-service-linked-roles-service-action-1"></a>

Systems Manager는 **`AWSServiceRoleForAmazonSSM`**이라는 서비스 연결 역할을 사용합니다. AWS Systems Manager는 이 IAM 서비스 역할을 사용하여 AWS 리소스를 대신 관리합니다.

## 인벤토리, OpsData 및 OpsItems에 대한 서비스 연결 역할 권한
<a name="service-linked-role-permissions-service-action-1"></a>

`AWSServiceRoleForAmazonSSM` 서비스 연결 역할은 이 역할을 맡을 `ssm.amazonaws.com`만 신뢰합니다.

다음과 같은 경우에 Systems Manager 서비스 연결 역할 `AWSServiceRoleForAmazonSSM`을 사용할 수 있습니다.
+ Systems Manager Inventory 도구는 서비스 연결 역할 `AWSServiceRoleForAmazonSSM`을 사용하여 태그와 리소스 그룹에서 인벤토리 메타데이터를 수집합니다.
+ Explorer 도구는 서비스 연결 역할 `AWSServiceRoleForAmazonSSM`을 사용하여 여러 계정에서 OpsData와 OpsItems 보기를 사용합니다. 이 서비스 연결 역할을 통해 Explorer 또는 OpsCenter에서 Security Hub CSPM을 데이터 소스로 사용하면 Explorer이 관리형 규칙을 생성할 수도 있습니다.

**중요**  
이전에는 Systems Manager 콘솔에서 작업에 대한 유지 관리 역할로 사용하도록 AWS에서 관리하는 IAM 서비스 연결 역할인 `AWSServiceRoleForAmazonSSM`을 선택할 수 있었습니다. 유지 관리 기간에 이 역할 및 관련 정책인 `AmazonSSMServiceRolePolicy`를 사용하는 것은 더 이상 권장되지 않습니다. 현재 유지 관리 기간 작업에 이 역할을 사용하는 경우 사용을 중지하는 것이 좋습니다. 대신, 유지 관리 기간 작업 실행 시 Systems Manager와 다른 AWS 서비스 간에 통신을 가능하게 하는 IAM 역할을 생성하세요.  
자세한 내용은 [Maintenance Windows 설정](setting-up-maintenance-windows.md) 섹션을 참조하세요.

`AWSServiceRoleForAmazonSSM` 역할에 대한 권한을 제공하는 데 사용되는 관리형 정책은 `AmazonSSMServiceRolePolicy`입니다. 부여되는 권한에 대한 자세한 내용은 [AWS 관리형 정책: AmazonSSMServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMServiceRolePolicy) 섹션을 참조하세요.

## Systems Manager에 대한 `AWSServiceRoleForAmazonSSM` 서비스 연결 역할 생성
<a name="create-service-linked-role-service-action-1"></a>

IAM 콘솔을 사용하여 **EC2** 사용 사례에서 서비스 연결 역할을 생성할 수 있습니다. AWS Command Line Interface(AWS CLI)에서 IAM에 대한 명령을 사용하거나 IAM API를 사용하여 `ssm.amazonaws.com` 서비스 이름으로 서비스 연결 역할을 생성합니다. 자세한 내용은 *IAM 사용자 설명서*의 [서비스 연결 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) 섹션을 참조하세요.

이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다.

## Systems Manager에 대한 `AWSServiceRoleForAmazonSSM` 서비스 연결 역할 편집
<a name="edit-service-linked-role-service-action-1"></a>

Systems Manager에서는 `AWSServiceRoleForAmazonSSM` 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.

## Systems Manager에 대한 `AWSServiceRoleForAmazonSSM` 서비스 연결 역할 삭제
<a name="delete-service-linked-role-service-action-1"></a>

서비스 연결 역할이 요구되는 기능 또는 서비스가 더 이상 필요 없어지면 해당 역할을 삭제하는 것이 좋습니다. 이렇게 하면 적극적으로 모니터링하거나 유지 관리하지 않는 미사용 엔터티가 없게 됩니다. IAM 콘솔, AWS CLI 또는 IAM API를 사용하여 서비스 연결 역할을 수동으로 삭제할 수 있습니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.

`AWSServiceRoleForAmazonSSM` 서비스 연결 역할은 여러 도구에서 사용할 수 있기 때문에, 삭제하기 전에 도구에서 역할을 사용하고 있지 않은지 확인합니다.
+ **Inventory:** Inventory 도구에서 사용하는 서비스 연결 역할을 삭제하면 태그 및 리소스 그룹에 대한 인벤토리 데이터가 더 이상 동기화되지 않습니다. 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.
+ **Explorer:** Explorer 도구에서 사용하는 서비스 연결 역할을 삭제하면 교차 계정 및 교차 리전 OpsData와 OpsItems가 더 이상 표시되지 않습니다.

**참고**  
태그 또는 리소스 그룹을 삭제하려 할 때 Systems Manager 서비스가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

**`AWSServiceRoleForAmazonSSM`에서 사용하는 Systems Manager 리소스를 삭제하려면**

1. 태그를 삭제하려면 [개별 리소스에서 태그 추가 및 삭제](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)를 참조하세요.

1. 리소스 그룹을 삭제하려면 [AWS Resource Groups에서 그룹 삭제](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html)를 참조하세요.

**IAM을 사용하여 수동으로 `AWSServiceRoleForAmazonSSM` 서비스 연결 역할 삭제**

IAM 콘솔, AWS CLI 또는 IAM API를 사용하여 `AWSServiceRoleForAmazonSSM` 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)**를 참조하십시오.

## Systems Manager `AWSServiceRoleForAmazonSSM` 서비스 연결 역할이 지원되는 리전
<a name="slr-regions-service-action-1"></a>

Systems Manager에서는 서비스를 사용할 수 있는 모든 AWS 리전에서 `AWSServiceRoleForAmazonSSM` 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 [AWS Systems Manager 엔드포인트 및 할당량](https://docs.aws.amazon.com/general/latest/gr/ssm.html)을 참조하세요.

# 역할을 사용하여 OpsCenter 및 Explorer에 대한 AWS 계정 정보 수집
<a name="using-service-linked-roles-service-action-2"></a>

Systems Manager은(는) **`AWSServiceRoleForAmazonSSM_AccountDiscovery`**(이)라는 서비스 연결 역할을 사용합니다. AWS Systems Manager은(는) 이 IAM 서비스 역할을 사용하여 AWS 계정 정보를 검색하기 위해 다른 AWS 서비스을(를) 호출합니다.

## Systems Manager 계정 검색을 위한 서비스 연결 역할 권한
<a name="service-linked-role-permissions-service-action-2"></a>

`AWSServiceRoleForAmazonSSM_AccountDiscovery` 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `accountdiscovery.ssm.amazonaws.com`

역할 권한 정책은 Systems Manager가 지정된 리소스에서 다음 작업을 완료하도록 허용합니다.
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListDelegatedServicesForAccount` 
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListRoots`

IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)을 참조하세요.

## Systems Manager에 대한 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 서비스 연결 역할 생성
<a name="create-service-linked-role-service-action-2"></a>

Systems Manager의 Explorer 및 OpsCenter 도구를 여러 AWS 계정에서 사용하려면 서비스 연결 역할을 생성해야 합니다. OpsCenter의 경우 서비스 연결 역할을 수동으로 생성해야 합니다. 자세한 내용은 [(선택 사항) 여러 계정에서 OpsItems를 중앙 집중식으로 관리하도록 OpsCenter를 수동으로 설정](OpsCenter-getting-started-multiple-accounts.md) 섹션을 참조하세요.

Explorer의 경우 AWS Management Console에서 Systems Manager를 사용하여 리소스 데이터 동기화를 생성할 때 **Create role**(역할 생성) 버튼을 선택하여 서비스 연결 역할을 생성할 수 있습니다. 프로그래밍 방식으로 리소스 데이터 동기화를 생성하려면 리소스 데이터 동기화를 생성 전에 역할을 생성해야 합니다. [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) API 작업을 사용하여 역할을 생성할 수 있습니다.

## Systems Manager에 대한 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 서비스 연결 역할 편집
<a name="edit-service-linked-role-service-action-2"></a>

Systems Manager에서는 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.

## Systems Manager에 대한 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 서비스 연결 역할 삭제
<a name="delete-service-linked-role-service-action-2"></a>

서비스 연결 역할이 필요한 특성 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 이렇게 하면 적극적으로 모니터링하거나 유지 관리하지 않는 미사용 엔터티가 없게 됩니다. 단, 서비스 연결 역할을 정리해야 수동으로 삭제할 수 있습니다.

### `AWSServiceRoleForAmazonSSM_AccountDiscovery` 서비스 연결 역할 정리
<a name="service-linked-role-review-before-delete-service-action-2"></a>

IAM을 사용하여 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 서비스 연결 역할을 삭제하기 전에 먼저 Explorer 리소스 데이터 동기화를 모두 삭제해야 합니다.

**참고**  
리소스를 삭제하려 할 때 Systems Manager 서비스가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

### 수동으로 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 서비스 연결 역할 삭제
<a name="slr-manual-delete-service-action-2"></a>

IAM 콘솔, AWS CLI 또는 AWS API를 사용하여 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 서비스 연결 역할을 삭제할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)를 참조하세요.

## Systems Manager `AWSServiceRoleForAmazonSSM_AccountDiscovery` 서비스 연결 역할이 지원되는 리전
<a name="slr-regions-service-action-2"></a>

Systems Manager는 서비스가 제공되는 모든 리전에서 서비스 연결 역할을 사용하도록 지원합니다. 자세한 내용은 [AWS Systems Manager 엔드포인트 및 할당량](https://docs.aws.amazon.com/general/latest/gr/ssm.html)을 참조하세요.

