기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 검색에 대한 액세스를 제공하기 위한 Resource Explorer 뷰 관리
뷰는 리소스 검색의 핵심입니다. 모든 AWS Resource Explorer 검색 작업에는 뷰를 사용해야 합니다. 뷰는 관리자가 AWS 계정의 리소스에 대한 정보에 대한 액세스를 제어하는 데 사용할 수 있는 방법입니다.
뷰에는 해당 뷰를 사용할 권한이 있는 주도자 (IAM역할 또는 사용자) 만 액세스할 수 있습니다. 리소스 탐색기로 성공적으로 검색하려면 주도자가 뷰의 `resource-explorer-2:GetView` 및 `resource-explorer-2:Search` 작업에 모두 `Allow` 액세스할 수 있어야 합니다. [ARN](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)
뷰에는 관리자가 원하는 항목으로만 결과를 제한하는 데 사용할 수 있는 기본 제공 필터가 포함되어 있습니다. 예를 들어 특정 프로젝트와 관련된 리소스만 포함하는 뷰를 생성할 수 있습니다. 다른 프로젝트에 대한 정보를 볼 필요가 없는 사용자는 이 뷰를 사용하여 관심 있는 리소스만 볼 수 있습니다.
뷰는 리전 리소스입니다. 뷰는 특정 AWS 리전 에 생성되어 저장되며 해당 리전에 있는 인덱스 정보만 결과로 반환합니다. 계정에 있는 모든 리전 전반에 대한 결과를 포함하려면 뷰가 [애그리게이터 인덱스](getting-started-terms-and-concepts.md#term-aggr-index)가 포함된 리전에 있어야 합니다. 해당 리전에는 계정에 있는 다른 모든 리전의 인덱스 복제본이 포함되어 있습니다.
모든 뷰에는 다음과 같은 몇 가지 핵심 요소가 있습니다.
**검색 권한**
표준 AWS 권한 정책을 사용하여 각 뷰를 사용할 수 있는 사용자를 제어할 수 있습니다. 이는 보안 주체에게 연결된 [자격 증명 기반 권한 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_id-based)을 통해 제공됩니다. 이를 통해 각 뷰에서 제공되는 정보를 볼 수 있는 사용자를 세밀하게 제어할 수 있습니다. 예를 들어, 프로덕션 서비스를 운영하는 엔지니어만 검색할 수 있도록 `Production-resources` 뷰에 대한 액세스 권한을 부여할 수 있습니다. 그런 다음 개발자가 사전 프로덕션 리소스를 검색할 수 있도록 `Pre-production-resources` 뷰에 다른 권한을 부여할 수 있습니다.
보안 주체와 이름이 지정된 AWS `AWSResourceExplorerReadOnlyAccess` 관리형 정책을 사용하면 보안 주체가 계정의 모든 뷰를 사용하여 검색할 수 있는 권한이 부여됩니다.
또는 자체 권한 정책을 생성하고 지정된 뷰에만 다음 권한을 부여할 수 있습니다.
+ `resource-explorer-2:GetView`
+ `resource-explorer-2:Search`
액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요:
+ 다음 분야의 사용자 및 그룹: AWS IAM Identity Center
권한 세트를 생성합니다. *AWS IAM Identity Center 사용 설명서*의 [권한 세트 생성](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html)의 지침을 따릅니다.
+ ID 공급자를 IAM 통해 관리되는 사용자:
ID 페더레이션을 위한 역할을 생성합니다. 사용 *IAM설명서의* [타사 ID 공급자 (페더레이션) 를 위한 역할 생성의](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) 지침을 따르십시오.
+ IAM사용자:
+ 사용자가 맡을 수 있는 역할을 생성합니다. *사용 설명서의 [IAM사용자 역할 생성에](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) 나와 있는 지침을 따르십시오. IAM*
+ (권장되지 않음)정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. *사용 설명서의 [사용자 (콘솔) 에 권한 추가의](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) IAM 지침을 따르십시오.*
뷰와 관련된 권한에 대한 자세한 내용은 [검색을 위해 Resource Explorer 뷰에 대한 액세스 권한 부여](manage-views-grant-access.md)를 참조하세요.
**검색 필터링**
뷰는 사용자가 계정의 리소스를 볼 수 있는 가상 창 역할을 합니다. 큰 그림을 각각 다르게 보여주는 여러 개의 뷰를 생성할 수 있습니다. 예를 들어, 리소스에 연결된 태그로 식별되는 사전 프로덕션 환경과 관련된 리소스만 검색할 수 있는 뷰를 생성할 수 있습니다. 그런 다음 태그의 다양한 값을 기반으로 프로덕션 환경의 리소스만 검색할 수 있는 별도의 뷰를 생성할 수 있습니다. 서로 다른 `FilterString` 값으로 여러 뷰를 구성하면 [검색](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_Search.html)할 때마다 해당 쿼리 파라미터를 다시 입력할 필요가 없습니다.
