기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 의 보안 AWS Directory Service
의 클라우드 보안 AWS 이 최우선 순위입니다. AWS 고객은 보안에 가장 민감한 조직의 요구 사항을 충족하도록 구축된 데이터 센터 및 네트워크 아키텍처의 이점을 누릴 수 있습니다.
보안은 AWS 와 사용자 간의 공동 책임입니다. [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)은 이를 클라우드*의* 보안과 클라우드 *내* 보안으로 설명합니다.
+ **클라우드 보안 **- AWS 는 AWS 클라우드에서 AWS 서비스를 실행하는 인프라를 보호할 책임이 있습니다. AWS 또한는 안전하게 사용할 수 있는 서비스를 제공합니다. 서드 파티 감사원은 정기적으로 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/)의 일환으로 보안 효과를 테스트하고 검증합니다. 에 적용되는 규정 준수 프로그램에 대한 자세한 내용은 [AWS 규정 준수 프로그램 제공 범위 내 서비스를](https://aws.amazon.com/compliance/services-in-scope/) AWS Directory Service참조하세요.
+ **클라우드의 보안** - 사용자의 책임은 사용하는 AWS 서비스에 따라 결정됩니다. 또한 귀하는 귀사의 데이터 민감도, 귀사의 요구 사항, 관련 법률 및 규정을 비롯한 기타 요소에 대해서도 책임이 있습니다.
이 설명서는를 사용할 때 공동 책임 모델을 적용하는 방법을 이해하는 데 도움이 됩니다 Directory Service. 다음 주제에서는 보안 및 규정 준수 목표를 충족하도록 Directory Service 를 구성하는 방법을 보여줍니다. 또한 Directory Service 리소스를 모니터링하고 보호하는 데 도움이 되는 다른 AWS 서비스를 사용하는 방법을 알아봅니다.
**보안 주제**
이 섹션에서는 다음 보안 주제를 찾을 수 있습니다.
+ [에 대한 자격 증명 및 액세스 관리 Directory Service](iam_auth_access.md)
+ [에서 로깅 및 모니터링 AWS Directory Service](incident-response.md)
+ [에 대한 규정 준수 검증 AWS Directory Service](compliance-validation.md)
+ [의 복원력 AWS Directory Service](disaster-recovery-resiliency.md)
+ [의 인프라 보안 AWS Directory Service](infrastructure-security.md)
**추가 보안 주제**
이 가이드에서는 다음과 같은 추가 보안 주제를 찾을 수 있습니다.
*계정, 신뢰 및 AWS 리소스 액세스*
+ [AWS 관리형 Microsoft AD 관리자 계정 및 그룹 권한](ms_ad_getting_started_admin_account.md)
+ [그룹 관리형 서비스 계정](ms_ad_key_concepts.md#ms_ad_key_concepts_gmsa)
+ [AWS 관리형 Microsoft AD와 자체 관리형 AD 간에 신뢰 관계 생성](ms_ad_setup_trust.md)
+ [Kerberos 제한된 위임](ms_ad_key_concepts.md#ms_ad_key_concepts_kerberos)
+ [관리 AWS 형 Microsoft AD 사용자 및 그룹에 IAM 역할이 있는 AWS 리소스에 대한 액세스 권한 부여](ms_ad_manage_roles.md)
+ [를 사용하여 AWS 애플리케이션 및 서비스에 대한 권한 부여 Directory Service](ad_manage_apps_services_authorization.md)
*디렉터리 보안 유지*
+ [AWS 관리형 Microsoft AD 보호](ms_ad_security.md)
+ [AD Connector 디렉터리 보안](ad_connector_security.md)
*로깅 및 모니터링*
+ [AWS 관리형 Microsoft AD 모니터링](ms_ad_monitor.md)
+ [AD Connector 디렉터리 모니터링](ad_connector_monitor.md)
*복원성*
+ [AWS 관리형 Microsoft AD의 패치 및 유지 관리](ms_ad_key_concepts.md#ms_ad_key_concepts_maintenance)
# 에 대한 자격 증명 및 액세스 관리 Directory Service
에 액세스하려면가 요청을 인증하는 데 사용할 AWS 수 있는 자격 증명이 Directory Service 필요합니다. 이러한 자격 증명에는 디렉터리와 같은 AWS 리소스에 액세스할 수 있는 Directory Service 권한이 있어야 합니다. 다음 섹션에서는 [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 및 Directory Service 를 사용하여 리소스에 액세스할 수 있는 사용자를 제어하여 리소스를 보호하는 방법에 대한 세부 정보를 제공합니다.
+ [Authentication](#authentication)
+ [액세스 관리](#access_control)
## Authentication
IAM 자격 증명을 AWS 사용하여에 액세스하는 방법을 알아봅니다. [https://docs.aws.amazon.com//IAM/latest/UserGuide/id.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/id.html)
## 액세스 관리
요청을 인증하는 데 유효한 자격 증명이 있을 수 있지만 권한이 없으면 Directory Service 리소스를 생성하거나 액세스할 수 없습니다. 예를 들어 디렉터리를 생성하거나 Directory Service 디렉터리 스냅샷을 생성할 수 있는 권한이 있어야 합니다.
다음 섹션에서는에 대한 권한을 관리하는 방법을 설명합니다 Directory Service. 먼저 개요를 읽어보면 도움이 됩니다.
+ [Directory Service 리소스에 대한 액세스 권한 관리 개요](IAM_Auth_Access_Overview.md)
+ [에 대한 자격 증명 기반 정책(IAM 정책) 사용 Directory Service](IAM_Auth_Access_IdentityBased.md)
+ [Directory Service API 권한: 작업, 리소스 및 조건 참조](UsingWithDS_IAM_ResourcePermissions.md)
# Directory Service 리소스에 대한 액세스 권한 관리 개요
모든 AWS 리소스는 AWS 계정이 소유합니다. 따라서 리소스를 만들거나 액세스할 수 있는 권한은 권한 정책에 따라 결정됩니다. 하지만 관리자 권한이 있는 사용자인 계정 관리자는 리소스에 권한을 연결할 수 있습니다. 또한 에는 사용자, 그룹 및 역할과 같은 IAM 자격 증명에 권한 정책을 연결하는 기능과 리소스에 권한 정책 연결을 지원하는 등의 일부 서비스가 AWS Lambda 있습니다.
**참고**
계정 관리자 역할에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
**Topics**
+ [Directory Service 리소스 및 작업](#CreatingIAMPolicies_DS)
+ [리소스 소유권 이해](#IAM_Auth_Access_ResourceOwner)
+ [리소스 액세스 관리](#IAM_Auth_Access_ManagingAccess)
+ [정책 요소 지정: 작업, 효과, 리소스, 보안 주체](#SpecifyingIAMPolicyActions_DS)
+ [정책에서 조건 지정](#SpecifyingIAMPolicyConditions_DS)
## Directory Service 리소스 및 작업
에서 Directory Service기본 리소스는 *디렉터리*입니다. Directory Service 는 디렉터리 스냅샷 리소스를 지원하므로 기존 디렉터리의 컨텍스트에서만 스냅샷을 생성할 수 있습니다. 이 스냅샷을 *하위 리소스*라고 합니다.
다음 표에 나와 있는 것처럼 이러한 리소스에는 고유한 Amazon 리소스 이름(ARN)이 연결됩니다.
****
| **리소스 유형** | **ARN 형식** |
| --- | --- |
| 디렉터리 | `arn:aws:ds:region:account-id:directory/external-directory-id` |
| 스냅샷 | `arn:aws:ds:region:account-id:snapshot/external-snapshot-id` |
Directory Service 에는 수행하는 작업 유형에 따라 두 개의 서비스 네임스페이스가 포함되어 있습니다.
+ `ds` 서비스 네임스페이스는 해당 리소스를 처리하기 위한 작업을 제공합니다. 사용 가능한 작업 목록은 [디렉터리 서비스 작업](https://docs.aws.amazon.com//directoryservice/latest/devguide/API_Operations.html)을 참조하세요.
+ `ds-data` 서비스 네임스페이스는 Active Directory 객체에 일련의 작업을 제공합니다. 사용 가능한 작업 목록은 [디렉터리 서비스 데이터 API 참조](https://docs.aws.amazon.com//directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html)를 참조하세요.
## 리소스 소유권 이해
*리소스 소유자*는 리소스를 생성한 AWS 계정입니다. 즉, 리소스 소유자는 리소스를 생성하는 요청을 인증하는 *보안 주체 엔*터티(루트 계정, IAM 사용자 또는 IAM 역할)의 AWS 계정입니다. 다음 예제에서는 이러한 작동 방법을 설명합니다.
+ AWS 계정의 루트 계정 자격 증명을 사용하여 디렉터리와 같은 Directory Service 리소스를 생성하는 경우 AWS 계정은 해당 리소스의 소유자입니다.
+ AWS 계정에서 IAM 사용자를 생성하고 해당 사용자에게 Directory Service 리소스를 생성할 수 있는 권한을 부여하는 경우 해당 사용자는 리소스를 생성할 Directory Service 수도 있습니다. 하지만 사용자가 속한 AWS 계정이 리소스를 소유합니다.
+ AWS 계정에서 Directory Service 리소스를 생성할 권한이 있는 IAM 역할을 생성하는 경우 해당 역할을 수임할 수 있는 사람은 누구나 리소스를 생성할 Directory Service 수 있습니다. 역할이 속한 AWS 계정이 리소스를 소유합니다 Directory Service .
## 리소스 액세스 관리
*권한 정책*은 누가 무엇에 액세스 할 수 있는지를 나타냅니다. 다음 섹션에서는 권한 정책을 만드는 데 사용 가능한 옵션에 대해 설명합니다.
