# 직무에 관한 AWS 관리형 정책
[최소 권한 부여](best-practices.md#grant-least-privilege) 또는 작업 수행에 요구되는 권한만 부여하는 정책을 사용하는 것이 좋습니다. 최소 권한을 부여하는 가장 안전한 방법은 팀에 필요한 권한만 있는 사용자 지정 정책을 작성하는 것입니다. 필요한 경우 팀에서 추가 권한을 요청할 수 있는 프로세스를 만들어야 합니다. 팀에 필요한 권한만 제공하는 [IAM 고객 관리형 정책을 생성](access_policies_create-console.md)하기 위해서는 시간과 전문 지식이 필요합니다.
IAM 자격 증명(사용자, 사용자 그룹 및 역할)에 대한 권한을 추가하려면 [AWS 관리형 정책](access_policies_managed-vs-inline.md#aws-managed-policies)을 사용할 수 있습니다. AWS 관리형 정책은 일반적인 사용 사례를 다루며 사용자의 AWS 계정에서 사용할 수 있습니다. AWS 관리형 정책은 최소 권한을 부여하지 않습니다. 보안 주체가 작업을 수행하는 데 필요한 것보다 더 많은 권한을 부여할 경우 보안 위험을 고려해야 합니다.
AWS 관리형 정책(작업 기능 포함)을 모든 IAM 자격 증명에 연결할 수 있습니다. 최소 권한으로 전환하려면 AWS Identity and Access Management 및 Access Analyzer를 실행하여 AWS 관리형 정책으로 보안 주체를 모니터링합니다. 사용 권한을 학습한 후 사용자 지정 정책을 작성하거나 팀에 필요한 권한만 있는 정책을 생성할 수 있습니다. 이는 덜 안전하지만 팀에서 AWS를 어떻게 사용하는지 학습할 수록 더 많은 유연성을 제공합니다..
직무에 관한 AWS 관리형 정책은 IT 업계의 일반적인 직무 기능과 긴밀하게 연결되도록 구성됩니다. 이 정책을 적용하면 특정 직무 담당자에게 기대되는 작업 수행에 필요한 권한을 부여할 수 있습니다. 이 정책은 여러 서비스에 대한 권한을 정책 하나에 통합하기 때문에, 여러 정책에 권한이 분산되어 있는 경우보다 업무 절차가 간소합니다.
**역할을 이용한 서비스 결합**
일부 정책은 IAM 서비스 역할을 이용하여 다른 AWS 서비스에 포함된 기능을 활용할 수 있도록 지원합니다. 이 정책은 `iam:passrole`에 대한 액세스를 허용하여, 정책에 정의된 사용자가 역할을 AWS 서비스에 전달할 수 있도록 합니다. 이 역할은 AWS 서비스에서 사용자를 대행할 수 있도록 IAM 권한을 위임합니다.
필요에 따라 역할을 만들어야 합니다. 예를 들어 네트워크 관리자 정책은 정책을 지닌 사용자가 ‘flow-logs-vpc’라는 역할을 Amazon CloudWatch 서비스로 전달하도록 허용합니다. CloudWatch는 이 역할을 사용하여 사용자가 생성한 VPC의 IP 트래픽을 로그하고 캡처합니다.
보안 모범 사례를 따르기 위해 직무 기능에 관한 정책에는 전달할 수 있는 유효한 역할의 이름을 제한하는 필터가 포함되어 있습니다. 따라서 불필요한 권한을 부여할 가능성이 없습니다. 사용자가 선택적 서비스 역할을 필요로 할 경우, 정책에 정의된 명명 규칙에 따라 역할을 만들어야 합니다. 그런 다음 해당 역할에 권한을 부여합니다. 그러면 사용자는 역할이 제공하는 모든 권한을 부여해 서비스에서 이 역할을 사용하도록 구성할 수 있습니다.
다음 섹션에서 각 정책의 이름에는 AWS Management Console의 정책 세부 정보 페이지로 이동하는 링크가 연결되어 있습니다. 해당 페이지에서 정책 문서를 확인하고 부여된 권한을 검토할 수 있습니다.
## 관리자 직무
**AWS 관리형 정책 이름:** [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess)
**사용 사례:** 이 사용자는 모든 액세스를 가지며 AWS 내 모든 서비스와 리소스에 권한을 위임할 수 있습니다.
**정책 업데이트** AWS는 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 **정책 버전(Policy versions)** 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 [직무에 관한 AWS 관리형 정책 업데이트](#security-iam-awsmanpol-jobfunction-updates) 섹션을 참조하세요.
**정책 설명:** 이 정책은 모든 AWS 서비스와 계정 내 모든 리소스에 대한 모든 작업을 허용합니다. 관리형 정책에 대한 자세한 내용은 *AWS 관리형 정책 참조 가이드*의 [AdministratorAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AdministratorAccess.html)를 참조하세요.
**참고**
IAM 사용자 또는 역할이 이 정책의 권한을 통해 AWS 결제 및 비용 관리 콘솔에 액세스할 수 있으려면, 먼저 IAM 사용자 및 역할 액세스를 활성화해야 합니다. 이를 위해 [결제 콘솔에 대한 액세스 권한 부여](getting-started-account-iam.md)의 지침을 따라 결제 콘솔에 액세스를 위임합니다.
