기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Direct Connect의 ID 중심 정책 예제
기본적으로 사용자 및 역할은 Direct Connect 리소스를 생성하거나 수정할 수 있는 권한이 없습니다. 사용자에게 사용자가 필요한 리소스에서 작업을 수행할 권한을 부여하려면 IAM 관리자가 IAM 정책을 생성하면 됩니다.
이러한 예제 JSON 정책 문서를 사용하여 IAM ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*의 [IAM 정책 생성(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)을 참조하세요.
각 리소스 유형에 대한 ARN 형식을 비롯하여 Direct Connect에서 정의되는 작업 및 리소스 유형에 대한 자세한 내용은 *서비스 승인 참조*의 [Direct Connect에 사용되는 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdirectconnect.html)를 참조하십시오.
**Topics**
+ [정책 모범 사례](#security_iam_service-with-iam-policy-best-practices)
+ [작업, 리소스 및 조건](#security_iam_service-dx-id-based-policies)
+ [콘솔 사용](#security_iam_id-based-policy-examples-console)
+ [사용자가 자신이 권한을 볼 수 있도록 허용](#security_iam_id-based-policy-examples-view-own-permissions)
+ [에 대한 읽기 전용 액세스 Direct Connect](#security_iam_id-based-policy-examples-read-access)
+ [에 대한 전체 액세스 Direct Connect](#security_iam_id-based-policy-examples-full-access)
+ [태그 기반 조건 키](security_iam_resource-based-policy-examples.md)
## 정책 모범 사례
ID 기반 정책에 따라 계정에서 사용자가 Direct Connect 리소스를 생성, 액세스 또는 삭제할 수 있는지 여부가 결정됩니다. 이 작업으로 인해 AWS 계정에 비용이 발생할 수 있습니다. ID 기반 정책을 생성하거나 편집할 때는 다음 지침과 권장 사항을 따르세요.
+ ** AWS 관리형 정책을 시작하고 최소 권한으로 전환 -** 사용자 및 워크로드에 권한 부여를 시작하려면 많은 일반적인 사용 사례에 대한 권한을 부여하는 *AWS 관리형 정책을* 사용합니다. 에서 사용할 수 있습니다 AWS 계정. 사용 사례에 맞는 AWS 고객 관리형 정책을 정의하여 권한을 추가로 줄이는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) 또는 [AWS 직무에 대한 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)을 참조하세요.
+ **최소 권한 적용** – IAM 정책을 사용하여 권한을 설정하는 경우, 작업을 수행하는 데 필요한 권한만 부여합니다. 이렇게 하려면 *최소 권한*으로 알려진 특정 조건에서 특정 리소스에 대해 수행할 수 있는 작업을 정의합니다. IAM을 사용하여 권한을 적용하는 방법에 대한 자세한 정보는 *IAM 사용 설명서*에 있는 [IAM의 정책 및 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)을 참조하세요.
+ **IAM 정책의 조건을 사용하여 액세스 추가 제한** – 정책에 조건을 추가하여 작업 및 리소스에 대한 액세스를 제한할 수 있습니다. 예를 들어, SSL을 사용하여 모든 요청을 전송해야 한다고 지정하는 정책 조건을 작성할 수 있습니다. AWS 서비스와 같은 특정를 통해 사용되는 경우 조건을 사용하여 서비스 작업에 대한 액세스 권한을 부여할 수도 있습니다 CloudFormation. 자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하세요.
+ **IAM Access Analyzer를 통해 IAM 정책을 확인하여 안전하고 기능적인 권한 보장** - IAM Access Analyzer에서는 IAM 정책 언어(JSON)와 모범 사례가 정책에서 준수되도록 새로운 및 기존 정책을 확인합니다. IAM Access Analyzer는 100개 이상의 정책 확인 항목과 실행 가능한 추천을 제공하여 안전하고 기능적인 정책을 작성하도록 돕습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM Access Analyzer에서 정책 검증](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)을 참조하세요.
+ **다중 인증(MFA) 필요 -**에서 IAM 사용자 또는 루트 사용자가 필요한 시나리오가 있는 경우 추가 보안을 위해 MFA를 AWS 계정켭니다. API 작업을 직접적으로 호출할 때 MFA가 필요하면 정책에 MFA 조건을 추가합니다. 자세한 내용은 *IAM 사용 설명서*의 [MFA를 통한 보안 API 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)를 참조하세요.