**참고**
이 섹션에서는 컨텍스트에서 IAM을 사용하는 방법에 대해 설명합니다 Directory Service. IAM 서비스에 대한 자세한 내용은 다루지 않습니다. IAM 설명서 전체 내용은 *IAM 사용 설명서*의 [IAM이란 무엇입니까?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)를 참조하세요. IAM 정책 구문과 설명에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)를 참조하세요.
IAM 자격 증명에 연결된 정책을 *자격 증명 기반* 정책(IAM 정책)이라고 하고 리소스에 연결된 정책을 *리소스 기반* 정책이라고 합니다.는 자격 증명 기반 정책(IAM 정책)만 Directory Service 지원합니다.
**Topics**
+ [자격 증명 기반 정책(IAM 정책)](#IAM_Auth_Access_ManagingAccess_IdentityBased)
+ [리소스 기반 정책](#IAM_Auth_Access_ManagingAccess_ResourceBased)
### 자격 증명 기반 정책(IAM 정책)
정책을 IAM 보안 인증에 연결할 수 있습니다. 예를 들면, 다음을 수행할 수 있습니다.
+ **계정의 사용자 또는 그룹에 권한 정책 연결 **- 계정 관리자는 특정 사용자와 연결된 권한 정책을 사용하여 해당 사용자에게 새 디렉터리와 같은 Directory Service 리소스를 생성할 수 있는 권한을 부여할 수 있습니다.
+ **역할에 정책 연결(교차 계정 권한 부여)** – ID 기반 권한 정책을 IAM 역할에 연결하여 교차 계정 권한을 부여할 수 있습니다.
IAM을 사용하여 권한을 위임하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*의 [액세스 관리](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) 단원을 참조하십시오.
다음 권한 정책은 사용자에게 `Describe`로 시작하는 모든 작업을 실행할 수 있는 권한을 부여합니다. 이러한 작업은 디렉터리 또는 스냅샷과 같은 Directory Service 리소스에 대한 정보를 표시합니다. `Resource` 요소의 와일드카드 문자(\$1)는 계정이 소유한 모든 Directory Service 리소스에 대해 작업이 허용됨을 나타냅니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ds:Describe*",
"Resource":"*"
}
]
}
```
------
에서 자격 증명 기반 정책을 사용하는 방법에 대한 자세한 내용은 섹션을 Directory Service참조하세요[에 대한 자격 증명 기반 정책(IAM 정책) 사용 Directory Service](IAM_Auth_Access_IdentityBased.md). 사용자, 그룹, 역할 및 권한에 대한 자세한 내용은 *IAM User Guide*의 [Identities (users, groups, and roles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)를 참조하세요.
### 리소스 기반 정책
Amazon S3과 같은 다른 서비스도 리소스 기반 권한 정책을 지원합니다. 예를 들어 정책을 S3 버킷에 연결하여 해당 버킷에 대한 액세스 권한을 관리할 수 있습니다. Directory Service 는 리소스 기반 정책을 지원하지 않습니다.
## 정책 요소 지정: 작업, 효과, 리소스, 보안 주체
각 Directory Service 리소스에 대해 서비스는 API 작업 세트를 정의합니다. 자세한 내용은 [Directory Service 리소스 및 작업](#CreatingIAMPolicies_DS) 단원을 참조하십시오. 사용 가능한 API 작업 목록은 [디렉터리 서비스 작업](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_Operations.html)을 참조하세요.
이러한 API 작업에 대한 권한을 부여하기 위해는 정책에서 지정할 수 있는 일련의 작업을 Directory Service 정의합니다. API 작업을 수행하려면 둘 이상의 작업에 대한 권한이 필요할 수 있습니다.
다음은 기본 정책 요소입니다.
+ **리소스** – 정책에서 Amazon 리소스 이름(ARN)을 사용하여 정책을 적용할 리소스를 식별합니다. Directory Service 리소스의 경우 항상 IAM 정책에서 와일드카드 문자(\$1)를 사용합니다. 자세한 내용은 [Directory Service 리소스 및 작업](#CreatingIAMPolicies_DS) 단원을 참조하십시오.
+ **작업** – 작업 키워드를 사용하여 허용 또는 거부하려는 리소스 작업을 식별합니다. 예를 들어, `ds:DescribeDirectories` 권한은 사용자에게 Directory Service `DescribeDirectories` 작업 수행 권한을 허용합니다.
+ **결과** – 사용자가 특정 작업을 요청할 때 결과를 지정합니다. 이 값은 허용 또는 거부일 수 있습니다. 명시적으로 리소스에 대한 액세스 권한을 부여(허용)하지 않는 경우, 액세스는 묵시적으로 거부됩니다. 다른 정책에서 액세스 권한을 부여하는 경우라도 사용자가 해당 리소스에 액세스할 수 없도록 하기 위해 리소스에 대한 권한을 명시적으로 거부할 수도 있습니다.
+ **보안 주체** – ID 기반 정책(IAM 정책)에서 정책이 연결되는 사용자는 암시적인 보안 주체입니다. 리소스 기반 정책의 경우 권한을 받을 사용자, 계정, 서비스 또는 기타 엔터티를 지정합니다(리소스 기반 정책에만 적용). Directory Service 는 리소스 기반 정책을 지원하지 않습니다.
IAM 정책 구문 및 설명에 대해 자세히 알아보려면 *IAM 사용 설명서*의 [ IAM JSON 정책 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) 단원을 참조하세요.
모든 Directory Service API 작업과 해당 작업이 적용되는 리소스를 보여주는 표는 섹션을 참조하세요[Directory Service API 권한: 작업, 리소스 및 조건 참조](UsingWithDS_IAM_ResourcePermissions.md).
## 정책에서 조건 지정
권한을 부여할 때 액세스 정책 언어를 사용하여 조건이 적용되는 조건을 지정할 수 있습니다. 예를 들어, 특정 날짜 이후에만 정책을 적용할 수 있습니다. 정책 언어에서의 조건 지정에 관한 자세한 내용은 *IAM 사용 설명서*의 [조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하십시오.
조건을 표시하려면 미리 정의된 조건 키를 사용합니다. Directory Service에만 해당되는 특정한 조건 키는 없습니다. 그러나 필요에 따라 사용할 수 있는 AWS 조건 키가 있습니다. AWS 키의 전체 목록은 *IAM 사용 설명서*의 [사용 가능한 전역 조건 키를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys) 참조하세요.
# AWS 에 대한 관리형 정책 AWS Directory Service
AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 줍니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 될 때 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 *IAM 사용자 가이드*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.
다음 섹션에서는 관련 AWS 관리형 정책을 설명합니다 Directory Service. 이러한 정책을 계정의 사용자에게 연결할 수 있습니다.
자세한 내용은 *IAM 사용자 가이드*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.
## AWS 관리형 정책: AWSDirectoryServiceFullAccess
`AWSDirectoryServiceFullAccess` 정책을 IAM ID에 연결할 수 있습니다. 이 정책의 모든 권한을 보려면 *AWS 관리형 정책 참조*의 [AWSDirectoryServiceFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDirectoryServiceFullAccess.html)를 참조하세요.
이 정책은 보안 주체에게 모든 Directory Service 작업에 대한 전체 액세스를 허용하는 관리 권한을 부여합니다. 이러한 권한이 있는 보안 주체는 Simple AD, AD Connector 및 Managed Microsoft AD를 포함한 디렉터리를 생성, 구성, 관리할 수 있습니다. 또한 디렉터리 공유, 신뢰 관계, 모니터링 구성을 관리할 수 있습니다. 이 정책에는 Directory Service에 필요한 기본 네트워크 인프라를 관리할 수 있는 권한이 포함되어 있습니다.
** 권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `ds` – 위탁자에게 모든 Directory Service 작업에 대한 전체 액세스 권한을 허용합니다.
+ `ec2` - 보안 주체가 네트워크 인터페이스, 보안 그룹을 관리하고 디렉터리 작업에 필요한 VPC 리소스를 설명하도록 허용합니다.
+ `sns` - 보안 주체가 디렉터리 모니터링을 위한 SNS 주제, 특히 이름이 ‘DirectoryMonitoring’으로 시작하는 주제를 생성하고 관리하도록 허용합니다.
+ `iam` - 보안 주체가 Directory Service 작업에 대한 IAM 역할을 나열하도록 허용합니다.
+ `organizations` - 보안 주체가 AWS 조직 통합을 관리하고 Directory Service에 대한 서비스 액세스를 활성화/비활성화하도록 허용합니다.
## AWS 관리형 정책: AWSDirectoryServiceReadOnlyAccess
`AWSDirectoryServiceReadOnlyAccess` 정책을 IAM ID에 연결할 수 있습니다. 이 정책의 모든 권한을 보려면 *AWS 관리형 정책 참조*의 [AWSDirectoryServiceReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDirectoryServiceReadOnlyAccess.html)를 참조하세요.
이 정책은 Directory Service의 정보를 볼 수 있는 읽기 전용 권한을 사용자에게 부여합니다. 이 정책에 연결된 보안 주체는 어떠한 디렉터리 또는 해당 구성도 업데이트할 수 없습니다. 예를 들어, 이러한 권한이 있는 보안 주체는 디렉터리 세부 정보, 신뢰 관계, 모니터링 구성을 볼 수 있지만 새 디렉터리를 생성하거나 기존 디렉터리를 수정할 수는 없습니다. 또한 디렉터리와 연결된 관련 EC2 네트워크 리소스 및 SNS 주제를 볼 수 있습니다.
** 권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `ds` - 사용자가 디렉터리 정보를 반환하는 읽기 전용 작업을 수행하도록 허용합니다. 이는 `Check`, `Describe`, `Get`, `List`, `Verify`으로 시작하는 API 작업을 포함합니다.
+ `ec2` - 사용자가 Directory Service와 연결된 네트워크 인터페이스, 서브넷, VPC를 설명하도록 허용합니다.