## 결제 직무
**AWS 관리형 정책 이름:** [Billing](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/Billing)
**사용 사례:** 이 사용자는 결제 정보를 확인하고 지불을 설정 및 승인해야 합니다. 사용자가 전체 AWS 서비스에 누적된 비용을 모니터링할 수 있습니다.
**정책 업데이트** AWS는 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 **정책 버전(Policy versions)** 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 [직무에 관한 AWS 관리형 정책 업데이트](#security-iam-awsmanpol-jobfunction-updates) 섹션을 참조하세요.
**정책 설명:** 이 정책은 결제 관리, 비용, 결제 방법, 예산, 보고서 등에 필요한 모든 권한을 부여합니다. 추가적인 비용 관리 정책 예는 *AWS 결제 및 비용 관리 사용 설명서*의 [AWS Billing 정책 예](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html)를 참조하세요. 관리형 정책에 대한 자세한 내용은 *AWS 관리형 정책 참조 가이드*의 [Billing](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/Billing.html)를 참조하세요.
**참고**
IAM 사용자 또는 역할이 이 정책의 권한을 통해 AWS 결제 및 비용 관리 콘솔에 액세스할 수 있으려면, 먼저 IAM 사용자 및 역할 액세스를 활성화해야 합니다. 이를 위해 [결제 콘솔에 대한 액세스 권한 부여](getting-started-account-iam.md)의 지침을 따라 결제 콘솔에 액세스를 위임합니다.
## 데이터베이스 관리자 직무
**AWS 관리형 정책 이름:** [DatabaseAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DatabaseAdministrator)
**사용 사례:** 이 사용자는 AWS 클라우드에서 데이터베이스를 설정, 구성, 유지합니다.
**정책 업데이트** AWS는 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 **정책 버전(Policy versions)** 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 [직무에 관한 AWS 관리형 정책 업데이트](#security-iam-awsmanpol-jobfunction-updates) 섹션을 참조하세요.
**정책 설명:** 이 정책은 데이터베이스를 생성, 구성, 유지할 수 있는 권한을 부여합니다. 여기에는 Amazon DynamoDB, Amazon Relational Database Service(RDS) 및 Amazon Redshift와 같은 AWS데이터베이스 서비스에 대한 액세스가 포함됩니다. 이 정책이 지원하는 데이터베이스 서비스의 전체 목록에 대한 정책을 봅니다. 관리형 정책에 대한 자세한 내용은 *AWS 관리형 정책 참조 가이드*의 [DatabaseAdministrator](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/DatabaseAdministrator.html)를 참조하세요.
이 직무 정책은 AWS 서비스로 역할을 전달할 수 있는 기능을 지원합니다. 이 정책은 다음 표에 명시된 역할에만 `iam:PassRole` 작업을 허용합니다. 자세한 내용은 이 주제의 후반부에서 [역할 생성 및 정책 연결(콘솔)](access_policies_job-functions_create-policies.md) 섹션을 참조하세요.
| 사용 사례: | 역할 이름(\$1는 와일드카드) | 선택할 서비스 역할 유형 | 이 AWS 관리형 정책 선택 |
| --- | --- | --- | --- |
| 사용자가 RDS 데이터베이스를 모니터링하도록 허용 | [rds-monitoring-role](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) | 확장 모니터링에 대한 Amazon RDS 역할 | [AmazonRDSEnhancedMonitoringRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonRDSEnhancedMonitoringRole) |
| AWS Lambda의 데이터베이스 모니터링과 외부 데이터베이스 액세스를 허용 | [rdbms-lambda-access](https://aws.amazon.com/blogs/big-data/from-sql-to-microservices-integrating-aws-lambda-with-relational-databases) | Amazon EC2 | [AWSLambda\$1FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSLambda_FullAccess) |
| Lambda가 DynamoDB를 사용하여 Amazon S3 및 Amazon Redshift 클러스터에 파일을 업로드하도록 허용 | [lambda\$1exec\$1role](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader) | AWS Lambda | [AWS 빅 데이터 블로그](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader)에 정의된 대로 새로운 관리형 정책 구성 |
| Lambda 기능이 DynamoDB 테이블의 트리거 역할을 하도록 허용 | [lambda-dynamodb-\$1](https://docs.aws.amazon.com/lambda/latest/dg/with-ddb.html) | AWS Lambda | [AWSLambdaDynamoDBExecutionRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaDynamoDBExecutionRole) |
| Lambda 기능이 VPC에서 Amazon RDS에 액세스하도록 허용 | [lambda-vpc-execution-role](https://docs.aws.amazon.com/lambda/latest/dg/vpc-rds.html) | [AWS Lambda개발자 가이드](https://docs.aws.amazon.com/lambda/latest/dg/vpc-rds.html)에 정의된 대로 신뢰 정책으로 역할 생성 | [AWSLambdaVPCAccessExecutionRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaVPCAccessExecutionRole) |
| AWS Data Pipeline가 AWS 리소스에 액세스하도록 허용 | [DataPipelineDefaultRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | [AWS Data Pipeline 개발자 가이드](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html)에 정의된 대로 신뢰 정책으로 역할 생성 | AWS Data Pipeline 설명서에는 이 사용 사례에 필요한 사용 권한이 나열됩니다. [AWS Data Pipeline에 대한 IAM 역할](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) 참조 |
| Amazon EC2 인스턴스에서 실행 중인 애플리케이션이 AWS 리소스에 액세스하도록 허용 | [DataPipelineDefaultResourceRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | [AWS Data Pipeline 개발자 가이드](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html)에 정의된 대로 신뢰 정책으로 역할 생성 | [AmazonEC2RoleforDataPipelineRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEC2RoleforDataPipelineRole) |