IAM의 모범 사례에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
## Direct Connect에 사용되는 작업, 리소스 및 조건
IAM ID 기반 정책을 사용하면 허용되거나 거부되는 작업과 리소스뿐 아니라 작업이 허용되거나 거부되는 조건을 지정할 수 있습니다. Direct Connect은 특정 작업, 리소스 및 조건 키를 지원합니다. JSON 정책에서 사용하는 모든 요소에 대해 알고 싶다면 *IAM 사용 설명서*의 [IAM JSON 정책 요소 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)를 참조하세요.
### 작업
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
JSON 정책의 `Action`요소는 정책에서 액세스를 허용하거나 거부하는 데 사용할 수 있는 작업을 설명합니다. 연결된 작업을 수행할 수 있는 권한을 부여하기 위한 정책에 작업을 포함하세요.
Direct Connect의 정책 작업은 작업 앞에 접두사 `directconnect:`을(를) 사용합니다. 예를 들어 누군가에게 Amazon EC2 `DescribeVpnGateways` API 작업을 통해 Amazon EC2 인스턴스를 실행할 권한을 부여하려면 해당 정책에 `ec2:DescribeVpnGateways` 작업을 포함하세요. 정책 문에는 `Action` 또는 `NotAction` 요소가 포함되어야 합니다. Direct Connect은 이 서비스로 수행할 수 있는 작업을 설명하는 고유한 작업 세트를 정의합니다.
다음 예제 정책은에 대한 읽기 액세스 권한을 부여합니다 Direct Connect.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"directconnect:Describe*",
"ec2:DescribeVpnGateways"
],
"Resource": "*"
}
]
}
```
------
다음 예제 정책은에 대한 전체 액세스 권한을 부여합니다 Direct Connect.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"directconnect:*",
"ec2:DescribeVpnGateways"
],
"Resource": "*"
}
]
}
```
------
Direct Connect 작업 목록을 보려면 *IAM 사용 설명서*의 [Direct Connect에서 정의한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdirectconnect.html#awsdirectconnect-actions-as-permissions)을 참조하십시오.
### 리소스
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
`Resource` JSON 정책 요소는 작업이 적용되는 하나 이상의 객체를 지정합니다. 모범 사례에 따라 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)을 사용하여 리소스를 지정합니다. 리소스 수준 권한을 지원하지 않는 작업의 경우, 와일드카드(\*)를 사용하여 해당 문이 모든 리소스에 적용됨을 나타냅니다.
```
"Resource": "*"
```
Direct Connect는 다음 ARN을 사용합니다.
**Direct Connect 리소스 ARN**
| 리소스 유형 | ARN |
| --- | --- |
| dxcon | arn:${Partition}:directconnect:${Region}:${Account}:dxcon/${ConnectionId} |
| dxlag | arn:${Partition}:directconnect:${Region}:${Account}:dxlag/${LagId} |
| dx-vif | arn:${Partition}:directconnect:${Region}:${Account}:dxvif/${VirtualInterfaceId} |
| dx-gateway | arn:${Partition}:directconnect::${Account}:dx-gateway/${DirectConnectGatewayId} |
ARN 형식에 대한 자세한 내용은 [Amazon 리소스 이름(ARNs) 및 AWS 서비스 네임스페이스를 참조하세요](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
예를 들어, 설명문에 `dxcon-11aa22bb` 인터페이스를 지정하려면 다음 ARN을 사용합니다.
```
"Resource": "arn:aws:directconnect:us-east-1:123456789012:dxcon/dxcon-11aa22bb
```
특정 계정에 속하는 모든 가상 인터페이스를 지정하려면 와일드카드(\*)를 사용합니다.
```
"Resource": "arn:aws:directconnect:*:*:dxvif/*"
```
리소스를 생성하기 위한 작업과 같은 일부 Direct Connect 작업은 특정 리소스에서 수행할 수 없습니다. 이러한 경우, 와일드카드(\*)를 사용해야 합니다.
```
"Resource": "*"
```
Direct Connect 리소스 유형 및 해당 ARN의 목록을 보려면 *IAM 사용 설명서*의 [Direct Connect에서 정의된 리소스 유형](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdirectconnect.html#awsdirectconnect-resources-for-iam-policies)을 참조하십시오. 각 리소스의 ARN을 지정할 수 있는 작업을 알아보려면 [Direct Connect](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdirectconnect.html#awsdirectconnect-actions-as-permissions)가 정의한 작업을 참조하세요.
DescribeConnections, DescribeVirtualInterfaces, DescribeDirectConnectGateways, DescribeInterconnects 또는 DescribeLags에 대한 IAM 정책 설명의 `Resource` 필드에 `*` 이외의 리소스 ARN 또는 ARN 패턴이 지정된 경우, API 직접 호출에서 일치하는 리소스 ID도 함께 전달되지 않으면 지정된 `Effect`은(는) 발생하지 않습니다. 그러나 IAM 정책 설명에서를 특정 리소스 ID 대신 `*`를 리소스로 제공하면 지정된 `Effect`가 작동합니다.