+ `sns` - 사용자가 디렉터리 모니터링에 사용되는 SNS 주제 및 구독에 대한 정보를 나열하고 가져오도록 허용합니다.
+ `organizations` - 사용자가 Directory Service와 관련된 AWS Organizations 계정 및 서비스 액세스 구성을 설명하도록 허용합니다.
## AWS 관리형 정책: AWSDirectoryServiceDataFullAccess
`AWSDirectoryServiceDataFullAccess` 정책을 IAM ID에 연결할 수 있습니다. 이 정책의 모든 권한을 보려면 *AWS 관리형 정책 참조*의 [AWSDirectoryServiceDataFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDirectoryServiceDataFullAccess.html)를 참조하세요.
이 정책은 보안 주체에게 관리 권한을 부여하여 모든 디렉터리 서비스 데이터 작업에 대한 전체 액세스 권한을 허용합니다. 이러한 권한을 가진 보안 주체는 관리형 디렉터리 내에서 Active Directory 사용자 및 그룹을 생성, 업데이트, 삭제할 수 있습니다. 그룹 멤버십을 관리하고, 사용자를 활성화 또는 비활성화하고, 포괄적인 사용자 및 그룹 관리 작업을 수행할 수 있습니다. 이 정책은 Active Directory 객체를 프로그래밍 방식으로 관리해야 하는 관리자를 위해 설계되었습니다.
** 권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `ds` - 보안 주체가 디렉터리 서비스 데이터 API를 통해 디렉터리 데이터에 액세스하도록 허용합니다.
+ `ds-data` - 보안 주체가 사용자 및 그룹 생성, 업데이트, 삭제, 그룹 멤버십 관리, 디렉터리 객체 검색을 포함한 모든 디렉터리 서비스 데이터 작업에 액세스하도록 모든 권한을 허용합니다.
## AWS 관리형 정책: AWSDirectoryServiceDataReadOnlyAccess
`AWSDirectoryServiceDataReadOnlyAccess` 정책을 IAM ID에 연결할 수 있습니다. 이 정책의 권한을 보려면 *AWS 관리형 정책 참조*의 [AWSDirectoryServiceDataReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDirectoryServiceDataReadOnlyAccess.html)를 참조하세요.
이 정책은 사용자가 관리형 디렉터리 내에서 Active Directory 객체를 보고 검색할 수 있는 읽기 전용 권한을 부여합니다. 이 정책이 연결된 보안 주체는 어떠한 사용자, 그룹, 그룹 멤버십도 업데이트할 수 없습니다. 예를 들어 이러한 권한이 있는 보안 주체는 사용자 및 그룹을 검색하고, 사용자 및 그룹 세부 정보를 보고, 그룹 멤버십을 나열할 수 있지만 디렉터리 객체를 생성, 수정, 삭제할 수는 없습니다.
** 권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `ds` - 보안 주체가 디렉터리 서비스 데이터 API를 통해 디렉터리 데이터에 액세스하도록 허용합니다.
+ `ds-data` - 사용자가 디렉터리 객체 정보를 반환하는 읽기 전용 작업을 수행하도록 허용합니다. 여기에는 `Describe`, `List` 또는 `Search`(으)로 시작하는 API 작업이 포함됩니다.
## AWSDirectoryServiceServiceRolePolicy
`AWSDirectoryServiceServiceRolePolicy` 정책은 IAM ID에 연결할 수 없습니다. 이 정책은 AWS Directory Service에서 사용자를 대신하여 작업을 수행하도록 서비스 연결 역할에 연결됩니다. 이 정책의 권한을 보려면 *AWS 관리형 정책 참조*의 [AWSDirectoryServiceServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDirectoryServiceServiceRolePolicy.html)를 참조하세요.
이 정책은가 하이브리드 Active Directory 환경에서 자체 관리형 도메인 컨트롤러 Directory Service 를 모니터링하고 평가할 수 있는 권한을 부여합니다. 이 서비스는 이러한 권한을 사용하여 자동 상태 평가를 실행하고, 호환성 테스트를 위해 PowerShell 스크립트를 실행하고, 적절한 하이브리드 연결 및 자동 복구 기능을 보장하기 위해 네트워크 구성 정보를 수집합니다.
** 권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `ssm` - 서비스가 모니터링 및 평가 목적으로 온프레미스 도메인 컨트롤러에 PowerShell 명령을 보내고 명령 실행 결과를 검색하도록 허용합니다.
+ `ec2` - 서비스가 VPC, 서브넷, 보안 그룹, 네트워크 인터페이스와 같은 네트워크 리소스를 설명하여 하이브리드 연결 구성을 검증하도록 허용합니다.
## AWS 관리형 정책에 대한 IAM 및 Directory Service 업데이트
서비스가 이러한 변경 사항을 추적하기 시작한 이후 IAM 및 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 IAM 및 Directory Service 문서 기록 페이지에서 RSS 피드를 구독하세요.
| 변경 | 설명 | Date |
| --- | --- | --- |
| [AWSDirectoryServiceServiceRolePolicy](#security-iam-awsmanpol-AWSDirectoryServiceServiceRolePolicy) - 새 정책 | Directory Service 는가 고객의 자체 관리형 도메인 컨트롤러를 모니터링할 수 있도록 허용하는 새 정책을 추가 AWS 했습니다. | 2025년 7월 30일 |
| [AWS 관리형 정책: AWSDirectoryServiceDataReadOnlyAccess](#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess) - 새 정책 | Directory Service 는 사용자 또는 그룹 액세스가 AD 사용자, 멤버 및 그룹을 보고 검색할 수 있도록 허용하는 새 정책을 추가했습니다. | 2024년 9월 17일 |
| [AWS 관리형 정책: AWSDirectoryServiceDataFullAccess](#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess) - 새 정책 | Directory Service 는 사용자 또는 그룹이 Directory Service Data를 사용하여 AD 사용자, 멤버 및 그룹을 생성, 관리 및 볼 수 있는 기본 제공 객체 관리에 액세스할 수 있도록 허용하는 새 정책을 추가했습니다. | 2024년 9월 17일 |
| Directory Service 에서 변경 내용 추적 시작 | Directory Service 가 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다. | 2024년 9월 17일 |
# 에 대한 자격 증명 기반 정책(IAM 정책) 사용 Directory Service
이 주제에서는 계정 관리자가 IAM 자격 증명(사용자, 그룹, 역할)에 권한 정책을 연결할 수 있는 자격 증명 기반 정책 예제를 제시합니다. 이 예제에서는의 IAM 정책을 보여줍니다 Directory Service. 요구 사항과 환경에 맞게 사용자의 정책을 수정하고 생성해야 합니다.
**중요**
먼저 Directory Service 리소스에 대한 액세스를 관리하는 데 사용할 수 있는 기본 개념과 옵션을 설명하는 소개 주제를 검토하는 것이 좋습니다. 자세한 내용은 [Directory Service 리소스에 대한 액세스 권한 관리 개요](IAM_Auth_Access_Overview.md) 단원을 참조하십시오.
이 주제의 섹션에서는 다음 내용을 학습합니다.
+ [Directory Service 콘솔을 사용하는 데 필요한 권한](#UsingWithDS_IAM_RequiredPermissions_Console)
+ [AWS 에 대한 관리형(미리 정의된) 정책 Directory Service](#IAM_Auth_Access_ManagedPolicies)
+ [고객 관리형 정책 예제](#IAMPolicyExamples_DS)
+ [IAM 정책에 태그 사용](#using_tags_with_iam_policies)
다음은 권한 정책의 예입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDsEc2IamGetRole",
"Effect": "Allow",
"Action": [
"ds:CreateDirectory",
"ec2:RevokeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:CreateSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DescribeSubnets",
"iam:GetRole"
],
"Resource": "*"
},
{
"Sid": "WarningAllowsCreatingRolesWithDirSvcPrefix",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::111122223333:role/DirSvc*"
},
{
"Sid": "AllowPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/Your-Role-Name",
"Condition": {
"StringEquals": {
"iam:PassedToService": "cloudwatch.amazonaws.com"
}
}
}
]
}
```
------
정책의 세 명령문은 다음과 같이 권한을 부여합니다.
+ 첫 번째 문은 Directory Service 디렉터리를 생성할 수 있는 권한을 부여합니다. Directory Service 는 리소스 수준에서 권한을 지원하지 않으므로 정책에서 와일드카드 문자(\$1)를 `Resource` 값으로 지정합니다.
+ 두 번째 진술은 Directory Service 가 사용자를 대신하여 IAM 역할을 읽고 만들 수 있도록 IAM 작업에 액세스할 수 있는 권한을 부여합니다. `Resource` 값의 끝에 있는 와일드카드 문자(\$1)는 설명문이 모든 IAM 역할에서 IAM 작업에 대한 권한을 허용함을 의미합니다. 이러한 권한을 특정 역할로 제한하려면 리소스 ARN에 있는 와일드카드 문자(\$1)를 특정 역할 이름으로 대체합니다. 자세한 내용은 [IAM 작업](https://docs.aws.amazon.com/IAM/latest/APIReference/API_Operations.html)을 참조하세요.
+ 세 번째 문은가 디렉터리를 Directory Service 생성, 구성 및 삭제하도록 허용하는 데 필요한 Amazon EC2의 특정 리소스 세트에 권한을 부여합니다. 역할 ARN을 사용자 역할로 대체합니다. 자세한 내용은 [Amazon EC2 작업](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_Operations.html)을 참조하세요.
ID 기반 정책에서는 권한을 받는 주체를 지정하지 않기 때문에 정책에 `Principal` 요소가 표시되지 않습니다. 정책을 사용자에게 연결할 경우 사용자는 암시적인 보안 주체입니다. IAM 역할에 권한 정책을 연결할 경우 역할의 신뢰 정책에 식별된 보안 주체는 권한을 가집니다.
