

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 절감형 플랜에 사용되는 Identity and Access Management
<a name="identity-access-management"></a>

AWS Identity and Access Management (IAM)는 관리자가 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있도록 지원하는 AWS 서비스입니다. 관리자는 AWS 계정에서 사용자가 수임할 수 있는 역할을 생성할 수 있습니다. 사용자가 AWS 리소스를 사용하여 작업을 수행하는 데 필요한 권한을 제어합니다. IAM은 추가 요금 없이 사용할 수 있습니다.

기본적으로 사용자는 절감형 플랜 리소스 및 작업에 대한 권한이 없습니다. 사용자가 절감형 플랜 리소스를 관리할 수 있으려면 해당 사용자에게 권한을 위임하는 역할을 생성해야 합니다. *IAM 사용 설명서*에 나와 있는 [사용자의 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) 지침을 참조합니다.

## 정책 구조
<a name="iam-policy-structure"></a>

IAM 정책은 하나 이상의 문으로 구성된 JSON 문서입니다. 각 명령문의 구조는 다음과 같습니다.

```
{
  "Statement":[{
    "Effect":"{{effect}}",
    "Action":"{{action}}",
    "Resource":"{{arn}}",
    "Condition":{
      "{{condition}}":{
        "{{key}}":"{{value}}"
        }
      }
    }
  ]
}
```

명령문을 이루는 요소는 다양합니다.
+ **효과(Effect)**: *효과(effect)*는 `Allow` 또는 `Deny`일 수 있습니다. 기본적으로 사용자에게는 리소스 및 API 작업을 사용할 권한이 없으므로 모든 요청이 거부됩니다. 명시적 허용은 기본 설정을 무시합니다. 명시적 거부는 모든 허용을 무시합니다.
+ **작업**: *작업*은 권한을 부여하거나 거부할 특정 API 작업입니다.
+ **리소스**: 작업의 영향을 받는 리소스입니다. 일부 Amazon EC2 API 작업의 경우 작업이 생성하거나 수정할 수 있는 리소스를 정책에 구체적으로 포함할 수 있습니다. 문에서 리소스를 지정하려면 Amazon 리소스 이름(ARN)을 사용해야 합니다. 자세한 내용은 [절감형 플랜에서 정의한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssavingsplans.html#awssavingsplans-actions-as-permissions)에서 참조하세요.
+ **조건**: 조건은 선택 사항입니다. 정책이 적용되는 시점을 제어하는 데 사용할 수 있습니다. 자세한 내용은 [절감형 플랜의 조건 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssavingsplans.html#awssavingsplans-policy-keys)에서 참조하세요.

## AWS 관리형 정책
<a name="aws-managed-policies"></a>

에서 생성한 관리형 정책은 일반적인 사용 사례에 필요한 권한을 AWS 부여합니다. 사용자가 맡을 수 있는 역할을 생성한 후 필요한 액세스 권한에 따라 정책을 해당 역할에 연결할 수 있습니다. 각 정책은 절감형 플랜에 대한 API 작업 모두 또는 일부에 대한 액세스 권한을 부여합니다.

절감형 플랜에 대한 AWS 관리형 정책은 다음과 같습니다. Savings Plans
+ **AWSSavingsPlansFullAccess** - 절감형 플랜에 대한 전체 액세스 권한을 부여합니다.
+ **AWSSavingsPlansReadOnlyAccess** - 절감형 플랜에 대한 읽기 전용 액세스 권한을 부여합니다.

## 정책 예제
<a name="iam-policy-examples"></a>

IAM 정책 문에는 IAM을 지원하는 모든 서비스의 모든 API 작업을 지정할 수 있습니다. 절감형 플랜의 경우 다음 접두사와 함께 API 작업 이름을 사용합니다(`savingsplans:`). 예제:
+ `savingsplans:CreateSavingsPlan`
+ `savingsplans:DescribeSavingsPlans`

문 하나에 여러 작업을 지정하려면 다음과 같이 쉼표로 구분합니다.

```
"Action": ["savingsplans:action1", "savingsplans:action2"]
```

와일드카드를 사용하여 여러 작업을 지정할 수도 있습니다. 예를 들어 다음과 같이 이름이 ‘Describe’로 시작되는 모든 절감형 플랜 API 작업을 지정할 수 있습니다.

```
"Action": "savingsplans:Describe*"
```

모든 절감형 플랜 API 작업을 지정하려면 다음과 같이 \* 와일드카드를 사용합니다.

```
"Action": "savingsplans:*"
```