기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 정책으로 Amazon Q Developer에 대한 액세스 관리
**참고**
이 페이지의 정보는 Amazon Q Developer 액세스와 관련이 있습니다. Amazon Q Business에 대한 액세스 관리에 대한 자세한 내용은 *Amazon Q Business 사용 설명서*의 [Amazon Q Business를 위한 ID 기반 정책 예](https://docs.aws.amazon.com/amazonq/latest/business-use-dg/security_iam_id-based-policy-examples.html)를 참조하세요.
이 주제의 정책 및 예제는 AWS Management Console AWS Documentation, AWS Console Mobile Application, AWS 웹 사이트 및 채팅 애플리케이션의 Amazon Q에만 해당됩니다. Amazon Q와 통합된 기타 서비스에는 다른 정책 또는 설정이 필요할 수 있습니다. 타사 IDE의 Amazon Q 최종 사용자는 IAM 정책을 사용할 필요가 없습니다. 자세한 내용은 Amazon Q 기능 또는 통합이 포함된 서비스에 대한 설명서를 참조하세요.
기본적으로 사용자 및 역할에는 Amazon Q를 사용할 수 있는 권한이 없습니다. IAM 관리자는 IAM ID에 권한을 부여하여 Amazon Q Developer 및 해당 기능에 대한 액세스를 관리할 수 있습니다.
관리자가 사용자에게 액세스 권한을 부여하는 가장 빠른 방법은 AWS 관리형 정책을 사용하는 것입니다. `AmazonQFullAccess` 정책은 IAM ID에 연결하여 Amazon Q Developer 및 해당 기능에 대한 전체 액세스 권한을 부여할 수 있습니다. 이 정책에 대한 자세한 내용은 [AWS Amazon Q Developer에 대한 관리형 정책](managed-policy.md) 단원을 참조하세요.
관리자는 Amazon Q Developer로 IAM ID가 수행할 수 있는 특정 작업을 관리하기 위해 사용자, 그룹 또는 역할의 권한을 정의하는 사용자 지정 정책을 생성할 수 있습니다. 서비스 제어 정책(SCP)을 사용하여 조직에서 사용할 수 있는 Amazon Q 기능을 제어할 수도 있습니다.
정책으로 제어할 수 있는 모든 Amazon Q 권한 목록은 [Amazon Q Developer 권한 참조](security_iam_permissions.md) 섹션을 참조하세요.
**Topics**
+ [정책 모범 사례](#security_iam_policy-best-practices)
+ [권한 할당](#setting-up-assign-permissions)
+ [서비스 제어 정책(SCP)으로 액세스 관리](#service-control-policies)
+ [Amazon Q Developer의 ID 기반 정책 예시](security_iam_id-based-policy-examples.md)
## 정책 모범 사례
ID 기반 정책에 따라 계정에서 사용자가 Amazon Q Developer 리소스를 생성, 액세스 또는 삭제할 수 있는지 여부가 결정됩니다. 이 작업으로 인해 AWS 계정에 비용이 발생할 수 있습니다. ID 기반 정책을 생성하거나 편집할 때는 다음 지침과 권장 사항을 따르세요.
+ ** AWS 관리형 정책을 시작하고 최소 권한으로 전환 -** 사용자 및 워크로드에 권한 부여를 시작하려면 많은 일반적인 사용 사례에 대한 권한을 부여하는 *AWS 관리형 정책을* 사용합니다. 에서 사용할 수 있습니다 AWS 계정. 사용 사례에 맞는 AWS 고객 관리형 정책을 정의하여 권한을 추가로 줄이는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) 또는 [AWS 직무에 대한 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)을 참조하세요.
+ **최소 권한 적용** – IAM 정책을 사용하여 권한을 설정하는 경우, 작업을 수행하는 데 필요한 권한만 부여합니다. 이렇게 하려면 *최소 권한*으로 알려진 특정 조건에서 특정 리소스에 대해 수행할 수 있는 작업을 정의합니다. IAM을 사용하여 권한을 적용하는 방법에 대한 자세한 정보는 *IAM 사용 설명서*에 있는 [IAM의 정책 및 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)을 참조하세요.