모든 Directory Service API 작업과 해당 작업이 적용되는 리소스를 보여주는 표는 섹션을 참조하세요[Directory Service API 권한: 작업, 리소스 및 조건 참조](UsingWithDS_IAM_ResourcePermissions.md).
## Directory Service 콘솔을 사용하는 데 필요한 권한
사용자가 Directory Service 콘솔로 작업하려면 이전 정책에 나열된 권한 또는에 설명된 Directory Service 전체 액세스 역할 또는 Directory Service 읽기 전용 역할에서 부여한 권한이 있어야 합니다[AWS 에 대한 관리형(미리 정의된) 정책 Directory Service](#IAM_Auth_Access_ManagedPolicies).
최소 필수 권한보다 더 제한적인 IAM 정책을 만들면 콘솔은 해당 IAM 정책에 연결된 사용자에 대해 의도대로 작동하지 않습니다.
## AWS 에 대한 관리형(미리 정의된) 정책 Directory Service
AWS 는에서 생성하고 관리하는 사전 정의 또는 관리형 IAM 정책을 제공하여 많은 일반적인 사용 사례를 처리합니다 AWS. 관리형 정책은 일반적인 사용 사례에 필요한 권한을 부여하므로 필요한 권한을 결정하는 데 도움이 됩니다. 자세한 내용은 [AWS 에 대한 관리형 정책 AWS Directory Service](security-iam-awsmanpol.md) 단원을 참조하십시오.
## 고객 관리형 정책 예제
이 섹션에서는 다양한 Directory Service 작업에 대한 권한을 부여하는 예제 사용자 정책을 찾을 수 있습니다.
**참고**
모든 예에서는 미국 서부(오리건) 리전(`us-west-2`)을 사용하며 가상의 계정 ID를 포함합니다.
**Topics**
+ [예제 1: 사용자가 모든 Directory Service 리소스에 대해 설명 작업을 수행하도록 허용](#IAMPolicyExamples_DS_perform_describe_action)
+ [예제 2: 사용자에게 디렉터리 생성 허용](#IAMPolicyExamples_DS_create_directory)
### 예제 1: 사용자가 모든 Directory Service 리소스에 대해 설명 작업을 수행하도록 허용
다음 권한 정책은 사용자에게의 디렉터리 ID를 사용하여 AWS 관리형 Microsoft AD`Describe`에서 로 시작하는 모든 작업을 실행할 `d-1234567890` 수 AWS 계정 있는 권한을 부여합니다`111122223333`. 이러한 작업은 디렉터리나 스냅샷과 같은 Directory Service 리소스에 대한 정보를 보여 줍니다. 사용하려는 리전과 계정 번호로 AWS 리전 및 계정 번호를 변경해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ds:Describe*",
"Resource": "arn:aws:ds:us-west-2:111122223333:directory/d-1234567890"
}
]
}
```
------
### 예제 2: 사용자에게 디렉터리 생성 허용
다음 권한 정책은 사용자가 디렉터리와 스냅샷, 신뢰 같은 기타 모든 관련 리소스를 생성하도록 허용하는 권한을 부여합니다. 이를 위해서는 특정 Amazon EC2 서비스에 대한 권한도 필요합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:CreateTags"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ds:CreateDirectory",
"ds:DescribeDirectories"
],
"Resource": "arn:aws:ds:*:111122223333:*"
}
]
}
```
------
## IAM 정책에 태그 사용
대부분의 Directory Service API 작업에 사용하는 IAM 정책에서 태그 기반 리소스 수준 권한을 적용할 수 있습니다. 이를 통해 사용자가 생성, 수정 또는 사용할 수 있는 리소스를 더욱 정확하게 제어할 수 있습니다. 리소스 태그를 기반으로 사용자 액세스(권한)를 제어하기 위해 IAM 정책에서 다음 조건 콘텍스트 키 및 값과 함께 `Condition` 요소(`Condition` 블록)를 사용합니다.
+ 특정 태그가 지정된 리소스에 대한 사용자 작업을 허용 또는 거부하려면 `aws`:`ResourceTag`/**tag-key**: **tag-value**를 사용합니다.
+ 태그가 허용되는 리소스를 생성하거나 수정하기 위해 API 요청을 할 때 특정 태그를 사용하도록(또는 사용하지 않도록) 요구하려면 `aws`:`ResourceTag`/**tag-key**: **tag-value**를 사용합니다.
+ 태그가 허용되는 리소스를 생성하거나 수정하기 위해 API 요청을 할 때 특정한 태그 키 세트를 사용하도록(또는 사용하지 않도록) 요구하려면 `aws`:`TagKeys`: [**tag-key**, ...]를 사용합니다.
**참고**
IAM 정책의 조건 컨텍스트 키와 값은 태깅 가능한 리소스의 ID가 필수 파라미터인 Directory Service 작업에만 적용됩니다.
태그 사용에 대한 자세한 내용은 *IAM 사용 설명서*의 [Controlling access using tags(태그를 사용한 액세스 제어)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)를 참조하세요. 이 설명서의 [IAM JSON 정책 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) 단원에서는 IAM에서 JSON 정책의 자세한 구문과 설명, 요소의 예, 변수, 평가 로직을 설명합니다.
다음 태그 정책은 다음 태그가 사용되는 한 Directory Service 디렉터리 생성을 허용합니다.
+ 환경: 프로덕션
+ 소유자: Infrastructure Team
+ 비용 센터: 1234
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:CreateDirectory"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Environment": "Production",
"aws:RequestTag/Owner": "Infrastructure-Team",
"aws:RequestTag/CostCenter": "12345"
}
}
}
]
}
```
------
다음 태그 정책은 다음 태그가 사용되는 한 Directory Service 디렉터리를 업데이트하고 삭제할 수 있도록 허용합니다.
+ 프로젝트: Atlas
+ 부서: Engineering
+ 환경: Staging
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:DeleteDirectory",
"ds:UpdateDirectory"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "Atlas",
"aws:ResourceTag/Department": "Engineering",
"aws:ResourceTag/Environment": "Staging"
}
}
}
]
}
```
------
다음 태그 정책은 리소스에 다음 태그 중 하나가 Directory Service 있는 리소스 태그 지정을 거부합니다.
+ 프로덕션
+ 보안
+ 기밀성
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ds:AddTagsToResource"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": ["Production", "Security", "Confidential"]
}
}
}
]
}
```
------
ARN에 대한 자세한 내용은 [Amazon 리소스 이름(ARNs) 및 AWS 서비스 네임스페이스를 참조하세요](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
다음 Directory Service API 작업 목록은 태그 기반 리소스 수준 권한을 지원합니다.
+ [AcceptSharedDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_AcceptSharedDirectory.html)
+ [AddIpRoutes](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_AddIpRoutes.html)
+ [AddTagsToResource](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_AddTagsToResource.html)
+ [CancelSchemaExtension](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CancelSchemaExtension.html)
+ [CreateAlias](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateAlias.html)
+ [CreateComputer](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateComputer.html)
+ [CreateConditionalForwarder](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateConditionalForwarder.html)
+ [CreateSnapshot](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateSnapshot.html)
+ [CreateLogSubscription](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateLogSubscription.html)
+ [CreateTrust](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateTrust.html)
+ [DeleteConditionalForwarder](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteConditionalForwarder.html)
+ [DeleteDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteDirectory.html)
+ [DeleteLogSubscription](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteLogSubscription.html)
+ [DeleteSnapshot](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteSnapshot.html)
+ [DeleteTrust](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteTrust.html)
+ [DeregisterEventTopic](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeregisterEventTopic.html)
+ [DescribeConditionalForwarders](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeConditionalForwarders.html)
+ [DescribeDomainControllers](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeDomainControllers.html)
+ [DescribeEventTopics](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeEventTopics.html)
+ [DescribeSharedDirectories](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeSharedDirectories.html)
+ [DescribeSnapshots](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeSnapshots.html)
+ [DescribeTrusts](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeTrusts.html)
+ [DisableRadius](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DisableRadius.html)
+ [DisableSso](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DisableSso.html)
+ [EnableRadius](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_EnableRadius.html)
+ [EnableSso](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_EnableSso.html)
+ [GetSnapshotLimits](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_GetSnapshotLimits.html)
+ [ListIpRoutes](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ListIpRoutes.html)
+ [ListSchemaExtensions](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ListSchemaExtensions.html)
+ [ListTagsForResource](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ListTagsForResource.html)
+ [RegisterEventTopic](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RegisterEventTopic.html)
+ [RejectSharedDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RejectSharedDirectory.html)
+ [RemoveIpRoutes](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RemoveIpRoutes.html)
+ [RemoveTagsFromResource](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RemoveTagsFromResource.html)
+ [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)
+ [RestoreFromSnapshot](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RestoreFromSnapshot.html)
+ [ShareDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ShareDirectory.html)
+ [StartSchemaExtension](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_StartSchemaExtension.html)
+ [UnshareDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UnshareDirectory.html)
+ [UpdateConditionalForwarder](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateConditionalForwarder.html)
+ [UpdateNumberOfDomainControllers](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateNumberOfDomainControllers.html)
+ [UpdateRadius](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateRadius.html)
+ [UpdateTrust](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateTrust.html)
+ [VerifyTrust](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_VerifyTrust.html)
# Directory Service API 권한: 작업, 리소스 및 조건 참조
[액세스 관리](iam_auth_access.md#access_control)를 설정하고 IAM ID에 연결할 수 있는 사용 권한 정책(ID 기반 정책)을 작성할 때 이 [Directory Service API 권한: 작업, 리소스 및 조건 참조](#UsingWithDS_IAM_ResourcePermissions) 표를 참조로 사용할 수 있습니다. 표의 각 API 항목에는 다음이 포함됩니다.
