기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 에 대한 자격 증명 기반 정책 예제 AWS PrivateLink
기본적으로 사용자 및 역할에는 AWS PrivateLink 리소스를 생성하거나 수정할 수 있는 권한이 없습니다. 사용자에게 사용자가 필요한 리소스에서 작업을 수행할 권한을 부여하려면 IAM 관리자가 IAM 정책을 생성하면 됩니다.
이러한 예제 JSON 정책 문서를 사용하여 IAM ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*의 [IAM 정책 생성(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)을 참조하세요.
각 리소스 유형에 대한 ARNs 형식을 포함하여 AWS PrivateLink에서 정의한 작업 및 리소스 유형에 대한 자세한 내용은 *서비스 승인* 참조의 [ Amazon EC2에 사용되는 작업, 리소스 및 조건 키를](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html) 참조하세요.
**Topics**
+ [VPC 엔드포인트 사용 제어](#endpoints-example)
+ [서비스 소유자를 기반으로 VPC 엔드포인트 생성 제어](#create-endpoints-example)
+ [VPC 엔드포인트 서비스에 대해 지정할 수 있는 프라이빗 DNS 이름 제어](#private-dns-name-example)
+ [VPC 엔드포인트 서비스에 대해 지정할 수 있는 서비스 이름 제어](#service-names-example)
## VPC 엔드포인트 사용 제어
기본적으로 사용자에게는 엔드포인트 사용 권한이 없습니다. ID 기반 정책을 생성하여 사용자에게 엔드포인트를 생성, 수정, 설명, 삭제할 수 있는 권한을 부여할 수 있습니다. 다음은 예입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action":"ec2:*VpcEndpoint*",
"Resource":"*"
}
]
}
```
------
VPC 엔드포인트를 사용하는 서비스에 대한 액세스 제어에 대한 자세한 내용은 [엔드포인트 정책을 사용하여 VPC 엔드포인트에 대한 액세스 제어](vpc-endpoints-access.md) 섹션을 참조하세요.
## 서비스 소유자를 기반으로 VPC 엔드포인트 생성 제어
`ec2:VpceServiceOwner` 조건 키를 사용하여 서비스를 소유한 사람(`amazon`, `aws-marketplace` 또는 계정 ID) 기준으로 생성 가능한 VPC 엔드포인트를 제어할 수 있습니다. 다음 예제에서는 지정된 서비스 소유자에게 VPC 엔드포인트를 생성할 수 있는 권한을 부여합니다. 이 예제를 사용하려면 리전, 계정 ID 및 서비스 소유자를 대체해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:us-east-1:111111111111:vpc/*",
"arn:aws:ec2:us-east-1:111111111111:security-group/*",
"arn:aws:ec2:us-east-1:111111111111:subnet/*",
"arn:aws:ec2:us-east-1:111111111111:route-table/*"
]
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:us-east-1:111111111111:vpc-endpoint/*"
],
"Condition": {
"StringEquals": {
"ec2:VpceServiceOwner": [
"amazon"
]
}
}
}
]
}
```
------
## VPC 엔드포인트 서비스에 대해 지정할 수 있는 프라이빗 DNS 이름 제어
VPC 엔드포인트 서비스와 연결된 프라이빗 DNS 이름을 기준으로 수정 또는 생성 가능한 VPC 엔드포인트 서비스를 `ec2:VpceServicePrivateDnsName` 조건 키를 사용하여 제어할 수 있습니다. 다음 예제에서는 지정된 프라이빗 DNS 이름에 VPC 엔드포인트 서비스를 생성할 수 있는 권한을 부여합니다. 이 예제를 사용하려면 리전, 계정 ID 및 프라이빗 DNS 이름을 대체해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:ModifyVpcEndpointServiceConfiguration",
"ec2:CreateVpcEndpointServiceConfiguration"
],
"Resource": [
"arn:aws:ec2:us-east-1:111111111111:vpc-endpoint-service/*"
],
"Condition": {
"StringEquals": {
"ec2:VpceServicePrivateDnsName": [
"example.com"
]
}
}
}
]
}
```
------
## VPC 엔드포인트 서비스에 대해 지정할 수 있는 서비스 이름 제어
VPC 엔드포인트 서비스 이름을 기준으로 생성 가능한 VPC 엔드포인트를 `ec2:VpceServiceName` 조건 키를 사용하여 제어할 수 있습니다. 다음 예제에서는 지정된 서비스 이름에 VPC 엔드포인트를 생성할 수 있는 권한을 부여합니다. 이 예제를 사용하려면 리전, 계정 ID 및 서비스 이름을 대체해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:us-east-1:111111111111:vpc/*",
"arn:aws:ec2:us-east-1:111111111111:security-group/*",
"arn:aws:ec2:us-east-1:111111111111:subnet/*",
"arn:aws:ec2:us-east-1:111111111111:route-table/*"
]
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:us-east-1:111111111111:vpc-endpoint/*"
],
"Condition": {
"StringEquals": {
"ec2:VpceServiceName": [
"com.amazonaws.111111111111.s3"
]
}
}
}
]
}
```
------