## AWSServiceRoleForAmazonSSM\$1AccountDiscovery 서비스 연결 역할 업데이트
<a name="service-action-2-updates"></a>

이 서비스에서 이러한 변경 사항 추적을 시작한 이후 AWSServiceRoleForAmazonSSM\$1AccountDiscovery service-linked 서비스 연결 역할 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 Systems Manager [문서 이력](systems-manager-release-history.md) 페이지에서 RSS 피드를 구독하세요.


| 변경 | 설명 | 날짜 | 
| --- | --- | --- | 
|  새 권한이 추가됨  |  이제 이 서비스 연결 역할에는 `organizations:DescribeOrganizationalUnit` 및 `organizations:ListRoots` 권한이 포함됩니다. 이러한 권한을 통해 AWS Organizations 관리 계정 또는 Systems Manager 위임 관리자 계정에서 여러 계정에 결처 OpsItems 작업을 수행할 수 있습니다. 자세한 내용은 [(선택 사항) 여러 계정에서 OpsItems를 중앙 집중식으로 관리하도록 OpsCenter를 수동으로 설정](OpsCenter-getting-started-multiple-accounts.md) 섹션을 참조하세요.  | 2022년 10월 17일 | 

# 역할을 사용하여 Explorer용 OpsData 및 OpsItems 생성
<a name="using-service-linked-roles-service-action-3"></a>

Systems Manager는 **`AWSServiceRoleForSystemsManagerOpsDataSync`**라는 서비스 연결 역할을 사용합니다. AWS Systems Manager는 Explorer에 대해 이 IAM 서비스 역할을 사용하여 OpsData와 OpsItems를 생성합니다.

## Systems Manager OpsData 동기화에 대한 서비스 연결 역할 권한
<a name="slr-permissions-service-action-3"></a>

`AWSServiceRoleForSystemsManagerOpsDataSync` 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `opsdatasync.ssm.amazonaws.com`

역할 권한 정책은 Systems Manager가 지정된 리소스에서 다음 작업을 완료하도록 허용합니다.
+ Systems Manager Explorer를 사용하려면 서비스 연결 역할이 OpsItem이 업데이트될 때 보안 조사 결과를 업데이트하고, OpsItem을 생성 및 업데이트하고, 고객이 SSM 관리형 규칙을 삭제할 때 Security Hub CSPM 데이터 소스를 해제할 수 있는 권한을 부여해야 합니다.

`AWSServiceRoleForSystemsManagerOpsDataSync` 역할에 대한 권한을 제공하는 데 사용되는 관리형 정책은 `AWSSystemsManagerOpsDataSyncServiceRolePolicy`입니다. 부여되는 권한에 대한 자세한 내용은 [AWS 관리형 정책: AWSSystemsManagerOpsDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy) 섹션을 참조하세요.

IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)을 참조하세요.

## Systems Manager에 대한 `AWSServiceRoleForSystemsManagerOpsDataSync` 서비스 연결 역할 생성
<a name="create-slr-service-action-3"></a>

서비스 연결 역할은 수동으로 생성할 필요가 없습니다. AWS Management Console 콘솔에서 Explorer를 사용하면 Systems Manager에서 서비스 연결 역할을 생성합니다.

**중요**  
이 서비스 연결 역할은 이 역할이 지원하는 기능을 사용하는 다른 서비스에서 작업을 완료했을 경우 계정에 표시될 수 있습니다. 또한 Systems Manager 서비스가 서비스 연결 역할을 지원하기 시작한 2017년 1월 1일 이전에 이 서비스를 사용 중이었다면 Systems Manager에서 사용자 계정에 `AWSServiceRoleForSystemsManagerOpsDataSync` 역할을 이미 생성했습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요.

이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. AWS Management Console에서 Explorer를 사용하면 Systems Manager에서 서비스 연결 역할을 다시 생성합니다.

IAM 콘솔을 사용하여 **Explorer에 OpsData 및 OpsItems 사용 사례 생성을 허용하는 AWS 서비스 역할** 사용 사례로 서비스 연결 역할을 생성할 수도 있습니다. AWS CLI 또는 AWS API에서 `opsdatasync.ssm.amazonaws.com` 서비스 이름의 서비스 연결 역할을 생성합니다. 자세한 내용은 *IAM 사용자 설명서*의 [서비스 연결 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)을 참조하세요. 이 서비스 연결 역할을 삭제하면 동일한 프로세스를 사용하여 역할을 다시 생성할 수 있습니다.

## Systems Manager에 대한 `AWSServiceRoleForSystemsManagerOpsDataSync` 서비스 연결 역할 편집
<a name="edit-slr-service-action-3"></a>

Systems Manager에서는 `AWSServiceRoleForSystemsManagerOpsDataSync` 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.

## Systems Manager에 대한 `AWSServiceRoleForSystemsManagerOpsDataSync` 서비스 연결 역할 삭제
<a name="delete-slr-service-action-3"></a>

서비스 연결 역할이 필요한 특성 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 이렇게 하면 적극적으로 모니터링하거나 유지 관리하지 않는 미사용 엔터티가 없게 됩니다. 단, 서비스 링크 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.

**참고**  
리소스를 삭제하려 할 때 Systems Manager 서비스가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

`AWSServiceRoleForSystemsManagerOpsDataSync` 역할에서 사용하는 Systems Manager 리소스를 삭제하는 절차는 Explorer 또는 OpsCenter를 Security Hub CSPM과 통합하도록 구성했는지 여부에 따라 다릅니다.

**`AWSServiceRoleForSystemsManagerOpsDataSync` 역할에서 사용하는 Systems Manager 리소스를 삭제하려면**
+ Explorer에서 Security Hub CSPM 조사 결과에 대해 새 OpsItems를 생성하지 않게 하려면 [결과 수신을 중지하는 방법](explorer-securityhub-integration.md#explorer-securityhub-integration-disable-receive) 섹션을 참조하세요.
+ OpsCenter에서 Security Hub CSPM 조사 결과에 대해 새 OpsItems를 생성하지 않게 하려면 다음 섹션을 참조하세요.

**IAM을 사용하여 수동으로 `AWSServiceRoleForSystemsManagerOpsDataSync` 서비스 연결 역할 삭제**

IAM 콘솔, AWS CLI 또는 AWS API를 사용하여 `AWSServiceRoleForSystemsManagerOpsDataSync` 서비스 연결 역할을 삭제합니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)를 참조하세요.

## Systems Manager `AWSServiceRoleForSystemsManagerOpsDataSync` 서비스 연결 역할이 지원되는 리전
<a name="slr-regions-service-action-3"></a>

Systems Manager에서는 서비스를 사용할 수 있는 모든 리전에서 서비스 링크 역할 사용을 지원합니다. 자세한 내용은 [AWS Systems Manager 엔드포인트 및 할당량](https://docs.aws.amazon.com/general/latest/gr/ssm.html)을 참조하세요.

Systems Manager에서는 서비스가 제공되는 모든 리전에서 서비스 연결 역할을 사용하도록 지원하지 않습니다. 다음 리전에서 `AWSServiceRoleForSystemsManagerOpsDataSync` 역할을 사용할 수 있습니다.


****  

| AWS 리전 이름 | 리전 자격 증명 | Systems Manager의 지원 | 
| --- | --- | --- | 
| 미국 동부(버지니아 북부) | us-east-1 | 예 | 
| 미국 동부(오하이오) | us-east-2 | 예 | 
| 미국 서부(캘리포니아 북부) | us-west-1 | 예 | 
| 미국 서부(오리건) | us-west-2 | 예 | 
| 아시아 태평양(뭄바이) | ap-south-1 | 예 | 
| 아시아 태평양(오사카) | ap-northeast-3 | 예 | 
| 아시아 태평양(서울) | ap-northeast-2 | 예 | 
| 아시아 태평양(싱가포르) | ap-southeast-1 | 예 | 
| 아시아 태평양(시드니) | ap-southeast-2 | 예 | 
| 아시아 태평양(도쿄) | ap-northeast-1 | 예 | 
| 캐나다(중부) | ca-central-1 | 예 | 
| 유럽(프랑크푸르트) | eu-central-1 | 예 | 
| 유럽(아일랜드) | eu-west-1 | 예 | 
| 유럽(런던) | eu-west-2 | 예 | 
| 유럽(파리) | eu-west-3 | 예 | 
| 유럽(스톡홀름) | eu-north-1 | 예 | 
| 남아메리카(상파울루) | sa-east-1 | 예 | 
| AWS GovCloud (US) | us-gov-west-1 | 아니요 | 

# 역할을 사용하여 Systems Manager OpsCenter에서 운영 인사이트 OpsItems 생성
<a name="using-service-linked-roles-service-action-4"></a>

Systems Manager는 **`AWSServiceRoleForAmazonSSM_OpsInsights`**라는 서비스 연결 역할을 사용합니다. AWS Systems Manager는 이 IAM 서비스 역할을 사용하여 Systems Manager OpsCenter에서 운영 인사이트 OpsItems를 생성하고 업데이트합니다.

## Systems Manager 운영 인사이트 OpsItems에 대한 `AWSServiceRoleForAmazonSSM_OpsInsights` 서비스 연결 역할 권한
<a name="service-linked-role-permissions-service-action-4"></a>

`AWSServiceRoleForAmazonSSM_OpsInsights` 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `opsinsights.ssm.amazonaws.com`

역할 권한 정책은 Systems Manager가 지정된 리소스에서 다음 작업을 완료하도록 허용합니다.