+ API 작업의 이름.
+ 각 API 작업의 해당 작업 또는 작업 수행 권한을 부여할 수 있는 작업
+ 권한을 부여할 수 있는 AWS 리소스
정책의 `Action` 필드에서 작업을 지정하고 정책의 `Resource` 필드에서 리소스 값을 지정합니다. 작업을 지정하려면 `ds:` 접두사 다음에 API 작업 명칭을 사용합니다(예: `ds:CreateDirectory`). 일부 AWS 애플리케이션에서는 정책`ds:UnauthorizeApplication`에서 `ds:AuthorizeApplication`, , `ds:CheckAlias`, `ds:CreateIdentityPoolDirectory`, `ds:UpdateAuthorizedApplication`, 등의 비공개 Directory Service API 작업을 사용해야 `ds:GetAuthorizedApplicationDetails`할 수 있습니다.
일부 Directory Service APIs를 통해서만 호출할 수 있습니다 AWS Management Console. 프로그래밍 방식으로 호출할 수 없다는 점에서 퍼블릭 API가 아니며 SDK에서 제공하지 않습니다. 사용자 자격 증명을 수락합니다. 이러한 API 작업에는 `ds:DisableRoleAccess`, `ds:EnableRoleAccess` 및 `ds:UpdateDirectory`가 포함됩니다.
Directory Service 및 디렉터리 서비스 데이터 정책에서 AWS 전역 조건 키를 사용하여 조건을 표시할 수 있습니다. AWS 키의 전체 목록은 *IAM 사용 설명서*의 [사용 가능한 전역 조건 키를 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys).
## Directory Service API 및 작업에 필요한 권한
| Directory Service API 작업 | 필요한 권한(API 작업) | 리소스 |
| --- | --- | --- |
| [AcceptSharedDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_AcceptSharedDirectory.html) | ds:AcceptSharedDirectory | \$1 |
| [AddIpRoutes](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_AddIpRoutes.html) | `ds:AddIpRoutes` `ec2:DescribeSecurityGroup` `ec2:AuthorizeSecurityGroupIngress` `ec2:AuthorizeSecurityGroupEgress` | \$1 |
| [AddTagsToResource](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_AddTagsToResource.html) | ds:AddTagsToResource`ec2:CreateTags` | \$1 |
| [CancelSchemaExtension](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CancelSchemaExtension.html) | ds:CancelSchemaExtension | \$1 |
| [ConnectDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ConnectDirectory.html) | `ds:ConnectDirectory` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:CreateSecurityGroup` `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:AuthorizeSecurityGroupIngress` `ec2:AuthorizeSecurityGroupEgress` `ec2:CreateTags` | \$1 |
| [CreateAlias](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateAlias.html) | `ds:CreateAlias` | \$1 |
| [CreateComputer](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateComputer.html) | `ds:CreateComputer` | \$1 |
| [CreateConditionalForwarder](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateConditionalForwarder.html) | `ds:CreateConditionalForwarder` | \$1 |
| [CreateDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateDirectory.html) | `ds:CreateDirectory` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:CreateSecurityGroup` `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:AuthorizeSecurityGroupIngress` `ec2:AuthorizeSecurityGroupEgress` `ec2:CreateTags` | \$1 |
| [CreateLogSubscription](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateLogSubscription.html) | ds:CreateLogSubscription | \$1 |
| [CreateMicrosoftAD](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateMicrosoftAD.html) | `ds:CreateMicrosoftAD` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:CreateSecurityGroup` `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:AuthorizeSecurityGroupIngress` `ec2:AuthorizeSecurityGroupEgress` `ec2:RevokeSecurityGroupEgress` `ec2:CreateTags` | \$1 |
| [CreateSnapshot](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateSnapshot.html) | `ds:CreateSnapshot` | \$1 |
| [CreateTrust](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateTrust.html) | `ds:CreateTrust` | \$1 |
| [DeleteConditionalForwarder](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteConditionalForwarder.html) | `ds:DeleteConditionalForwarder` | \$1 |
| [DeleteDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteDirectory.html) | `ds:DeleteDirectory` `ec2:DescribeNetworkInterfaces` `ec2:DeleteSecurityGroup` `ec2:DeleteNetworkInterface` `ec2:RevokeSecurityGroupIngress` `ec2:RevokeSecurityGroupEgress` `ec2:DeleteTags` | \$1 |
| [DeleteLogSubscription](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteLogSubscription.html) | ds:DeleteLogSubscription | \$1 |
| [DeleteSnapshot](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteSnapshot.html) | `ds:DeleteSnapshot` | \$1 |
| [DeleteTrust](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteTrust.html) | `ds:DeleteTrust` | \$1 |
| [DeregisterEventTopic](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeregisterEventTopic.html) | `ds:DeregisterEventTopic` | \$1 |
| [DescribeConditionalForwarders](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeConditionalForwarders.html) | `ds:DescribeConditionalForwarders` | \$1 |
| [DescribeDirectories](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeDirectories.html) | `ds:DescribeDirectories` | \$1 |
| [DescribeDomainControllers](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeDomainControllers.html) | ds:DescribeDomainControllers | \$1 |
| [DescribeEventTopics](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeEventTopics.html) | `ds:DescribeEventTopics` | \$1 |
| [DescribeSharedDirectories](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeSharedDirectories.html) | ds:DescribeSharedDirectories | \$1 |
| [DescribeSnapshots](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeSnapshots.html) | `ds:DescribeSnapshots` | \$1 |
| [DescribeTrusts](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeTrusts.html) | `ds:DescribeTrusts` | \$1 |
| [DisableRadius](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DisableRadius.html) | `ds:DisableRadius` | \$1 |
| [DisableSso](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DisableSso.html) | `ds:DisableSso` | \$1 |
| [EnableRadius](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_EnableRadius.html) | `ds:EnableRadius` | \$1 |
| [EnableSso](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_EnableSso.html) | `ds:EnableSso` | \$1 |
| [GetDirectoryLimits](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_GetDirectoryLimits.html) | `ds:GetDirectoryLimits` | \$1 |
| [GetSnapshotLimits](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_GetSnapshotLimits.html) | `ds:GetSnapshotLimits` | \$1 |
| [ListIpRoutes](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ListIpRoutes.html) | `ds:ListIpRoutes` | \$1 |
| [ListLogSubscriptions](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ListLogSubscriptions.html) | ds:ListLogSubscriptions | \$1 |
| [ListSchemaExtensions](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ListSchemaExtensions.html) | `ds:ListSchemaExtensions` | \$1 |
| [ListTagsForResource](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ListTagsForResource.html) | `ds:ListTagsForResource` | \$1 |
| [RegisterEventTopic](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RegisterEventTopic.html) | `ds:RegisterEventTopic` `sns:GetTopicAttributes` | \$1 |
| [RejectSharedDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RejectSharedDirectory.html) | ds:RejectSharedDirectory | \$1 |
| [RemoveIpRoutes](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RemoveIpRoutes.html) | `ds:RemoveIpRoutes` | \$1 |
| [RemoveTagsFromResource](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RemoveTagsFromResource.html) | `ds:RemoveTagsFromResource` `ec2:DeleteTags` | \$1 |
| [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html) | ds:ResetUserPassword | \$1 |
| [RestoreFromSnapshot](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RestoreFromSnapshot.html) | `ds:RestoreFromSnapshot` | \$1 |
| [ShareDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ShareDirectory.html) | `ds:ShareDirectory` `organizations:DescribeAccount` `organizations:DescribeOrganization` `organizations:ListAWSServiceAccessForOrganization` | \$1 |
| [StartSchemaExtension](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_StartSchemaExtension.html) | `ds:StartSchemaExtension` | \$1 |
| [UnshareDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UnshareDirectory.html) | ds:UnshareDirectory | \$1 |
| [UpdateConditionalForwarder](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateConditionalForwarder.html) | `ds:UpdateConditionalForwarder` | \$1 |
| [UpdateNumberOfDomainControllers](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateNumberOfDomainControllers.html) | `ds:UpdateNumberOfDomainControllers` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:DeleteNetworkInterface` | \$1 |
| [UpdateRadius](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateRadius.html) | `ds:UpdateRadius` | \$1 |
| [UpdateTrust](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateTrust.html) | ds:UpdateTrust | \$1 |
| [VerifyTrust](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_VerifyTrust.html) | `ds:VerifyTrust` | \$1 |
## AWS 디렉터리 서비스 데이터 API 및 작업에 필요한 권한
**참고**
작업을 지정하려면 `ds-data:` 접두사 다음에 API 작업의 명칭을 사용합니다(예: `ds-data:AddGroupMember`).
| 디렉터리 서비스 데이터 API 작업 | 필요한 권한(API 작업) | 리소스 |
| --- | --- | --- |
| [AddGroupMember](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/API_AddGroupMember.html) | `ds-data:AddGroupMember` | \$1 |
| [CreateGroup](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/API_CreateGroup.html) | `ds-data:CreateGroup` | \$1 |
| [CreateUser](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/API_CreateUser.html) | `ds-data:CreateUser` | \$1 |
| [DeleteGroup](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/API_DeleteGroup.html) | `ds-data:DeleteGroup` | \$1 |
| [DeleteUser](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/DeleteUser.html) | `ds-data:DeleteUser` | \$1 |
| [DescribeGroup](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/API_DescribeGroup.html) | `ds-data:DescribeGroup` | \$1 |
| [DescribeUser](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/API_DescribeUser.html) | `ds-data:DescribeUser` | \$1 |
| [DisableUser](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/API_DisableUser.html) | `ds-data:DisableUser` | \$1 |
| [ListGroups](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/API_ListGroups.html) | `ds-data:ListGroups` | \$1 |
| [ListGroupMembers](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/API_ListGroupMembers.html) | `ds-data:ListGroupMembers` | \$1 |
| [ListGroupsForMember](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/API_ListGroupsForMember.html) | `ds-data:ListGroupsForMember` | \$1 |
| [ListUsers](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/API_ListUsers.html) | `ds-data:ListUsers` | \$1 |
| [RemoveGroupMember](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/API_RemoveGroupMember.html) | `ds-data:RemoveGroupMember` | \$1 |
| [SearchGroups](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/API_SearchGroups.html) | `ds-data:DescribeGroup` `ds-data:SearchGroups` | \$1 |
| [SearchUsers](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/API_SearchUsers.html) | `ds-data:DescribeUser` `ds-data:SearchUsers` | \$1 |
| [UpdateGroup](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/API_UpdateGroup.html) | `ds-data:UpdateGroup` | \$1 |
| [UpdateUser](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/API_UpdateUser.html) | `ds-data:UpdateUser` | \$1 |
## 관련 항목
+ [액세스 관리](iam_auth_access.md#access_control)
# 디렉터리 서비스 데이터 조건 키
[디렉터리 서비스 데이터](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/welcome.html) 조건 키를 사용하여 사용자 및 그룹 수준 액세스에 특정 문을 추가합니다. 이를 통해 사용자는 어떤 주체가 어떤 리소스와 어떤 조건에서 작업을 수행할 수 있는지 결정할 수 있습니다.
