AWS IAM 관리형 정책 (Managed Policies)

AWS에서는 다양한 관리형 정책(Managed Policies)을 제공하여 IAM 사용자, 그룹, 역할에 손쉽게 권한을 부여할 수 있다. AWS 관리형 정책은 서비스와 관련된 여러 작업을 수행할 수 있는 권한을 미리 정의한 것이다. 여기에는 특정 서비스에 대해 읽기, 쓰기, 관리 등의 권한이 포함되어 있다.

 

아래는 AWS에서 자주 사용되는 관리형 정책들과 그 설명이다

1. AmazonS3FullAccess

• ARN: arn:aws:iam::aws:policy/AmazonS3FullAccess
• 설명: 이 정책은 사용자 또는 리소스에 S3 서비스 전체에 대한 읽기/쓰기 권한을 부여한다. 즉, S3 버킷을 생성하고 삭제할 수 있으며, 모든 객체에 대한 읽기 및 쓰기 작업을 수행할 수 있다.

2. AmazonS3ReadOnlyAccess

• ARN: arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
• 설명: S3 버킷 및 객체에 대한 읽기 전용 권한을 부한다. 사용자 또는 서비스는 S3 버킷을 조회하고 파일을 읽을 수 있지만, 파일을 수정하거나 삭제할 수는 없다.

3. AWSLambdaExecute

• ARN: arn:aws:iam::aws:policy/AWSLambdaExecute
• 설명: 이 정책은 Lambda 함수가 S3와 CloudWatch Logs에 접근할 수 있도록 읽기 및 쓰기 권한을 부여한다. 주로 Lambda 함수에서 로그를 기록하거나 S3에서 데이터를 읽고 쓰는 작업에 사용된다.

4. AWSLambdaFullAccess

• ARN: arn:aws:iam::aws:policy/AWSLambdaFullAccess
• 설명: Lambda와 관련된 모든 AWS 리소스에 대한 완전한 접근 권한을 부여한다. 이 정책을 통해 Lambda 함수 생성, 수정, 삭제뿐만 아니라 다른 서비스와의 연동도 가능하다.

5. AmazonEC2FullAccess

• ARN: arn:aws:iam::aws:policy/AmazonEC2FullAccess
• 설명: EC2 인스턴스에 대해 전체 관리 권한을 부여한다. EC2 인스턴스의 생성, 수정, 종료, 보안 그룹 및 키 페어 관리 등을 수행할 수 있다.

6. AmazonEC2ReadOnlyAccess

• ARN: arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess
• 설명: EC2 서비스에 대한 읽기 전용 접근 권한을 부여한다. 사용자는 EC2 인스턴스의 상태를 조회할 수 있지만, 인스턴스를 시작, 중지 또는 종료할 수 없다.

7. AmazonDynamoDBFullAccess

• ARN: arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess
• 설명: 이 정책은 DynamoDB 테이블에 대한 읽기 및 쓰기 작업을 포함한 전체 액세스 권한을 부여한다. 테이블 생성, 삭제, 수정, 데이터 읽기 및 쓰기 작업을 수행할 수 있다.

8. AmazonDynamoDBReadOnlyAccess

• ARN: arn:aws:iam::aws:policy/AmazonDynamoDBReadOnlyAccess
• 설명: DynamoDB 테이블에 대해 읽기 전용 권한을 부여한다. 데이터 조회는 가능하지만, 데이터 수정이나 테이블 변경은 할 수 없다.

9. AmazonRDSFullAccess

• ARN: arn:aws:iam::aws:policy/AmazonRDSFullAccess
• 설명: RDS(Relational Database Service)에 대한 완전한 관리 권한을 부여한다. RDS 인스턴스 생성, 삭제, 수정 및 백업 관리를 할 수 있다.

10. AmazonRDSReadOnlyAccess

• ARN: arn:aws:iam::aws:policy/AmazonRDSReadOnlyAccess
• 설명: RDS 인스턴스 및 데이터베이스에 대한 읽기 전용 권한을 부여한다. 인스턴스 상태를 조회하거나 데이터베이스 상태를 모니터링할 수 있지만, 인스턴스나 데이터베이스를 수정하거나 삭제할 수 없다.

11. CloudWatchFullAccess

• ARN: arn:aws:iam::aws:policy/CloudWatchFullAccess
• 설명: CloudWatch에 대한 전체 접근 권한을 부여한다. CloudWatch 로그와 지표를 관리하고, 알람을 설정하거나 모니터링 대시보드를 생성할 수 있다.

