# 권한 관리 AWS 및 워크로드에 액세스해야 하는 인적 자격 증명 및 시스템 자격 증명에 대한 액세스를 제어하는 권한을 관리합니다. 권한을 통해 누가 어떤 조건에서 무엇에 액세스할 수 있는지를 제어할 수 있습니다. 구체적인 인적 및 머신 자격 증명에 권한을 설정하여 특정 리소스의 특정 서비스 작업에 대한 액세스 권한을 부여합니다. 또한 액세스 권한을 부여하려면 충족되어야 하는 조건을 지정할 수 있습니다. 서로 다른 유형의 리소스에 액세스 권한을 부여하는 방법에는 여러 가지가 있습니다. 그중 하나는 서로 다른 정책 유형을 사용하는 것입니다. IAM의 [자격 증명 기반 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)은 *관리형* 또는 *인라인* 형태이며, 사용자, 그룹 또는 역할을 포함한 IAM 자격 증명에 연결됩니다. 이러한 정책으로 자격 증명이 수행할 수 있는 작업(권한)을 지정할 수 있습니다. 자격 증명 기반 정책은 하위 범주로 분류할 수 있습니다. **관리형 정책** - AWS 계정에 속한 다수의 사용자, 그룹 및 역할에게 독립적으로 연결할 수 있는 자격 증명 기반 정책입니다. 두 가지 유형의 관리형 정책이 있습니다. + **AWS 관리형 정책** - AWS에서 생성 및 관리하는 관리형 정책입니다. + **고객 관리형 정책** - 사용자가 자신의 AWS 계정에서 생성 및 관리하는 관리형 정책입니다. 고객 관리형 정책은 AWS 관리형 정책에 비해 정책을 더 세밀하게 제어할 수 있습니다. 관리형 정책은 권한 적용에 선호되는 방법입니다. 그러나 하나의 사용자, 그룹 또는 역할에 직접 추가하는 인라인 정책을 사용할 수도 있습니다. 인라인 정책은 정책과 자격 증명을 정확히 1대 1 관계로 유지합니다. 자격 증명을 삭제하면 인라인 정책도 삭제됩니다. 대부분의 경우 [최소 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 원칙에 따라 고객 관리형 정책을 직접 생성해야 합니다. [리소스 기반 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)은 리소스에 연결됩니다. 리소스 기반 정책의 예로는 S3 버킷 정책이 있습니다. 이 정책은 리소스와 같거나 다른 계정에 있을 수 있는 보안 주체에 권한을 부여합니다. 리소스 기반 권한을 지원하는 서비스 목록은 [IAM으로 작업하는 AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조하세요. [권한 경계](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/)를 사용하여 관리자가 설정할 수 있는 최대 권한을 설정할 수 있습니다. 이렇게 하면 IAM 역할 생성과 같은 권한을 생성하고 관리할 수 있는 능력을 개발자에게 위임할 수 있지만, 개발자가 생성한 권한을 사용하여 권한을 에스컬레이션할 수 없도록 제한할 수 있습니다. AWS의 [속성 기반 액세스 제어(ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)에서는 태그라고 불리는 속성을 기반으로 권한을 부여할 수 있습니다. 이러한 태그는 IAM 보안 주체(사용자 또는 역할) 및 AWS 리소스에 연결될 수 있습니다. 관리자는 IAM 보안 주체의 속성을 기반으로 권한을 적용하는, 재사용 가능한 IAM 정책을 만들 수 있습니다. 예를 들어, 관리자는 조직의 개발자에게 개발자의 프로젝트 태그와 일치하는 AWS 리소스에 대한 액세스 권한을 부여하기 위해 단일 IAM 정책을 사용할 수 있습니다. 개발자 팀이 프로젝트에 리소스를 추가하면 속성에 따라 권한이 자동으로 적용되어 새로운 리소스마다 정책 업데이트를 할 필요가 없습니다. [조직 서비스 제어 정책(SCP)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_scp)에서는 조직 또는 조직 단위(OU)의 계정 구성원에 대한 최대 권한을 정의합니다. SCP는 자격 증명 기반 정책이나 리소스 기반 정책을 통해 계정 내 엔터티(사용자나 역할)에 부여하는 권한을 *제한*하지만, 권한을 *부여하지는 않습니다*. [세션 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)은 역할 또는 페더레이션 사용자를 맡습니다. AWS CLI 또는 AWS API를 사용할 때 세션 정책을 전달합니다. 세션 정책은 역할 또는 사용자의 자격 증명 기반 정책이 세션에 부여하는 권한을 제한합니다. 세션 정책은 생성된 세션에 대한 권한을 *제한*하지 않지만, 권한을 *부여하지도 않습니다*. 자세한 정보는 [세션 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)을 참조하세요. **Topics** + [SEC03-BP01 액세스 요구 사항 정의](sec_permissions_define.md) + [SEC03-BP02 최소 권한 액세스 부여](sec_permissions_least_privileges.md) + [SEC03-BP03 긴급 액세스 프로세스 설정](sec_permissions_emergency_process.md) + [SEC03-BP04 지속적으로 권한 축소](sec_permissions_continuous_reduction.md) + [SEC03-BP05 조직에 대한 권한 가드레일 정의](sec_permissions_define_guardrails.md) + [SEC03-BP06 수명 주기에 따라 액세스 관리](sec_permissions_lifecycle.md) + [SEC03-BP07 퍼블릭 및 크로스 계정 액세스 분석](sec_permissions_analyze_cross_account.md) + [SEC03-BP08 안전하게 조직과 리소스 공유](sec_permissions_share_securely.md) + [SEC03-BP09 안전하게 서드파티와 리소스 공유](sec_permissions_share_securely_third_party.md)