## 데이터 사이언티스트 직무
**AWS 관리형 정책 이름:** [DataScientist](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DataScientist)
**사용 사례:** 이 사용자는 Hadoop 작업과 쿼리를 실행합니다. 또한 데이터 분석 및 비즈니스 인텔리전스에 관한 정보에 액세스하고 이를 분석합니다.
**정책 업데이트** AWS는 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 **정책 버전(Policy versions)** 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 [직무에 관한 AWS 관리형 정책 업데이트](#security-iam-awsmanpol-jobfunction-updates) 섹션을 참조하세요.
**정책 설명:** 이 정책은 Amazon EMR 클러스터에서 쿼리를 생성, 관리, 실행하고 Amazon QuickSight 같은 도구로 데이터 분석을 수행할 수 있는 권한을 부여합니다. 이 정책에는 AWS Data Pipeline, Amazon EC2, Amazon Kinesis, Amazon Machine Learning, SageMaker AI와 같은 추가적인 데이터 과학 서비스에 대한 액세스가 포함됩니다. 이 정책이 지원하는 데이터 과학자 서비스의 전체 목록에 대한 정책을 봅니다. 관리형 정책에 대한 자세한 내용은 *AWS 관리형 정책 참조 가이드*의 [DataScientist](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/DataScientist.html)를 참조하세요.
이 직무 정책은 AWS 서비스로 역할을 전달할 수 있는 기능을 지원합니다. 한 개의 명령문으로 역할을 SageMaker에 전달할 수 있습니다. 또 다른 문은 다음 표에 명시된 역할에만 `iam:PassRole` 작업을 허용합니다. 자세한 내용은 이 주제의 후반부에서 [역할 생성 및 정책 연결(콘솔)](access_policies_job-functions_create-policies.md) 섹션을 참조하세요.
| 사용 사례: | 역할 이름(\$1는 와일드카드) | 선택할 서비스 역할 유형 | 선택할 AWS 관리형 정책 |
| --- | --- | --- | --- |
| 클러스터에 적합한 서비스와 리소스에 대한 Amazon EC2 인스턴스 액세스를 허용 | [EMR-EC2\$1DefaultRole](https://docs.aws.amazon.com/emr/latest/DeveloperGuide/emr-iam-roles-defaultroles.html) | EC2에 대한 Amazon EMR | [AmazonElasticMapReduceforEC2Role](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonElasticMapReduceforEC2Role) |
| Amazon EMR이 클러스터에 대한 Amazon EC2 서비스와 리소스에 액세스하도록 허용 | [EMR\$1DefaultRole](https://docs.aws.amazon.com/emr/latest/DeveloperGuide/emr-iam-roles-defaultroles.html) | Amazon EMR | [AmazonEMRServicePolicy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2) |
| Apache Flink용 Kinesis 관리형 서비스가 스트리밍 데이터 소스에 액세스하도록 허용 | [kinesis-\$1](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader) | [AWS 빅 데이터 블로그](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader)에 정의된 대로 신뢰 정책으로 역할을 생성합니다. | 사용 사례에 따라 네 가지 가능한 옵션을 소개한 [AWS 빅 데이터 블로그](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader) 참조 |
| AWS Data Pipeline가 AWS 리소스에 액세스하도록 허용 | [DataPipelineDefaultRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | [AWS Data Pipeline 개발자 가이드](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html)에 정의된 대로 신뢰 정책으로 역할 생성 | AWS Data Pipeline 설명서에는 이 사용 사례에 필요한 사용 권한이 나열됩니다. [AWS Data Pipeline에 대한 IAM 역할](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) 참조 |
| Amazon EC2 인스턴스에서 실행 중인 애플리케이션이 AWS 리소스에 액세스하도록 허용 | [DataPipelineDefaultResourceRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | [AWS Data Pipeline 개발자 가이드](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html)에 정의된 대로 신뢰 정책으로 역할 생성 | [AmazonEC2RoleforDataPipelineRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEC2RoleforDataPipelineRole) |
## 개발자 고급 사용자 직무
**AWS 관리형 정책 이름:** [PowerUserAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/PowerUserAccess)
**사용 사례:** 이 사용자는 애플리케이션 개발 작업을 수행하며, AWS 인식 애플리케이션 개발을 지원하는 리소스와 서비스를 생성하고 구성할 수 있습니다.
**정책 업데이트** AWS는 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 **정책 버전(Policy versions)** 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 [직무에 관한 AWS 관리형 정책 업데이트](#security-iam-awsmanpol-jobfunction-updates) 섹션을 참조하세요.
