기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 의 자격 증명 및 액세스 관리 AWS Service Catalog
에 액세스하려면 자격 증명이 AWS Service Catalog 필요합니다. 이러한 자격 증명에는 AWS Service Catalog 포트폴리오 또는 product. AWS Service Catalog integrates with AWS Identity and Access Management (IAM)와 같은 AWS 리소스에 액세스할 수 있는 권한이 있어야 합니다. 이를 통해 AWS Service Catalog 관리자에게 제품을 생성하고 관리하는 데 필요한 권한을 부여하고 AWS Service Catalog 최종 사용자에게 제품을 시작하고 프로비저닝된 제품을 관리하는 데 필요한 권한을 부여할 수 있습니다. 이러한 정책은 관리자 및 최종 사용자가 생성 및 관리 AWS 하거나 개별적으로 관리합니다. 액세스를 제어하려면 AWS Service Catalog에서 사용하는 사용자, 그룹 및 역할에 이러한 정책을 연결합니다.
## 대상
AWS Identity and Access Management (IAM)를 *통해* 갖는 권한은 AWS Service Catalog에서 사용자가 수행하는 역할에 따라 달라질 수 있습니다.
AWS Identity and Access Management (IAM)를 *통해* 갖는 권한은 AWS Service Catalog에서 사용자가 수행하는 역할에 따라 달라질 수도 있습니다.
**관리자** - AWS Service Catalog 관리자는 관리자 콘솔에 대한 전체 액세스 권한과 포트폴리오 및 제품 생성 및 관리, 제약 조건 관리, 최종 사용자에게 액세스 권한 부여와 같은 작업을 수행할 수 있는 IAM 권한이 필요합니다.
**최종 사용자** - 최종 사용자가 제품을 사용하려면 AWS Service Catalog 먼저 최종 사용자 콘솔에 대한 액세스 권한을 부여하는 권한을 부여해야 합니다. 최종 사용자는 제품을 시작하고 프로비저닝된 제품을 관리할 수 있는 권한을 가질 수도 있습니다.
**IAM 관리자** - IAM 관리자라면 AWS Service Catalog에 대한 액세스 권한 관리 정책 작성 방법을 자세히 알고 싶을 것입니다. IAM에서 사용할 수 있는 자격 AWS Service Catalog 증명 기반 정책 예제를 보려면 섹션을 참조하세요[AWS 에 대한 관리형 정책 AWS Service Catalog AppRegistry](security-iam-awsmanpol.md).
# 에 대한 자격 증명 기반 정책 예제 AWS Service Catalog
**Topics**
+ [최종 사용자의 콘솔 액세스](#permissions-end-users-console)
+ [최종 사용자의 제품 액세스](#permissions-end-users-product)
+ [프로비저닝된 제품 관리를 위한 정책 예제](#example-policies)
## 최종 사용자의 콘솔 액세스
****`AWSServiceCatalogEndUserFullAccess`**** 및 ****`AWSServiceCatalogEndUserReadOnlyAccess`**** 정책은 AWS Service Catalog 최종 사용자 콘솔 보기에 대한 액세스 권한을 부여합니다. 이러한 정책 중 하나가 있는 사용자가 AWS Service Catalog 에서를 선택하면 AWS Management Console최종 사용자 콘솔 보기에 시작할 권한이 있는 제품이 표시됩니다.
최종 사용자가 액세스 AWS Service Catalog 권한을 부여하는 제품을 성공적으로 시작하려면 먼저 제품 AWS CloudFormation 템플릿의 각 기본 AWS 리소스를 사용할 수 있는 추가 IAM 권한을 제공해야 합니다. 예를 들어 제품 템플릿에 Amazon Relational Database Service(RDS)가 포함되어 있는 경우, 사용자에게 해당 제품을 시작하기 위한 Amazon RDS 권한을 부여해야 합니다.
최종 사용자가 AWS 리소스에 대한 최소 액세스 권한을 적용하면서 제품을 시작할 수 있도록 하는 방법에 대한 자세한 내용은 섹션을 참조하세요[AWS Service Catalog 제약 조건 사용](constraints.md).
**`AWSServiceCatalogEndUserReadOnlyAccess`** 정책을 적용하면 사용자가 최종 사용자 콘솔 보기에 액세스할 수 있으나, 제품을 시작하고 프로비저닝된 제품을 관리하는 데 필요한 권한은 없습니다. IAM을 사용하여 최종 사용자에게 이러한 권한을 직접 부여할 수 있지만 최종 사용자가 AWS 리소스에 대해 갖는 액세스를 제한하려면 시작 역할에 정책을 연결해야 합니다. 그런 다음 AWS Service Catalog 를 사용하여 제품의 시작 제약 조건에 시작 역할을 적용합니다. 시작 역할, 시작 역할 제한 및 샘플 시작 역할 적용에 대한 자세한 내용은 [AWS Service Catalog 시작 제약 조건](constraints-launch.md) 단원을 참조하십시오.
**참고**
사용자에게 AWS Service Catalog 관리자에게 IAM 권한을 부여하면 관리자 콘솔 보기가 대신 표시됩니다. 최종 사용자에게 관리자 콘솔 보기에 액세스할 권한을 부여하려는 경우가 아닌 한 이러한 권한을 부여하지 마십시오.
## 최종 사용자의 제품 액세스
최종 사용자가 액세스 권한을 부여하는 제품을 사용하려면 먼저 제품 CloudFormation 템플릿의 각 기본 AWS 리소스를 사용할 수 있는 추가 IAM 권한을 제공해야 합니다. 예를 들어 제품 템플릿에 ()가 포함되어 있는 경우, 사용자에게 해당 제품을 시작하기 위한 Amazon Relational Database Service (RDS) 권한을 부여해야 합니다.