*조건 요소* 또는 *조건 블록*을 사용하면 정책이 발효되는 조건을 지정할 수 있습니다. Condition 요소는 선택 사항입니다. 같음(=) 또는 작음(<)과 같은 조건 연산자를 사용하여 정책의 조건을 요청의 값과 일치시키는 조건식을 생성할 수 있습니다.
한 문에서 여러 조건 요소를 지정하거나 단일 조건 요소에서 여러 키를 지정하는 경우, AWS 는 논리적 AND 태스크를 사용함으로써 평가합니다. 단일 조건 키에 여러 값을 지정하는 경우는 논리적 OR 작업을 사용하여 조건을 AWS 평가합니다. 문의 권한을 부여하기 전에 모든 조건을 충족해야 합니다. 조건을 지정할 때 자리 표시자 변수를 사용할 수도 있습니다. 예를 들어, 사용자 이름으로 태그가 지정된 경우에만 리소스에 액세스할 수 있는 권한을 IAM 사용자에게 부여할 수 있습니다. 자세한 내용은 *IAM 사용자 가이드*에서 [여러 키 또는 값이 있는 상태](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html)를 참조하세요.
이러한 조건 키를 지원하는 작업 목록은 *서비스 승인* 참조의 [AWS 디렉터리 서비스 데이터에서 정의한 작업을](https://docs.aws.amazon.com/service-authorization/latest/reference/list_directoryservice-data.html) 참조하세요.
**참고**
태그 기반 리소스 수준 권한에 대한 자세한 내용은 [IAM 정책에 태그 사용](IAM_Auth_Access_IdentityBased.md#using_tags_with_iam_policies)을 참조하세요.
## ds-data:SAMAccountName
[문자열 연산자](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)를 사용합니다.
이 키를 사용하여 IAM 역할이 특정 사용자 및 그룹에 대한 작업을 수행하도록 명시적으로 허용하거나 거부합니다.
**중요**
`SAMAccountName` 또는 `MemberName`을 사용할 때는 `ds-data:Identifier`를 `SAMAccountName`으로 지정하는 것이 좋습니다. 이렇게 하면와 같이 AWS 디렉터리 서비스 데이터가 지원하는 향후 식별자가 기존 권한을 깨뜨리지 `SID`않습니다.
다음 정책은 IAM 보안 주체가 `joe` 사용자를 설명하거나 `joegroup` 그룹을 설명하는 것을 거부합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyDescribe",
"Effect": "Deny",
"Action": "ds-data:Describe*",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"ds-data:SAMAccountName": [
"joe",
"joegroup"
],
"ds-data:identifier": [
"SAMAccountName"
]
}
}
}
]
}
```
------
**참고**
이 조건 키는 대/소문자를 구분하지 않습니다. `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` 또는 `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` 조건 연산자를 사용하여 문자 사례에 관계없이 문자열 값을 비교해야 합니다.
## ds-data:Identifier
[문자열 연산자](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)를 사용합니다.
이 키를 사용하여 IAM 정책 권한에 사용할 식별자를 정의합니다. 현재 `SAMAccountName`만 지원됩니다.
다음 정책은 IAM 보안 주체가 `joe` 사용자를 업데이트하도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "UpdateJoe",
"Effect": "Allow",
"Action": "ds-data:UpdateUser",
"Resource": "arn:aws:ds:us-east-1:111122223333:directory/d-012345678",
"Condition": {
"StringEqualsIgnoreCase": {
"ds-data:SAMAccountName": [
"joe"
],
"ds-data:identifier": [
"SAMAccountName"
]
}
}
}
]
}
```
------
## ds-data:MemberName
[문자열 연산자](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)를 사용합니다.
이 키를 사용하여 작업을 수행할 수 있는 멤버를 정의합니다.
**중요**
`MemberName` 또는 `SAMAccountName`을 사용할 때는 `ds-data:Identifier`를 `SAMAccountName`으로 지정하는 것이 좋습니다. 이렇게 하면 `SID`와 같이 디렉터리 서비스 데이터가 지원하는 향후 식별자가 기존 권한을 깨지 않습니다.
다음 정책은 IAM 보안 주체가 모든 그룹의 `joe` 멤버에 대해 `AddGroupMember`를 수행하도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AddJoe",
"Effect": "Allow",
"Action": "ds-data:AddGroupMember",
"Resource": "arn:aws:ds:us-east-1:111122223333:directory/d-012345678",
"Condition": {
"StringEqualsIgnoreCase": {
"ds-data:MemberName": "joe"
}
}
}
]
}
```
------
**참고**
이 조건 키는 대/소문자를 구분하지 않습니다. `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` 또는 `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` 조건 연산자를 사용하여 문자 사례에 관계없이 문자열 값을 비교해야 합니다.
## ds-data:MemberRealm
[문자열 연산자](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)를 사용합니다.
이 키를 사용하여 정책의 `ds-data:MemberRealm` 값이 요청의 멤버 영역과 일치하는지 확인합니다.
**참고**
이 조건 키는 대/소문자를 구분하지 않습니다. `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` 또는 `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` 조건 연산자를 사용하여 문자 사례에 관계없이 문자열 값을 비교해야 합니다.
다음 정책은 IAM 보안 주체가 `ONE.TRU1.AMAZON.COM` 영역에서 `bob` 멤버에 대한 `AddGroupMember`를 호출하도록 허용합니다.
**참고**
다음 예제에서는 `ds-data:MemberName` 컨텍스트 키만 사용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "addbob",
"Effect": "Allow",
"Action": "ds-data:AddGroupMember",
"Resource": "arn:aws:ds:us-east-1:111122223333:directory/d-012345678",
"Condition": {
"StringEqualsIgnoreCase": {
"ds-data:MemberName": "bob",
"ds-data:MemberRealm": "one.tru1.amazon.com"
}
}
}
]
}
```
------
## ds-data:Realm
[문자열 연산자](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)를 사용합니다.
이 키를 사용하여 IAM 보안 주체가 디렉터리 서비스 데이터 API에 요청을 수행하는 데 사용할 수 있는 영역과 정책의 `ds-data:Realm` 값이 일치하는지 확인합니다.
**참고**
이 조건 키는 대/소문자를 구분하지 않습니다. `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` 또는 `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` 조건 연산자를 사용하여 문자 사례에 관계없이 문자열 값을 비교해야 합니다.
다음 정책은 IAM 보안 주체가 `one.tru1.amazon.com` 영역에서 `ListUsers`를 호출하는 것을 거부합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyTrustedList",
"Effect": "Deny",
"Action": "ds-data:ListUsers",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"ds-data:Realm": [
"one.tru1.amazon.com"
]
}
}
}
]
}
```
------
# 를 사용하여 AWS 애플리케이션 및 서비스에 대한 권한 부여 Directory Service
이 주제에서는 AWS Directory Service 및 AWS 디렉터리 서비스 데이터를 사용한 AWS 애플리케이션 및 서비스에 대한 권한 부여에 대해 설명합니다.
## Active Directory에서 AWS 애플리케이션 권한 부여
Directory Service 는 AWS 애플리케이션을 승인할 때 선택한 애플리케이션이 Active Directory와 원활하게 통합될 수 있는 특정 권한을 부여합니다. AWS 애플리케이션에는 특정 사용 사례에 필요한 액세스 권한만 부여됩니다. 다음은 승인 후 애플리케이션 및 Application Manager에게 부여되는 내부 권한 세트입니다.
**참고**
Active Directory에 대한 새 AWS 애플리케이션을 승인하려면 `ds:AuthorizationApplication` 권한이 필요합니다. 이 작업에 대한 권한은 Directory Service와의 통합을 구성하는 관리자에게만 제공되어야 합니다.
+ 관리형 Microsoft AD, Simple AD, AD Connector 디렉터리의 모든 조직 단위(OU)와 신뢰 관계에서 허용하는 경우 AWS 관리 AWS 형 Microsoft AD의 신뢰할 수 있는 도메인의 Active Directory 사용자, 그룹, 조직 단위, 컴퓨터 또는 인증 기관 데이터에 대한 읽기 액세스 권한.
+ AWS 관리형 Microsoft AD의 조직 단위에 있는 사용자, 그룹, 그룹 멤버십, 컴퓨터 또는 인증 기관 데이터에 대한 쓰기 액세스 권한. Simple AD의 모든 OU에 대한 쓰기 권한.