**정책 설명:** 이 정책의 첫 번째 설명문은 [`NotAction`](reference_policies_elements_notaction.md) 요소를 사용하여 모든 AWS 서비스와 모든 리소스(AWS Identity and Access Management, AWS Organizations 및 AWS Account Management 제외)에 대해 모든 작업을 허용합니다. 두 번째 설명문은 서비스에 연결된 역할을 생성할 수 있는 IAM 권한을 부여합니다. 이것은 Amazon S3 버킷처럼 다른 서비스에서 리소스에 액세스해야 하는 서비스에 필요합니다. 또한 관리 계정 이메일과 조직 한도 등 사용자 조직에 대한 정보를 볼 AWS Organizations 권한을 부여합니다. 이 정책은 IAM 및 AWS Organizations를 제한하지만 IAM Identity Center가 활성화된 경우 사용자가 모든 IAM Identity Center 작업을 수행할 수 있습니다. 또한 계정에 대해 활성화 또는 비활성화된 AWS 리전을 볼 수 있는 계정 관리 권한을 부여합니다.
## 네트워크 관리자 직무
**AWS 관리형 정책 이름:** [NetworkAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/NetworkAdministrator)
**사용 사례:** 이 사용자는 AWS 네트워크 리소스를 설정하고 유지하는 작업을 담당합니다.
**정책 업데이트** AWS는 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 **정책 버전(Policy versions)** 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 [직무에 관한 AWS 관리형 정책 업데이트](#security-iam-awsmanpol-jobfunction-updates) 섹션을 참조하세요.
**정책 설명:** 이 정책은 Auto Scaling, Amazon EC2, AWS Direct Connect, Route 53, Amazon CloudFront, Elastic Load Balancing, AWS Elastic Beanstalk, Amazon SNS, CloudWatch, CloudWatch Logs, Amazon S3, IAM, Amazon Virtual Private Cloud의 네트워크 리소스를 생성하고 유지할 수 있는 권한을 부여합니다. 관리형 정책에 대한 자세한 내용은 *AWS 관리형 정책 참조 가이드*의 [NetworkAdministrator](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/NetworkAdministrator.html)를 참조하세요.
이 직무는 AWS 서비스로 역할을 전달할 수 있는 기능을 필요로 합니다. 이 정책은 다음 표에 명시된 역할에만 `iam:GetRole` 및 `iam:PassRole`을 허용합니다. 자세한 내용은 이 주제의 후반부에서 [역할 생성 및 정책 연결(콘솔)](access_policies_job-functions_create-policies.md) 섹션을 참조하세요.
| 사용 사례: | 역할 이름(\$1는 와일드카드) | 선택할 서비스 역할 유형 | 선택할 AWS 관리형 정책 |
| --- | --- | --- | --- |
| Amazon VPC가 사용자를 대신해 CloudWatch Logs의 로그를 생성하고 관리하여 VPC로 들어오고 나가는 IP 트래픽을 모니터링하도록 허용 | [flow-logs-\$1](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-iam) | [Amazon VPC 사용 가이드](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-iam)에 정의된 대로 신뢰 정책으로 역할 생성 | 이 사용 사례에는 기존 AWS 관리형 정책이 없지만 설명서에는 필요한 권한이 나열되어 있습니다. [Amazon VPC 사용 설명서](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-iam)를 참조하세요. |
## 읽기 전용 액세스
**AWS 관리형 정책 이름:** [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ReadOnlyAccess)
**사용 사례:** 이 사용자는 AWS 계정의 모든 리소스에 대한 읽기 전용 액세스가 필요합니다.
**중요**
또한 이 사용자는 Amazon S3 버킷 및 Amazon DynamoDB 테이블과 같은 스토리지 서비스의 데이터를 읽을 수 있는 액세스 권한이 있습니다.
**정책 업데이트** AWS는 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 **정책 버전(Policy versions)** 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 [직무에 관한 AWS 관리형 정책 업데이트](#security-iam-awsmanpol-jobfunction-updates) 섹션을 참조하세요.
**정책 설명:** 이 정책은 리소스와 해당 속성을 나열하고, 가져오고, 설명하고 볼 수 있는 권한을 부여합니다. 생성 또는 삭제와 같은 변형 기능은 포함되지 않습니다. 이 정책에는 보안 관련 AWS 서비스(예: AWS Identity and Access Management 및 AWS 결제 및 비용 관리)에 대한 읽기 전용 액세스가 포함됩니다. 이 정책이 지원하는 서비스 및 작업의 전체 목록에 대한 정책을 봅니다. 관리형 정책에 대한 자세한 내용은 *AWS 관리형 정책 참조 가이드*의 [ReadOnlyAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/ReadOnlyAccess.html)를 참조하세요. 스토리지 서비스의 데이터를 읽을 액세스 권한을 부여하지 않는 유사한 정책이 필요한 경우 [보기 전용 사용자 직무](#jf_view-only-user) 섹션을 참조하세요.