**`AWSServiceCatalogEndUserReadOnlyAccess`** 정책을 적용하면 사용자가 최종 사용자 콘솔 보기에 액세스할 수 있으나, 제품을 시작하고 프로비저닝된 제품을 관리하는 데 필요한 권한은 없습니다. 이러한 권한을 IAM의 최종 사용자에게 직접 부여할 수 있지만 최종 사용자가 AWS 리소스에 대해 갖는 액세스를 제한하려면 시작 역할에 정책을 연결해야 합니다. 그런 다음 AWS Service Catalog 를 사용하여 제품의 시작 제약 조건에 시작 역할을 적용합니다. 시작 역할, 시작 역할 제한 및 샘플 시작 역할 적용에 대한 자세한 내용은 [AWS Service Catalog 시작 제약 조건](constraints-launch.md) 단원을 참조하십시오.
## 프로비저닝된 제품 관리를 위한 정책 예제
조직의 보안 요구 사항을 충족할 수 있도록 사용자 지정 정책을 생성할 수 있습니다. 다음 예제는 사용자, 역할 및 계정 수준에 대한 지원으로 작업별 액세스 수준을 사용자 지정하는 방법을 설명합니다. 사용자에게 이들이 로그인한 계정 또는 역할로 해당 사용자가 만든 프로비저닝된 제품에 대해서만, 또는 다른 사람이 만든 프로비저닝된 제품에 대해서도 보고, 업데이트하고, 종료하고, 관리할 권한을 부여할 수 있습니다. 이 액세스는 계층적입니다. 계정 수준 액세스를 부여하면 역할 수준 액세스 및 사용자 수준 액세스도 부여하지만, 역할 수준 액세스를 추가하면 사용자 수준 액세스를 부여하지만 계정 수준 액세스는 부여하지 않습니다. `Condition` 블록을 사용하여 정책 JSON에서 이를 `accountLevel`, `roleLevel` 또는 `userLevel`로 지정할 수 있습니다.
이 예제는 AWS Service Catalog API 쓰기 작업인 `UpdateProvisionedProduct` 및 `TerminateProvisionedProduct`, 읽기 작업인 `DescribeRecord`, `ScanProvisionedProducts`및의 액세스 수준에도 적용됩니다`ListRecordHistory`. `ScanProvisionedProducts` 및 `ListRecordHistory` API 작업은 `AccessLevelFilterKey`를 입력으로 사용하며, 이 키의 값은 여기에서 논의한 `Condition` 블록 수준에 해당합니다(`accountLevel`은 ‘계정’, `AccessLevelFilterKey`은 ‘역할’, `roleLevel`은 ‘사용자’의 `userLevel` 값임). 자세한 내용은 [Amazon OpenSearch Service 개발자 안내서](https://docs.aws.amazon.com/servicecatalog/latest/dg/)를 참조하십시오.
**Topics**
+ [예: 프로비저닝된 제품에 대한 모든 관리자 액세스](#full-admin)
+ [예: 프로비저닝된 제품에 대한 최종 사용자 액세스](#examples-end-user)
+ [예: 프로비저닝된 제품에 대한 부분 관리자 액세스](#partial-admin)
### 예: 프로비저닝된 제품에 대한 모든 관리자 액세스
다음 정책은 계정 수준에서 카탈로그 내의 프로비저닝된 제품 및 레코드에 대한 모든 읽기 및 쓰기 권한을 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"servicecatalog:*"
],
"Resource":"*",
"Condition": {
"StringEquals": {
"servicecatalog:accountLevel": "self"
}
}
}
]
}
```
------
이 정책은 다음 정책과 기능적으로 동일합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"servicecatalog:*"
],
"Resource":"*"
}
]
}
```
------
에 대한 정책에서 `Condition` 블록을 지정하지 않으면 `"servicecatalog:accountLevel"` 액세스를 지정하는 것과 동일하게 AWS Service Catalog 처리됩니다. `accountLevel` 액세스에는 `roleLevel` 및 `userLevel` 액세스가 포함되어 있습니다.
### 예: 프로비저닝된 제품에 대한 최종 사용자 액세스
다음 정책은 읽기 및 쓰기 작업에 대한 액세스를 현재 사용자가 만든 프로비저닝된 제품 또는 연결된 레코드로만 제한합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:DescribeRecord",
"servicecatalog:ListLaunchPaths",
"servicecatalog:ListRecordHistory",
"servicecatalog:ProvisionProduct",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
}
]
}
```
------
### 예: 프로비저닝된 제품에 대한 부분 관리자 액세스
아래 두 정책은 모두 동일한 사용자에게 적용할 경우 전체 읽기 전용 권한 및 제한된 쓰기 권한을 제공하여 "부분 관리자 액세스" 유형이라고 할 수 있는 권한을 허용합니다. 이는 사용자가 해당 카탈로그의 계정 내의 프로비저닝된 모든 제품 또는 연결된 레코드를 볼 수 있지만, 해당 사용자가 소유하지 않은 프로비저닝된 모든 제품 또는 레코드에 대한 작업은 수행할 수 없음을 뜻합니다.
첫 번째 정책은 현재 사용자가 만든 프로비저닝된 제품에 대한 쓰기 작업 권한을 허용하지만, 다른 사람이 만든 프로비저닝된 제품에 대해서는 허용하지 않습니다. 두 번째 정책은 모든 사람(사용자, 역할 또는 계정)이 만든 프로비저닝된 제품에 대한 모든 읽기 작업 권한을 추가합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:ListLaunchPaths",
"servicecatalog:ProvisionProduct",
"servicecatalog:SearchProducts",
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeRecord",
"servicecatalog:ListRecordHistory",
"servicecatalog:ScanProvisionedProducts"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:accountLevel": "self"
}
}
}
]
}
```
------
# AWS 에 대한 관리형 정책 AWS Service Catalog AppRegistry
## AWS 관리형 정책: `AWSServiceCatalogAdminFullAccess`
`AWSServiceCatalogAdminFullAccess`를 IAM 엔티티에 연결할 수 있습니다. AppRegistry는 또한 이 정책을 서비스 역할에 연결하여 AppRegistry가 사용자를 대신하여 작업을 수행할 수 있습니다.
