기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 에 대한 IAM 고객 관리형 정책 AWS DataSync
AWS 관리형 정책 외에도에 대한 자체 자격 증명 기반 정책을 생성하고 이러한 권한이 필요한 AWS Identity and Access Management (IAM) 자격 증명에 AWS DataSync 연결할 수도 있습니다. 이들은 *고객 관리형 정책*이라 하며, 이는 귀하가 자신의 AWS 계정에서 관리하는 독립형 정책입니다.
**중요**
시작하기 전에 DataSync 리소스에 대한 액세스 관리를 위한 기본 개념과 옵션에 대해 알아보는 것이 좋습니다. 자세한 내용은 [에 대한 액세스 관리 AWS DataSync](managing-access-overview.md) 단원을 참조하십시오.
고객 관리형 정책을 생성할 때 특정 AWS 리소스에서 사용할 수 있는 DataSync 작업에 대한 문을 포함합니다. 다음 정책 예제에는 두 개의 진술이 있습니다(각 진술 내 `Action`및 `Resource`요소에 주목).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsSpecifiedActionsOnAllTasks",
"Effect": "Allow",
"Action": "datasync:DescribeTask",
"Resource": "arn:aws:datasync:{{us-east-1}}:{{111122223333}}:task/*"
},
{
"Sid": "ListAllTasks",
"Effect": "Allow",
"Action": "datasync:ListTasks",
"Resource": "*"
}
]
}
```
------
정책의 진술은 다음을 수행합니다.
+ 첫 번째 진술은 Amazon 리소스 이름(ARN)을 와일드카드 문자(`*`)로 지정하여 특정 전송 작업 리소스에서 `datasync:DescribeTask`작업을 수행할 권한을 부여합니다.
+ 두 번째 진술은 와일드카드 문자(`*`)만 지정하여 모든 작업에 대해 `datasync:ListTasks`작업을 수행할 권한을 부여합니다.
## 고객 관리형 정책에 대한 예제입니다.
다음은 다양한 DataSync 작업에 대한 권한을 부여하는 고객 관리형 정책의 예입니다. 정책은 AWS Command Line Interface (AWS CLI) 또는 AWS SDK를 사용하는 경우 작동합니다. 콘솔에서 이러한 정책을 사용하려면 관리형 정책`AWSDataSyncFullAccess`도 사용해야 합니다.
**Topics**
+ [예제 1: DataSync가 Amazon S3버킷에 액세스할 수 있도록 허용하는 신뢰 관계 생성](#datasync-example1)
+ [예제 2: DataSync가 Amazon S3 버킷에 읽기 및 쓰기를 할 수 있도록 허용](#datasync-example2)
+ [예제 3: DataSync가 CloudWatch 로그 그룹에 로그를 업로드하도록 허용](#datasync-example4)
### 예제 1: DataSync가 Amazon S3버킷에 액세스할 수 있도록 허용하는 신뢰 관계 생성
다음은 DataSync가 IAM 역할을 담당하도록 허용하는 신뢰 정책의 예입니다. 이 역할을 통해 DataSync는 Amazon S3 버킷에 액세스할 수 있습니다. [서비스 간 혼동되는 대리인 문제](cross-service-confused-deputy-prevention.md)를 방지하려면 정책에서 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)및 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)글로벌 조건 컨텍스트 키를 사용하는 것이 좋습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{111111111111}}"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:{{us-east-1}}:{{111111111111}}:*"
}
}
}
]
}
```
------
### 예제 2: DataSync가 Amazon S3 버킷에 읽기 및 쓰기를 할 수 있도록 허용
다음 예제 정책은 DataSync에 대상 위치로 사용되는 S3 버킷에 데이터를 읽고 쓸 수 있는 최소 권한을 부여합니다.
**참고**
`aws:ResourceAccount`의 값은 정책에 명시된 Amazon S3 버킷을 소유한 계정의 ID여야 합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectTagging"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
### 예제 3: DataSync가 CloudWatch 로그 그룹에 로그를 업로드하도록 허용
DataSync는 로그를 Amazon CloudWatch Logs 그룹에 업로드할 수 있는 권한을 요구합니다. CloudWatch 로그 그룹을 사용하면 작업을 모니터링하고 디버깅할 수 있습니다.
이러한 권한을 부여하는 IAM 정책의 예는 [DataSync가 CloudWatch 로그 그룹에 로그를 업로드하도록 허용](configure-logging.md#cloudwatchlogs)섹션을 참조하십시오.