기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon EBS 스냅샷 잠금에 대한 액세스 제어
기본적으로 사용자에게는 스냅샷 잠금 사용 권한이 없습니다. 사용자가 스냅샷 잠금을 사용하도록 허용하려면 특정 리소스 및 API 작업을 사용할 권한을 부여하는 IAM 정책을 생성해야 합니다. 자세한 내용은 IAM 사용 설명서의 [IAM 정책 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)을 참조하세요.
**Topics**
+ [필수 권한](#snapshot-lock-req-perms)
+ [조건 키로 액세스 제한](#snapshot-lock-condition-keys)
## 필수 권한
스냅샷 잠금을 사용하려면 사용자에게 다음 권한이 필요합니다.
+ `ec2:LockSnapshot` - 스냅샷 잠금
+ `ec2:UnlockSnapshot` - 스냅샷 잠금 해제
+ `ec2:DescribeLockedSnapshots` - 스냅샷 잠금 설정 보기
다음은 스냅샷을 잠금 및 잠금 해제하고 스냅샷 잠금 설정을 볼 수 있는 권한을 사용자에게 부여하는 IAM 정책의 예제입니다. 여기에는 콘솔 사용자에 대한 `ec2:DescribeSnapshots` 권한이 포함됩니다. 일부 권한이 필요하지 않은 경우 정책에서 권한을 제거할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSnapshotLockOperations",
"Effect": "Allow",
"Action": [
"ec2:LockSnapshot",
"ec2:UnlockSnapshot",
"ec2:DescribeLockedSnapshots",
"ec2:DescribeSnapshots"
],
"Resource": [
"arn:aws:ec2:*::snapshot/*",
"arn:aws:ec2:*:111122223333:volume/*"
]
}
]
}
```
------
액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요.
+ 의 사용자 및 그룹 AWS IAM Identity Center:
권한 세트를 생성합니다. *AWS IAM Identity Center 사용자 안내서*에서 [권한 세트 생성](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)의 지침을 따릅니다.
+ ID 제공업체를 통해 IAM에서 관리되는 사용자:
ID 페더레이션을 위한 역할을 생성합니다. *IAM 사용자 설명서*의 [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)의 지침을 따릅니다.
+ IAM 사용자:
+ 사용자가 맡을 수 있는 역할을 생성합니다. *IAM 사용자 설명서*에서 [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)의 지침을 따릅니다.
+ (권장되지 않음) 정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. *IAM 사용 설명서*에서 [사용자(콘솔)에 권한 추가](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)의 지침을 따릅니다.
## 조건 키로 액세스 제한
조건 키를 사용하여 사용자가 스냅샷을 잠그는 방법을 제한할 수 있습니다.
**Topics**
+ [ec2:SnapshotLockDuration](#snapshotlockduration)
+ [ec2:CoolOffPeriod](#cooloffperiod)
### ec2:SnapshotLockDuration
`ec2:SnapshotLockDuration` 조건 키를 사용하여 스냅샷을 잠글 때 특정 잠금 기간으로 사용자를 제한할 수 있습니다.
다음 예제 정책은 사용자가 잠금 기간을 `10`\$1`50`일로 지정하도록 제한합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSnapshotLockWithDurationCondition",
"Effect": "Allow",
"Action": "ec2:LockSnapshot",
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"NumericGreaterThan": {
"ec2:SnapshotLockDuration": 10
},
"NumericLessThan": {
"ec2:SnapshotLockDuration": 50
}
}
}
]
}
```
------
### ec2:CoolOffPeriod
`ec2:CoolOffPeriod` 조건 키를 사용하여 쿨링 오프 기간 없이 사용자가 규정 준수 모드에서 스냅샷을 잠그지 못하도록 할 수 있습니다.
다음 예제 정책은 사용자가 규정 준수 모드에서 스냅샷을 잠글 때 쿨링 오프 기간을 `48` 시간 이상으로 지정하도록 제한합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSnapshotLockWithCondition",
"Effect": "Allow",
"Action": "ec2:LockSnapshot",
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"NumericGreaterThan": {
"ec2:SnapshotTime": 48
}
}
}
]
}
```
------