## MCP 서비스 작업 전체 액세스
**AWS 관리형 정책 이름:** [AWSMcpServiceActionsFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSMcpServiceActionsFullAccess)
**사용 사례:** 이 사용자는 AWS MCP 서버를 사용하여 AWS 서비스에 액세스해야 합니다. 이 정책은 MCP 서비스가 수행한 작업에 대한 액세스 권한을 다른 AWS 서비스에 부여하지 않습니다.
**정책 업데이트** AWS는 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 **정책 버전(Policy versions)** 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 [직무에 관한 AWS 관리형 정책 업데이트](#security-iam-awsmanpol-jobfunction-updates) 섹션을 참조하세요.
**정책 설명:** 이 정책은 모든 AWS MCP 서비스 작업을 직접적으로 호출할 수 있는 권한을 부여합니다. AWS MCP 서비스당 권한을 지정할 필요가 없는 경우 사용할 수 있습니다. MCP 서비스가 수행하는 작업에 대한 권한을 다른 AWS 서비스에 부여하지 않으므로, 이러한 권한은 항상 MCP 서비스 작업 외에 별도로 부여해야 합니다. 관리형 정책에 대한 자세한 내용은 *AWS 관리형 정책 참조 가이드*의 [AWSMcpServiceActionsFullAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSMcpServiceActionsFullAccess.html)를 참조하세요.
## 보안 감사자 직무
**AWS 관리형 정책 이름:** [SecurityAudit](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/SecurityAudit)
**사용 사례:** 이 사용자는 보안 요구 사항을 준수하기 위해 계정을 모니터링합니다. 이 사용자는 로그와 이벤트에 액세스하여 잠재적인 보안 위반이나 악의적인 활동을 조사할 수 있습니다.
**정책 업데이트** AWS는 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 **정책 버전(Policy versions)** 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 [직무에 관한 AWS 관리형 정책 업데이트](#security-iam-awsmanpol-jobfunction-updates) 섹션을 참조하세요.
**정책 설명:** 이 정책은 많은 AWS 서비스에 대한 구성 데이터를 확인하고, 해당 로그를 검토할 수 있는 권한을 부여합니다. 관리형 정책에 대한 자세한 내용은 *AWS 관리형 정책 참조 가이드*의 [SecurityAudit](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/SecurityAudit.html)를 참조하세요.
## 지원 사용자 직무
**AWS 관리형 정책 이름:** [AWSSupportAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSSupportAccess)
**사용 사례:** 이 사용자는 AWS 지원을 통해 지원 사례를 생성하고 기존 사례의 상태를 확인합니다.
**정책 업데이트** AWS는 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 **정책 버전(Policy versions)** 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 [직무에 관한 AWS 관리형 정책 업데이트](#security-iam-awsmanpol-jobfunction-updates) 섹션을 참조하세요.
**정책 설명:** 이 정책은 지원 사례를 생성하고 업데이트할 수 있는 권한을 부여합니다. 관리형 정책에 대한 자세한 내용은 *AWS 관리형 정책 참조 가이드*의 [AWSSupportUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSSupportAccess.html)를 참조하세요.
## 시스템 관리자 직무
**AWS 관리형 정책 이름:** [SystemAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/SystemAdministrator)
**사용 사례:** 이 사용자는 개발 작업에 필요한 리소스를 설정하고 유지합니다.
**정책 업데이트** AWS는 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 **정책 버전(Policy versions)** 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 [직무에 관한 AWS 관리형 정책 업데이트](#security-iam-awsmanpol-jobfunction-updates) 섹션을 참조하세요.
**정책 설명:** 이 정책은 AWS CloudTrail, Amazon CloudWatch, AWS CodeCommit, AWS CodeDeploy, AWS Config, AWS Directory Service, Amazon EC2, AWS Identity and Access Management, AWS Key Management Service, AWS Lambda, Amazon RDS, Route 53, Amazon S3, Amazon SES, Amazon SQS, AWS Trusted Advisor, Amazon VPC를 포함해 대량의 AWS 서비스에 걸쳐서 리소스를 생성하고 유지할 수 있는 권한을 부여합니다. 관리형 정책에 대한 자세한 내용은 *AWS 관리형 정책 참조 가이드*의 [SystemAdministrator](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/SystemAdministrator.html)를 참조하세요.
이 직무는 AWS 서비스로 역할을 전달할 수 있는 기능을 필요로 합니다. 이 정책은 다음 표에 명시된 역할에만 `iam:GetRole` 및 `iam:PassRole`을 허용합니다. 자세한 내용은 이 주제의 후반부에서 [역할 생성 및 정책 연결(콘솔)](access_policies_job-functions_create-policies.md) 섹션을 참조하세요. 작업 기능 정책 업데이트에 대한 자세한 내용은 [직무에 관한 AWS 관리형 정책 업데이트](#security-iam-awsmanpol-jobfunction-updates) 섹션을 참조하세요.
