절감형 플랜에 사용되는 Identity and Access Management - 절감형 플랜
정책 구조AWS 관리형 정책정책 예제

절감형 플랜에 사용되는 Identity and Access Management

AWS Identity and Access Management(IAM)은 관리자가 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있도록 지원하는 AWS 서비스입니다. 관리자는 AWS 계정에서 사용자가 맡을 수 있는 역할을 만들 수 있습니다. 사용자가 AWS 리소스를 사용하여 작업을 수행할 수 있는 권한을 제어합니다. IAM은 추가 요금 없이 사용할 수 있습니다.

기본적으로 사용자는 절감형 플랜 리소스 및 작업에 대한 권한이 없습니다. 사용자가 절감형 플랜 리소스를 관리할 수 있으려면 해당 사용자에게 권한을 위임하는 역할을 생성해야 합니다. IAM 사용 설명서에 나와 있는 사용자의 역할 생성 지침을 참조합니다.

정책 구조

IAM 정책은 하나 이상의 문으로 구성된 JSON 문서입니다. 각 명령문의 구조는 다음과 같습니다.

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
        "key":"value"
        }
      }
    }
  ]
}

명령문을 이루는 요소는 다양합니다.

  • 효과(Effect): 효과(effect)Allow 또는 Deny일 수 있습니다. 기본적으로 사용자에게는 리소스 및 API 작업을 사용할 권한이 없으므로 모든 요청이 거부됩니다. 명시적 허용은 기본 설정을 무시합니다. 명시적 거부는 모든 허용을 무시합니다.

  • 작업: 작업은 권한을 부여하거나 거부할 특정 API 작업입니다.

  • 리소스: 작업의 영향을 받는 리소스입니다. 일부 Amazon EC2 API 작업의 경우 작업이 생성하거나 수정할 수 있는 리소스를 정책에 구체적으로 포함할 수 있습니다. 문에서 리소스를 지정하려면 Amazon 리소스 이름(ARN)을 사용해야 합니다. 자세한 내용은 절감형 플랜에서 정의한 작업에서 참조하세요.

  • 조건: 조건은 선택 사항입니다. 정책이 적용되는 시점을 제어하는 데 사용할 수 있습니다. 자세한 내용은 절감형 플랜의 조건 키에서 참조하세요.

AWS 관리형 정책

AWS가 생성한 관리형 정책은 일반 사용 사례에서 필요한 권한을 부여합니다. 사용자가 맡을 수 있는 역할을 생성한 후 필요한 액세스 권한에 따라 정책을 해당 역할에 연결할 수 있습니다. 각 정책은 절감형 플랜에 대한 API 작업 모두 또는 일부에 대한 액세스 권한을 부여합니다.

절감형 플랜의 AWS 관리형 정책은 다음과 같습니다.

  • AWSSavingsPlansFullAccess - 절감형 플랜에 대한 전체 액세스 권한을 부여합니다.

  • AWSSavingsPlansReadOnlyAccess - 절감형 플랜에 대한 읽기 전용 액세스 권한을 부여합니다.

정책 예제

IAM 정책 문에는 IAM을 지원하는 모든 서비스의 모든 API 작업을 지정할 수 있습니다. 절감형 플랜의 경우 다음 접두사와 함께 API 작업 이름을 사용합니다(savingsplans:). 예:

  • savingsplans:CreateSavingsPlan

  • savingsplans:DescribeSavingsPlans

문 하나에 여러 작업을 지정하려면 다음과 같이 쉼표로 구분합니다.

"Action": ["savingsplans:action1", "savingsplans:action2"]

와일드카드를 사용하여 여러 작업을 지정할 수도 있습니다. 예를 들어 다음과 같이 이름이 ‘Describe’로 시작되는 모든 절감형 플랜 API 작업을 지정할 수 있습니다.

"Action": "savingsplans:Describe*"

모든 절감형 플랜 API 작업을 지정하려면 다음과 같이 * 와일드카드를 사용합니다.

"Action": "savingsplans:*"