또한 뷰는 결과에 포함할 리소스에 대한 선택적 정보를 지정할 수 있습니다. 기본 필드 목록은 항상 결과에 포함됩니다. 기본 목록 외에도 뷰에 리소스에 연결된 모든 태그 가 포함되도록 요청할 수 있습니다.
**검색 범위**
+ **지역 범위** — 리소스 탐색기를 AWS 리전 사용하여 검색하면 해당 지역에서 색인된 리소스만 결과에 포함될 수 있습니다. 대부분의 리전에 있는 인덱스는 해당 리전 내의 리소스에 대한 정보만 포함되어 있으므로 `LOCAL`이라는 레이블이 지정됩니다. 해당 리전에서 검색하면 해당 리소스만 반환될 수 있습니다.
+ **계정 범위** – 하나의 로컬 인덱스를 계정의 애그리게이터 인덱스로 승격할 수 있습니다. 이렇게 하면 Resource Explorer가 활성화되어 있는 다른 모든 리전이 해당 인덱스 정보를 애그리게이터 인덱스가 있는 리전에 복제합니다. 해당 리전에서 검색하면 해당 결과에 계정에 있는 모든 리전의 리소스가 포함됩니다. **빠른 설정** 옵션을 사용하여 서버를 구성하면 Resource Explorer가 지정한 리전에 애그리게이터 인덱스를 자동으로 생성합니다. 또한 **빠른 설정** 옵션은 해당 리전에 기본 뷰를 생성하여 모든 리전에 걸쳐 계정의 모든 리소스를 검색할 수 있도록 지원합니다.
## 기본 뷰
사용자가 뷰를 명시적으로 지정하지 않고 검색을 시도하는 경우 Resource Explorer는 해당 AWS 리전에 대해 정의된 기본 뷰**를 사용합니다.
해당 리전에 대한 기본 뷰가 없고 사용자가 사용할 뷰를 지정하지 않은 경우 검색이 실패하고 예외가 생성됩니다.
Resource Explorer는 다음과 같이 기본 뷰를 자동으로 생성합니다.
+ 를 사용하여 리소스 탐색기를 켜고 **빠른 설치** 옵션을 선택하는 경우 계정의 애그리게이터 인덱스를 포함할 지역을 지정해야 합니다. AWS Management Console Resource Explorer는 지정된 애그리게이터 인덱스 리전에 기본 뷰를 자동으로 생성합니다.
+ 를 사용하여 리소스 탐색기를 AWS Management Console 등록하고 **고급 설정** 옵션을 선택하면 *선택적으로* 지정된 지역의 계정에 대한 애그리게이터 인덱스를 만들도록 선택할 수 있습니다. 이렇게 하면 Resource Explorer가 자동으로 애그리게이터 인덱스 리전에 기본 뷰를 생성합니다.
+ 콘솔을 사용하여 Resource Explorer를 등록하고 애그리게이터 인덱스 리전을 등록하지 않도록** 선택하면 Resource Explorer가 각 리전에 있는 로컬 인덱스에 대한 기본 뷰를 생성합니다.
+ AWS CLI 또는 API 작업을 사용하여 리소스 탐색기를 등록하는 경우 리소스 탐색기는 기본 보기를 자동으로 만들지 않습니다. 대신 사용자가 검색할 것으로 예상되는 각 리전의 기본 뷰를 수동으로 구성해야 합니다.
# 검색에 사용할 Resource Explorer 뷰 생성
모든 검색은 [뷰**](manage-views.md)를 사용해야 합니다. 뷰는 뷰를 사용하는 쿼리에서 반환할 수 있는 리소스를 결정하는 필터를 정의합니다. 또한 뷰는 리소스를 검색할 수 있는 사용자를 제어합니다.
뷰는 AWS 리전에 저장되며 해당 지역 색인의 검색 결과만 반환합니다. 리전에 [애그리게이터 인덱스](manage-aggregator-region.md)가 포함된 경우 뷰는 계정에 있는 모든 리전에 있는 인덱스로부터 검색 결과를 반환합니다.
다중 계정 뷰를 사용하면 조직 전반에 걸쳐 계정에 있는 리소스를 검색할 수 있습니다. 검색하려는 모든 계정에는 인덱스가 필요합니다. 조직의 관리 계정이나 위임된 관리자 계정만 다중 계정 뷰를 생성할 수 있습니다.
AWS Resource Explorer Systems Manager 콘솔의 리소스 탐색기 [빠른 설치 또는 [**고급**](getting-started-setting-up.md#getting-started-setting-up-advanced) 설치에서 관련 옵션을 선택한 경우 초기 설정](https://console.aws.amazon.com/systems-manager/quick-setup/create-configuration?configurationType=AWSQuickSetupType-ResourceExplorer) 중에 기본 보기를 생성할 수 있습니다. 나중에 언제든지 사용자 집합별로 다른 필터를 사용하는 추가 뷰를 생성할 수 있습니다.