이 정책은 관리자 콘솔 보기에 대한 전체 액세스를 허용하는 *관리자* 권한을 부여하고, 제품 및 포트폴리오를 생성하고 관리하는 권한을 부여합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `servicecatalog` - 보안 주체가 관리자 콘솔 보기에 대한 모든 권한을 부여하고 포트폴리오 및 제품을 생성 및 관리하고, 제약 조건을 관리하고, 최종 사용자에게 액세스 권한을 부여하고, 내에서 기타 관리 작업을 수행할 수 있는 기능을 허용합니다 AWS Service Catalog.
+ `cloudformation`- AWS CloudFormation 스택을 나열, 읽기, 쓰기 및 태그 지정할 수 있는 AWS Service Catalog 모든 권한을 허용합니다.
+ `config`-를 통해 포트폴리오, 제품 및 프로비저닝된 제품에 대한 AWS Service Catalog 제한된 권한을 허용합니다 AWS Config.
+ `iam` - 주체에게 제품 및 포트폴리오를 만들고 관리하는 데 필요한 서비스 사용자, 그룹 또는 역할을 보고 만들 수 있는 모든 권한을 허용합니다.
+ `ssm` - AWS Service Catalog 를 사용하여 현재 AWS 계정 및 AWS 리전의 Systems Manager 문서를 AWS Systems Manager 나열하고 읽을 수 있습니다.
[AWSServiceCatalogAdminFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogAdminFullAccess.html) 정책을 확인합니다.
## AWS 관리형 정책: `AWSServiceCatalogAdminReadOnlyAccess`
`AWSServiceCatalogAdminReadOnlyAccess`를 IAM 엔티티에 연결할 수 있습니다. AppRegistry는 또한 이 정책을 서비스 역할에 연결하여 AppRegistry가 사용자를 대신하여 작업을 수행할 수 있습니다.
이 정책은 관리자 콘솔 보기에 대한 *읽기 전용* 액세스를 허용하는 권한을 부여합니다. 제품과 포트폴리오를 만들거나 관리하는 권한을 부여하지 않습니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `servicecatalog` - 보안 주체에게 관리자 콘솔 보기에 대한 읽기 전용 권한을 허용합니다.
+ `cloudformation`- AWS CloudFormation 스택을 나열하고 읽을 수 있는 AWS Service Catalog 제한된 권한을 허용합니다.
+ `config`-를 통해 포트폴리오, 제품 및 프로비저닝된 제품에 대한 AWS Service Catalog 제한된 권한을 허용합니다 AWS Config.
+ `iam` - 주체에게 제품 및 포트폴리오를 만들고 관리하는 데 필요한 서비스 사용자, 그룹 또는 역할을 볼 수 있는 제한된 권한을 허용합니다.
+ `ssm` - AWS Service Catalog 를 사용하여 현재 AWS 계정 및 AWS 리전의 Systems Manager 문서를 AWS Systems Manager 나열하고 읽을 수 있습니다.
[AWSServiceCatalogAdminReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogAdminReadOnlyAccess.html) 정책을 확인합니다.
## AWS 관리형 정책: `AWSServiceCatalogEndUserFullAccess`
`AWSServiceCatalogEndUserFullAccess`를 IAM 엔티티에 연결할 수 있습니다. AppRegistry는 또한 이 정책을 서비스 역할에 연결하여 AppRegistry가 사용자를 대신하여 작업을 수행할 수 있습니다.
이 정책은 *기고자*에게 최종 사용자 콘솔 보기에 대한 전체 액세스 권한을 부여하고 제품을 시작하고 프로비저닝된 제품을 관리할 수 있는 권한을 부여합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `servicecatalog` - 주체에게 최종 사용자 콘솔 보기에 대한 모든 권한과 제품을 시작하고 프로비저닝된 제품을 관리할 수 있는 권한을 부여합니다.
+ `cloudformation`- AWS CloudFormation 스택을 나열, 읽기, 쓰기 및 태그 지정할 수 있는 AWS Service Catalog 모든 권한을 허용합니다.
+ `config`- 포트폴리오, 제품 및 프로비저닝된 제품에 대한 세부 정보를 나열하고 읽을 수 있는 AWS Service Catalog 제한된 권한을 허용합니다 AWS Config.
+ `ssm` - AWS Service Catalog 를 사용하여 현재 AWS 계정 및 AWS 리전의 Systems Manager 문서를 AWS Systems Manager 읽을 수 있습니다.
[AWSServiceCatalogEndUserFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserFullAccess.html) 정책을 확인합니다.
## AWS 관리형 정책: `AWSServiceCatalogEndUserReadOnlyAccess`
`AWSServiceCatalogEndUserReadOnlyAccess`를 IAM 엔티티에 연결할 수 있습니다. AppRegistry는 또한 이 정책을 서비스 역할에 연결하여 AppRegistry가 사용자를 대신하여 작업을 수행할 수 있습니다.
이 정책은 최종 사용자 콘솔 보기에 대한 읽기 전용 액세스를 허용하는 *읽기 전용* 권한을 부여합니다. 제품을 시작하거나 프로비저닝된 제품을 관리할 권한을 부여하지 않습니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `servicecatalog` - 주도체에게 최종 사용자 콘솔 보기에 대한 읽기 전용 권한을 허용합니다.
