기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS RAM 에서 IAM을 사용하는 방법
<a name="security-iam-policies"></a>

기본적으로 IAM 보안 주체는 AWS RAM 리소스를 생성하거나 수정할 권한이 없습니다. IAM 보안 주체가 리소스를 생성 또는 수정하고 작업을 수행할 수 있도록 허용하려면 다음 단계 중 하나를 수행합니다. 이러한 작업은 특정 리소스 및 API 작업을 사용할 수 있는 권한을 부여합니다.

액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요.
+ 의 사용자 및 그룹 AWS IAM Identity Center:

  권한 세트를 생성합니다. *AWS IAM Identity Center 사용자 안내서*에서 [권한 세트 생성](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)의 지침을 따릅니다.
+ ID 제공업체를 통해 IAM에서 관리되는 사용자:

  ID 페더레이션을 위한 역할을 생성합니다. *IAM 사용자 설명서*의 [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)의 지침을 따릅니다.
+ IAM 사용자:
  + 사용자가 맡을 수 있는 역할을 생성합니다. *IAM 사용자 설명서*에서 [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)의 지침을 따릅니다.
  + (권장되지 않음) 정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. *IAM 사용 설명서*에서 [사용자(콘솔)에 권한 추가](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)의 지침을 따릅니다.

AWS RAM 는 많은 사용자의 요구 사항을 해결하는 데 사용할 수 있는 여러 AWS 관리형 정책을 제공합니다. 이에 대한 자세한 내용은 [AWS 에 대한 관리형 정책 AWS Resource Access Manager](security-iam-awsmanpol.md) 섹션을 참조하세요.

사용자에게 부여하는 권한을 더 세밀하게 제어해야 하는 경우 IAM 콘솔에서 자체 정책을 구성할 수 있습니다. 정책을 생성하여 IAM 역할 및 사용자에게 연결하는 방법에 대한 자세한 내용은AWS Identity and Access Management 사용 설명서에서 [IAM의 정책 및 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)을 참조하세요.**

다음 섹션에서는 IAM 권한 정책을 빌드하기 위한 AWS RAM 특정 세부 정보를 제공합니다.

**Contents**
+ [정책 구조](#structure)
  + [Effect](#iam-policies-effect)
  + [작업](#iam-policies-action)
  + [Resource](#iam-policies-resource)
  + [Condition](#iam-policies-condition)

## 정책 구조
<a name="structure"></a>

IAM 권한 정책은 Effect, Action, Resource, Condition 문이 포함되어 있는 JSON 문서입니다. IAM 정책의 형식은 일반적으로 다음과 같습니다.

```
{
    "Statement":[{
        "Effect":"<effect>",
        "Action":"<action>",
        "Resource":"<arn>",
        "Condition":{
            "<comparison-operator>":{
                "<key>":"<value>"
            }
        }
    }]
}
```

### Effect
<a name="iam-policies-effect"></a>

*Effect* 문은 정책에서 보안 주체의 작업 수행 권한을 허용하는지 또는 거부하는지 여부를 나타냅니다. 가능한 값은 `Allow` 및 `Deny`입니다.

### 작업
<a name="iam-policies-action"></a>

*작업* 문은 정책이 권한을 허용하거나 거부하는 AWS RAM API 작업을 지정합니다. 허용되는 작업의 전체 목록은 IAM 사용 설명서에서 [AWS Resource Access Manager에서 정의한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-actions-as-permissions)을 참조하세요.**

### Resource
<a name="iam-policies-resource"></a>

*리소스* 문은 정책의 영향을 받는 AWS RAM 리소스를 지정합니다. 문에서 리소스를 지정하려면 고유한 Amazon 리소스 이름(ARN)을 사용해야 합니다. 허용되는 리소스의 전체 목록은 IAM 사용 설명서에서 [AWS Resource Access Manager에서 정의한 리소스](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-resources-for-iam-policies)를 참조하세요.**

### Condition
<a name="iam-policies-condition"></a>

*Condition* 문은 선택 사항으로, 정책을 적용하는 조건을 추가로 구체화하는 데 사용할 수 있습니다.는 다음 조건 키를 AWS RAM 지원합니다.
+ `aws:RequestTag/${TagKey}` - 서비스 요청에 지정된 태그 키를 가진 태그가 포함되어 있고 지정된 값을 갖는지 테스트합니다.
+ `aws:ResourceTag/${TagKey}` - 서비스 요청의 영향을 받는 리소스에 정책에 지정된 태그 키와 일치하는 태그가 연결되어 있는지 테스트합니다.

  다음 예제 조건은 서비스 요청에 참조된 리소스에 키 이름이 'Owner'이고 값이 'Dev Team'인 태그가 연결되어 있는지 확인합니다.

  ```
  "Condition" : { 
      "StringEquals" : {
          "aws:ResourceTag/Owner" : "Dev Team" 
      } 
  }
  ```
+ `aws:TagKeys` – 리소스 공유를 생성하거나 태그 지정할 때 사용해야 하는 태그 키를 지정합니다.
+ `ram:AllowsExternalPrincipals` - 서비스 요청의 리소스 공유가 외부 보안 주체와의 공유를 허용하는지 테스트합니다. 외부 보안 주체는 조직 AWS 계정 외부의 입니다 AWS Organizations. `False`로 평가되면 이 리소스 공유를 동일한 조직의 계정과만 공유할 수 있습니다.
+ `ram:PermissionArn` - 서비스 요청에 지정된 권한 ARN이 정책에 지정된 ARN 문자열과 일치하는지 테스트합니다.
+ `ram:PermissionResourceType` - 서비스 요청에 지정된 권한이 정책에 지정된 리소스 유형에 유효한지 테스트합니다. [공유 가능한 리소스 유형](shareable.md) 목록에 표시된 형식을 사용하여 리소스 유형을 지정합니다.
+ `ram:Principal` - 서비스 요청에 지정된 보안 주체의 ARN이 정책에 지정된 ARN 문자열과 일치하는지 테스트합니다.
+ `ram:RequestedAllowsExternalPrincipals` - 서비스 요청에 `allowExternalPrincipals` 파라미터가 포함되어 있는지, 해당 파라미터의 인수가 정책에 지정된 값과 일치하는지 테스트합니다.
+ `ram:RequestedResourceType` - 영향을 받는 리소스의 리소스 유형이 정책에 지정된 리소스 유형 문자열과 일치하는지 테스트합니다. [공유 가능한 리소스 유형](shareable.md) 목록에 표시된 형식을 사용하여 리소스 유형을 지정합니다.
+ `ram:ResourceArn` - 서비스 요청의 영향을 받는 리소스의 ARN이 정책에 지정된 ARN과 일치하는지 테스트합니다.
+ `ram:ResourceShareName` - 서비스 요청의 영향을 받는 리소스 공유의 이름이 정책에 지정된 문자열과 일치하는지 테스트합니다.
+ `ram:ShareOwnerAccountId` - 서비스 요청의 영향을 받는 리소스 공유의 계정 ID 번호가 정책에 지정된 문자열과 일치하는지 테스트합니다.