# 정책 요약 내 액세스 수준
<a name="access_policies_understand-policy-summary-access-level-summaries"></a>

## AWS 액세스 수준 요약
<a name="access_policies_access-level-summaries"></a>

정책 요약에는 해당 정책에서 언급된 각 서비스에 정의된 작업 권한을 설명하는 액세스 레벨 요약이 포함됩니다. 정책 요약에 대한 자세한 내용은 [정책 요약](access_policies_understand.md) 섹션을 참조하세요. 액세스 레벨 요약은 각 액세스 레벨(`List`, `Read`, `Tagging`, `Write` 및 `Permissions management`)의 작업에 정책에서 정의된 `Full` 또는 `Limited` 권한이 있는지 여부를 나타냅니다. 서비스의 각 작업에 할당된 액세스 레벨 분류를 보려면 [AWS 서비스에 사용되는 작업, 리소스 및 조건 키](reference_policies_actions-resources-contextkeys.html)를 참조하세요.

다음 예제에서는 한 정책이 지정된 서비스에 대해 제공하는 액세스 권한을 설명합니다. 전체 JSON 정책 문서 및 관련 요약의 예는 [정책 요약 예시](access_policies_policy-summary-examples.md) 섹션을 참조하세요.


****  

| 서비스 | 액세스 레벨 | 이 정책은 다음을 제공합니다. | 
| --- | --- | --- | 
| IAM | 모든 액세스 | IAM 서비스 내의 모든 작업에 대한 액세스 권한 | 
| CloudWatch | 전체: 목록 | List 액세스 수준의 모든 CloudWatch 작업에 대한 액세스 권한. 하지만 Read, Write 또는 Permissions management 액세스 수준 분류의 작업에 대한 액세스 권한은 제공하지 않음 | 
| Data Pipeline | 제한: 목록, 읽기 | List 및 Read 액세스 레벨의 AWS Data Pipeline 작업 하나 이상(모든 작업은 아님)에 대한 액세스 권한. 단, Write 또는 Permissions management 작업에 대한 액세스 권한은 제외됨 | 
| EC2 | 전체: 목록, 읽기 제한: 쓰기 | 모든 Amazon EC2 List 및 Read 작업에 대한 액세스 권한, 하나 이상의 Amazon EC2 Write 작업(모든 작업은 아님)에 대한 액세스 권한. 단, Permissions management 액세스 수준 분류의 작업에 대한 액세스 권한은 제외됨 | 
| S3 | 제한: 읽기, 쓰기, 권한 관리 | 하나 이상의 Amazon S3 Read, Write 및 Permissions management 작업(모든 작업은 아님)에 대한 액세스 권한 | 
| codedploy | (비어 있음) | 알 수 없는 액세스(IAM에서 이 서비스를 인식하지 않음) | 
| API Gateway | 없음 | 정책에 정의된 액세스 없음 | 
| CodeBuild | ![a white exclamation point on an orange triangle background](http://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/images/console-alert-icon.console.png)정의된 작업 없음. | 서비스에 대해 작업이 정의되지 않아서 액세스할 수 없습니다. 이 문제를 이해하고 문제를 해결하는 방법을 보려면 [정책이 필요한 권한을 부여하지 않음](troubleshoot_policies.md#policy-summary-not-grant-permissions) 섹션을 참조하세요. | 