| 사용 사례: | 역할 이름(\$1는 와일드카드) | 선택할 서비스 역할 유형 | 선택할 AWS 관리형 정책 |
| --- | --- | --- | --- |
| Amazon ECS 클러스터 내 EC2 인스턴스에서 실행 중인 앱이 Amazon ECS에 액세스하도록 허용 | [ecr-sysadmin-\$1](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/instance_IAM_role.html) | EC2 Container Service에 대한 Amazon EC2 역할 | [AmazonEC2ContainerServiceforEC2Role](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role) |
| 사용자가 데이터베이스를 모니터링하도록 허용 | [rds-monitoring-role](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) | 확장 모니터링에 대한 Amazon RDS 역할 | [AmazonRDSEnhancedMonitoringRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonRDSEnhancedMonitoringRole) |
| EC2 인스턴스에서 실행 중인 앱이 AWS 리소스에 액세스하도록 허용합니다. | [ec2-sysadmin-\$1](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) | Amazon EC2 | [Amazon EC2 사용 설명서](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html)에 나온 것과 같이 S3 버킷에 대한 액세스 권한을 부여하는 역할의 샘플 정책. 필요에 따라 사용자 지정 |
| Lambda가 DynamoDB Streams을 읽고 CloudWatch Logs에 작성하도록 허용 | [lambda-sysadmin-\$1](https://docs.aws.amazon.com/lambda/latest/dg/with-ddb.html) | AWS Lambda | [AWSLambdaDynamoDBExecutionRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaDynamoDBExecutionRole) |
## 보기 전용 사용자 직무
**AWS 관리형 정책 이름:** [ViewOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess)
**사용 사례:** 이 사용자는 여러 서비스에 걸쳐 계정 내 AWS 리소스와 기본 메타데이터 목록을 확인할 수 있습니다. 하지만 할당량을 초과하는 리소스 콘텐츠나 메타데이터, 리소스의 목록 정보를 읽을 수 없습니다.
**정책 업데이트** AWS는 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 **정책 버전(Policy versions)** 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 [직무에 관한 AWS 관리형 정책 업데이트](#security-iam-awsmanpol-jobfunction-updates) 섹션을 참조하세요.
**정책 설명:** 이 정책은 AWS 서비스 리소스에 대한 `List*`, `Describe*`, `Get*`, `View*`, `Lookup*` 액세스를 부여합니다. 각 서비스에 대해 이 정책에 포함된 작업을 보려면 [ViewOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess) 섹션을 참조하세요. 관리형 정책에 대한 자세한 내용은 *AWS 관리형 정책 참조 가이드*의 [ViewOnlyAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/ViewOnlyAccess.html)를 참조하세요.
## 직무에 관한 AWS 관리형 정책 업데이트
이러한 정책은 모두 AWS가 유지하며, AWS 서비스에서 정책을 추가할 때 새로운 서비스와 새로운 기능에 대한 지원을 포함시켜 모든 것을 최신 상태로 유지합니다. 이러한 정책은 고객이 수정할 수 없습니다. 정책 사본을 만든 후 이를 수정할 수 있으나 AWS가 새로운 서비스와 API 작업을 도입할 때 이 사본이 자동으로 업데이트되지는 않습니다.
직무 정책의 경우 IAM 콘솔에서 버전 기록 및 각 업데이트의 시간과 날짜를 볼 수 있습니다. 이렇게 하려면 이 페이지의 링크를 사용하여 정책 세부 정보를 봅니다. 그런 다음 **정책 버전(Policy versions)** 탭을 클릭하여 버전을 볼 수 있습니다. 이 페이지에는 정책의 최근 25개 버전이 표시됩니다. 정책의 모든 버전을 보려면 [get-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy-version.html) AWS CLI 명령 또는 [GetPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicyVersion.html) API 작업을 호출합니다.
**참고**
고객 관리형 정책의 최대 5개의 버전을 사용할 수 있지만 AWS는 AWS 관리형 정책의 전체 버전 기록을 유지합니다.
# 역할 생성 및 정책 연결(콘솔)
앞서 나열한 여러 가지 정책은 AWS 서비스에서 사용자 대신 작업을 수행할 수 있도록 해주는 역할을 이용해 해당 서비스를 구성할 수 있는 권한을 부여합니다. 직무 정책은 반드시 사용해야 하는 정확한 역할 이름을 정의하거나, 사용할 수 있는 이름의 앞부분을 지정하는 접두사만이라도 포함합니다. 이러한 역할 중 하나를 생성하려면 다음 절차의 단계를 따릅니다.
**AWS 서비스에 대한 역할 생성(IAM 콘솔)**
1. AWS Management Console에 로그인하여 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. IAM 콘솔의 탐색 창에서 **역할**을 선택하고 **역할 생성**을 선택합니다.
1. **신뢰할 수 있는 엔터티 유형**에서 **AWS 서비스**를 선택합니다.
1. **서비스 또는 사용 사례**의 경우 서비스를 선택한 다음, 사용 사례를 선택합니다. 사용 사례는 서비스에 필요한 신뢰 정책을 포함하도록 서비스에서 정의합니다.
1. **다음**을 선택합니다.
1. **권한 정책**의 경우 선택한 사용 사례에 따라 옵션이 달라집니다.
+ 서비스가 역할에 대한 권한을 정의하는 경우 권한 정책을 선택할 수 없습니다.
+ 제한된 권한 정책 세트에서 선택합니다.
+ 모든 권한 정책에서 선택합니다.
+ 권한 정책 없음을 선택하고 역할이 생성된 후 정책을 생성한 다음, 정책을 역할에 연결합니다.
1. (선택 사항) [권한 경계](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)를 선택합니다. 이는 서비스 역할에서 사용 가능한 고급 기능이며 서비스에 연결된 역할은 아닙니다.