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "AllowCreateOpsItem",
			"Effect": "Allow",
			"Action": [
				"ssm:CreateOpsItem",
				"ssm:AddTagsToResource"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessOpsItem",
			"Effect": "Allow",
			"Action": [
				"ssm:UpdateOpsItem",
				"ssm:GetOpsItem"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/SsmOperationalInsight": "true"
				}
			}
		}
	]
}
```

------

IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)을 참조하세요.

## Systems Manager에 대한 `AWSServiceRoleForAmazonSSM_OpsInsights` 서비스 연결 역할 생성
<a name="create-service-linked-role-service-action-4"></a>

서비스 연결 역할을 생성해야 합니다. AWS Management Console에서 Systems Manager를 사용하여 운영 인사이트를 사용하면 [**사용(Enable)**] 버튼을 선택하여 서비스 연결 역할을 생성할 수 있습니다.

## Systems Manager에 대한 `AWSServiceRoleForAmazonSSM_OpsInsights` 서비스 연결 역할 편집
<a name="edit-service-linked-role-service-action-4"></a>

Systems Manager에서는 `AWSServiceRoleForAmazonSSM_OpsInsights` 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.

## Systems Manager에 대한 `AWSServiceRoleForAmazonSSM_OpsInsights` 서비스 연결 역할 삭제
<a name="delete-service-linked-role-service-action-4"></a>

서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 연결 역할을 정리해야 수동으로 삭제할 수 있습니다.

### `AWSServiceRoleForAmazonSSM_OpsInsights` 서비스 연결 역할 정리
<a name="service-linked-role-review-before-delete-service-action-4"></a>

IAM을 사용하여 `AWSServiceRoleForAmazonSSM_OpsInsights` 서비스 연결 역할을 삭제하려면 먼저 Systems Manager OpsCenter에서 운영 인사이트를 비활성화해야 합니다. 자세한 내용은 [운영 인사이트를 분석하여 OpsItems 줄이기](OpsCenter-working-operational-insights.md) 섹션을 참조하세요.

### 수동으로 `AWSServiceRoleForAmazonSSM_OpsInsights` 서비스 연결 역할 삭제
<a name="slr-manual-delete-service-action-4"></a>

IAM 콘솔, AWS CLI 또는 AWS API를 사용하여 `AWSServiceRoleForAmazonSSM_OpsInsights` 서비스 연결 역할을 삭제할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)를 참조하세요.

## Systems Manager `AWSServiceRoleForAmazonSSM_OpsInsights` 서비스 연결 역할이 지원되는 리전
<a name="slr-regions-service-action-4"></a>

Systems Manager에서는 서비스가 제공되는 모든 리전에서 서비스 연결 역할을 사용하도록 지원하지 않습니다. 다음 리전에서 AWSSSMOpsInsightsServiceRolePolicy 역할을 사용할 수 있습니다.


****  

| 리전 이름 | 리전 자격 증명 | Systems Manager의 지원 | 
| --- | --- | --- | 
| 미국 동부(버지니아 북부) | us-east-1 | 예 | 
| 미국 동부(오하이오) | us-east-2 | 예 | 
| 미국 서부(캘리포니아 북부) | us-west-1 | 예 | 
| 미국 서부(오리건) | us-west-2 | 예 | 
| 아시아 태평양(뭄바이) | ap-south-1 | 예 | 
| 아시아 태평양(도쿄) | ap-northeast-1 | 예 | 
| 아시아 태평양(서울) | ap-northeast-2 | 예 | 
| 아시아 태평양(싱가포르) | ap-southeast-1 | 예 | 
| 아시아 태평양(시드니) | ap-southeast-2 | 예 | 
| 아시아 태평양(홍콩) | ap-east-1 | 예 | 
| 캐나다(중부) | ca-central-1 | 예 | 
| 유럽(프랑크푸르트) | eu-central-1 | 예 | 
| 유럽(아일랜드) | eu-west-1 | 예 | 
| 유럽(런던) | eu-west-2 | 예 | 
| 유럽(파리) | eu-west-3 | 예 | 
| 유럽(스톡홀름) | eu-north-1 | 예 | 
| 유럽(밀라노) | eu-south-1 | 예 | 
| 남아메리카(상파울루) | sa-east-1 | 예 | 
| 중동(바레인) | me-south-1 | 예 | 
| 아프리카(케이프타운) | af-south-1 | 예 | 
| AWS GovCloud (US) | us-gov-west-1 | 예 | 
| AWS GovCloud (US) | us-gov-east-1 | 예 | 

# 역할을 사용하여 Quick Setup 프로비저닝된 리소스 상태 및 일관성 유지
<a name="using-service-linked-roles-service-action-5"></a>

Systems Manager에서는 **`AWSServiceRoleForSSMQuickSetup`**라는 이름의 서비스 연결 역할을 사용합니다.

## Systems Manager에 대한 `AWSServiceRoleForSSMQuickSetup` 서비스 연결 역할 권한
<a name="service-linked-role-permissions-service-action-5"></a>

`AWSServiceRoleForSSMQuickSetup` 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `ssm-quicksetup.amazonaws.com`

AWS Systems Manager는 이 IAM 서비스 역할을 사용하여 구성 상태를 확인하고, 파라미터와 프로비저닝된 리소스의 일관된 사용을 보장하고, 드리프트가 감지되면 리소스를 수정합니다.

역할 권한 정책은 Systems Manager가 지정된 리소스에서 다음 작업을 완료하도록 허용합니다.
+ `ssm`(Systems Manager) - 위임된 관리자 계정을 포함하여 구성된 리소스의 상태에 대한 정보를 읽습니다.
+ `iam`(AWS Identity and Access Management) - AWS Organizations의 전체 조직에서 리소스 데이터 동기화에 액세스하는 데 필요합니다.
+ `organizations`(AWS Organizations) – Organizations에 구성된 대로 조직에 속하는 멤버 계정에 대한 정보를 읽습니다.
+ `cloudformation`(CloudFormation) – 리소스 및 CloudFormation 스택셋 작업의 상태를 관리하는 데 사용되는 CloudFormation 스택에 대한 정보를 읽습니다.

`AWSServiceRoleForSSMQuickSetup` 역할에 대한 권한을 제공하는 데 사용되는 관리형 정책은 `SSMQuickSetupRolePolicy`입니다. 부여되는 권한에 대한 자세한 내용은 [AWS 관리형 정책: SSMQuickSetupRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SSMQuickSetupRolePolicy) 섹션을 참조하세요.

IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)을 참조하세요.

## Systems Manager에 대한 `AWSServiceRoleForSSMQuickSetup` 서비스 연결 역할 생성
<a name="create-service-linked-role-service-action-5"></a>

AWSServiceRoleForSSMQuickSetup 서비스 연결 역할을 수동으로 생성할 필요가 없습니다. AWS Management Console에서 Quick Setup 구성을 생성하면 Systems Manager에서 사용자를 대신하여 서비스 연결 역할을 생성합니다.

## Systems Manager에 대한 `AWSServiceRoleForSSMQuickSetup` 서비스 연결 역할 편집
<a name="edit-service-linked-role-service-action-5"></a>

Systems Manager에서는 `AWSServiceRoleForSSMQuickSetup` 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.

## Systems Manager에 대한 `AWSServiceRoleForSSMQuickSetup` 서비스 연결 역할 삭제
<a name="delete-service-linked-role-service-action-5"></a>

서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 연결 역할을 정리해야 수동으로 삭제할 수 있습니다.

### `AWSServiceRoleForSSMQuickSetup` 서비스 연결 역할 정리
<a name="service-linked-role-review-before-delete-service-action-5"></a>

IAM을 사용하여 `AWSServiceRoleForSSMQuickSetup` 서비스 연결 역할을 삭제하려면 먼저 해당 역할을 사용하는 Quick Setup 구성을 삭제해야 합니다. 자세한 내용은 [구성 편집 및 삭제](quick-setup-using.md#quick-setup-edit-delete) 섹션을 참조하세요.

### 수동으로 `AWSServiceRoleForSSMQuickSetup` 서비스 연결 역할 삭제
<a name="slr-manual-delete-service-action-5"></a>

IAM 콘솔, AWS CLI 또는 AWS API를 사용하여 `AWSServiceRoleForSSMQuickSetup` 서비스 연결 역할을 삭제할 수 있습니다. 자세한 내용은 다음 항목을 참조하세요.
+ *IAM 사용 설명서*의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)
+ **AWS CLI 참조의 Quick Setup 섹션의 [https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html](https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html)
+ Quick Setup API 참조의 [https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html](https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html)**

## Systems Manager `AWSServiceRoleForSSMQuickSetup` 서비스 연결 역할이 지원되는 리전
<a name="slr-regions-service-action-5"></a>

Systems Manager에서는 서비스가 제공되는 모든 리전에서 서비스 연결 역할을 사용하도록 지원하지 않습니다. 다음 리전에서 AWSServiceRoleForSSMQuickSetup 역할을 사용할 수 있습니다.
