정책
자격 증명 또는 리소스에 연결될 때 해당 권한을 정의하는 AWS 객체
리소스에 대한 액세스를 제한하는 권한 정책을 생성할 때 자격 증명 기반 정책(Identity-based policies) 또는 리소스 기반 정책(Resource-based policies)을 선택할 수 있다.
정책은 아래와 같이 분류할 수 있다.
- 자격 증명 기반 정책 (Identity-based policies)
- AWS 관리형 정책
- 고객 관리형 정책
- 인라인 정책
- 리소스 기반 정책 (Resource-based policies)
자격 증명 기반 정책
IAM 사용자, 그룹, 역할에 연결되어, 자격 증명이 수행할 수 있는 작업을 지정할 수 있다.
AWS 관리형 정책
AWS에서 기본적으로 생성하고 관리한다. *FullAccess, *PowerUser, *[Read/Write]OnlyAccess 등의 일반 사용 사례에서 권한을 제공할 목적으로 설계되었다. 다른 자격 증명에서 사용할 수 있으며, 정책을 직접 작성하지 않아도 되지만 AWS 관리형 정책에 정의된 권한을 변경할 수는 없다.
고객 관리형 정책
사용자가 AWS 계정에서 관리하도록 생성한 독립적인 정책으로, AWS 계정에 속한 다수의 자격 증명에 연결할 수 있다.
인라인 정책
IAM 자걱 증명(사용자, 그룹, 역할)에 포함되는 정책으로, 정책과 자격 증명을 1 대 1 관계로 유지한다. 자격 증명을 생성할 때 정책을 생성하여 자격 증명에 추가할 수 있다.
리소스 기반 정책
리소스에 연결되어 리소스에 접근할 수 있는 대상과 해당 대상이 리소스에서 수행할 수 있는 작업을 지정할 수 있다. 인라인 정책이며, 해당 리소스에 액세스할 수 있는 IAM 자격 증명을 지정하는 Principal 요소를 포함한다.
참고 문서
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/access_policies_identity-vs-resource.html
https://dev.classmethod.jp/articles/what-is-aws-iam-policies-kr/