+ `cloudformation`- AWS CloudFormation 스택을 나열하고 읽을 수 있는 AWS Service Catalog 제한된 권한을 허용합니다.
+ `config`- 포트폴리오, 제품 및 프로비저닝된 제품에 대한 세부 정보를 나열하고 읽을 수 있는 AWS Service Catalog 제한된 권한을 허용합니다 AWS Config.
+ `ssm` - AWS Service Catalog 를 사용하여 현재 AWS 계정 및 AWS 리전의 Systems Manager 문서를 AWS Systems Manager 읽을 수 있습니다.
[AWSServiceCatalogEndUserReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserReadOnlyAccess.html) 정책을 확인합니다.
## AWS 관리형 정책: `AWSServiceCatalogSyncServiceRolePolicy`
AWS Service Catalog 는이 정책을 `AWSServiceRoleForServiceCatalogSync` 서비스 연결 역할(SLR)에 연결하여가 외부 리포지토리의 템플릿을 AWS Service Catalog 제품에 AWS Service Catalog 동기화할 수 있도록 합니다.
이 정책은 AWS Service Catalog 작업(예: API 호출) 및가 AWS Service Catalog 의존하는 다른 AWS 서비스 작업에 대한 제한된 액세스를 허용하는 권한을 부여합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `servicecatalog` - 아 AWS Service Catalog 티팩트 동기화 역할이 퍼블릭 APIs에 대한 액세스를 제한하도록 AWS Service Catalog 허용합니다.
+ `codeconnections`- AWS Service Catalog 아티팩트 동기화 역할이 CodeConnections 퍼블릭 APIs에 대한 액세스를 제한하도록 허용합니다.
+ `cloudformation`- 아 AWS Service Catalog 티팩트 동기화 역할이 퍼블릭 APIs에 대한 액세스를 제한하도록 AWS CloudFormation 허용합니다.
정책 보기: [AWSServiceCatalogSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogSyncServiceRolePolicy.html).
**서비스 연결 역할 세부 정보**
AWS Service Catalog 는 사용자가 CodeConnections를 사용하는 AWS Service Catalog 제품을 생성하거나 업데이트할 때 생성되는 `AWSServiceRoleForServiceCatalogSync` 서비스 연결 역할에 대해 위의 권한 세부 정보를 사용합니다. AWS CLI, AWS API 또는 AWS Service Catalog 콘솔을 통해이 정책을 수정할 수 있습니다. 서비스 연결 역할을 생성, 편집 및 삭제하는 방법에 대한 자세한 내용은 [AWS Service Catalog에 서비스 연결 역할 (SLR) 사용](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-service-linked-roles) 섹션을 참조하십시오.
`AWSServiceRoleForServiceCatalogSync` 서비스 연결 역할에 포함된 권한을 통해는 고객을 대신하여 다음 작업을 AWS Service Catalog 수행할 수 있습니다.
+ `servicecatalog:ListProvisioningArtifacts` - AWS Service Catalog 아티팩트 동기화 역할이 리포지토리의 템플릿 파일에 동기화된 지정된 AWS Service Catalog 제품의 프로비저닝 아티팩트를 나열할 수 있도록 허용합니다.
+ `servicecatalog:DescribeProductAsAdmin` - AWS Service Catalog 아티팩트 동기화 역할이 `DescribeProductAsAdmin` API를 사용하여 리포지토리의 템플릿 파일에 동기화된 AWS Service Catalog 제품 및 관련 프로비저닝된 아티팩트에 대한 세부 정보를 가져올 수 있도록 허용합니다. 아티팩트 동기화 역할은 이 호출의 출력을 사용하여 프로비저닝 아티팩트에 대한 제품의 서비스 할당량 제한을 확인합니다.
+ `servicecatalog:DeleteProvisioningArtifact` - AWS Service Catalog 아티팩트 동기화 역할이 프로비저닝된 아티팩트를 삭제할 수 있도록 허용합니다.
+ `servicecatalog:ListServiceActionsForProvisioningArtifact` - 아 AWS Service Catalog 티팩트 동기화 역할이 서비스 작업이 프로비저닝 아티팩트와 연결되어 있는지 확인하고 서비스 작업이 연결된 경우 프로비저닝 아티팩트가 삭제되지 않도록 합니다.
+ `servicecatalog:DescribeProvisioningArtifact` - AWS Service Catalog 아티팩트 동기화 역할이 `SourceRevisionInfo` 출력에 제공된 커밋 ID를 포함하여 `DescribeProvisioningArtifact` API에서 세부 정보를 검색할 수 있도록 허용합니다.
+ `servicecatalog:CreateProvisioningArtifact` - 외부 리포지토리의 소스 템플릿 파일에 대한 변경 사항이 감지되면(예: git-push 커밋됨) AWS Service Catalog 아티팩트 동기화 역할이 프로비저닝된 새 아티팩트를 생성할 수 있습니다.
+ `servicecatalog:UpdateProvisioningArtifact` - AWS Service Catalog 아티팩트 동기화 역할이 연결되거나 동기화된 제품의 프로비저닝된 아티팩트를 업데이트할 수 있도록 허용합니다.
+ `codeconnections:UseConnection` - AWS Service Catalog 아티팩트 동기화 역할이 기존 연결을 사용하여 제품을 업데이트하고 동기화할 수 있도록 허용합니다.
+ `cloudformation:ValidateTemplate` - 아 AWS Service Catalog 티팩트 동기화 역할이에 대한 액세스를 제한 AWS CloudFormation 하여 외부 리포지토리에서 사용 중인 템플릿의 템플릿 형식을 검증하고가 템플릿을 지원할 CloudFormation 수 있는지 확인할 수 있습니다.