+ 모든 디렉터리 유형에 대한 Active Directory 사용자의 인증 및 세션 관리.
Amazon RDS 및 Amazon FSx와 같은 특정 AWS 관리형 Microsoft AD 애플리케이션은 Active Directory에 대한 직접 네트워크 연결을 통해 통합됩니다. 이 경우 디렉터리 상호 작용에는 LDAP 및 Kerberos와 같은 네이티브 Active Directory 프로토콜이 사용됩니다. 이러한 AWS 애플리케이션의 권한은 애플리케이션 권한 부여 중에 AWS 예약 조직 단위(OU)에서 생성된 디렉터리 사용자 계정으로 제어되며, 여기에는 DNS 관리 및 애플리케이션용으로 생성된 사용자 지정 OU에 대한 전체 액세스가 포함됩니다. 이 계정을 사용하려면 애플리케이션에서 발신자 보안 인증 또는 IAM 역할을 통해 `ds:GetAuthorizedApplicationDetails` 조치를 취할 수 있는 권한이 필요합니다.
Directory Service API 권한에 대한 자세한 내용은 섹션을 참조하세요[Directory Service API 권한: 작업, 리소스 및 조건 참조](UsingWithDS_IAM_ResourcePermissions.md).
AWS 관리형 Microsoft AD에 대한 AWS 애플리케이션 및 서비스 활성화에 대한 자세한 내용은 섹션을 참조하세요[AWS 관리형 Microsoft AD에서 AWS 애플리케이션 및 서비스에 액세스](ms_ad_manage_apps_services.md). Simple AD에 대한 AWS 애플리케이션 및 서비스 활성화에 대한 자세한 내용은 섹션을 참조하세요[Simple AD에서 AWS 애플리케이션 및 서비스에 액세스](simple_ad_manage_apps_services.md). AD Connector용 AWS 애플리케이션 및 서비스 활성화에 대한 자세한 내용은 섹션을 참조하세요[AD Connector에서 AWS 애플리케이션 및 서비스에 액세스](ad_connector_manage_apps_services.md).
**Active Directory에서 AWS 애플리케이션 권한 부여 취소**
AWS 애플리케이션이 Active Directory에 액세스할 수 있는 권한을 제거하려면 `ds:UnauthorizedApplication` 권한이 필요합니다. 애플리케이션이 제공하는 절차에 따라 비활성화합니다.
## AWS 디렉터리 서비스 데이터를 사용한 애플리케이션 권한 부여
AWS 관리형 Microsoft AD 디렉터리의 경우 디렉터리 서비스 데이터(ds-data) API를 사용하면 사용자 및 그룹 관리 작업에 프로그래밍 방식으로 액세스할 수 있습니다. AWS 애플리케이션의 권한 부여 모델은 디렉터리 서비스 데이터의 액세스 제어와 별개입니다. 즉, 디렉터리 서비스 데이터 작업에 대한 액세스 정책은 AWS 애플리케이션에 대한 권한 부여에 영향을 주지 않습니다. ds-data의 디렉터리에 대한 액세스를 거부해도 AWS 애플리케이션 통합 또는 AWS 애플리케이션 사용 사례는 중단되지 않습니다.
AWS 애플리케이션을 승인하는 AWS 관리형 Microsoft AD 디렉터리에 대한 액세스 정책을 작성할 때는 승인된 AWS 애플리케이션 또는 디렉터리 서비스 데이터 API를 호출하여 사용자 및 그룹 기능을 사용할 수 있다는 점에 유의하세요. Amazon WorkDocs, Amazon WorkMail, Amazon WorkSpaces, Amazon Quick 및 Amazon Chime은 모두 APIs에서 사용자 및 그룹 관리 작업을 제공합니다. IAM 정책을 사용하여이 AWS 애플리케이션 기능에 대한 액세스를 제어합니다.
**예제**
다음 코드 조각은 디렉터리에서 WorkDocs 및 Amazon WorkMail과 같은 AWS 애플리케이션이 승인될 때 `DeleteUser` 기능을 거부하는 올바르지 않고 올바른 방법을 보여줍니다.
**Incorrect**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"ds-data:DeleteUser"
],
"Resource": "*"
}
]
}
```
------
**Correct**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"ds-data:DeleteUser",
"workmail:DeleteUser",
"workdocs:DeleteUser"
],
"Resource": "*"
}
]
}
```
------
# 에 대한 서비스 연결 역할 사용 Directory Service
AWS Directory Service 는 AWS Identity and Access Management (IAM) [서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 직접 연결된 고유한 유형의 IAM 역할입니다 Directory Service. 서비스 연결 역할은에서 사전 정의 Directory Service 하며 서비스에서 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할을 더 Directory Service 쉽게 설정할 수 있습니다.는 서비스 연결 역할의 권한을 Directory Service 정의하며, 달리 정의되지 않은 한 만 해당 역할을 수임 Directory Service 할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며, 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
먼저 관련 리소스를 삭제해야만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 Directory Service 리소스에 대한 액세스 권한을 실수로 제거할 수 없기 때문에 리소스에 대한 액세스 권한이 손실되는 것을 방지할 수 있습니다.
서비스 연결 역할을 지원하는 다른 서비스에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 단원을 참조하세요.
**Topics**
+ [에 대한 서비스 연결 역할 권한 Directory Service](#slr-permissions)
+ [에 대한 서비스 연결 역할 생성 Directory Service](#create-slr)
+ [에 대한 서비스 연결 역할 편집 Directory Service](#edit-slr)
+ [에 대한 서비스 연결 역할 삭제 Directory Service](#delete-slr)
+ [Directory Service 서비스 연결 역할에 지원되는 리전](#slr-regions)
## 에 대한 서비스 연결 역할 권한 Directory Service
Directory Service 는 **AWSServiceRoleForDirectoryService**라는 서비스 연결 역할을 사용합니다.는 고객의 자체 관리형 도메인 컨트롤러 AWS 를 모니터링할 수 있습니다.
**AWSServiceRoleForDirectoryService** 서비스 연결 역할은 다음 서비스들이 역할을 수임하도록 신뢰합니다.
+ `ds.amazonaws.com`
AWSDirectoryServiceServiceRolePolicy라는 역할 권한 정책은가 지정된 리소스에서 다음 작업을 완료 Directory Service 하도록 허용합니다. 이 정책의 모든 권한을 보려면 *AWS 관리형 정책 참조*의 [AWSDirectoryServiceServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDirectoryServiceServiceRolePolicy.html)를 참조하세요.
+ `ec2` - 서비스가 VPC, 서브넷, 보안 그룹, 네트워크 인터페이스와 같은 네트워크 리소스를 설명하여 하이브리드 연결 구성을 검증하도록 허용합니다.
+ `ec2:DescribeAvailabilityZones`
+ `ec2:DescribeDhcpOptions`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcs`
+ `ssm` - 서비스가 모니터링 및 평가 목적으로 온프레미스 도메인 컨트롤러에 PowerShell GUI 레이블을 전송하고 모니터링하도록 허용합니다.
+ `ssm:Sendguilabel`
+ `ssm:Listguilabels`
+ `ssm:GetguilabelInvocation`
+ `ssm:DescribeInstanceInformation`
+ `ssm:GetConnectionStatus`
사용자, 그룹 또는 역할이 서비스 연결 역할을 생성, 편집 또는 삭제할 수 있도록 사용 권한을 구성해야 합니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)을 참조하세요.
## 에 대한 서비스 연결 역할 생성 Directory Service
서비스 연결 역할은 수동으로 생성할 필요가 없습니다. 가 AWS Management Console AWS CLI, 또는 AWS API에서 고객의 자체 관리형 도메인 컨트롤러를 모니터링 AWS 하도록 허용하면 서비스 연결 역할이 자동으로 Directory Service 생성됩니다. 이러한 변경에 대한 자세한 내용은 [정책 업데이트](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/security-iam-awsmanpol.html#security-iam-awsmanpol-updates)를 참조하세요.
**중요**
이러한 서비스 연결 역할은 해당 역할이 지원하는 기능을 사용하는 다른 서비스에서 작업을 완료했을 경우 계정에 나타날 수 있습니다. 또한 Directory Service 서비스 연결 역할을 지원하기 시작한 2017년 1월 1일 이전에 서비스를 사용 중이었다면는 계정에 **AWSServiceRoleForDirectoryService** 역할을 Directory Service 생성했습니다. 자세한 내용은 [내에 표시되는 새 역할을 참조하세요 AWS 계정](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
## 에 대한 서비스 연결 역할 편집 Directory Service
Directory Service 에서는 **AWSServiceRoleForDirectoryService** 서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
## 에 대한 서비스 연결 역할 삭제 Directory Service
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제할 것을 권합니다. 이렇게 하면 적극적으로 모니터링하거나 유지 관리하지 않은 미사용 엔터티가 없습니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.
**참고**
리소스 삭제를 시도할 때 Directory Service 서비스가 역할을 사용하는 경우 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.
**AWSServiceRoleForDirectoryService에서 사용하는 Directory Service 리소스를 삭제하려면**
+ 디렉터리를 삭제하려면 [AWS 관리형 Microsoft AD 삭제](ms_ad_delete.md)를 참고하세요.
**IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.**
IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 **AWSServiceRoleForDirectoryService** 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)**를 참조하십시오.
## Directory Service 서비스 연결 역할에 지원되는 리전
Directory Service 는 서비스를 사용할 수 있는 모든 리전에서 서비스 연결 역할 사용을 지원하지 않습니다. 그러나 하이브리드 디렉터리에 옵트인할 수 AWS 리전 있는 에서만 **AWSServiceRoleForDirectoryService** 역할을 Directory Service 사용합니다.