1. **권한 경계 설정** 섹션을 열고 **최대 역할 권한을 관리하기 위한 권한 경계 사용**을 선택합니다.
IAM은 계정의 AWS 관리형 또는 고객 관리형 정책 목록을 포함합니다.
1. 정책을 선택하여 권한 경계를 사용합니다.
1. **다음**을 선택합니다.
1. **역할 이름**의 경우 옵션은 서비스에 따라 달라집니다.
+ 서비스에서 역할 이름을 정의하는 경우 이 역할 이름을 편집할 수 없습니다.
+ 서비스에서 역할 이름에 대한 접두사를 정의하는 경우 사용자가 선택적 접미사를 입력할 수 있습니다.
+ 서비스에서 역할 이름을 정의하지 않는 경우 역할 이름을 지정할 수 있습니다.
**중요**
역할 이름을 지정할 때는 다음 사항에 유의하세요.
역할 이름은 AWS 계정 내에서 고유해야 하지만 대소문자를 구분하지는 않습니다.
예를 들어, 이름이 **PRODROLE**과 **prodrole**, 두 가지로 지정된 역할을 만들지 마세요. 역할 이름이 정책 또는 ARN의 일부로 사용되는 경우 역할 이름은 대소문자를 구분합니다. 그러나 로그인 프로세스와 같이 콘솔에서 역할 이름이 고객에게 표시되는 경우에는 역할 이름이 대소문자를 구분하지 않습니다.
다른 엔터티가 역할을 참조할 수 있기 때문에 역할이 생성된 후에는 역할 이름을 편집할 수 없습니다.
1. (선택 사항) **설명**에 역할에 대한 설명을 입력합니다.
1. (선택 사항) 역할에 대한 사용 사례와 권한을 편집하려면 **1단계: 신뢰할 수 있는 엔터티 선택** 또는 **2단계: 권한 추가** 섹션에서 **편집**을 선택합니다.
1. (선택 사항) 역할을 식별, 구성 또는 검색하려면 태그를 키-값 페어로 추가합니다. IAM에서 태그 사용에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS Identity and Access Management 리소스용 태그](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)를 참조하세요.
1. 역할을 검토한 다음 **역할 생성**을 선택합니다.
## 예시 1: 사용자를 데이터베이스 관리자로 구성(콘솔)
이 예시는 IAM 사용자 Alice를 [데이터베이스 관리자](access_policies_job-functions.md#jf_database-administrator)로 구성하는 데 필요한 단계를 보여줍니다. 이 섹션에서 테이블 첫 번째 행의 정보를 사용하여 사용자가 Amazon RDS 모니터링을 지원하도록 허용합니다. Amazon 데이터베이스 서비스를 관리할 수 있도록 [DatabaseAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DatabaseAdministrator) 정책을 Alice의 IAM 사용자에게 연결합니다. 이 정책을 통해 Alice는 `rds-monitoring-role`(이)라는 역할을 Amazon RDS 서비스로 전달할 수도 있습니다. 그러면 사용자를 대신해 Amazon RDS 데이터베이스를 모니터링합니다.
1. AWS Management Console에 로그인하여 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. **정책**을 선택한 후 검색 상자에 **database**를 입력하고 Enter를 누릅니다.
1. **DatabaseAdministrator** 정책의 라디오 버튼과 **작업**, **연결**을 차례로 선택합니다.
1. 엔터티 목록에서 **Alice**를 선택한 후 **정책 연결**을 선택합니다. 이제 Alice가 AWS 데이터베이스를 관리할 수 있습니다. 하지만 Alice가 이 데이터베이스를 모니터링하도록 허용하려면 서비스 역할을 구성해야 합니다.
1. IAM 콘솔의 탐색 창에서 **역할**을 선택하고 **역할 생성**을 선택합니다.
1. **AWS 서비스** 역할 유형을 선택한 후 **Amazon RDS**를 선택합니다.
1. **확장 모니터링을 위한 Amazon RDS 역할(Amazon RDS Role for Enhanced Monitoring)** 사용 사례를 선택합니다.
1. Amazon RDS는 역할에 대한 권한을 정의합니다. 계속하려면 **Next: Review(다음: 검토)**를 선택합니다.
1. 역할 이름은 현재 Alice가 적용하는 DatabaseAdministrator 정책에 지정된 것 중 하나여야 합니다. 그중 하나는 **rds-monitoring-role**입니다. **Role name**(역할 이름)에 이를 입력합니다.
1. (선택 사항) **역할 설명**에 새 역할에 대한 설명을 입력합니다.
1. 세부 정보를 검토한 후 **역할 생성**을 선택합니다.
1. 이제 Alice는 Amazon RDS 콘솔의 **모니터링** 섹션에서 **RDS 확장 모니터링(RDS Enhanced Monitoring)**을 활성화할 수 있습니다. 예를 들어, DB 인스턴스 또는 읽기 전용 복제본을 생성하거나 DB 인스턴스를 수정할 때 이렇게 합니다. **Enable Enhanced Monitoring**(확장 모니터링 활성화)를 **Yes**(예)로 설정하면서 **Monitoring Role**(역할 모니터링) 상자에 생성한 역할 이름(rds-monitoring-role)을 입력해야 합니다.