## AWS 관리형 정책: `AWSServiceCatalogOrgsDataSyncServiceRolePolicy`
AWS Service Catalog 는이 정책을 `AWSServiceRoleForServiceCatalogOrgsDataSync` 서비스 연결 역할(SLR)에 연결하여가와 동기화 AWS Service Catalog 할 수 있도록 합니다 AWS Organizations.
이 정책은 AWS Service Catalog 작업(예: API 호출) 및가 AWS Service Catalog 의존하는 다른 AWS 서비스 작업에 대한 제한된 액세스를 허용하는 권한을 부여합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `organizations`- AWS Service Catalog 데이터 동기화 역할이 퍼블릭 APIs에 대한 액세스를 제한하도록 AWS Organizations 허용합니다.
정책 보기: [AWSServiceCatalogOrgsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogOrgsDataSyncServiceRolePolicy.html).
**서비스 연결 역할 세부 정보**
AWS Service Catalog 는 사용자가 AWS Organizations 공유 포트폴리오 액세스를 활성화하거나 포트폴리오 공유를 생성할 때 생성되는 `AWSServiceRoleForServiceCatalogOrgsDataSync` 서비스 연결 역할에 대해 위의 권한 세부 정보를 사용합니다. AWS CLI, AWS API 또는 AWS Service Catalog 콘솔을 통해이 정책을 수정할 수 있습니다. 서비스 연결 역할을 생성, 편집 및 삭제하는 방법에 대한 자세한 내용은 [AWS Service Catalog에 서비스 연결 역할 (SLR) 사용](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-service-linked-roles) 섹션을 참조하십시오.
`AWSServiceRoleForServiceCatalogOrgsDataSync` 서비스 연결 역할에 포함된 권한을 통해는 고객을 대신하여 다음 작업을 AWS Service Catalog 수행할 수 있습니다.
+ `organizations:DescribeAccount` AWS Organizations- AWS Service Catalog Organizations Data Sync 역할이 지정된 계정에 대한 관련 정보를 검색할 수 있도록 허용합니다.
+ `organizations:DescribeOrganization` - AWS Service Catalog Organizations Data Sync 역할이 사용자 계정이 속한 조직에 대한 정보를 검색할 수 있도록 허용합니다.
+ `organizations:ListAccounts` - AWS Service Catalog Organizations Data Sync 역할이 사용자 조직의 계정을 나열할 수 있도록 허용합니다.
+ `organizations:ListChildren` - AWS Service Catalog Organizations Data Sync 역할이 지정된 상위 OU 또는 루트에 포함된 모든 조직 단위(UOs) 또는 계정을 나열할 수 있도록 허용합니다.
+ `organizations:ListParents` - AWS Service Catalog Organizations Data Sync 역할이 지정된 하위 OUs 또는 계정의 직계 상위 역할을 하는 루트 또는 OU를 나열하도록 허용합니다.
+ `organizations:ListAWSServiceAccessForOrganization` - AWS Service Catalog Organizations Data Sync 역할이 사용자가 조직과 통합하도록 활성화한 AWS 서비스 목록을 검색할 수 있도록 허용합니다.
## 지원이 중단되는 정책
다음 관리형 정책에 대한 지원이 중단됩니다.
+ **ServiceCatalogAdminFullAccess** — **AWSServiceCatalogAdminFullAccess**를 대신 사용합니다.
+ **ServiceCatalogAdminReadOnlyAccess** — **AWSServiceCatalogAdminReadOnlyAccess**를 대신 사용합니다.
+ **ServiceCatalogEndUserFullAccess** — **AWSServiceCatalogEndUserFullAccess**를 대신 사용합니다.
+ **ServiceCatalogEndUserAccess** — **AWSServiceCatalogEndUserReadOnlyAccess**를 대신 사용합니다.
다음 절차에 따라 현재 정책을 사용해 관리자 및 최종 사용자에게 권한이 부여되는지 확인합니다.
더 이상 사용되지 않는 정책에서 현재 정책으로 마이그레이션하려면 *AWS Identity and Access Management 사용 설명서*의 [IAM ID 권한 추가 및 제거](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) 섹션을 참조하십시오.
## AWS 관리형 정책에 대한 AppRegistry 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 AppRegistry의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 AppRegistry 문서 기록 페이지에서 RSS 피드를 구독하십시오.
