기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 정책 스토어 별칭에 대한 액세스 제어
<a name="policy-store-aliases-control-access"></a>

정책 스토어 별칭을 관리하는 보안 주체는 해당 정책 스토어 별칭과 상호 작용할 수 있는 권한이 있어야 하며, 일부 작업의 경우 정책 스토어 별칭이 연결된 정책 스토어가 있어야 합니다. 정책을 사용하여 IAM 이러한 권한을 제공할 수 있습니다.

다음 섹션에서는 정책 스토어 별칭을 생성하고 관리하는 데 필요한 권한을 설명합니다.

## verifiedpermissions:CreatePolicyStoreAlias
<a name="alias-access-create"></a>

정책 스토어 별칭을 생성하려면 보안 주체는 정책 스토어 별칭과 연결된 정책 스토어 모두에 대해 다음 권한이 필요합니다.
+ `verifiedpermissions:CreatePolicyStoreAlias` 정책 스토어 별칭에 대한 입니다. 정책 스토어 IAM 별칭을 생성할 수 있는 보안 주체에 연결된 정책에이 권한을 제공합니다.

  다음 예제 정책 문은 `Resource` 요소의 특정 정책 스토어 별칭을 지정합니다. 그러나 여러 정책 스토어 별칭 ARNs을 나열하거나와 같은 정책 스토어 별칭 패턴을 지정할 수 있습니다`"sample*"`. 보안 주체가 AWS 계정 및 리전에서 정책 스토어 별칭을 생성할 수 `"*"` 있도록 `Resource` 값을 지정할 수도 있습니다.

  ```
  {
    "Sid": "IAMPolicyForCreateAlias",
    "Effect": "Allow",
    "Action": "verifiedpermissions:CreatePolicyStoreAlias",
    "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
  }
  ```
+ `verifiedpermissions:CreatePolicyStoreAlias` 연결된 정책 스토어에 대한 입니다. 이 권한은 IAM 정책에서 제공해야 합니다.

  ```
  {
    "Sid": "PolicyStorePermissionForAlias",
    "Effect": "Allow",
    "Action": "verifiedpermissions:CreatePolicyStoreAlias",
    "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
  }
  ```

## verifiedpermissions:GetPolicyStoreAlias
<a name="alias-access-get"></a>

특정 정책 스토어 별칭에 대한 세부 정보를 가져오려면 보안 주체에게 IAM 정책의 정책 스토어 별칭에 대한 `verifiedpermissions:GetPolicyStoreAlias` 권한이 있어야 합니다.

다음 예제 정책 문은 보안 주체에게 특정 정책 스토어 별칭을 가져올 수 있는 권한을 부여합니다.

```
{
  "Sid": "IAMPolicyForGetAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}
```

## verifiedpermissions:ListPolicyStoreAliases
<a name="alias-access-view"></a>

 AWS 계정 및 리전에서 정책 스토어 별칭을 나열하려면 보안 주체에게 IAM 정책에 대한 `verifiedpermissions:ListPolicyStoreAliases` 권한이 있어야 합니다. 이 정책은 특정 정책 스토어 또는 정책 스토어 별칭 리소스와 관련이 없으므로 정책의 리소스 요소 값은 여야 합니다`"*"`.

예를 들어 다음 IAM 정책 문은 보안 주체에게의 모든 정책 스토어 별칭을 나열할 수 있는 권한을 부여합니다 AWS 계정.

```
{
  "Sid": "IAMPolicyForListingAliases",
  "Effect": "Allow",
  "Action": "verifiedpermissions:ListPolicyStoreAliases",
  "Resource": "*"
}
```

## verifiedpermissions:DeletePolicyStoreAlias
<a name="alias-access-delete"></a>

정책 스토어 별칭을 삭제하려면 보안 주체에게 정책 스토어 별칭에 대한 권한만 필요합니다.

**참고**  
정책 스토어 별칭을 참조하는 애플리케이션은 오류를 수신하지만 정책 스토어 별칭을 삭제해도 연결된 정책 스토어에는 영향을 미치지 않습니다. 실수로 정책 스토어 별칭을 삭제한 경우 24시간 예약 기간 후에 다시 생성할 수 있습니다.

보안 주체는 정책 스토어 별칭에 대한 `verifiedpermissions:DeletePolicyStoreAlias` 권한이 필요합니다. 정책 스토어 IAM 별칭을 삭제할 수 있는 보안 주체에 연결된 정책에이 권한을 제공합니다.

다음 예제 정책 문은 `Resource` 요소의 정책 스토어 별칭을 지정합니다. 그러나 여러 정책 스토어 별칭 ARNs을 나열하거나와 같은 정책 스토어 별칭 패턴을 지정할 수 있습니다`"sample*"`. 보안 주체가 AWS 계정 및 리전에서 정책 스토어 별칭을 삭제할 수 `"*"` 있도록 `Resource` 값을 지정할 수도 있습니다.

```
{
  "Sid": "IAMPolicyForDeleteAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:DeletePolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}
```

## 정책 스토어 별칭 권한 제한
<a name="alias-access-limiting"></a>

정책 스토어 별칭을 사용하여 `policyStoreId` 필드를 입력으로 수락하는 모든 작업에서 정책 스토어를 참조할 수 있습니다. 이렇게 하면 Amazon Verified Permissions는 정책 스토어 별칭에 `verifiedpermissions:GetPolicyStoreAlias` 대해 권한을 부여하고 연결된 정책 스토어에 대해 요청된 작업을 승인합니다.

예를 들어 정책 스토어 별칭을 사용하여 `IsAuthorized` 작업을 수행하는 경우 보안 주체는 다음 둘 다 필요합니다.
+ `verifiedpermissions:GetPolicyStoreAlias` 정책 스토어 별칭에 대한 권한
+ `verifiedpermissions:IsAuthorized` 연결된 정책 스토어에 대한 권한

다음 예제 정책은 특정 정책 스토어 별칭을 `IsAuthorized` 사용하여를 호출할 수 있는 권한을 부여합니다.

```
{
  "Sid": "IAMPolicyForAliasUsage",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
},
{
  "Sid": "IAMPolicyForPolicyStoreOperation",
  "Effect": "Allow",
  "Action": "verifiedpermissions:IsAuthorized",
  "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
}
```

보안 주체가 사용할 수 있는 정책 스토어 별칭을 제한하려면 `verifiedpermissions:GetPolicyStoreAlias` 권한을 제한합니다. 예를 들어 다음 정책은 보안 주체가 로 시작하는 별칭을 제외한 모든 정책 스토어 별칭을 사용하도록 허용합니다`Restricted`.

```
{
  "Sid": "IAMPolicyForAliasAllow",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/*"
},
{
  "Sid": "IAMPolicyForAliasDeny",
  "Effect": "Deny",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/Restricted*"
}
```