**하이브리드 디렉터리 옵트인 리전 지원**
| 리전 이름 | 리전 자격 증명 | 옵트인 지원 |
| --- | --- | --- |
| 미국 동부(버지니아 북부) | us-east-1 | 예 |
| 미국 동부(오하이오) | us-east-2 | 예 |
| 미국 서부(캘리포니아 북부) | us-west-1 | 예 |
| 미국 서부(오리건) | us-west-2 | 예 |
| 유럽(스톡홀름) | eu-north-1 | 예 |
| 중동(바레인) | me-south-1 | 예 |
| 아시아 태평양(뭄바이) | ap-south-1 | 예 |
| 유럽(파리) | eu-west-3 | 예 |
| 아시아 태평양(자카르타) | ap-southeast-3 | 예 |
| 아프리카(케이프타운) | af-south-1 | 예 |
| 유럽(아일랜드) | eu-west-1 | 예 |
| 중동(UAE) | me-central-1 | 예 |
| 유럽(프랑크푸르트) | eu-central-1 | 예 |
| 남아메리카(상파울루) | sa-east-1 | 예 |
| Asia Pacific (Hong Kong) | ap-east-1 | 예 |
| 아시아 태평양(하이데라바드) | ap-south-2 | 예 |
| 아시아 태평양(서울) | ap-northeast-2 | 예 |
| 아시아 태평양(오사카) | ap-northeast-3 | 예 |
| 유럽(런던) | eu-west-2 | 예 |
| 아시아 태평양(멜버른) | ap-southeast-4 | 예 |
| 유럽(밀라노) | eu-south-1 | 예 |
| 아시아 태평양(도쿄) | ap-northeast-1 | 예 |
| 아시아 태평양(싱가포르) | ap-southeast-1 | 예 |
| 아시아 태평양(시드니) | ap-southeast-2 | 예 |
| 캐나다(중부) | ca-central-1 | 예 |
| 유럽(스페인) | eu-south-2 | 예 |
| 유럽(취리히) | eu-central-2 | 예 |
# 에서 로깅 및 모니터링 AWS Directory Service
모범 사례로, 조직에서 변경 사항이 기록되고 있는지 모니터링합니다. 이렇게 하면 예기치 않은 변경 사항을 조사하고 원치 않는 변경 사항을 롤백할 수 있습니다.는 AWS Directory Service 현재 다음 두 AWS 서비스를 지원하므로 조직과 조직 내에서 발생하는 활동을 모니터링할 수 있습니다.
+ Amazon CloudWatch - AWS 관리형 Microsoft AD 디렉터리 유형에서 CloudWatch Events를 사용할 수 있습니다. 자세한 내용은 [AWS 관리형 Microsoft AD에 대한 Amazon CloudWatch Logs 로그 전달 활성화](ms_ad_enable_log_forwarding.md) 단원을 참조하십시오. 또한 CloudWatch 지표를 사용하여 도메인 컨트롤러 성능을 모니터링할 수 있습니다. 자세한 내용은 [CloudWatch 지표를 사용하여 도메인 컨트롤러를 추가할 시기 결정](ms_ad_monitor_dc_performance.md#scaledcs) 단원을 참조하십시오.
+ AWS CloudTrail
+ 모든 Directory Service 디렉터리 유형에서 CloudTrail을 사용할 수 있습니다. 자세한 내용은 [를 사용하여 AWS Directory Service API 호출 로깅 AWS CloudTrail](logging-using-cloudtrail-ads.md) 단원을 참조하십시오.
+ 디렉터리 서비스 데이터 API에서 AWS 관리형 Microsoft AD와 함께 CloudTrail을 사용할 수 있습니다. 자세한 내용은 [를 사용하여 AWS 디렉터리 서비스 데이터 API 호출 로깅 AWS CloudTrail](logging-using-cloudtrail.md) 단원을 참조하십시오.
# 를 사용하여 AWS Directory Service API 호출 로깅 AWS CloudTrail
AWS 관리형 Microsoft AD API는에서 AWS 관리형 Microsoft AD에 의해 또는 이를 대신하여 수행된 API 호출을 캡처 AWS 계정 하고 사용자가 지정한 Amazon S3 버킷에 로그 파일을 전송하는 AWS CloudTrail서비스인와 통합됩니다. CloudTrail은 AWS 관리형 Microsoft AD 콘솔에서 API 직접 호출을 캡처하고 AWS 관리형 Microsoft AD APIs. CloudTrail에서 수집한 정보를 사용하여 AWS 관리형 Microsoft AD에 수행된 요청, 요청이 수행된 소스 IP 주소, 요청을 수행한 사람, 요청이 수행된 시간 등을 확인할 수 있습니다. CloudTrail에 대한 자세한 내용은 [AWS CloudTrail 사용 설명서](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)를 참조하세요.
## AWS CloudTrail의 관리형 Microsoft AD 정보
CloudTrail은 계정을 생성할 AWS 계정 때에서 활성화됩니다. AWS 관리형 Microsoft AD에서 활동이 발생하면 해당 활동이 **이벤트 기록**의 다른 AWS 서비스 이벤트와 함께 CloudTrail 이벤트에 기록됩니다. 에서 최근 이벤트를 보고 검색하고 다운로드할 수 있습니다 AWS 계정. 자세한 설명은 [CloudTrail 이벤트 기록으로 이벤트 보기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)를 참조하세요.
AWS 관리형 Microsoft AD에 대한 이벤트를 AWS 계정포함하여에 이벤트를 지속적으로 기록하려면 추적을 생성합니다. CloudTrail은 *추적*을 사용하여 Amazon S3 버킷으로 로그 파일을 전송할 수 있습니다. 기본적으로 콘솔에서 추적을 생성하면 추적이 모든 AWS 리전에 적용됩니다. 추적은 AWS 파티션의 모든 리전에서 이벤트를 로깅하고 지정한 Amazon S3 버킷으로 로그 파일을 전송합니다. 또한 CloudTrail 로그에서 수집된 이벤트 데이터를 추가로 분석하고 조치를 취하도록 다른 AWS 서비스를 구성할 수 있습니다. 자세한 내용은 다음 자료를 참조하세요.
+ [추적 생성 개요](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 지원 서비스 및 통합](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [CloudTrail에서 Amazon SNS 알림 구성](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [여러 리전으로부터 CloudTrail 로그 파일 받기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) 및 [여러 계정으로부터 CloudTrail 로그 파일 받기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
에서 CloudTrail 로깅이 활성화되면 AWS 관리형 Microsoft AD 작업에 대한 AWS 계정모든 API 호출이 로그 파일에서 추적됩니다. AWS 관리형 Microsoft AD 레코드는 로그 파일의 다른 AWS 서비스 레코드와 함께 기록됩니다. CloudTrail은 기간 및 파일 크기를 기준으로 새 파일을 만들고 기록하는 시점을 결정합니다. Directory Service API 또는 CLI 호출에 대한 모든 호출은 CloudTrail에서 로깅됩니다.
모든 로그 항목은 누가 요청을 생성했는가에 대한 정보가 들어 있습니다. 로그의 사용자 자격 증명 정보는 요청이 루트 또는 IAM 사용자 자격 증명, 역할 또는 페더레이션 사용자에 대한 임시 보안 자격 증명 또는 다른 AWS 서비스에 의해 이루어졌는지 확인하는 데 도움이 됩니다. 자세한 내용은 [CloudTrail 이벤트 참조](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/event_reference_top_level.html)의 **userIdentity** 필드를 참조하세요.
원하는 기간만큼 버킷에 로그 파일을 저장할 수 있습니다. 그러나 Amazon S3 수명 주기 규칙을 정의하여 자동으로 로그 파일을 보관하거나 삭제할 수도 있습니다. 기본적으로 로그 파일은 Amazon S3 서버 쪽 암호화(SSE)를 사용하여 암호화합니다.
로그 파일 전송 시 신속한 조치를 취해야 하는 경우 새 로그 파일이 전송될 때 CloudTrail에서 Amazon SNS 알림을 게시하게 할 수 있습니다. 자세한 내용은 [Amazon SNS 알림 설정](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)을 참조하십시오.
여러 AWS 리전의 AWS 관리형 Microsoft AD 로그 파일을 단일 Amazon S3 버킷으로 집계할 수도 있습니다 AWS 계정 . 자세한 내용은 [단일 Amazon S3 버킷에 CloudTrail 로그 파일 통합](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/aggregating_logs_top_level.html) 단원을 참조하십시오.
## AWS 관리형 Microsoft AD 로그 파일 항목 이해
CloudTrail 로그 파일은 하나 이상의 로그 항목이 있으며, 각 항목은 여러 개의 JSON 형식 이벤트로 구성됩니다. 로그 항목은 어떤 소스로부터의 요청 하나를 나타내며 요청된 작업, 모든 파라미터, 작업 날짜와 시간 등에 대한 정보가 들어 있습니다. 로그 항목은 특정 순서를 유지하지 않으며, 즉, 공개 API 직접 호출의 정렬된 스택 추적 정보가 아닙니다.
로그 항목에서 암호, 인증 토큰, 파일 설명 등의 중요 정보가 수정됩니다.
다음 예제에서는 AWS 관리형 Microsoft AD에 대한 CloudTrail 로그 항목의 예를 보여줍니다.
```
{
"Records" : [
{
"eventVersion" : "1.02",
"userIdentity" :
{
"type" : "IAMUser",
"principalId" : "",
"arn" : "",
"accountId" : "",
"accessKeyId" : "",
"userName" : ""
},
"eventTime" : "",
"eventSource" : "ds.amazonaws.com",
"eventName" : "CreateDirectory",
"awsRegion" : "",
"sourceIPAddress" : "",
"userAgent" : "",
"requestParameters" :
{
"name" : "",
"shortName" : "",
"vpcSettings" :
{
"vpcId" : "",
"subnetIds" : [
"",
""
]
},
"type" : "",
"setAsDefault" :