| 변경 | 설명 | Date |
| --- | --- | --- |
| [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy) – 관리형 정책 업데이트 | AWS Service Catalog 에서 `AWSServiceCatalogSyncServiceRolePolicy` 정책을 로 변경`codestar-connections`하도록 업데이트했습니다`codeconnections`. | 2024년 5월 7일 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess) – 관리형 정책 업데이트 | AWS Service Catalog 는 AWS Service Catalog 관리자가 계정에서 `AWSServiceRoleForServiceCatalogOrgsDataSync` 서비스 연결 역할(SLR)을 생성하는 데 필요한 권한을 포함하도록 `AWSServiceCatalogAdminFullAccess` 정책을 업데이트했습니다. | 2023년 4월 14일 |
| [AWSServiceCatalogOrgsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogOrgsDataSyncServiceRolePolicy) – 새로운 관리형 정책 | AWS Service Catalog 는와 동기화할 수 `AWSServiceCatalogOrgsDataSyncServiceRolePolicy`있도록 `AWSServiceRoleForServiceCatalogOrgsDataSync` 서비스 연결 역할(SLR)에 연결된를 추가 AWS Service Catalog 했습니다 AWS Organizations. 이 정책은 AWS Service Catalog 작업(예: API 호출) 및가 AWS Service Catalog 의존하는 다른 AWS 서비스 작업에 대한 제한된 액세스를 허용합니다. | 2023년 4월 14일 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess) – 관리형 정책 업데이트 | AWS Service Catalog 는 AWS Service Catalog 관리자에 대한 모든 권한을 포함하고 AppRegistry와의 호환성을 생성하도록 `AWSServiceCatalogAdminFullAccess` 정책을 업데이트했습니다. | 2023년 1월 12일 |
| [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy) – 새로운 관리형 정책 | AWS Service Catalog 는 `AWSServiceRoleForServiceCatalogSync` 서비스 연결 역할(SLR)에 연결된 `AWSServiceCatalogSyncServiceRolePolicy` 정책을 추가했습니다. 이 정책은가 외부 AWS Service Catalog 리포지토리의 템플릿을 AWS Service Catalog 제품에 동기화하도록 허용합니다. | 2022년 11월 18일 |
| [AWSServiceRoleForServiceCatalogSync](using-service-linked-roles.md#slr-permissions) – 새로운 서비스 연결 역할 | AWS Service Catalog 가 `AWSServiceRoleForServiceCatalogSync` 서비스 연결 역할(SLR)을 추가했습니다. 이 역할은가 CodeConnections AWS Service Catalog 를 사용하고 제품의 AWS Service Catalog 프로비저닝 아티팩트를 생성, 업데이트 및 설명하는 데 필요합니다. | 2022년 11월 18일 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess) – 관리형 정책 업데이트 | AWS Service Catalog 는 AWS Service Catalog 관리자에게 필요한 모든 권한을 포함하도록 `AWSServiceCatalogAdminFullAccess` 정책을 업데이트했습니다. 이 정책은 생성, 설명, 삭제 등과 같은 모든 AWS Service Catalog 리소스에 대해 관리자가 수행할 수 있는 특정 작업을 식별합니다. 또한 최근에 시작된 기능인 ABAC(속성 기반 액세스 제어)를 지원하도록 정책이 변경되었습니다 AWS Service Catalog. ABAC를 사용하면 `AWSServiceCatalogAdminFullAccess` 정책을 템플릿으로 사용하여 태그를 기반으로 AWS Service Catalog 리소스에 대한 작업을 허용하거나 거부할 수 있습니다. 자세한 내용은 [AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)용 ABAC란 무엇입니까?*AWS Identity and Access Management* 단원을 참조하십시오. | 2022년 9월 30일 |
| AppRegistr에서 변경 사항 추적 시작 | AppRegistry가 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. | 2022년 9월 15일 |
# 에 대한 서비스 연결 역할 사용 AWS Service Catalog
AWS Service Catalog 는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 직접 연결된 고유한 유형의 IAM 역할입니다 AWS Service Catalog. 서비스 연결 역할은에서 사전 정의 AWS Service Catalog 하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할을 더 AWS Service Catalog 쉽게 설정할 수 있습니다.는 서비스 연결 역할의 권한을 AWS Service Catalog 정의하며, 달리 정의되지 않은 한 만 해당 역할을 수임 AWS Service Catalog 할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
먼저 관련 리소스를 삭제한 후에만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 AWS Service Catalog 리소스에 대한 액세스 권한을 실수로 제거할 수 없기 때문에 리소스가 보호됩니다.
서비스 연결 역할을 지원하는 다른 서비스에 대한 자세한 내용은 [AWS IAM으로 작업하는 서비스를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 참조하고 **서비스 연결 역할** 열에서 **예**인 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예** 링크를 선택합니다.
## `AWSServiceRoleForServiceCatalogSync`에 대한 서비스 링크 역할 권한
AWS Service Catalog 는 라는 서비스 연결 역할을 사용할 수 있습니다. **`AWSServiceRoleForServiceCatalogSync`**이 서비스 연결 역할은가 CodeConnections AWS Service Catalog 를 사용하고 제품에 대한 프로비저닝 아티팩트를 생성, 업데이트 및 설명하는 AWS Service Catalog 데 필요합니다.
`AWSServiceRoleForServiceCatalogSync` 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `sync.servicecatalog.amazonaws.com`
**AWSServiceCatalogSyncServiceRolePolicy**라는 역할 권한 정책은가 지정된 리소스에서 다음 작업을 완료 AWS Service Catalog 하도록 허용합니다.
+ 작업: `CodeConnections`에 대한 `Connection`
+ 작업: AWS Service Catalog 제품에 `ProvisioningArtifact` 대한 `Create, Update, and Describe`의
IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)을 참조하세요.
### `AWSServiceRoleForServiceCatalogSync` 서비스 연결 역할 생성
`AWSServiceRoleForServiceCatalogSync` 서비스 연결 역할을 수동으로 생성할 필요가 없습니다. AWS Service Catalog 는 AWS CLI, 또는 AWS API에서 CodeConnections AWS Management Console를 설정할 때 자동으로 서비스 연결 역할을 생성합니다.
**중요**
이러한 서비스 연결 역할은 해당 역할이 지원하는 기능을 사용하는 다른 서비스에서 작업을 완료했을 경우 계정에 나타날 수 있습니다. 또한 AWS Service Catalog 서비스 연결 역할을 지원하기 시작한 2022년 11월 18일 이전에 서비스를 사용 중이었다면가 계정에 `AWSServiceRoleForServiceCatalogSync` 역할을 AWS Service Catalog 생성했습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요.
이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. CodeConnections를 설정하면가 서비스 연결 역할을 다시 AWS Service Catalog 생성합니다.
IAM 콘솔을 사용하여 **동기화된 AWS Service Catalog 제품** 사용 사례로 서비스 연결 역할을 생성할 수도 있습니다. AWS CLI 또는 AWS API에서 서비스 이름으로 `sync.servicecatalog.amazonaws.com` 서비스 연결 역할을 생성합니다. 자세한 내용은 *IAM 사용자 설명서*의 [서비스 연결 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) 섹션을 참조하세요. 이 서비스 연결 역할을 삭제하면 동일한 프로세스를 사용하여 역할을 다시 생성할 수 있습니다.