+ 미국 동부(오하이오)
+ 미국 동부(버지니아 북부)
+ 미국 서부(캘리포니아 북부)
+ 미국 서부(오리건)
+ 아시아 태평양(뭄바이)
+ 아시아 태평양(서울)
+ 아시아 태평양(싱가포르)
+ 아시아 태평양(시드니)
+ 아시아 태평양(도쿄)
+ 캐나다(중부)
+ 유럽(프랑크푸르트)
+ 유럽(스톡홀름)
+ 유럽(아일랜드)
+ 유럽(런던)
+ 유럽(파리)
+ 남아메리카(상파울루)

# 역할을 사용하여 Explorer OpsData 내보내기
<a name="using-service-linked-roles-service-action-6"></a>

AWS Systems Manager Explorer는 **AmazonSSMExplorerExportRole** 서비스 역할을 통해 `AWS-ExportOpsDataToS3` 자동화 런북을 사용하여 작업 데이터(OpsData)를 내보냅니다.

## Explorer에 대한 서비스 링크 역할 권한
<a name="service-linked-role-permissions-service-action-6"></a>

`AmazonSSMExplorerExportRole` 서비스 연결 역할은 이 역할을 맡을 `ssm.amazonaws.com`만 신뢰합니다.

`AmazonSSMExplorerExportRole` 서비스 연결 역할을 사용하면 `AWS-ExportOpsDataToS3` 자동화 런북을 통해 운영 데이터(OpsData)를 내보낼 수 있습니다. Explorer에서 OpsData 항목 5,000개를 쉼표로 구분된 값(.csv) 파일로 Amazon Simple Storage Service(Amazon S3) 버킷에 내보낼 수 있습니다.

역할 권한 정책은 Systems Manager가 지정된 리소스에서 다음 작업을 완료하도록 허용합니다.
+ `s3:PutObject`
+ `s3:GetBucketAcl`
+ `s3:GetBucketLocation`
+ `sns:Publish`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:CreateLogGroup`
+ `logs:PutLogEvents` 
+ `logs:CreateLogStream`
+ `ssm:GetOpsSummary`

IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)을 참조하세요.

## Systems Manager에 대한 `AmazonSSMExplorerExportRole` 서비스 연결 역할 생성
<a name="create-service-linked-role-service-action-6"></a>

Systems Manager는 Systems Manager 콘솔에서 Explorer를 사용하여 OpsData를 내보낼 때 `AmazonSSMExplorerExportRole` 서비스 연결 역할을 생성합니다. 자세한 내용은 [Systems Manager Explorer에서 OpsData 내보내기](Explorer-exporting-OpsData.md) 섹션을 참조하세요.

이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다.

## Systems Manager에 대한 `AmazonSSMExplorerExportRole` 서비스 연결 역할 편집
<a name="edit-service-linked-role-service-action-6"></a>

Systems Manager에서는 `AmazonSSMExplorerExportRole` 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.

## Systems Manager에 대한 `AmazonSSMExplorerExportRole` 서비스 연결 역할 삭제
<a name="delete-service-linked-role-service-action-6"></a>

서비스 연결 역할이 요구되는 기능 또는 서비스가 더 이상 필요 없어지면 해당 역할을 삭제하는 것이 좋습니다. 이렇게 하면 적극적으로 모니터링하거나 유지 관리하지 않는 미사용 엔터티가 없게 됩니다. IAM 콘솔, AWS CLI 또는 IAM API를 사용하여 서비스 연결 역할을 수동으로 삭제할 수 있습니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.

**참고**  
태그 또는 리소스 그룹을 삭제하려 할 때 Systems Manager 서비스가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

**`AmazonSSMExplorerExportRole`에서 사용하는 Systems Manager 리소스를 삭제하려면**

1. 태그를 삭제하려면 [개별 리소스에서 태그 추가 및 삭제](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)를 참조하세요.

1. 리소스 그룹을 삭제하려면 [AWS Resource Groups에서 그룹 삭제](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html)를 참조하세요.

**IAM을 사용하여 수동으로 `AmazonSSMExplorerExportRole` 서비스 연결 역할 삭제**

IAM 콘솔, AWS CLI 또는 IAM API를 사용하여 `AmazonSSMExplorerExportRole` 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)**를 참조하십시오.

## Systems Manager `AmazonSSMExplorerExportRole` 서비스 연결 역할이 지원되는 리전
<a name="slr-regions-service-action-6"></a>

Systems Manager에서는 서비스를 사용할 수 있는 모든 AWS 리전에서 `AmazonSSMExplorerExportRole` 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 [AWS Systems Manager 엔드포인트 및 할당량](https://docs.aws.amazon.com/general/latest/gr/ssm.html)을 참조하세요.

# 역할을 사용하여 JIT(Just-in-Time) 노드 액세스 활성화
<a name="using-service-linked-roles-service-action-8"></a>

Systems Manager는 **`AWSServiceRoleForSystemsManagerJustInTimeAccess`**라는 서비스 연결 역할을 사용합니다. AWS Systems Manager는 이 IAM 서비스 역할을 사용하여 JIT(Just-in-Time) 노드 액세스를 활성화합니다.

## Systems Manager JIT(Just-in-Time) 노드 액세스에 대한 서비스 연결 역할 권한
<a name="slr-permissions-service-action-8"></a>

`AWSServiceRoleForSystemsManagerJustInTimeAccess` 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `ssm.amazonaws.com`

역할 권한 정책은 Systems Manager가 지정된 리소스에서 다음 작업을 완료하도록 허용합니다.
+ `ssm:CreateOpsItem`
+ `ssm:GetOpsItem`
+ `ssm:UpdateOpsItem`
+ `ssm:DescribeOpsItems`
+ `ssm:DescribeSessions`
+ `ssm:ListTagsForResource`
+ `ssm-guiconnect:ListConnections`
+ `identitystore:ListGroupMembershipsForMember` 
+ `identitystore:DescribeUser`
+ `identitystore:GetGroupId`
+ `identitystore:GetUserId`
+ `sso-directory:DescribeUsers`
+ `sso-directory:IsMemberInGroup`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `ec2:DescribeTags`

`AWSServiceRoleForSystemsManagerJustInTimeAccess` 역할에 대한 권한을 제공하는 데 사용되는 관리형 정책은 `AWSSystemsManagerEnableJustInTimeAccessPolicy`입니다. 부여되는 권한에 대한 자세한 내용은 [AWS 관리형 정책: AWSSystemsManagerJustInTimeAccessServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy) 섹션을 참조하세요.

IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)을 참조하세요.

## Systems Manager에 대한 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 서비스 연결 역할 생성
<a name="create-slr-service-action-8"></a>

서비스 연결 역할은 수동으로 생성할 필요가 없습니다. AWS Management Console에서 JIT(Just-in-Time) 노드 액세스를 활성화하면 Systems Manager가 서비스 연결 역할을 생성합니다.

**중요**  
이 서비스 연결 역할은 이 역할이 지원하는 기능을 사용하는 다른 서비스에서 작업을 완료했을 경우 계정에 표시될 수 있습니다. 또한 Systems Manager 서비스가 서비스 연결 역할을 지원하기 시작한 2024년 11월 19일 이전에 이 서비스를 사용 중이었다면 Systems Manager에서 사용자 계정에 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 역할을 이미 생성했습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요.

이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. AWS Management Console에서 JIT(Just-in-Time) 노드 액세스를 활성화하면 Systems Manager가 서비스 연결 역할을 다시 생성합니다.

또한 IAM 콘솔을 사용하여 **Systems Manager가 JIT(Just-in-Time) 노드 액세스를 활성화하도록 허용하는 AWS 서비스 역할** 사용 사례를 활용하여 서비스 연결 역할을 생성할 수 있습니다. AWS CLI 또는 AWS API에서 `ssm.amazonaws.com` 서비스 이름의 서비스 연결 역할을 생성합니다. 자세한 내용은 *IAM 사용자 설명서*의 [서비스 연결 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)을 참조하세요. 이 서비스 연결 역할을 삭제하면 동일한 프로세스를 사용하여 역할을 다시 생성할 수 있습니다.

## Systems Manager에 대한 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 서비스 연결 역할 편집
<a name="edit-slr-service-action-8"></a>

Systems Manager에서는 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.

## Systems Manager에 대한 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 서비스 연결 역할 삭제
<a name="delete-slr-service-action-8"></a>

서비스 연결 역할이 필요한 특성 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 이렇게 하면 적극적으로 모니터링하거나 유지 관리하지 않는 미사용 엔터티가 없게 됩니다. 단, 서비스 링크 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.