다음 예제에서는 요청에 `connectionId`가 전달되지 않은 상태에서 `DescribeConnections` 작업이 호출되면, 지정된 `Effect` 중 어느 것도 성공하지 않습니다.
```
"Statement": [
{
"Effect": "Allow",
"Action": [
"directconnect:DescribeConnections"
],
"Resource": [
"arn:aws:directconnect:*:123456789012:dxcon/*"
]
},
{
"Effect": "Deny",
"Action": [
"directconnect:DescribeConnections"
],
"Resource": [
"arn:aws:directconnect:*:123456789012:dxcon/example1"
]
}
]
```
그러나 다음 예제에서는 요청에 `connectionId`가 지정되었는지 여부와 관계없이, IAM 정책 설명의 `Resource` 필드에 `*`가 제공되었기 때문에 `DescribeConnections` 작업에서 `"Effect": "Allow"`가 성공합니다
```
"Statement": [
{
"Effect": "Allow",
"Action": [
"directconnect:DescribeConnections
],
"Resource": [
"*"
]
}
]
```
### 조건 키
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
`Condition` 요소는 정의된 기준에 따라 문이 실행되는 시기를 지정합니다. 같음(equals) 또는 미만(less than)과 같은 [조건 연산자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)를 사용하여 정책의 조건을 요청의 값과 일치시키는 조건식을 생성할 수 있습니다. 모든 AWS 전역 조건 키를 보려면 *IAM 사용 설명서*의 [AWS 전역 조건 컨텍스트 키를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) 참조하세요.
Direct Connect에서는 자체 조건 키 집합을 정의하고 일부 전역 조건 키 사용도 지원합니다. 모든 AWS 전역 조건 키를 보려면 *IAM 사용 설명서*의 [AWS 전역 조건 컨텍스트 키를 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
태그 리소스가 있는 조건 키를 사용할 수 있습니다. 자세한 내용은 [예제: 특정 리전으로 액세스 제한](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region)을 참조하세요.
Direct Connect 조건 키 목록을 보려면 *IAM 사용 설명서*의 [Direct Connect를 위한 조건 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdirectconnect.html#awsdirectconnect-policy-keys)를 참조하십시오. 조건 키를 사용할 수 있는 작업과 리소스를 알아보려면 [Direct Connect](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdirectconnect.html#awsdirectconnect-actions-as-permissions)가 정의한 작업 단원을 참조하세요.
## Direct Connect 콘솔 사용
Direct Connect 콘솔에 액세스하려면 최소한의 권한 세트가 있어야 합니다. 이러한 권한은 AWS 계정의 Direct Connect 리소스에 대한 세부 정보를 나열하고 볼 수 있도록 허용해야 합니다. 최소 필수 권한보다 더 제한적인 자격 증명 기반 정책을 만들면 콘솔이 해당 정책에 연결된 개체(사용자 또는 역할)에 대해 의도대로 작동하지 않습니다.
이러한 엔터티가 Direct Connect 콘솔을 계속 사용할 수 있도록 하려면 다음 AWS 관리형 정책도 엔터티에 연결합니다. 자세한 내용은 *IAM 사용 설명서*의 [사용자에게 권한 추가](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)를 참조하세요.
```
directconnect
```
AWS CLI 또는 AWS API만 호출하는 사용자에게는 최소 콘솔 권한을 허용할 필요가 없습니다. 그 대신, 수행하려는 API 작업과 일치하는 작업에만 액세스할 수 있도록 합니다.
## 사용자가 자신이 권한을 볼 수 있도록 허용
이 예제는 IAM 사용자가 자신의 사용자 ID에 연결된 인라인 및 관리형 정책을 볼 수 있도록 허용하는 정책을 생성하는 방법을 보여줍니다. 이 정책에는 콘솔에서 또는 AWS CLI 또는 AWS API를 사용하여 프로그래밍 방식으로이 작업을 완료할 수 있는 권한이 포함됩니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 에 대한 읽기 전용 액세스 Direct Connect
다음 예제 정책은에 대한 읽기 액세스 권한을 부여합니다 Direct Connect.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"directconnect:Describe*",
"ec2:DescribeVpnGateways"
],
"Resource": "*"
}
]
}
```
------
## 에 대한 전체 액세스 Direct Connect
다음 예제 정책은에 대한 전체 액세스 권한을 부여합니다 Direct Connect.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"directconnect:*",
"ec2:DescribeVpnGateways"
],
"Resource": "*"
}
]
}
```
------