## `AWSServiceRoleForServiceCatalogOrgsDataSync`에 대한 서비스 링크 역할 권한
AWS Service Catalog 는 라는 서비스 연결 역할을 사용할 수 있습니다. **`AWSServiceRoleForServiceCatalogOrgsDataSync`**이 서비스 연결 역할은 AWS Service Catalog 조직이 동기화 상태를 유지하는 데 필요합니다 AWS Organizations.
`AWSServiceRoleForServiceCatalogOrgsDataSync` 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `orgsdatasync.servicecatalog.amazonaws.com`
`AWSServiceRoleForServiceCatalogOrgsDataSync` 서비스 연결 역할을 사용하려면 `AWSServiceCatalogOrgsDataSyncServiceRolePolicy` [관리형 정책](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSServiceCatalogOrgsDataSyncServiceRolePolicy) 외에 다음과 같은 신뢰 정책을 사용해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "orgsdatasync.servicecatalog.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
**AWSServiceCatalogOrgsDataSyncServiceRolePolicy**라는 역할 권한 정책은가 지정된 리소스에서 다음 작업을 완료 AWS Service Catalog 하도록 허용합니다.
+ 작업: `Organizations accounts`의 `DescribeAccount`, `DescribeOrganization`, `ListAWSServiceAccessForOrganization`
+ 작업: `Organizations accounts`의 `ListAccounts`, `ListChildren`, `ListParent`
IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)을 참조하세요.
### `AWSServiceRoleForServiceCatalogOrgsDataSync` 서비스 연결 역할 생성
`AWSServiceRoleForServiceCatalogOrgsDataSync`서비스 연결 역할을 수동으로 생성할 필요는 없습니다. AWS Service Catalog 는 [와 공유 AWS Organizations](catalogs_portfolios_sharing_how-to-share.md#portfolio-sharing-organizations) 또는를 활성화하는 작업을가 사용자를 대신하여 백그라운드에서 SLR을 생성할 AWS Service Catalog 수 있는 권한[포트폴리오 공유](catalogs_portfolios_sharing_how-to-share.md)으로 간주합니다.
AWS Service Catalog 는 `EnableAWSOrganizationsAccess` 또는 , AWS Management Console AWS CLI또는 AWS API`CreatePortfolioShare`를 요청할 때 자동으로 서비스 연결 역할을 생성합니다.
**중요**
이러한 서비스 연결 역할은 해당 역할이 지원하는 기능을 사용하는 다른 서비스에서 작업을 완료했을 경우 계정에 나타날 수 있습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하십시오.
이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. `EnableAWSOrganizationsAccess` 또는 `CreatePortfolioShare` 요청 시 AWS Service Catalog 에서 서비스 연결 역할을 다시 생성합니다.
## 에 대한 서비스 연결 역할 편집 AWS Service Catalog
AWS Service Catalog 에서는 `AWSServiceRoleForServiceCatalogSync` 또는 `AWSServiceRoleForServiceCatalogOrgsDataSync` 서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
## 에 대한 서비스 연결 역할 삭제 AWS Service Catalog
IAM 콘솔, AWS CLI 또는 AWS API를 사용하여 `AWSServiceRoleForServiceCatalogSync` 또는 `AWSServiceRoleForServiceCatalogOrgsDataSync` SLR을 수동으로 삭제할 수 있습니다. 이렇게 하려면 먼저 서비스 연결 역할을 사용하는 모든 리소스(예: 외부 리포지토리에 동기화된 AWS Service Catalog 제품)를 수동으로 제거한 다음 서비스 연결 역할을 수동으로 삭제할 수 있습니다.
## AWS Service Catalog 서비스 연결 역할에 지원되는 리전
AWS Service Catalog 는 서비스를 사용할 수 있는 모든 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용을 알아보려면 [AWS 리전 및 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/rande.html)를 참조하십시오.
****
| 리전 이름 | 리전 자격 증명 | 에서 지원 AWS Service Catalog |
| --- | --- | --- |
| 미국 동부(버지니아 북부) | us-east-1 | 예 |
| 미국 동부(오하이오) | us-east-2 | 예 |
| 미국 서부(캘리포니아 북부) | us-west-1 | 예 |
| 미국 서부(오리건) | us-west-2 | 예 |
| 아프리카(케이프타운) | af-south-1 | 예 |
| Asia Pacific (Hong Kong) | ap-east-1 | 예 |
| 아시아 태평양(자카르타) | ap-southeast-3 | 예 |
| 아시아 태평양(뭄바이) | ap-south-1 | 예 |
| 아시아 태평양(오사카) | ap-northeast-3 | 예 |
| 아시아 태평양(서울) | ap-northeast-2 | 예 |
| 아시아 태평양(싱가포르) | ap-southeast-1 | 예 |
| 아시아 태평양(시드니) | ap-southeast-2 | 예 |
| 아시아 태평양(도쿄) | ap-northeast-1 | 예 |
| 캐나다(중부) | ca-central-1 | 예 |
| 유럽(프랑크푸르트) | eu-central-1 | 예 |
| 유럽(아일랜드) | eu-west-1 | 예 |
| 유럽(런던) | eu-west-2 | 예 |
| 유럽(밀라노) | eu-south-1 | 예 |
| 유럽(파리) | eu-west-3 | 예 |
| 유럽(스톡홀름) | eu-north-1 | 예 |
| 중동(바레인) | me-south-1 | 예 |
| 남아메리카(상파울루) | sa-east-1 | 예 |
| AWS GovCloud(미국 동부) | us-gov-east-1 | 아니요 |
| AWS GovCloud(미국 서부) | us-gov-west-1 | 아니요 |
# AWS Service Catalog 자격 증명 및 액세스 문제 해결
다음 정보를 사용하여 및 IAM으로 작업할 때 발생할 수 있는 일반적인 문제를 진단 AWS Service Catalog 하고 수정할 수 있습니다.