12. CloudWatchLogsFullAccess

• ARN: arn:aws:iam::aws:policy/CloudWatchLogsFullAccess
• 설명: CloudWatch Logs에 대한 전체 권한을 부여한다. 로그 그룹 생성, 로그 스트림 관리, 로그 이벤트 조회 등을 할 수 있다.

13. AmazonSQSFullAccess

• ARN: arn:aws:iam::aws:policy/AmazonSQSFullAccess
• 설명: SQS(Simple Queue Service)에 대한 완전한 권한을 부여한다. 큐 생성, 메시지 전송 및 삭제, 메시지 수신 작업을 할 수 있다.

14. AmazonSNSFullAccess

• ARN: arn:aws:iam::aws:policy/AmazonSNSFullAccess
• 설명: SNS(Simple Notification Service)에 대한 전체 권한을 부여한다. 주제를 생성하고 알림을 게시하며, 구독 관리를 할 수 있다.

15. AmazonVPCFullAccess

• ARN: arn:aws:iam::aws:policy/AmazonVPCFullAccess
• 설명: VPC 및 관련 네트워킹 리소스에 대한 전체 권한을 부여한다. VPC 생성, 삭제, 서브넷 및 라우팅 테이블 관리 등을 수행할 수 있다.

16. AmazonSageMakerFullAccess

• ARN: arn:aws:iam::aws:policy/AmazonSageMakerFullAccess
• 설명: SageMaker에서 머신 러닝 작업에 대한 전체 권한을 부여한다. 모델 훈련, 배포, 노트북 생성 등을 관리할 수 있다.

17. AWSCloudFormationFullAccess

• ARN: arn:aws:iam::aws:policy/AWSCloudFormationFullAccess
• 설명: CloudFormation 스택에 대한 전체 권한을 부여한다. 스택 생성, 삭제, 업데이트를 포함한 모든 작업을 수행할 수 있다.

18. AWSCodePipelineFullAccess

• ARN: arn:aws:iam::aws:policy/AWSCodePipelineFullAccess
• 설명: CodePipeline에 대한 전체 접근 권한을 부여한다. 파이프라인 생성 및 관리, 파이프라인 실행 트리거 등을 할 수 있다.

19. AWSElasticBeanstalkFullAccess

• ARN: arn:aws:iam::aws:policy/AWSElasticBeanstalkFullAccess
• 설명: Elastic Beanstalk 애플리케이션 및 환경에 대한 전체 권한을 부여한다. 애플리케이션 배포, 환경 설정 및 리소스 관리가 가능하다.

20. AmazonAthenaFullAccess

• ARN: arn:aws:iam::aws:policy/AmazonAthenaFullAccess
• 설명: Athena에 대한 전체 권한을 부여한다. 쿼리 실행, 데이터베이스 생성 및 관리 등을 할 수 있다.

기타 많이 사용되는 관리형 정책

• AdministratorAccess (arn:aws:iam::aws:policy/AdministratorAccess): 모든 AWS 서비스에 대한 관리자 권한을 부여한다. 모든 리소스를 생성하고 관리할 수 있다.
• PowerUserAccess (arn:aws:iam::aws:policy/PowerUserAccess): 관리자 권한과 유사하나 IAM 관련 작업은 불가능하다.
• ReadOnlyAccess (arn:aws:iam::aws:policy/ReadOnlyAccess): 모든 AWS 리소스에 대한 읽기 전용 권한을 부여한다.

정책 목록을 확인하는 방법

AWS 콘솔 또는 AWS CLI를 사용하여 모든 관리형 정책 목록을 확인할 수 있다.

• 콘솔: IAM 서비스의 "정책" 섹션에서 모든 정책을 탐색할 수 있다.
• AWS CLI

aws iam list-policies --query 'Policies[?PolicyType==`Managed`].{PolicyName:PolicyName, Arn:Arn}'

 

요약

AWS는 다양한 관리형 정책을 제공하여 사용자, 그룹, 역할에 적절한 권한을 쉽게 할당할 수 있다. 이러한 정책은 서비스별로 구분되며, 전체 액세스, 읽기 전용 액세스, 특정 기능 액세스 등으로 나누어진다. 각 정책의 권한은 AWS 서비스에서 허용하는 작업을 정의하며, 서비스 간의 상호작용 시 역할에 연결되어 리소스 접근을 관리한다.