**참고**  
리소스를 삭제하려 할 때 Systems Manager 서비스가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

**IAM을 사용하여 수동으로 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 서비스 연결 역할 삭제**

IAM 콘솔, AWS CLI 또는 AWS API를 사용하여 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 서비스 연결 역할을 삭제합니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)를 참조하세요.

## Systems Manager `AWSServiceRoleForSystemsManagerJustInTimeAccess` 서비스 연결 역할이 지원되는 리전
<a name="slr-regions-service-action-8"></a>


****  

| AWS 리전 이름 | 리전 자격 증명 | Systems Manager의 지원 | 
| --- | --- | --- | 
| 미국 동부(버지니아 북부) | us-east-1 | 예 | 
| 미국 동부(오하이오) | us-east-2 | 예 | 
| 미국 서부(캘리포니아 북부) | us-west-1 | 예 | 
| 미국 서부(오리건) | us-west-2 | 예 | 
| 아시아 태평양(뭄바이) | ap-south-1 | 예 | 
| 아시아 태평양(오사카) | ap-northeast-3 | 예 | 
| 아시아 태평양(서울) | ap-northeast-2 | 예 | 
| 아시아 태평양(싱가포르) | ap-southeast-1 | 예 | 
| 아시아 태평양(시드니) | ap-southeast-2 | 예 | 
| 아시아 태평양(도쿄) | ap-northeast-1 | 예 | 
| 캐나다(중부) | ca-central-1 | 예 | 
| 유럽(프랑크푸르트) | eu-central-1 | 예 | 
| 유럽(아일랜드) | eu-west-1 | 예 | 
| 유럽(런던) | eu-west-2 | 예 | 
| 유럽(파리) | eu-west-3 | 예 | 
| 유럽(스톡홀름) | eu-north-1 | 예 | 
| 남아메리카(상파울루) | sa-east-1 | 예 | 
| AWS GovCloud (US)  | us-gov-west-1 | 아니요 | 

# 역할을 사용하여 JIT(Just-in-Time) 노드 액세스 요청 알림 전송
<a name="using-service-linked-roles-service-action-9"></a>

Systems Manager는 **`AWSServiceRoleForSystemsManagerNotifications`**라는 서비스 연결 역할을 사용합니다. AWS Systems Manager는 이 IAM 서비스 역할을 사용하여 액세스 요청 승인자에게 알림을 보냅니다.

## Systems Manager JIT(Just-in-Time) 노드 액세스 알림에 대한 서비스 연결 역할 권한
<a name="slr-permissions-service-action-9"></a>

`AWSServiceRoleForSystemsManagerNotifications` 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `ssm.amazonaws.com`

역할 권한 정책은 Systems Manager가 지정된 리소스에서 다음 작업을 완료하도록 허용합니다.
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:ListGroupMemberships`
+ `identitystore:DescribeUser`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `sso-directory:DescribeUser`
+ `sso-directory:ListMembersInGroup`
+ `iam:GetRole`

`AWSServiceRoleForSystemsManagerNotifications` 역할에 대한 권한을 제공하는 데 사용되는 관리형 정책은 `AWSSystemsManagerNotificationsServicePolicy`입니다. 부여되는 권한에 대한 자세한 내용은 [AWS 관리형 정책: AWSSystemsManagerNotificationsServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy) 섹션을 참조하세요.

IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)을 참조하세요.

## Systems Manager에 대한 `AWSServiceRoleForSystemsManagerNotifications` 서비스 연결 역할 생성
<a name="create-slr-service-action-9"></a>

서비스 연결 역할은 수동으로 생성할 필요가 없습니다. AWS Management Console에서 JIT(Just-in-Time) 노드 액세스를 활성화하면 Systems Manager가 서비스 연결 역할을 생성합니다.

**중요**  
이 서비스 연결 역할은 이 역할이 지원하는 기능을 사용하는 다른 서비스에서 작업을 완료했을 경우 계정에 표시될 수 있습니다. 또한 Systems Manager 서비스가 서비스 연결 역할을 지원하기 시작한 2024년 11월 19일 이전에 이 서비스를 사용 중이었다면 Systems Manager에서 사용자 계정에 `AWSServiceRoleForSystemsManagerNotifications` 역할을 이미 생성했습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요.

이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. AWS Management Console에서 JIT(Just-in-Time) 노드 액세스를 활성화하면 Systems Manager가 서비스 연결 역할을 다시 생성합니다.

또한 IAM 콘솔을 사용하여 **Systems Manager가 액세스 요청 승인자에게 알림을 보내도록 허용하는 AWS 서비스 역할** 사용 사례를 활용하여 서비스 연결 역할을 생성할 수 있습니다. AWS CLI 또는 AWS API에서 `ssm.amazonaws.com` 서비스 이름의 서비스 연결 역할을 생성합니다. 자세한 내용은 *IAM 사용자 설명서*의 [서비스 연결 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)을 참조하세요. 이 서비스 연결 역할을 삭제하면 동일한 프로세스를 사용하여 역할을 다시 생성할 수 있습니다.

## Systems Manager에 대한 `AWSServiceRoleForSystemsManagerNotifications` 서비스 연결 역할 편집
<a name="edit-slr-service-action-9"></a>

Systems Manager에서는 `AWSServiceRoleForSystemsManagerNotifications` 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.

## Systems Manager에 대한 `AWSServiceRoleForSystemsManagerNotifications` 서비스 연결 역할 삭제
<a name="delete-slr-service-action-9"></a>

서비스 연결 역할이 필요한 특성 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 이렇게 하면 적극적으로 모니터링하거나 유지 관리하지 않는 미사용 엔터티가 없게 됩니다. 단, 서비스 링크 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.

**참고**  
리소스를 삭제하려 할 때 Systems Manager 서비스가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

**IAM을 사용하여 수동으로 `AWSServiceRoleForSystemsManagerNotifications` 서비스 연결 역할 삭제**

IAM 콘솔, AWS CLI 또는 AWS API를 사용하여 `AWSServiceRoleForSystemsManagerNotifications` 서비스 연결 역할을 삭제합니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)를 참조하세요.

## Systems Manager `AWSServiceRoleForSystemsManagerNotifications` 서비스 연결 역할이 지원되는 리전
<a name="slr-regions-service-action-9"></a>


****  

| AWS 리전 이름 | 리전 자격 증명 | Systems Manager의 지원 | 
| --- | --- | --- | 
| 미국 동부(버지니아 북부) | us-east-1 | 예 | 
| 미국 동부(오하이오) | us-east-2 | 예 | 
| 미국 서부(캘리포니아 북부) | us-west-1 | 예 | 
| 미국 서부(오리건) | us-west-2 | 예 | 
| 아시아 태평양(뭄바이) | ap-south-1 | 예 | 
| 아시아 태평양(오사카) | ap-northeast-3 | 예 | 
| 아시아 태평양(서울) | ap-northeast-2 | 예 | 
| 아시아 태평양(싱가포르) | ap-southeast-1 | 예 | 
| 아시아 태평양(시드니) | ap-southeast-2 | 예 | 
| 아시아 태평양(도쿄) | ap-northeast-1 | 예 | 
| 캐나다(중부) | ca-central-1 | 예 | 
| 유럽(프랑크푸르트) | eu-central-1 | 예 | 
| 유럽(아일랜드) | eu-west-1 | 예 | 
| 유럽(런던) | eu-west-2 | 예 | 
| 유럽(파리) | eu-west-3 | 예 | 
| 유럽(스톡홀름) | eu-north-1 | 예 | 
| 남아메리카(상파울루) | sa-east-1 | 예 | 
| AWS GovCloud (US)  | us-gov-west-1 | 아니요 | 

# AWS Systems Manager에서 로깅 및 모니터링
<a name="logging-and-monitoring"></a>

모니터링은 AWS Systems Manager와 사용자 AWS 솔루션의 신뢰성, 가용성 및 성능을 유지하는 중요한 역할을 합니다. 다중 지점 실패가 발생할 경우 보다 디버깅할 수 있도록 AWS 솔루션의 모든 부분으로부터 모니터링 데이터를 수집해야 합니다. AWS는 Systems Manager 및 다른 리소스를 모니터링하고 잠재적 인시던트에 대응하기 위한 여러 도구를 제공합니다.

**AWS CloudTrail 로그**  
CloudTrail은 Systems Manager에서 사용자, 역할 또는 AWS 서비스이(가) 수행한 작업 기록을 제공합니다. CloudTrail에서 수집한 정보를 사용하여 Systems Manager에 수행된 요청, 요청이 수행된 IP 주소, 요청을 수행한 사람, 요청이 수행된 시간 및 추가 세부 정보를 확인할 수 있습니다. 자세한 내용은 [AWS CloudTrail를 사용하여 AWS Systems Manager API 호출 로깅](monitoring-cloudtrail-logs.md) 섹션을 참조하세요.

**Amazon CloudWatch 경보**  
Amazon CloudWatch 경보를 사용하여 지정한 기간 동안 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 및 기타 리소스에 대한 단일 지표를 감시합니다. 지표가 지정된 임계값을 초과하면 Amazon Simple Notification Service(Amazon SNS) 주제 또는 AWS Auto Scaling 정책으로 알림이 전송됩니다. CloudWatch 경보는 특정 상태에 있다고 해서 작업을 호출하지 않습니다. 대신, 상태가 변경되어 지정된 기간 동안 유지되어야 합니다. 자세한 내용은 [Amazon CloudWatch 사용 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)의 *Amazon CloudWatch 경보 사용*을 참조하세요.

