# AWS의 관리형 정책AWS Well-Architected Tool
AWS 관리형 정책은 AWS에 의해 생성되고 관리되는 독립 실행형 정책입니다. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있기 때문에 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에서 정의한 권한은 변경할 수 없습니다. 만약 AWS가 AWS 관리형 정책에 정의된 권한을 업데이트할 경우 정책이 연결되어 있는 모든 보안 주체 ID(사용자, 그룹 및 역할)에도 업데이트가 적용됩니다. 새 AWS 서비스을(를) 시작하거나 새 API 작업을 기존 서비스에 이용하는 경우, AWS가 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 *IAM 사용자 설명서*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.
## AWS 관리형 정책:WellArchitectedConsoleFullAccess .
`WellArchitectedConsoleFullAccess` 정책을 IAM ID에 연결할 수 있습니다.
이 정책은 AWS Well-Architected Tool에 대한 모든 액세스 권한을 부여합니다.
**권한 세부 정보**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"wellarchitected:*"
],
"Resource": "*"
}
]
}
```
------
## AWS 관리형 정책:WellArchitectedConsoleReadOnlyAccess .
`WellArchitectedConsoleReadOnlyAccess` 정책을 IAM ID에 연결할 수 있습니다.
이 정책은 AWS Well-Architected Tool에 대한 읽기 전용 액세스 권한을 부여합니다.
**권한 세부 정보**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wellarchitected:Get*",
"wellarchitected:List*",
"wellarchitected:ExportLens"
],
"Resource": "*"
}
]
}
```
------
## AWS 관리형 정책:AWSWellArchitectedOrganizationsServiceRolePolicy .
`AWSWellArchitectedOrganizationsServiceRolePolicy` 정책을 IAM ID에 연결할 수 있습니다.
이 정책은 조직과의 AWS Well-Architected Tool 통합을 지원하는 데 필요한 AWS Organizations 관리 권한을 부여합니다. 이러한 권한을 통해 조직 관리 계정에서 리소스를 AWS WA Tool에 공유할 수 있습니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `organizations:ListAWSServiceAccessForOrganization` – 보안 주체가 AWS WA Tool에서 AWS 서비스 액세스가 가능한지 확인할 수 있습니다.
+ `organizations:DescribeAccount` – 보안 주체가 조직의 계정에 대한 정보를 검색할 수 있습니다.
+ `organizations:DescribeOrganization` – 보안 주체가 조직 구성에 대한 정보를 검색할 수 있습니다.
+ `organizations:ListAccounts` – 보안 주체가 조직에 속한 계정 목록을 검색할 수 있습니다.
+ `organizations:ListAccountsForParent` – 보안 주체가 조직의 지정된 루트 노드에서 조직에 속한 계정 목록을 검색할 수 있습니다.
+ `organizations:ListChildren` – 보안 주체가 조직의 주어진 루트 노드에서 조직에 속한 계정 및 조직 단위(OU)의 목록을 검색할 수 있습니다.
+ `organizations:ListParents` – 보안 주체가 OU에서 지정한 직계 상위 항목 또는 조직 내 계정 목록을 검색할 수 있습니다.
+ `organizations:ListRoots` – 보안 주체가 조직 내 모든 루트 노드 목록을 검색할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:ListRoots"
],
"Resource": "*"
}
]
}
```
------
## AWS 관리형 정책: AWSWellArchitectedDiscoveryServiceRolePolicy
`AWSWellArchitectedDiscoveryServiceRolePolicy` 정책을 IAM ID에 연결할 수 있습니다.
이 정책을 통해 AWS Well-Architected Tool이 AWS WA Tool 리소스와 관련된 AWS 서비스 및 리소스에 액세스할 수 있습니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `trustedadvisor:DescribeChecks` – 사용 가능한 Trusted Advisor 검사 목록을 표시합니다.
+ `trustedadvisor:DescribeCheckItems` – Trusted Advisor에서 플래그를 지정한 상태 및 리소스를 포함한 Trusted Advisor 검사 데이터를 가져옵니다.
+ `servicecatalog:GetApplication` – AppRegistry 애플리케이션의 세부 정보를 가져옵니다.
+ `servicecatalog:ListAssociatedResources` – AppRegistry 애플리케이션과 관련된 리소스를 나열합니다.
+ `cloudformation:DescribeStacks` – CloudFormation 스택의 세부 정보를 가져옵니다.
+ `cloudformation:ListStackResources` – CloudFormation 스택과 관련된 리소스를 나열합니다.
+ `resource-groups:ListGroupResources` – ResourceGroup의 리소스를 나열합니다.
+ `tag:GetResources` – ListGroupResources에 필요합니다.
+ `servicecatalog:CreateAttributeGroup` – 필요한 경우 서비스 관리형 속성 그룹을 생성합니다.
+ `servicecatalog:AssociateAttributeGroup` – 서비스 관리형 속성 그룹을 AppRegistry 애플리케이션과 연결합니다.
+ `servicecatalog:UpdateAttributeGroup` – 서비스 관리형 속성 그룹을 업데이트합니다.
+ `servicecatalog:DisassociateAttributeGroup` – 서비스 관리형 속성 그룹과 AppRegistry 애플리케이션의 연결을 끊습니다.
+ `servicecatalog:DeleteAttributeGroup` – 필요한 경우 서비스 관리형 속성 그룹을 삭제합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeChecks",
"trustedadvisor:DescribeCheckItems"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources",
"resource-groups:ListGroupResources",
"tag:GetResources"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"servicecatalog:ListAssociatedResources",
"servicecatalog:GetApplication",
"servicecatalog:CreateAttributeGroup"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"servicecatalog:AssociateAttributeGroup",
"servicecatalog:DisassociateAttributeGroup"
],
"Resource": [
"arn:*:servicecatalog:*:*:/applications/*",
"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
]
},
{
"Effect": "Allow",
"Action": [
"servicecatalog:UpdateAttributeGroup",
"servicecatalog:DeleteAttributeGroup"
],
"Resource": [
"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
]
}
]
}
```
------
## AWS 관리형 정책으로 AWS WA Tool 업데이트
이 서비스가 이러한 변경 내용을 추적하기 시작한 이후부터 AWS WA Tool의 AWS 관리형 정책 업데이트에 관한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 AWS WA Tool [문서 수정](document-revisions.md) 페이지에서 RSS 피드를 구독하세요.
| 변경 | 설명 | 날짜 |
| --- | --- | --- |
| AWS WA Tool에서 관리형 정책 변경 | ` WellArchitectedConsoleReadOnlyAccess`에 `"wellarchitected:Export*"`가 추가되었습니다. | 2023년 6월 22일 |
| AWS WA Tool에서 서비스 역할 정책 추가 | AWS Well-Architected Tool에서 AWS WA Tool 리소스와 관련된 AWS 서비스 및 리소스에 액세스할 수 있도록 `AWSWellArchitectedDiscoveryServiceRolePolicy`가 추가되었습니다. | 2023년 5월 3일 |
| AWS WA Tool에서 권한 추가 | AWS WA Tool에서 AWS WA Tool에 대한 AWS 서비스 액세스가 활성화되었는지 확인할 수 있는 `ListAWSServiceAccessForOrganization` 권한을 부여하는 새 작업을 추가했습니다. | 2022년 7월 22일 |
| AWS WA Tool에서 변경 사항 추적 시작 | AWS WA Tool에서 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다. | 2022년 7월 22일 |