를 사용하거나 에서 AWS CLI 명령 AWS Management Console 또는 이에 상응하는 API 작업을 실행하여 보기를 만들 수 AWS SDK 있습니다.
**최소 권한**
이 절차를 실행하려면 다음 권한이 있어야 합니다.
+ **작업:** `resource-explorer-2:CreateView`
**리소스:** 계정 내 어느 AWS 리전 곳에서든 뷰를 만들 수 있도록 `*` 하기 위한 것일 수 있습니다.
------
#### [ AWS Management Console ]
**뷰를 생성하려면**
1. Resource Explorer 콘솔 **[뷰](https://console.aws.amazon.com/resource-explorer/home#/views)** 페이지를 열고 **뷰 생성**을 선택합니다.
1. **뷰 생성** 페이지에서 **이름** 뷰의 이름을 입력합니다.
이름은 64자를 넘지 않아야 하며 문자, 숫자, 하이픈(-) 문자를 포함할 수 있습니다. 이름은 해당 이름 내에서 고유해야 합니다 AWS 리전.
1. 뷰를 만들려는 이름을 선택합니다. AWS 리전 계정 내 모든 지역의 리소스를 반환하는 뷰를 만들려면 애그리게이터 인덱스가 AWS 리전 포함된 뷰를 선택하세요.
1. (선택 사항) **범위**에서 검색 시 다중 계정 리소스를 반환할지 아니면 계정의 리소스만 반환할지를 선택합니다. 기본값은 계정 수준 범위입니다.
관리 계정 또는 위임된 관리자만 다중 계정 뷰를 생성하는 옵션을 볼 수 있습니다.
1. 결과를 필터링할지 여부를 선택합니다.
+ **모든 리소스 포함**
쿼리 필터는 포함되어 있지 않습니다. 뷰와 연결된 인덱스의 모든 리소스가 검색 결과에 반환될 수 있습니다.
+ **지정된 필터와 일치하는 리소스만 포함**
필터 이름**과 연산자**를 선택할 수 있는 **리소스 필터** 확인란을 활성화합니다. 사용 가능한 각 필터 이름 및 연산자에 대한 설명은 [필터](using-search-query-syntax.md#query-syntax-filters)를 참조하세요.
+ 이 뷰의 결과에 포함할 선택적 리소스 속성을 선택합니다. 사용자가 태그 키 이름과 값을 기준으로 리소스를 검색할 수 있도록 하려면 **태그** 옆의 확인란을 선택합니다. 뷰에 태그를 포함하지 않으면 사용자가 태그 키와 값을 사용하여 결과를 추가로 필터링하는 검색 요청을 할 수 없습니다.
+ 필요에 따라 뷰에 태그를 연결할 수 있습니다. **태그** 상자를 확장하고 최대 50개의 태그 키/값 쌍을 입력합니다. 태그를 사용하여 리소스를 분류하거나 속성 기반 액세스 제어 () ABAC 보안 권한 전략의 일부로 사용할 수 있습니다. 자세한 내용은 [뷰에 태그 추가](manage-views-tag.md) 단원을 참조하십시오.
+ **뷰 생성**을 선택합니다.
콘솔은 새로운 뷰를 사용하여 검색을 수행할 수 있는 **검색** 페이지로 돌아갑니다.
**다음 단계:** 계정의 보안 주체에게 새로운 뷰로 검색할 수 있는 권한을 부여합니다. 자세한 내용은 [검색을 위해 Resource Explorer 뷰에 대한 액세스 권한 부여](manage-views-grant-access.md) 단원을 참조하세요.
------
#### [ AWS CLI ]
**뷰를 생성하려면**
지정된 AWS 리전에 뷰를 생성하려면 다음 명령을 실행합니다. 다음 예제는 Amazon EC2 서비스와 관련된 리소스 중 `Stage` 키와 값이 `prod` 태그가 지정된 리소스만 반환하는 뷰를 생성합니다.
```
$ aws resource-explorer-2 create-view \
--region us-west-2 \
--view-name "My-EC2-Prod-Resources" \
--filters FilterString="service:ec2 tag:stage=prod" \
--included-properties Name=tags
{
"View": {
"Filters": {
"FilterString": "service:ec2 tag:stage=prod"
},
"IncludedProperties": [
{
"Name": "tags"
}
],
"LastUpdatedAt": "2022-08-03T16:13:37.625000+00:00",
"Owner": "123456789012",
"Scope": "arn:aws:iam::123456789012:root",
"ViewArn": "arn:aws:resource-explorer-2:us-west-2:123456789012:view/My-EC2-Prod-Resources/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
}
}
```
**조직 수준 뷰를 생성하려면**
다음 예제에서는 조직 전반에 걸쳐 리소스를 반환하는 뷰를 생성합니다. 이는 조직의 관리 계정 또는 위임된 관리자 계정으로 수행해야 합니다.