**Amazon CloudWatch 대시보드**  
Amazon CloudWatch 대시보드는 CloudWatch 콘솔에서 사용자 지정이 가능한 홈 페이지로, 다른 AWS 리전에 분산되어 있는 리소스를 비롯하여 단일 보기에서 리소스를 모니터링하는 데 사용할 수 있습니다. CloudWatch 대시보드를 사용해 AWS 리소스에 대한 지표 및 경보를 보여주는 사용자 정의 뷰를 생성할 수 있습니다. 자세한 내용은 [Systems Manager에서 호스팅하는 Amazon CloudWatch 대시보드 사용](systems-manager-cloudwatch-dashboards.md) 섹션을 참조하세요.

**Amazon EventBridge**  
Amazon EventBridge를 사용하여 Systems Manager 리소스의 변경 사항을 알리고 EventBridge가 해당 이벤트의 내용에 따라 조치를 취하도록 지시하는 규칙을 구성할 수 있습니다. EventBridge는 다양한 Systems Manager 도구에서 발생하는 여러 이벤트에 대한 지원을 제공합니다. 자세한 내용은 [Amazon EventBridge로 Systems Manager 이벤트 모니터링](monitoring-eventbridge-events.md) 섹션을 참조하세요.

**Amazon CloudWatch Logs 및 SSM Agent 로그**  
SSM Agent는 실행, 예약된 작업, 오류 및 상태에 대한 정보를 각 노드의 로그 파일에 씁니다. 노드에 수동으로 연결하여 로그 파일을 볼 수 있습니다. 분석을 위해 CloudWatch Logs의 로그 그룹에 에이전트 로그 데이터를 자동으로 보내는 것이 좋습니다. 자세한 내용은 [통합 CloudWatch Logs로 노드 로그 전송(CloudWatch 에이전트)](monitoring-cloudwatch-agent.md) 및 [SSM Agent 로그 보기](ssm-agent-logs.md)(을)를 참조하세요.

**AWS Systems Manager 규정 준수**  
AWS Systems Manager의 도구인 Compliance를 사용하여 관리형 노드 플릿에 대해 패치 규정 준수 및 구성 일관성을 스캔할 수 있습니다. 여러 AWS 계정 및 AWS 리전의 데이터를 수집하여 집계한 후 규정을 준수하지 않는 특정 리소스로 드릴다운할 수 있습니다. 기본적으로 Compliance는 AWS Systems Manager의 도구인 Patch Manager에서 패치에 대한 현재 규정 준수 데이터를 표시하고 AWS Systems Manager의 도구인 State Manager에 연결을 표시합니다. 자세한 내용은 [AWS Systems Manager Compliance](systems-manager-compliance.md) 섹션을 참조하세요.

**AWS Systems Manager Explorer**  
AWS Systems Manager의 도구인 Explorer는 AWS 리소스에 대한 정보를 보고하는 사용자 지정이 가능한 운영 대시보드입니다. Explorer에는 AWS 계정 및 AWS 리전의 운영 데이터(OpsData)에 대한 집계 보기가 표시됩니다. Explorer에서 OpsData에는 EC2 인스턴스에 대한 메타데이터, 패치 규정 준수 세부 정보 및 운영 작업 항목(OpsItems)이 포함됩니다. Explorer는 사업부 또는 애플리케이션에 OpsItems가 분배되는 되는 방식, 시간 경과에 따른 추세 및 범주별 차이점에 대한 컨텍스트를 제공합니다. Explorer에서 정보를 그룹화 및 필터링하여 사용자와 관련이 있고 작업이 필요한 항목에 초점을 맞출 수 있습니다. 자세한 내용은 [AWS Systems Manager Explorer](Explorer.md) 섹션을 참조하세요.

**AWS Systems Manager OpsCenter**  
AWS Systems Manager의 도구인 OpsCenter는 운영 엔지니어와 IT 전문가가 AWS 리소스와 관련된 운영 작업 항목(OpsItems)을 보고, 조사하고, 해결할 수 있는 중앙 위치를 제공합니다. OpsCenter는 각 OpsItem, 관련 OpsItems 및 관련 리소스에 대한 컨텍스트별 조사 데이터를 제공하면서 서비스 전반에 걸쳐 OpsItems를 집계하고 표준화합니다. 또한 OpsCenter는 문제를 신속하게 해결하는 데 사용할 수 있는 AWS Systems Manager의 기능인 Automation 런북을 제공합니다. OpsCenter는 Amazon EventBridge와 통합되어 있습니다. 즉, EventBridge에 이벤트를 게시하는 모든 AWS 서비스에 대해 OpsItems을(를) 자동으로 만드는 EventBridge 규칙을 생성할 수 있습니다. 자세한 내용은 [AWS Systems Manager OpsCenter](OpsCenter.md) 섹션을 참조하세요.

** Amazon Simple Notification Service**  
AWS Systems Manager의 도구인 Run Command 또는 Maintenance Windows를 사용하여 보내는 명령의 상태에 대한 알림을 보내도록 Amazon Simple Notification Service(Amazon SNS)를 구성할 수 있습니다. Amazon SNS는 Amazon SNS 주제를 구독하는 클라이언트 또는 엔드포인트에 알림을 보내고 전송하는 작업을 조정하고 관리합니다. 명령이 새로운 상태로 바뀌거나 `Failed` 또는 `Timed Out` 같은 특정 상태가 될 때마다 알림을 받을 수 있습니다. 여러 노드에 명령을 보내는 경우, 특정 노드로 보낸 각각의 명령 사본에 대해 알림을 받을 수 있습니다. 자세한 내용은 [Amazon SNS 알림을 사용하여 Systems Manager 상태 변경 모니터링](monitoring-sns-notifications.md) 섹션을 참조하세요.

**AWS Trusted Advisor 및 AWS Health Dashboard**  
Trusted Advisor는 수십만 명의 AWS 고객에게 서비스를 제공하면서 익힌 모범 사례를 활용합니다. Trusted Advisor는 AWS 환경을 검사한 후 비용 절감, 시스템 가용성 및 성능 향상 또는 보안 격차를 해결할 기회가 있을 때 권장 사항을 제시합니다. 모든 AWS 고객은 5개의 Trusted Advisor 점검 항목에 액세스할 수 있습니다. AWS Support Business 또는 Enterprise Support 플랜을 보유한 고객은 모든 Trusted Advisor 점검 항목을 볼 수 있습니다. 자세한 내용은 *AWS Support 사용 설명서*의 [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) 및 *[AWS Health 사용 설명서](https://docs.aws.amazon.com/health/latest/ug/)*를 참조하세요.    
**추가 정보**  
+ [AWS Systems Manager에서 로깅 및 모니터링](monitoring.md)

# AWS Systems Manager의 규정 준수 확인
<a name="compliance-validation"></a>

이 주제에서는 타사 보증 프로그램을 규정 준수하는 AWS Systems Manager에 대해 설명합니다. 관리형 노드의 규정 준수 데이터를 보는 방법에 대한 자세한 내용은 섹션을 참조하세요.[AWS Systems Manager Compliance](systems-manager-compliance.md)

서드 파티 감사자는 여러 AWS 규정 준수 프로그램의 일환으로 Systems Manager 서비스의 보안 및 규정 준수를 평가합니다. 여기에는 SOC, PCI, FedRAMP, HIPAA 등이 포함됩니다.

특정 규정 준수 프로그램의 범위 내에 있는 AWS 서비스 목록은 [규정 준수 프로그램 제공 범위 내 AWS 서비스 ](https://aws.amazon.com/compliance/services-in-scope/)을(를) 참조하세요. 일반적인 정보는 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/)을 참조합니다.

AWS Artifact를 사용하여 타사 감사 보고서를 다운로드할 수 있습니다. 자세한 내용은 [AWS Artifact에서 보고서 다운로드](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)를 참조하세요.

Systems Manager 사용 시 규정 준수 책임은 데이터의 민감도, 회사의 규정 준수 목표 및 관련 법률과 규정에 따라 결정됩니다.AWS에서는 규정 준수를 지원할 다음과 같은 리소스를 제공합니다.
+ [보안 및 규정 준수 빠른 시작 안내서](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – 이 배포 안내서에서는 아키텍처 고려 사항에 관해 설명하고 AWS에서 보안 및 규정 준수에 중점을 둔 기본 환경을 배포하기 위한 단계를 제공합니다.
+ [HIPAA 보안 및 규정 준수 백서 설계](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/introduction.html) - 이 백서에서는 기업에서 AWS를 사용하여 HIPAA를 준수하는 애플리케이션을 생성하는 방법을 설명합니다.
+ [AWS 규정 준수 리소스](https://aws.amazon.com/compliance/resources/) - 고객 조직이 속한 산업 및 위치에 적용될 수 있는 워크북 및 안내서 콜렉션 입니다.
+ *AWS Config 개발자 설명서*의 [규칙을 사용하여 리소스 평가](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) – AWS Config서비스는 내부 사례, 산업 지침 및 규제에 대한 리소스 구성의 준수 상태를 평가합니다.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) - 이 AWS 서비스는 보안 산업 표준 및 모범 사례 규정 준수 여부를 확인하는 데 도움이 되도록 AWS 내 보안 상태를 종합적으로 보여줍니다.

# AWS Systems Manager의 복원성
<a name="disaster-recovery-resiliency"></a>

AWS 글로벌 인프라는 AWS 리전 및 가용 영역을 중심으로 구축됩니다. AWS 리전에서는 물리적으로 분리되고 격리된 다수의 가용 영역을 제공하며 이러한 가용 영역은 짧은 대기 시간, 높은 처리량 및 높은 중복성을 갖춘 네트워크에 연결되어 있습니다. 가용 영역을 사용하면 중단 없이 영역 간에 자동으로 장애 극복 조치가 이루어지는 애플리케이션 및 데이터베이스를 설계하고 운영할 수 있습니다. 가용 영역은 기존의 단일 또는 다중 데이터 센터 인프라보다 가용성, 내결함성, 확장성이 뛰어납니다.

AWS 리전 및 가용 영역에 대한 자세한 내용은 [AWS 글로벌 인프라](https://aws.amazon.com/about-aws/global-infrastructure/) 섹션을 참조하세요.

# AWS Systems Manager에서 인프라 보안
<a name="infrastructure-security"></a>

관리형 서비스인 AWS Systems Manager은 AWS 글로벌 네트워크 보안으로 보호됩니다. AWS 보안 서비스와 AWS의 인프라 보호 방법에 대한 자세한 내용은 [AWS 클라우드 보안](https://aws.amazon.com/security/)을 참조하세요. 인프라 보안에 대한 모범 사례를 사용하여 AWS 환경을 설계하려면 *보안 원칙 AWS Well‐Architected Framework*의 [인프라 보호](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)를 참조하세요.

AWS에서 게시한 API 직접 호출을 사용하여 네트워크를 통해 Systems Manager에 액세스합니다. 클라이언트는 다음을 지원해야 합니다.