정책 요약에서 **전체 액세스**는 정책이 서비스 내 모든 작업에 대한 액세스를 제공함을 나타냅니다. 서비스의 모든 작업이 아니라 일부에 대한 액세스 권한을 제공하는 정책은 액세스 레벨 분류에 따라 추가로 그룹화됩니다. 이는 다음 액세스 레벨 그룹 중 하나에 의해 표시됩니다.
+ **전체**: 정책이 지정된 액세스 레벨 분류의 모든 작업에 대한 액세스 권한을 제공합니다.
+ **제한**: 정책이 지정된 액세스 레벨 분류 내 하나 이상의 작업(모든 작업은 아님)에 대한 액세스 권한을 제공합니다.
+ **없음**: 정책에서 액세스를 제공하지 않습니다.
+ (비어 있음): IAM 에서 이 서비스를 인식하지 않습니다. 서비스 이름에 오타가 포함되어 있으면 정책은 서비스에 대한 액세스를 제공하지 않습니다. 서비스 이름이 정확하면 서비스는 정책 요약을 지원할 수 없거나 프리뷰에 있을 수 있습니다. 이 경우 정책은 액세스를 제공할 수 있지만 해당 액세스를 정책 요약에 표시할 수 없습니다. 일반적으로 사용할 수 있는(GA) 서비스에 대한 정책 요약 지원을 요청하려면 [서비스가 IAM 정책 요약을 지원하지 않음](troubleshoot_policies.md#unsupported-services-actions)을 참조하세요.

작업에 대한 제한적(부분적) 액세스 권한을 포함하는 액세스 레벨 요약은 AWS 액세스 레벨 분류 `List`, `Read`, `Tagging`, `Write` 또는 `Permissions management`을 사용하여 그룹화됩니다.

## AWS 액세스 수준
<a name="access_policies_access-level"></a>

AWS는 서비스의 작업에 대해 다음과 같은 액세스 레벨 분류를 정의합니다.
+ **목록**: 서비스의 리소스를 나열하여 객체가 존재하는지 판단할 수 있는 권한입니다. 이 액세스 레벨의 작업은 객체를 나열할 수 있으나 리소스의 내용을 확인할 수 없습니다. 예를 들어 Amazon S3 작업 `ListBucket`의 액세스 수준은 **목록**입니다.
+ **읽기**: 서비스에서 리소스 내용과 속성을 읽을 수 있으나 편집할 수 없는 권한입니다. 예를 들어 Amazon S3 작업 `GetObject` 및 `GetBucketLocation`의 액세스 수준은 **Read**입니다.
+ **태그 지정**: 리소스 태그의 상태만 변경하는 작업을 수행할 수 있는 권한입니다. 예를 들어 IAM 작업 `TagRole` 및 `UntagRole`은 역할에 대한 **태그 지정** 또는 태그 취소만 허용하므로 태그 지정 액세스 수준입니다. 그러나 `CreateRole` 작업은 사용자가 역할을 생성할 때 역할 리소스에 태그를 지정하도록 허용합니다. 이 작업은 태그를 추가하는 것만이 아니므로 `Write` 액세스 레벨입니다.
+ **쓰기**: 서비스에서 리소스를 생성, 삭제하거나 수정할 수 있는 권한입니다. 예를 들어 Amazon S3 작업 `CreateBucket`, `DeleteBucket` 및 `PutObject`는 **쓰기** 액세스 수준입니다. `Write` 작업은 리소스 태그 수정을 허용할 수도 있습니다. 그러나 태그 변경만 허용하는 작업은 `Tagging` 액세스 레벨입니다.
+ **권한 관리**: 권한 관리는 IAM 및 비 IAM 자격 증명 권한을 포함하여 AWS 서비스 내에서 액세스를 제어하는 작업을 의미하지만, 보안 그룹과 같은 네트워크 수준 액세스 제어는 제외됩니다. 예를 들어 대부분의 IAM 및 AWS Organizations 작업과 Amazon S3 작업 `PutBucketPolicy` 및 `DeleteBucketPolicy`의 액세스 수준은 **권한 관리**입니다.
**도움말**  
AWS 계정의 보안을 개선하려면 **권한 관리** 액세스 레벨 분류를 포함하는 정책을 제한하거나 정기적으로 모니터링합니다.

서비스의 각 작업에 대한 액세스 수준 분류를 보려면 [AWS 서비스에 사용되는 작업, 리소스 및 조건 키](reference_policies_actions-resources-contextkeys.html)를 참조하세요.