1. `aws organizations describe-organization`명령을 실행하여 조직을 ARN 가져오십시오.
1. 다음 명령을 실행하여 지정된 조직에 대한 뷰를 생성합니다.
```
$ aws resource-explorer-2 create-view \
--region us-west-2 \
--view-name entire-org-view \
--scope "arn:aws:organizations::111111111111:organization/o-exampleorgid"
{
"View": {
"Filters": {
"FilterString": ""
},
"IncludedProperties": [],
"LastUpdatedAt": "2022-08-03T16:13:37.625000+00:00",
"Owner": "111111111111",
"Scope": "arn:aws:organizations::111111111111:organization/o-exampleorgid",
"ViewArn": "arn:aws:resource-explorer-2:us-west-2:111111111111:view/entire-org-view/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
}
}
```
**조직 단위 수준 뷰를 생성하려면**
다음 예제에서는 이 조직 단위의 모든 멤버의 리소스를 반환하는 뷰를 생성합니다. 이 뷰는 조직 수준 뷰와 유사하게 작동합니다. 이는 조직의 관리 계정 또는 위임된 관리자 계정으로 수행해야 합니다.
1. `aws organizations describe-organizational-unit`명령을 실행하여 조직을 가져오세요ARN.
1. 다음 명령을 실행하여 지정된 조직 단위에 대한 뷰를 생성합니다.
```
$ aws resource-explorer-2 create-view \
--region us-west-2 \
--view-name entire-ou-view \
--scope "arn:aws:organizations::222222222222:ou/o-exampleorgid/ou-exampleouid"
{
"View": {
"Filters": {
"FilterString": ""
},
"IncludedProperties": [],
"LastUpdatedAt": "2022-08-03T16:13:37.625000+00:00",
"Owner": "222222222222",
"Scope": "arn:aws:organizations::222222222222:ou/o-exampleorgid/ou-exampleouid",
"ViewArn": "arn:aws:resource-explorer-2:us-west-2:222222222222:view/entire-ou-view/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
}
}
```
**다음 단계:** 계정의 보안 주체에게 새로운 뷰로 검색할 수 있는 권한을 부여합니다. 자세한 내용은 [검색을 위해 Resource Explorer 뷰에 대한 액세스 권한 부여](manage-views-grant-access.md) 섹션을 참조하세요.
------
# 검색을 위해 Resource Explorer 뷰에 대한 액세스 권한 부여
사용자가 새로운 뷰로 검색할 수 있으려면 먼저 AWS Resource Explorer 뷰에 대한 액세스 권한을 부여해야 합니다. 이렇게 하려면 뷰로 검색해야 하는 AWS Identity and Access Management(IAM) 보안 주체에 대해 자격 증명 기반 권한 정책을 사용하세요.
액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가합니다.
+ AWS IAM Identity Center의 사용자 및 그룹:
권한 세트를 생성합니다. *AWS IAM Identity Center 사용 설명서*의 [권한 세트 생성](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html)의 지침을 따르세요.
+ 자격 증명 공급자를 통해 IAM에서 관리되는 사용자:
아이덴티티 페더레이션을 위한 역할을 생성합니다. *IAM 사용 설명서*의 [서드 파티 자격 증명 공급자의 역할 만들기(연합)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html)의 지침을 따르세요.
+ IAM 사용자:
+ 사용자가 맡을 수 있는 역할을 생성합니다. *IAM 사용 설명서*에서 [IAM 사용자의 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)의 지침을 따르세요.
+ (권장되지 않음) 정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. IAM 사용 설명서**에서 [사용자(콘솔)에 권한 추가](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)의 지침을 따르세요.
다음 방법 중 하나를 사용할 수 있습니다.
+ **기존 AWS 관리형 정책**을 사용합니다. Resource Explorer는 사용자가 사용할 수 있도록 미리 정의된 여러 AWS 관리형 정책을 제공합니다. 사용 가능한 모든 AWS 관리형 정책에 대한 자세한 내용은 [AWS 에 대한 관리형 정책 AWS Resource Explorer](security_iam_awsmanpol.md)를 참조하세요.
예를 들어 `AWSResourceExplorerReadOnlyAccess` 정책을 사용하여 계정의 모든 뷰에 검색 권한을 부여할 수 있습니다.