## 예시 2: 사용자를 네트워크 관리자로 구성(콘솔)
이 예시는 IAM 사용자 Jorge를 [네트워크 관리자](access_policies_job-functions.md#jf_network-administrator)로 구성하는 데 필요한 단계를 보여줍니다. 해당 섹션에서 테이블의 정보를 사용하여 Jorge가 VPC로 들어오고 나가는 IP 트래픽을 모니터링하도록 허용합니다. 또한 Jorge가 CloudWatch Logs의 로그에서 해당 정보를 캡처하도록 허용합니다. AWS 네트워크 리소스를 구성할 수 있도록 Jorge의 IAM 사용자에게 [NetworkAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/NetworkAdministrator) 정책을 연결합니다. 또한 이 정책 덕분에 흐름 로그를 작성할 때 Jorge가 `flow-logs*`(으)로 시작하는 역할을 Amazon EC2로 전달하도록 설정할 수 있습니다. 예시 1과 달리 이 시나리오에서는 사전 정의된 서비스 역할 유형이 없기 때문에 몇 가지 단계를 다르게 수행해야 합니다.
1. AWS Management Console에 로그인하여 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. 탐색 창에서 **정책**을 선택한 후 검색 상자에 **network**를 입력합니다.
1. **NetworkAdministrator** 정책 옆의 라디오 버튼에 이어 **작업**, **연결**을 차례로 선택합니다.
1. 사용자 목록에서 **Jorge** 옆에 있는 확인란을 선택한 후 **정책 연결**을 선택하세요. 이제 Jorge가 AWS 네트워크 리소스를 관리할 수 있습니다. 하지만 VPC 내 트래픽을 모니터링하도록 하려면 서비스 역할을 구성해야 합니다.
1. 생성해야 하는 서비스 역할에 사전 정의된 관리형 정책이 없기 때문에 먼저 이 정책부터 생성해야 합니다. 탐색 창에서 **정책**을 선택한 다음 **정책 생성**을 선택합니다.
1. **정책 편집기** 섹션에서 **JSON** 옵션을 선택하고, 다음의 JSON 정책 문서에서 텍스트를 복사합니다. 이 텍스트를 **JSON** 텍스트 상자에 붙여 넣습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
1. [정책 검증](access_policies_policy-validator.md) 중에 생성되는 모든 보안 경고, 오류 또는 일반 경고를 해결하고 **다음**을 선택합니다.
**참고**
언제든지 **시각적** 편집기 옵션과 **JSON** 편집기 옵션을 서로 전환할 수 있습니다. 그러나 변경을 적용하거나 **시각적** 편집기에서 **다음**을 선택한 경우 IAM은 시각적 편집기에 최적화되도록 정책을 재구성할 수 있습니다. 자세한 내용은 [정책 재구성](troubleshoot_policies.md#troubleshoot_viseditor-restructure) 섹션을 참조하세요.
1. **검토 및 생성** 페이지에서 정책 이름에 **vpc-flow-logs-policy-for-service-role**을 입력합니다. **이 정책에 정의된 권한**을 검토하여 정책이 부여한 권한을 확인한 다음 **정책 생성**을 선택하여 작업을 저장합니다.
새로운 정책이 관리형 정책 목록에 나타나며 연결 준비가 완료됩니다.
1. IAM 콘솔의 탐색 창에서 **역할**을 선택하고 **역할 생성**을 선택합니다.
1. **AWS 서비스** 역할 유형을 선택한 후 **Amazon EC2**를 선택합니다.
1. **Amazon EC2** 사용 사례를 선택합니다.
1. **권한 정책 연결** 페이지에서 앞서 생성한 정책을 선택하고 **vpc-flow-logs-policy-for-service-role**과 **Next: Review(다음: 검토)**를 차례로 선택합니다.
1. 역할 이름은 현재 Jorge가 적용하는 NetworkAdministrator 정책에서 허용한 것이어야 합니다. `flow-logs-`로 시작하는 이름은 무엇이든 허용됩니다. 이 예시에서는 **Role name**(역할 이름)에 **flow-logs-for-jorge**을(를) 입력합니다.
1. (선택 사항) **역할 설명**에 새 역할에 대한 설명을 입력합니다.
1. 세부 정보를 검토한 후 **역할 생성**을 선택합니다.
1. 이제 이 시나리오에 필요한 신뢰 정책을 구성할 수 있습니다. **역할** 페이지에서 **flow-logs-for-jorge** 역할(확인란이 아닌 이름)을 선택하세요. 새 역할의 세부 정보 페이지에서 **신뢰 관계** 탭을 선택한 다음 **Edit trust relationship(신뢰 관계 편집)**을 선택합니다.
1. "Service" 라인을 다음과 같이 변경해 `ec2.amazonaws.com`의 항목을 교체합니다.
```
"Service": "vpc-flow-logs.amazonaws.com"
```
1. 이제 Jorge가 Amazon EC2 콘솔에서 VPC나 서브넷의 흐름 로그를 생성할 수 있습니다. 흐름 로그를 생성할 때 **flow-logs-for-jorge** 역할을 지정합니다. 이 역할에는 로그를 생성하고 데이터를 쓸 수 있는 권한이 있습니다.