+ Transport Layer Security(TLS). TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)와 같은 완전 전송 보안(PFS)이 포함된 암호 제품군. Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.

# AWS Systems Manager의 구성 및 취약성 분석
<a name="vulnerability-analysis-and-management"></a>

AWS는 방화벽 구성, 재해 복구와 같은 기본 보안 태스크를 처리합니다. 적합한 제3자가 이 절차를 검토하고 인증하였습니다. 자세한 내용은 다음 리소스를 참조하세요.
+ [AWS Systems Manager의 규정 준수 확인](compliance-validation.md)
+ [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [보안, 자격 증명 및 규정 준수를 위한 모범 사례](https://aws.amazon.com/architecture/security-identity-compliance/)

# Systems Manager의 보안 모범 사례
<a name="security-best-practices"></a>

AWS Systems Manager는 자체 보안 정책을 개발하고 구현할 때 고려해야 할 여러 보안 기능을 제공합니다. 다음 모범 사례는 일반적인 지침이며 완벽한 보안 솔루션을 나타내지는 않습니다. 이러한 모범 사례는 사용자의 환경에 적절하지 않거나 충분하지 않을 수 있으므로 규정이 아닌 참고용으로만 사용하세요.

**Topics**
+ [Systems Manager 예방적 보안 모범 사례](#security-best-practices-prevent)
+ [SSM Agent 설치 모범 사례](#security-best-practices-ssm-agent)
+ [Systems Manager 모니터링 및 감사 모범 사례](#security-best-practices-detect)

## Systems Manager 예방적 보안 모범 사례
<a name="security-best-practices-prevent"></a>

다음과 같은 Systems Manager 모범 사례를 통해 보안 사고를 예방할 수 있습니다.

**최소 권한 액세스 구현**  
권한을 부여할 때 누가 어떤 Systems Manager 리소스에 대해 어떤 권한을 갖는지 결정합니다. 해당 리소스에서 허용할 특정 작업을 허용합니다. 따라서 작업을 수행하는 데 필요한 권한만 부여해야 합니다. 최소 권한 액세스를 구현하는 것이 오류 또는 악의적인 의도로 인해 발생할 수 있는 보안 위험과 영향을 최소화할 수 있는 근본적인 방법입니다.  
다음과 같은 도구를 사용하여 최소 권한 액세스를 구현할 수 있습니다.  
+ [IAM 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) 및 [IAM 엔터티에 대한 권한 경계](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [서비스 제어 정책](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)

**프록시를 사용하도록 구성된 경우 SSM Agent의 권장 설정 사용**  
프록시를 사용하도록 SSM Agent를 구성하는 경우 Systems Manager 인스턴스 메타데이터 서비스의 IP 주소와 함께 `no_proxy` 변수를 사용하여 Systems Manager에 대한 직접 호출 시 프록시 서비스의 자격 증명을 를 사용하지 않도록 합니다.  
자세한 내용은 [SSM Agent를 구성하여 Linux 노드에 프록시 사용](configure-proxy-ssm-agent.md) 및 [Windows Server 인스턴스에 프록시를 사용하도록 SSM Agent 구성](configure-proxy-ssm-agent-windows.md)(을)를 참조하세요.

**SecureString 파라미터를 사용하여 보안 암호 데이터 암호화 및 보호**  
AWS Systems Manager의 도구인 Parameter Store에서 `SecureString` 파라미터는 안전한 방식으로 저장되고 참조되어야 하는 모든 민감한 데이터를 뜻합니다. 암호나 라이선스 키처럼 사용자가 일반 텍스트로 변경하거나 참조하지 않아야 하는 데이터가 있는 경우 `SecureString` 데이터 형식을 사용하여 해당 파라미터를 생성합니다. Parameter Store는 AWS Key Management Service(AWS KMS)의 AWS KMS key를 사용하여 파라미터 값을 암호화합니다. AWS KMS는 파라미터 값을 암호화할 때 고객 관리형 키 또는 AWS 관리형 키를 사용합니다. 보안을 최대한 강화하기 위해서는 자체 KMS 키를 사용하는 것이 좋습니다. AWS 관리형 키를 사용하는 경우 계정에서 [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html) 및 [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html) 작업을 실행할 권한이 있는 사용자는 모든 `SecureString` 파라미터의 콘텐츠를 보거나 검색할 수 있습니다. 고객 관리형 키를 사용하여 보안 `SecureString` 값을 암호화하는 경우 IAM 정책 및 키 정책을 사용하여 파라미터의 암호화 및 복호화를 위한 권한을 관리할 수 있습니다.  
AWS 관리형 키를 사용할 때 이러한 작업에 대한 액세스 제어 정책을 설정하기가 더 어렵습니다. 예를 들어, AWS 관리형 키를 사용하여 `SecureString` 파라미터를 암호화하고 사용자가 `SecureString` 파라미터로 작업하지 않도록 하려는 경우 사용자의 IAM 정책에서 기본 키에 대한 액세스를 명시적으로 거부해야 합니다.  
자세한 내용은 AWS Key Management Service Developer Guide의 [IAM 정책을 사용하여 Parameter Store 파라미터에 대한 액세스 제한](sysman-paramstore-access.md) 및 [How AWS Systems ManagerParameter Store Uses AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html)를 참조하세요.

**문서 파라미터에 대한 allowedValues 및 allowedPattern 정의**  
`allowedValues` 및 `allowedPattern`을 정의하여 Systems Manager 문서(SSM 문서)의 파라미터에 대한 사용자 입력을 검증할 수 있습니다. `allowedValues`의 경우, 파라미터에서 허용되는 값 배열을 정의합니다. 사용자가 허용되지 않는 값을 입력하면 실행이 시작되지 않습니다. `allowedPattern`의 경우, 사용자 입력이 파라미터에 대해 정의된 패턴과 일치하는지 여부를 확인하는 정규 표현식을 정의합니다. 사용자 입력이 허용된 패턴과 일치하지 않으면 실행이 시작되지 않습니다.  
`allowedValues` 및 `allowedPattern`에 대한 자세한 내용은 [데이터 요소 및 파마미터](documents-syntax-data-elements-parameters.md) 섹션을 참조하세요.

**문서의 퍼블릭 공유 차단**  
사용 사례에서 퍼블릭 공유를 허용해야 하는 경우가 아니면 Systems Manager Documents 콘솔의 [**기본 설정(Preferences)**] 섹션에서 SSM 문서의 퍼블릭 공유 차단 설정을 켜는 것이 좋습니다.

**Amazon Virtual Private Cloud(Amazon VPC) 및 VPC 엔드포인트 사용**  
Amazon VPC를 사용하여 사용자가 정의한 가상 네트워크에서 AWS 리소스를 시작할 수 있습니다. 이 가상 네트워크는 AWS의 확장 가능한 인프라를 사용한다는 이점과 함께 고객의 자체 데이터 센터에서 운영하는 기존 네트워크와 매우 유사합니다.  
VPC 엔드포인트를 구현하면 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 AWS Direct Connect 연결 없이도 AWS PrivateLink을(를) 통해 지원되는 AWS 서비스 및 VPC 엔드포인트 서비스에 VPC를 비공개로 연결할 수 있습니다. VPC의 인스턴스는 서비스의 리소스와 통신하는 데 퍼블릭 IP 주소를 필요로 하지 않습니다. VPC와 기타 서비스 간의 트래픽은 Amazon 네트워크를 벗어나지 않습니다.  
Amazon VPC 보안에 대한 자세한 내용은 *Amazon VPC 사용 설명서*의 [Systems Manager용 VPC 엔드포인트를 사용하여 EC2 인스턴스의 보안 개선](setup-create-vpc.md) 및 [Amazon VPC의 네트워크간 트래픽 개인 정보 보호](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)를 참조하세요.

**대화형 명령 및 특정 SSM 세션 문서를 사용하여 Session Manager 사용자를 세션으로 제한**  
AWS Systems Manager의 도구인 Session Manager는 관리형 노드에 대한 [세션을 시작하는 몇 가지 방법](session-manager-working-with-sessions-start.md)을 제공합니다. 가장 안전한 연결을 위해 사용자가 *대화형 명령* 방법을 통해 연결하여 사용자 상호 작용을 특정 명령 또는 명령 시퀀스로 제한하도록 요구할 수 있습니다. 이렇게 하면 사용자가 수행할 수 있는 대화형 작업을 관리할 수 있습니다. 자세한 내용은 [세션 시작(대화형 및 비대화형 명령)](session-manager-working-with-sessions-start.md#sessions-start-interactive-commands) 섹션을 참조하세요.  
보안 강화를 위해 특정 Amazon EC2 인스턴스 및 특정 Session Manager 세션 문서에 대한 Session Manager의 액세스를 제한할 수 있습니다. AWS Identity and Access Management(IAM) 정책을 사용하여 이 방식으로 Session Manager 액세스 권한을 부여하거나 취소할 수 있습니다. 자세한 내용은 [3단계: 관리형 노드에 대한 세션 액세스 제어](session-manager-getting-started-restrict-access.md) 섹션을 참조하세요.

**Automation 워크플로에 대한 임시 노드 권한 제공**  
AWS Systems Manager의 도구인 Automation의 워크플로 중 노드에 해당 실행에만 필요하고 다른 Systems Manager 작업에는 필요하지 않은 권한이 필요할 수 있습니다. 예를 들어 Automation 워크플로에서 노드가 특정 API 작업을 호출하거나 워크플로 중에 특별히 AWS 리소스에 액세스해야 할 수 있습니다. 이러한 호출이나 리소스에 대한 액세스를 제한하려는 경우 IAM 인스턴스 프로파일에 권한을 추가하는 대신 Automation 런북 자체 내에서 노드에 대한 임시 보충 권한을 제공할 수 있습니다. Automation 워크플로가 끝나면 임시 권한이 제거됩니다. 자세한 내용은 *AWS Management and Governance Blog*의 [Providing temporary instance permissions with AWS Systems Manager Automations](https://aws.amazon.com/blogs/mt/providing-temporary-instance-permissions-with-aws-systems-manager-automations/)를 참조하세요.

**최신 상태로 AWS 및 Systems Manager도구 유지**  
AWS는 AWS 및 Systems Manager 작업에 사용할 수 있는 업데이트된 버전의 도구 및 플러그인을 정기적으로 출시합니다. 이러한 리소스를 최신 상태로 유지하면 해당 계정의 사용자와 노드가 이러한 도구의 최신 기능과 보안 기능에 액세스할 수 있습니다.  