+ **권한 정책을 직접 생성하여 보안 주체에게 할당합니다**. 정책을 직접 생성하는 경우 정책 문의 `Resource` 요소에 각 뷰의 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)을 지정하여 단일 뷰 또는 사용 가능한 뷰의 하위 집합에 대한 액세스를 제한할 수 있습니다. 예를 들어, 다음 예제 정책을 사용하여 보안 주체에게 해당 뷰 하나만 사용하여 검색할 수 있는 권한을 부여할 수 있습니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-explorer-2:Search",
"resource-explorer-2:GetView"
],
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyTestView/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
}
]
}
```
IAM 콘솔을 사용하여 권한 정책을 생성하고 해당 권한이 필요한 보안 주체와 함께 사용할 수 있습니다. IAM 권한에 대한 자세한 내용은 다음 항목을 참조하세요.
+ [IAM의 정책 및 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
+ [IAM 자격 증명 권한 추가 및 제거](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)
+ [정책에 의해 부여된 권한 이해](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_understand.html)
## 태그 기반 권한 부여를 사용하여 뷰에 대한 액세스 제어
특정 리소스만 포함된 결과를 반환하는 필터를 사용하여 여러 뷰를 생성하려는 경우 해당 리소스를 확인해야 하는 보안 주체만 해당 뷰에 액세스할 수 있도록 제한할 수도 있습니다. [ABAC(속성 기반 액세스 제어)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 전략을 사용하여 계정의 뷰에 이러한 유형의 보안을 제공할 수 있습니다. ABAC에서 사용하는 *속성*은 AWS에서 작업을 시도하려는 보안 주체와 액세스하려는 리소스 모두에 연결된 태그입니다.
ABAC는 보안 주체에 연결된 표준 IAM 권한 정책을 사용합니다. 정책은 정책 문의 `Condition` 요소를 사용하여 요청 보안 주체에 연결된 태그와 영향을 받는 리소스에 연결된 태그가 모두 정책의 요구 사항과 일치하는 경우에만 액세스를 허용합니다.
예를 들어 회사의 프로덕션 애플리케이션을 지원하는 모든 AWS 리소스에 태그 `"Environment" = "Production"`를 추가할 수 있습니다. 프로덕션 환경에 액세스할 권한이 있는 보안 주체만 해당 리소스를 볼 수 있도록 하려면 해당 태그를 [필터](using-search-query-syntax.md#query-syntax-filters)로 사용하는 Resource Explorer 뷰를 생성합니다. 그런 다음 뷰에 대한 액세스를 적절한 주체로만 제한하려면 다음 예제 요소와 비슷한 조건을 가진 정책을 사용하여 권한을 부여합니다.
```
{
"Effect": "Allow",
"Action": [ "service:Action1", "service:Action2" ],
"Resource": "arn:aws:arn-of-a-resource",
"Condition": { "StringEquals": {"aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}"} }
}
```
이전 예제의 `Condition`은 요청을 하는 보안 주체에 연결된 `Environment` 태그가 요청에 지정된 리소스에 연결된 `Environment` 태그와 일치하는 ***경우에만*** 요청을 허용하도록 지정했습니다. 이 두 태그가 정확히 일치하지 않거나 태그 중 하나가 누락된 경우 Resource Explorer는 요청을 거부합니다.
**중요**
ABAC를 사용하여 리소스에 대한 액세스를 보호하려면 먼저 보안 주체 및 리소스에 연결된 태그를 추가하거나 수정할 수 있는 기능에 대한 액세스를 제한해야 합니다. 사용자가 AWS 보안 주체 또는 리소스에 연결된 태그를 추가하거나 수정할 수 있는 경우 해당 사용자는 해당 태그로 제어되는 권한에 영향을 미칠 수 있습니다. 안전한 ABAC 환경에서는 승인된 보안 관리자만 주체에 연결된 태그를 추가하거나 수정할 수 있는 권한을 가지며, 보안 관리자와 리소스 소유자만 리소스에 연결된 태그를 추가하거나 수정할 수 있습니다.
ABAC 전략을 성공적으로 구현하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*의 다음 주제를 참조하세요.
+ [IAM 자습서: 태그를 기반으로 AWS 리소스에 액세스할 수 있는 권한 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)
+ [태그를 사용한 AWS 리소스 액세스 제어](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)
필요한 ABAC 인프라를 마련한 후에는 태그 사용 시작을 사용하여 계정에서 Resource Explorer 뷰를 사용하여 검색할 수 있는 사용자를 제어할 수 있습니다. 원칙을 설명하는 정책의 예제를 보려면 다음 권한 정책 예를 참조하세요.
+ [태그를 기반으로 뷰에 액세스 권한 부여](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-abac-views)
+ [태그를 기반으로 뷰를 생성할 수 있는 액세스 권한 부여](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-abac-createview)
# AWS 리전에서 기본 뷰 설정
AWS Resource Explorer에서는 AWS 리전에서 여러 뷰를 정의할 수 있으며, 각 뷰는 서로 다른 검색 요구 사항을 처리합니다. 각 리전에 ***하나***의 뷰를 해당 리전의 *기본 뷰*로 설정하는 것이 좋습니다.