**Topics**
+ [에서 작업을 수행할 권한이 없음 AWS Service Catalog](#troubleshoot-one)
+ [`iam:PassRole`을 수행할 권한이 없음](#troubleshoot-two)
+ [내 AWS 계정 외부의 사람이 내 AWS Service Catalog 리소스에 액세스하도록 허용하고 싶습니다.](#troubleshoot-five)
## 에서 작업을 수행할 권한이 없음 AWS Service Catalog
에서 작업을 수행할 권한이 없다는 AWS Management Console 메시지가 표시되면 관리자에게 문의하여 도움을 받아야 합니다. 관리자는 로그인 보안 인증 정보를 제공한 사람입니다. 다음 예제 오류는 mateojackson 사용자가 콘솔을 사용하여 가상 리소스에 대한 세부 정보를 보려고 하지만 가상 `aws:GetWidget` 권한이 없을 때 발생합니다.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: aws:GetWidget on resource: my-example-widget
```
이 경우, Mateo는 `my-example-widget` 작업을 사용하여 `aws:GetWidget` 리소스에 액세스하도록 허용하는 정책을 업데이트하라고 관리자에게 요청합니다.
## `iam:PassRole`을 수행할 권한이 없음
`iam:PassRole` 태스크를 수행할 권한이 없다는 오류가 수신되면 관리자에게 문의하여 도움을 받아야 합니다. 관리자는 사용자 이름과 암호를 제공한 사람입니다. 역할을 AWS Service Catalog로 전달하도록 허용하는 정책을 업데이트하도록 관리자에게 요청합니다.
일부 AWS 서비스를 사용하면 새 서비스 역할 또는 서비스 연결 역할을 생성하는 대신 기존 역할을 해당 서비스에 전달할 수 있습니다. 이렇게 하려면 역할을 서비스에 전달할 권한이 있어야 합니다.
다음 예제 오류는 marymajor라는 사용자가 콘솔을 사용하여 AWS Service Catalog에서 작업을 수행하려고 하는 경우에 발생합니다. 하지만 태스크를 수행하려면 서비스에 서비스 역할이 부여한 권한이 있어야 합니다. Mary는 서비스에 역할을 전달할 권한이 없습니다.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
이 경우 Mary는 태스크를 수행하도록 허용하는 정책을 업데이트하라고 관리자에게 요청합니다.
## 내 AWS 계정 외부의 사람이 내 AWS Service Catalog 리소스에 액세스하도록 허용하고 싶습니다.
다른 계정의 사용자 또는 조직 외부의 사람이 리소스에 액세스할 때 사용할 수 있는 역할을 생성할 수 있습니다. 역할을 수임할 신뢰할 수 있는 사람을 지정할 수 있습니다. 리소스 기반 정책 또는 액세스 제어 목록(ACL)을 지원하는 서비스의 경우, 이러한 정책을 사용하여 다른 사람에게 리소스에 대한 액세스 권한을 부여할 수 있습니다.
자세한 내용은 다음을 참조하세요.
+ 에서 이러한 기능을 AWS Service Catalog 지원하는지 여부를 알아보려면 *AWS Service Catalog 관리자 안내서*[AWS Identity and Access Management 의 AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/controlling_access.html) 섹션을 참조하세요.
+ 소유한 AWS 계정 전체에서 리소스에 대한 액세스 권한을 제공하는 방법을 알아보려면 [IAM 사용 설명서의 소유한 다른 AWS 계정의 IAM 사용자에게 액세스 권한 제공을 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html). **
+ 타사 AWS 계정에 리소스에 대한 액세스 권한을 제공하는 방법을 알아보려면 *IAM 사용 설명서*의 [타사 소유 AWS 계정에 대한 액세스 권한 제공을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) 참조하세요.
+ ID 페더레이션을 통해 액세스 권한을 제공하는 방법을 알아보려면 *IAM 사용 설명서*의 [외부에서 인증된 사용자에게 액세스 권한 제공(ID 페더레이션)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)을 참조하십시오.
+ 교차 계정 액세스를 위한 역할과 리소스 기반 정책 사용의 차이점을 알아보려면 *IAM 사용 설명서*의 [IAM 역할과 리소스 기반 정책의 차이](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)를 참조하십시오.
# 액세스 제어
AWS Service Catalog 포트폴리오는 관리자에게 최종 사용자 그룹에 대한 액세스 제어 수준을 제공합니다. 포트폴리오에 사용자를 추가하면 사용자가 포트폴리오에서 제품을 검색하고 시작할 수 있습니다. 자세한 내용은 [포트폴리오 관리](catalogs_portfolios.md) 섹션을 참조하십시오.
## 제약 조건
제약 조건은 특정 포트폴리오에서 제품을 시작할 때 최종 사용자에게 적용되는 규칙을 제어합니다. 제약 조건을 사용하여 거버넌스 또는 비용 관리를 위해 제품에 제한을 적용할 수 있습니다. 제약 조건에 대한 자세한 내용은 [AWS Service Catalog 제약 조건 사용](constraints.md) 단원을 참조하십시오.
AWS Service Catalog 시작 제약 조건을 사용하면 최종 사용자에게 필요한 권한을 더 잘 제어할 수 있습니다. 관리자가 포트폴리오에서 제품에 대한 시작 제약 조건을 생성하면 시작 제약 조건은 최종 사용자가 해당 포트폴리오에서 제품을 시작할 때 사용되는 역할 ARN을 연결합니다. 이 패턴을 사용하여 AWS 리소스 생성에 대한 액세스를 제어할 수 있습니다. 자세한 내용은 [AWS Service Catalog 시작 제약 조건](constraints-launch.md) 단원을 참조하십시오.