+ SSM Agent - AWS Systems Manager 에이전트(SSM Agent)는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, 온프레미스 서버 또는 가상 머신(VM)에 설치 및 구성할 수 있는 Amazon 소프트웨어입니다. SSM Agent를 사용하면 Systems Manager에서 이러한 리소스를 업데이트, 관리 및 구성할 수 있습니다. 최소한 2주마다 새 버전을 확인하거나 에이전트 업데이트를 자동화하는 것이 좋습니다. 자세한 내용은 [SSM Agent 업데이트 자동화](ssm-agent-automatic-updates.md) 섹션을 참조하세요. 또한 업데이트 프로세스의 일부로 SSM Agent 서명을 확인하는 것이 좋습니다. 자세한 내용은 [SSM Agent의 서명 확인](verify-agent-signature.md) 섹션을 참조하세요.
+ AWS CLI - AWS Command Line Interface(AWS CLI)은(는) 명령줄 셸의 명령을 사용하여 AWS 서비스와(과) 상호 작용할 수 있는 오픈 소스 도구입니다. AWS CLI를 업데이트하려면 AWS CLI를 설치하는 데 사용한 것과 동일한 명령을 실행합니다. 로컬 컴퓨터에서 예약된 작업을 생성하여 운영 체제에 적합한 명령을 최소한 2주에 한 번씩 실행하는 것이 좋습니다. 설치 명령에 대한 자세한 내용은 *AWS Command Line Interface 사용 설명서*의 [AWS CLI 버전 2 설치](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)를 참조하세요.
+ AWS Tools for Windows PowerShell - Tools for Windows PowerShell은 AWS SDK for .NET에서 공개하는 기능을 기반으로 구축된 PowerShell 모듈 집합입니다. AWS Tools for Windows PowerShell을 사용하면 PowerShell 명령줄에서 AWS 리소스에 대한 작업을 스크립팅할 수 있습니다. 정기적으로 Tools for Windows PowerShell의 업데이트된 버전이 릴리스될 때 로컬로 실행 중인 버전을 업데이트해야 합니다. 자세한 내용은 *IAM 정책 시뮬레이터 사용 설명서*의 [Windows에서 AWS Tools for Windows PowerShell 업데이트](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-windows.html#pstools-updating) 또는 [Linux macOS에서 AWS Tools for Windows PowerShell 업데이트](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-linux-mac.html#pstools-updating-linux)를 참조하세요.
+ Session Manager 플러그 인 – 조직에서 Session Manager에 대한 사용 권한이 있는 사용자가 AWS CLI를 사용하여 노드에 연결하려는 경우 먼저 로컬 시스템에 Session Manager 플러그 인을 설치해야 합니다. 플러그인을 업데이트하려면 플러그인을 설치하는 데 사용한 것과 동일한 명령을 실행합니다. 로컬 컴퓨터에서 예약된 작업을 생성하여 운영 체제에 적합한 명령을 최소한 2주에 한 번씩 실행하는 것이 좋습니다. 자세한 내용은 [AWS CLI의 Session Manager 플러그인 설치](session-manager-working-with-install-plugin.md) 섹션을 참조하세요.
+ CloudWatch 에이전트 - CloudWatch 에이전트를 구성하고 사용하여 EC2 인스턴스, 온프레미스 인스턴스 및 가상 머신(VM)에서 지표와 로그를 수집할 수 있습니다. 이러한 로그는 모니터링 및 분석을 위해 Amazon CloudWatch Logs로 전송할 수 있습니다. 최소한 2주마다 새 버전을 확인하거나 에이전트 업데이트를 자동화하는 것이 좋습니다. 간단하게 업데이트하려면 AWS Systems Manager 빠른 설치를 사용하세요. 자세한 내용은 [AWS Systems Manager Quick Setup](systems-manager-quick-setup.md) 섹션을 참조하세요.

## SSM Agent 설치 모범 사례
<a name="security-best-practices-ssm-agent"></a>

SSM Agent를 설치할 때 시스템 유형에 적합한 설치 방법을 사용합니다. 특히 [하이브리드 및 멀티클라우드](operating-systems-and-machine-types.md#supported-machine-types) 환경에서 non-EC2 모든 설치에 `ssm-setup-cli` 도구를 사용합니다. 이 도구는 non-EC2 시스템에 대한 추가 보안 보호를 제공합니다.

온프레미스 서버 및 가상 머신에 에이전트를 설치하려면 다음 주제에 설명된 대로 `ssm-setup-cli` 도구를 사용합니다.
+ [하이브리드 Linux 노드에 SSM Agent 설치](hybrid-multicloud-ssm-agent-install-linux.md)
+ [하이브리드 Windows Server 노드에 SSM Agent 설치](hybrid-multicloud-ssm-agent-install-windows.md)

EC2 인스턴스에 에이전트를 설치하려면 운영 체제 유형에 적합한 설치 절차를 사용합니다.
+ [Linux용 EC2 인스턴스에 수동으로 SSM Agent 설치 및 제거](manually-install-ssm-agent-linux.md)
+ [SSM Agent용 EC2 인스턴스에 수동으로 macOS 설치 및 제거](manually-install-ssm-agent-macos.md)
+ [SSM Agent용 EC2 인스턴스에 수동으로 Windows Server 설치 및 제거](manually-install-ssm-agent-windows.md)

## Systems Manager 모니터링 및 감사 모범 사례
<a name="security-best-practices-detect"></a>

다음과 같은 Systems Manager 모범 사례가 잠재적 보안 약점과 사고를 탐지하는 데 도움이 됩니다.

**모든 Systems Manager 리소스 식별 및 감사**  
IT 자산 식별은 거버넌스와 보안의 중요한 측면입니다. 모든 Systems Manager 리소스를 식별하여 보안 상태를 평가하고 잠재적 취약 영역에 대해 조치를 취해야 합니다.  
Tag Editor를 사용하여 보안이나 감사에 민감한 리소스를 식별한 후, 이 리소스를 검색해야 할 때 태그를 이용하세요. 자세한 내용은 *AWS Resource Groups 사용 설명서*의 [태그를 지정할 리소스 찾기](https://docs.aws.amazon.com/ARG/latest/userguide/find-resources-to-tag.html)를 참조하세요.  
Systems Manager 리소스의 리소스 그룹을 만드세요. 자세한 내용은 [Resource Groups이란 무엇인가요?](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html)를 참조하세요.

**Amazon CloudWatch 모니터링 도구를 사용하여 모니터링 구현**  
모니터링은 Systems Manager와 사용자 AWS 솔루션의 안정성, 보안, 가용성 및 성능을 유지하는 중요한 역할을 합니다. Amazon CloudWatch는 Systems Manager와(과) 다른 AWS 서비스을(를) 모니터링하는 데 도움이 되는 몇 가지 도구와 서비스를 제공합니다. 자세한 내용은 [통합 CloudWatch Logs로 노드 로그 전송(CloudWatch 에이전트)](monitoring-cloudwatch-agent.md) 및 [Amazon EventBridge로 Systems Manager 이벤트 모니터링](monitoring-eventbridge-events.md)을(를) 참조하세요.

**CloudTrail 사용**  
AWS CloudTrail은(는) Systems Manager에서 사용자, 역할 또는 AWS 서비스이(가) 수행한 작업에 대한 기록을 제공합니다. CloudTrail에서 수집한 정보를 사용하여 Systems Manager에 수행된 요청, 요청이 수행된 IP 주소, 요청을 수행한 사람, 요청이 수행된 시간 및 추가 세부 정보를 확인할 수 있습니다. 자세한 내용은 [AWS CloudTrail를 사용하여 AWS Systems Manager API 호출 로깅](monitoring-cloudtrail-logs.md) 섹션을 참조하세요.

**AWS Config 켜기**  
AWS Config를 사용하면 AWS 리소스의 구성을 평가, 감사 및 측정할 수 있습니다. AWS Config는 리소스 구성을 모니터링하여 필요한 보안 구성을 기준으로 기록된 구성을 평가할 수 있게 합니다. AWS Config를 사용하면 AWS 리소스 간 구성 및 관계 변화를 검토하고, 자세한 리소스 구성 기록을 조사하고, 내부 지침에 지정되어 있는 구성을 기준으로 전반적인 규정 준수 여부를 확인할 수 있습니다. 이를 사용하면 규정 준수 감사, 보안 분석, 변경 관리 및 운영 문제 해결 작업을 간소화할 수 있습니다. 자세한 내용은 *AWS Config 개발자 안내서*의 [콘솔을 통해 AWS Config 설정](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)을 참조하세요. 기록할 리소스 유형을 지정할 때 Systems Manager 리소스를 포함해야 합니다.

**AWS 보안 공지 모니터링**  
AWS 계정의 Trusted Advisor에 게시되는 보안 권고 사항을 정기적으로 확인해야 합니다. 이는 [describe-trusted-advisor-checks](https://docs.aws.amazon.com/cli/latest/reference/support/describe-trusted-advisor-checks.html)를 사용하여 프로그래밍 방식으로 수행하면 됩니다.  
뿐만 아니라, 각 AWS 계정에 등록된 기본 이메일 주소를 적극적으로 모니터링하세요. 사용자에게 영향을 줄 수 있는 보안 문제가 생기면 AWS에서 이 이메일 주소를 사용하여 연락 드립니다.  
널리 영향을 미치는 AWS 운영 문제는 [AWS Service Health Dashboard](https://status.aws.amazon.com/)에 게시됩니다. Personal Health Dashboard를 통해 개별 계정에도 운영 문제가 게시됩니다. 자세한 내용은 [AWS Health 설명서](https://docs.aws.amazon.com/health/)를 참조하세요.

**추가 정보**  
+ [보안, 자격 증명 및 규정 준수를 위한 모범 사례](https://aws.amazon.com/architecture/security-identity-compliance/)
+ [Getting Started: Follow Security Best Practices as You Configure Your AWS Resources](https://aws.amazon.com/blogs/security/getting-started-follow-security-best-practices-as-you-configure-your-aws-resources/)(AWS Security Blog)
+ [IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [AWS CloudTrail의 보안 모범 사례](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/best-practices-security.html)
+ [Amazon S3의 보안 모범 사례](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)
+ [AWS Key Management Service의 보안 모범 사례](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html)