Resource Explorer는 사용자가 검색을 수행할 때마다 기본 뷰를 사용하며 사용할 뷰를 명시적으로 지정하지 않습니다. 모든 AWS Management Console 페이지 상단의 통합 검색 창은 애그리게이터 인덱스가 포함된 리전의 기본 뷰를 자동으로 사용하여 사용자의 검색 쿼리와 일치하는 리소스를 찾습니다.
해당 리전에 있는 뷰만 해당 리전의 기본 뷰로 선택할 수 있습니다. 사용하려는 뷰가 다른 리전에 있는 경우 먼저 기본 뷰로 설정하려는 리전에서 해당 뷰의 복사본을 생성해야 합니다.
**작은 정보**
*뷰 복사* 작업이 없습니다. 대상 리전에서 뷰를 생성한 다음 기존 뷰의 설정을 새로운 뷰로 복사해야 합니다.
AWS Management Console을 사용하거나 AWS SDK에서 AWS CLI 명령 또는 동등한 API 작업을 실행하여 뷰를 해당 리전의 기본 뷰로 지정할 수 있습니다.
------
#### [ AWS Management Console ]
**기본 뷰를 설정하려면**
1. Resource Explorer **[뷰](https://console.aws.amazon.com/resource-explorer/home#/views)** 페이지에서 해당 리전에 대해 기본값으로 설정하려는 뷰 옆의 옵션 버튼을 선택합니다.
1. **작업**을 선택한 다음 **기본으로 설정**을 선택합니다.
------
#### [ AWS CLI ]
**기본 뷰를 설정하려면**
다음 명령을 실행하여 지정된 뷰를 해당 리전의 기본값으로 설정합니다. 다음 예제에서는 지정된 뷰를 us-east-1 리전에서 수행되는 모든 검색에 대한 기본값으로 설정합니다. 해당 뷰는 명령을 실행하는 리전에 있어야 합니다.
```
$ aws resource-explorer-2 associate-default-view \
--region us-east-1 \
--view-arn arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyViewName/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
{
"ViewArn": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyViewName/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
}
```
------
# 뷰에 태그 추가
뷰에 태그를 추가하여 분류할 수 있습니다. 태그는 키 이름 문자열 및 연결된 선택적 값 문자열의 형태를 취하는 고객 제공 메타데이터입니다. AWS 리소스 태그 지정에 대한 자세한 내용은 *Amazon Web Services 일반 참조*의 [AWS 리소스 태그 지정](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) 단원을 참조하세요.
## 뷰에 태그 추가
AWS Management Console을 사용하거나 AWS SDK에서 AWS CLI 명령 또는 동등한 API 작업을 실행하여 Resource Explorer 뷰에 태그를 추가할 수 있습니다.
------
#### [ AWS Management Console ]
**뷰에 태그를 추가하려면**
1. Resource Explorer **[뷰](https://console.aws.amazon.com/resource-explorer/home#/views)** 페이지를 열고 태그를 지정하려는 뷰의 이름을 선택하여 해당 **세부 정보** 페이지를 표시합니다.
1. **태그**에서 **태그 관리**를 선택합니다.
1. 태그를 추가하려면 **태그 추가**를 선택한 다음 해당 태그 키 이름과 값을 입력합니다.
**참고**
태그 옆의 **X**를 선택하여 태그를 삭제할 수도 있습니다.
최대 50개의 사용자 정의 태그를 리소스에 연결할 수 있습니다. AWS에서 자동으로 생성하고 관리하는 모든 태그는 이 할당량에 포함되지 않습니다.
1. 모든 태그 변경 작업을 마치면 **변경 사항 저장**을 선택합니다.
------
#### [ AWS CLI ]
**뷰에 태그를 추가하려면**
다음 명령을 실행하여 뷰에 태그를 추가합니다. 다음 예제에서는 키 이름 `environment` 및 값 `production`가 있는 태그를 지정된 뷰에 추가합니다.
```
$ aws resource-explorer-2 tag-resource \
--resource-id arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyViewName/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111 \
--tags environment=production
```
성공 시 이전 명령은 출력을 생성하지 않습니다.
**참고**
뷰에서 기존 태그를 제거하려면 `untag-resource` 명령을 사용합니다.
------
## 태그로 권한 제어
태그 지정의 주요 용도 중 하나는 [ABAC(속성 기반 액세스 제어)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 전략을 지원하는 것입니다. ABAC를 사용하면 리소스에 태그를 지정할 수 있어 권한 관리를 간소화할 수 있습니다. 그런 다음 사용자에게 특정 방식으로 태그가 지정된 리소스에 대한 권한을 부여합니다.