+ **IAM 정책의 조건을 사용하여 액세스 추가 제한** – 정책에 조건을 추가하여 작업 및 리소스에 대한 액세스를 제한할 수 있습니다. 예를 들어, SSL을 사용하여 모든 요청을 전송해야 한다고 지정하는 정책 조건을 작성할 수 있습니다. AWS 서비스와 같은 특정를 통해 사용되는 경우 조건을 사용하여 서비스 작업에 대한 액세스 권한을 부여할 수도 있습니다 CloudFormation. 자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하세요.
+ **IAM Access Analyzer를 통해 IAM 정책을 확인하여 안전하고 기능적인 권한 보장** - IAM Access Analyzer에서는 IAM 정책 언어(JSON)와 모범 사례가 정책에서 준수되도록 새로운 및 기존 정책을 확인합니다. IAM Access Analyzer는 100개 이상의 정책 확인 항목과 실행 가능한 추천을 제공하여 안전하고 기능적인 정책을 작성하도록 돕습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM Access Analyzer에서 정책 검증](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)을 참조하세요.
+ **다중 인증(MFA) 필요 -**에서 IAM 사용자 또는 루트 사용자가 필요한 시나리오가 있는 경우 추가 보안을 위해 MFA를 AWS 계정켭니다. API 작업을 직접적으로 호출할 때 MFA가 필요하면 정책에 MFA 조건을 추가합니다. 자세한 내용은 *IAM 사용 설명서*의 [MFA를 통한 보안 API 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)를 참조하세요.
IAM의 모범 사례에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
## 권한 할당
액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요.
+ 의 사용자 및 그룹 AWS IAM Identity Center:
권한 세트를 생성합니다. *AWS IAM Identity Center 사용자 안내서*에서 [권한 세트 생성](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)의 지침을 따릅니다.
+ ID 제공업체를 통해 IAM에서 관리되는 사용자:
ID 페더레이션을 위한 역할을 생성합니다. *IAM 사용자 설명서*의 [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)의 지침을 따릅니다.
+ IAM 사용자:
+ 사용자가 맡을 수 있는 역할을 생성합니다. *IAM 사용자 설명서*에서 [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)의 지침을 따릅니다.
+ (권장되지 않음) 정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. IAM 사용 설명서**에서 [사용자(콘솔)에 권한 추가](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)의 지침을 따르세요.
## 서비스 제어 정책(SCP)으로 액세스 관리
서비스 제어 정책(SCP)은 조직의 권한을 관리하는 데 사용할 수 있는 조직 정책 유형입니다. 일부 또는 모든 Amazon Q 작업에 대한 권한을 지정하는 SCP를 생성하여 조직에서 사용할 수 있는 Amazon Q Developer 기능을 제어할 수 있습니다.
SCP를 사용하여 조직의 액세스를 제어하는 방법에 대한 자세한 내용은 *AWS Organizations 사용 설명서*의 [서비스 제어 정책의 생성, 업데이트, 삭제](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html)와 [서비스 제어 정책 연결 및 분리](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)를 참조하세요.
### 예제 SCP: EU 리전 외부에서 Amazon Q에 대한 액세스 거부
다음 SCP는 유럽(프랑크푸르트) 리전(eu-central-1) 외부의 Amazon Q Developer 사용에 대한 액세스를 거부합니다.
**참고**
`codewhisperer` 접두사는 Amazon Q Developer와 병합된 서비스의 기존 이름입니다. 자세한 내용은 [Amazon Q Developer 이름 변경 - 변경 사항 요약](service-rename.md) 단원을 참조하십시오.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyAmazonQDeveloperOutsideEU",
"Effect": "Deny",
"Action": [
"codewhisperer:GenerateRecommendations",
"q:SendMessage",
"q:GenerateCodeFromCommands",
"sqlworkbench:GetQSqlRecommendations"
],
"Resource": "*",
"Condition": {
"StringNotEquals":
{"aws:RequestedRegion": [ "eu-central-1"] }
}
}
]
}
```
------
### 예제 SCP: Amazon Q에 대한 액세스 거부
다음 SCP는 Amazon Q Developer에 대한 액세스를 거부합니다.
**참고**
Amazon Q에 대한 액세스를 거부해도 콘솔, AWS 웹 사이트, AWS 문서 페이지 또는에서 AWS Amazon Q 아이콘 또는 채팅 패널이 비활성화되지 않습니다 AWS Console Mobile Application.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyAmazonQFullAccess",
"Effect": "Deny",
"Action": [
"q:*"
],
"Resource": "*"
}
]
}
```
------