AWS Policy 문법

• 버전 (Version) – 사용하고자 하는 정책 언어의 버전을 지정합니다. 가장 좋은 방법은 최신 2012-10-17 버전을 사용하는 것입니다.

• 설명문 (Statement) – 이 주요 정책 요소를 다음 요소의 컨테이너로 사용합니다. 정책에 설명문 하나 이상을 포함할 수 있습니다.

• Sid – 선택 설명문 ID를 포함하여 설명문들을 구분합니다.

• 효과 (Effect)– Allow 또는 Deny를 사용하여 정책에서 액세스를 허용하는지 또는 거부하는지 여부를 설명합니다.

• 보안 주체 (Principal) – 계정 사용자, 역할, 또는 연합된 사용자로 액세스를 허용할지 거부할지 나타냅니다. 사용자 또는 역할에 연결할 정책을 생성하면 이 요소를 포함할 수 없습니다. 보안 주체는 사용자 또는 역할을 의미합니다.

• 작업 (Action) – 정책이 허용하거나 거부하는 작업 목록을 포함합니다.
  각 리소스의 작업 목록은 각 API에서 확인해야함......
  https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/reference_policies_elements_action.html
  
  

• 리소스(Resource) – 작업이 적용되는 리소스 목록을 지정합니다.

• 조건(Condition) (선택 사항) – 정책에서 권한을 부여하는 상황을 지정합니다.

하나의 JSON Policy에 여러개의 statement가 포함될 수 있음, 이 경우 논리 or을 적용함.

"resource" : "*" 으로 되어있어도 action에 나열되어있는 작업에 대해서만 적용됨

자격 증명 기반 정책 : IAM 사용자, 역할 또는 그룹과 같은 보안 주체(또는 자격 증명)에 연결할 수 있는 권한 정책, 자격 증명이 수행할 수 있는 작업 ,대상 리소스 및 이에 관한 조건을 제어, 관리형 정책, 인라인 정책이있음

리소스 기반 정책 : Amazon S3 버킷과 같은 리소스에 연결하는 정책, 지정된 보안 주체가 해당 리소스에 대해 수행할 수 있는 작업 및 이에 관한 조건을 지정, 인라인 정책만 있음

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/access_policies.html

- DBR : Detailed Billing Report : 계정에 대한 리소스 및 태그 별 모든 활동을 매 시간 표시 한 것, 비용의 투명성을 제공, 

Amazon은 고객에게 네 가지 결제 보고서를 제공하며, 각 보고서는 결제 정보에 프로그래밍 방식으로 엑세스 할 수 있도록 설정 되어있음

  - 월간 보고서, 월별 비용 할당 보고서, 상세 청구 리포트, 리소스 및 태그가 포함된 세부 청구 보고서

=> 비용 측정위해서는 보고서에 실시간으로 액세스 할 수 있어야함