예를 들어 다음 시나리오를 살펴보세요. `ViewA`이라는 뷰의 경우 태그 `environment=prod`(*키 이름=값*)를 연결합니다. 또 다른 `ViewB`에는 `environment=beta` 태그가 지정될 수 있습니다. 각 역할 또는 사용자가 액세스할 수 있어야 하는 환경에 따라 역할과 동일한 태그와 값으로 역할과 사용자에게 태그를 지정합니다.
그런 다음 IAM 역할, 그룹 및 사용자에게 AWS Identity and Access Management(IAM) 권한 정책을 할당할 수 있습니다. 정책은 검색을 요청하는 역할 또는 사용자가 뷰에 연결된 `environment` 태그와 동일한 값을 가진 `environment` 태그를 가지고 있는 경우에만 뷰를 사용하여 액세스하고 검색할 수 있는 권한을 부여합니다.
이 접근 방식의 이점은 동적이며 누가 어떤 리소스에 액세스할 수 있는지 목록을 관리할 필요가 없다는 것입니다. 대신 모든 리소스(뷰)와 보안 주체(IAM 역할 및 사용자)에 적절한 태그를 지정해야 합니다. 그러면 정책을 변경할 필요 없이 권한이 자동으로 업데이트됩니다.
## ABAC 정책에서 태그 참조
뷰에 태그를 지정한 후 해당 태그를 사용하여 해당 뷰에 대한 액세스를 동적으로 제어하도록 선택할 수 있습니다. 다음 예제 정책에서는 IAM 보안 주체와 뷰 모두에 태그 키 `environment`와 일부 값으로 태그가 지정되어 있다고 가정합니다. 완료되면 다음 예제 정책을 보안 주체에 연결할 수 있습니다. 그러면 역할과 사용자는 보안 주체에 연결된 `environment` 태그와 정확히 일치하는 `environment` 태그 값으로 태그가 지정된 모든 뷰를 사용하여 `Search`할 수 있습니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-explorer-2:GetView",
"resource-explorer-2:Search"
],
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:ResourceTag/environment": "${aws:PrincipalTag/environment}"
}
}
}
]
}
```
보안 주체와 뷰 모두에 `environment` 태그가 있지만 값이 일치하지 않거나 둘 중 하나에 `environment` 태그가 없는 경우 Resource Explorer는 검색 요청을 거부합니다.
ABAC를 사용하여 리소스에 대한 액세스 권한을 안전하게 부여하는 방법에 대한 자세한 내용은 [AWS용 ABAC란 무엇인가요?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)를 참조하세요.
# Resource Explorer 뷰 공유
의 보기는 AWS Resource Explorer 주로 [리소스 기반 정책을](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) 사용하여 액세스 권한을 부여합니다. Amazon S3 버킷 정책과 마찬가지로 이러한 정책은 뷰에 연결되며 뷰를 사용할 수 있는 사용자를 지정합니다. 이는 (IAM) 자격 증명 기반 정책과는 대조적 AWS Identity and Access Management 입니다. IAM 자격 증명 기반 정책은 역할, 그룹 또는 사용자에게 할당되며 역할, 그룹 또는 사용자가 액세스할 수 있는 작업 및 리소스를 지정합니다. Resource Explorer 뷰에서는 다음과 같이 두 가지 유형의 정책을 사용할 수 있습니다.
+ 리소스를 소유한 관리 계정 또는 위임된 관리자 계정 내에서 해당 보안 주체에 대한 액세스를 명시적으로 거부하는 다른 정책이 없는 경우 두 정책 유형 **중 하나****를 사용하여 액세스 권한을 부여합니다.
+ 계정 전반에 걸쳐 **두**** 정책 유형을 모두 사용해야 합니다. 공유** 계정의 뷰에 연결된 리소스 기반 정책은 다른 소비** 계정과의 공유를 활성화합니다. 하지만 해당 정책은 소비 계정의 개별 사용자 또는 역할에 액세스 권한을 부여하지 않습니다. 또한 소비 계정의 관리자는 소비 계정의 원하는 역할과 사용자에게 자격 증명 기반 정책을 할당해야 합니다. 이 정책은 보기의 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)에 대한 액세스 권한을 부여합니다.
다른 계정과 뷰를 공유하려면 AWS Resource Access Manager (AWS RAM. AWS RAM hands of resource-based policies for you를 사용해야 합니다. 공유하기 전에 다음 작업을 수행해야 합니다.
+ [다중 계정 검색 을 켭니다](https://docs.aws.amazon.com/resource-explorer/latest/userguide/manage-service-multi-account.html).
+ 뷰를 공유 및 공유 해제하는 데 사용하는 리소스 기반 정책 또는 IAM 자격 증명 기반 정책에 및 `resource-explorer-2:GetResourcePolicy` `resource-explorer-2:PutResourcePolicy` `resource-explorer-2:DeleteResourcePolicy` 권한이 포함되어 있는지 확인합니다.
뷰를 공유하려면 조직의 관리 계정 또는 위임된 관리자여야 합니다. 리소스를 공유할 계정 또는 자격 증명을 지정합니다. 는 Resource Explorer 뷰를 AWS RAM 완벽하게 지원합니다. 는 공유하기로 선택한 보안 주체의 유형에 따라 다음 섹션에 설명된 것과 유사한 정책을 AWS RAM 사용합니다. 리소스 공유 방법에 대한 지침은AWS Resource Access Manager 사용 설명서**의 [AWS 리소스 공유](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html)를 참조하세요.
관리자와 위임된 관리자는 조직 범위 뷰, OU(조직 단위) 범위 뷰, 계정 수준 범위 뷰 등 3가지 유형의 뷰를 생성하고 공유할 수 있습니다. 조직, OUs또는 계정과 공유할 수 있습니다. 계정이 조직에 가입하거나 조직을 떠날 때 는 공유 뷰를 AWS RAM 자동으로 부여하거나 취소합니다.
## AWS 계정와 뷰를 공유하기 위한 권한 정책
다음 예제 정책은 두 가지 다른 의 보안 주체가 뷰를 사용할 수 있도록 하는 방법을 보여줍니다 AWS 계정.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [ "111122223333", "444455556666" ]
},
"Action": [
"resource-explorer-2:Search",
"resource-explorer-2:GetView",
],
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111",
"Condition": {"StringEquals": {"aws:PrincipalOrgID": "o-123456789012"},
"StringNotEquals": {"aws:PrincipalAccount": "123456789012"}
}
}
]
}"
}
```
지정된 각 계정의 관리자는 이제 역할, 그룹 및 사용자에 자격 증명 기반 권한 정책을 연결하여 뷰에 액세스할 수 있는 역할과 사용자를 지정해야 합니다. 계정 111122223333 또는 444455556666의 관리자는 다음과 같은 예제 정책을 생성할 수 있습니다. 그런 다음 원래 계정에서 공유된 뷰를 사용하여 검색할 수 있는 해당 계정의 역할, 그룹 및 사용자에게 정책을 할당할 수 있습니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-explorer-2:Search",
"resource-explorer-2:GetView",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
}
]
}
```
이러한 IAM 자격 증명 기반 정책을 속성 기반 액세스 제어(ABAC) 보안 전략의 일부로 사용할 수 있습니다. 해당 패러다임에서는 모든 리소스와 모든 자격 증명에 태그가 지정되도록 해야 합니다. 그런 다음 액세스를 허용하려면 자격 증명과 리소스 간에 일치해야 하는 태그 키와 값을 정책에 지정합니다. 계정의 뷰에 태그를 지정하는 방법에 대한 자세한 내용은 [뷰에 태그 추가](manage-views-tag.md)를 참조하세요. 속성 기반 액세스 제어에 대한 자세한 내용은 *IAM 사용 설명서*의 태그 를 사용하여 리소스에 [ ABAC 대한 액세스 제어 AWS및 의 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 섹션을 참조하세요. [AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)
# Resource Explorer에서 뷰 삭제
AWS Resource Explorer 뷰를 더 이상 사용할 필요가 없는 경우 삭제할 수 있습니다. AWS Management Console을 사용하거나 AWS SDK에서 AWS CLI 명령 또는 동등한 API 작업을 실행하여 뷰를 삭제할 수 있습니다.
**참고**
현재 AWS 리전의 기본 뷰로 지정된 뷰는 삭제할 수 없습니다. 뷰를 삭제하려면 뷰를 기본값에서 제거해야 합니다. 이렇게 하려면 해당 리전에서 [DisassociateDefaultView](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_DisassociateDefaultView.html) API 작업을 실행할 수 있습니다.
**최소 권한**
이 절차를 실행하려면 다음 권한이 있어야 합니다.
+ **작업:** `resource-explorer-2:DeleteView`
**리소스:** 삭제하려는 뷰의 [ARN](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)
------
#### [ AWS Management Console ]
**뷰를 삭제하려면**
1. Resource Explorer 콘솔 **[뷰](https://console.aws.amazon.com/resource-explorer/home#/views)** 페이지에서 삭제하려는 뷰 옆의 옵션 버튼을 선택합니다.
1. **작업**을 선택한 후 **삭제**를 선택합니다.
1. 확인 대화 상자에서 뷰 이름을 입력한 다음 **삭제**를 선택합니다.
------
#### [ AWS CLI ]
**뷰를 삭제하려면**
다음 명령을 실행하여 지정된 Amazon 리소스 이름(ARN)을 가진 뷰를 삭제합니다.
```
$ aws resource-explorer-2 delete-view \
--view-arn arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyViewName/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
{
"ViewArn": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyViewName/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
}
```
------