arn: amazon resource name으로 다음의 구성을 가진다. arn:partition:service:region:account:resource
-partition: region을 나타낸다. 표준 aws의 경우 aws라고 적으며 특별한 region 선택시 따로 명명하면 된다 (ex: aws: 평균의 aws region, aws-cn: aws china region) -service: aws의 서비스 이름으로 iam, sts등을 선언한다. -region: 리소스가 상주하는 지역으로 나타내며 iam인 경우에는 공백) -account: aws계정 번호로 하이픈은 제외한 ID를 적습니다 -resource: 특별한 리소스를 식별하기 위해 적습니다
좀더 자세한 예시는 아래를 보며 이해할수있습니다
계정의 IAM 사용자: arn:aws:iam::123456789012:user/JohnDoe
조직 차트를 반영하는 경로를 갖는 다른 사용자: arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/JaneDoe
IAM 그룹: arn:aws:iam::123456789012:group/Developers
경로를 포함하는 IAM 그룹: arn:aws:iam::123456789012:group/division_abc/subdivision_xyz/product_A/Developers
IAM 역할: arn:aws:iam::123456789012:role/S3Access
서비스 연결 역할: arn:aws:iam::123456789012:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer
서비스 역할: arn:aws:iam::123456789012:role/service-role/QuickSightAction
사용자 이름 Jorge에 할당된 멀티 팩터 인증 디바이스 :arn:aws:iam::123456789012:mfa/Jorge
서버 인증서: arn:aws:iam::123456789012:server-certificate/ProdServerCert
조직 차트를 반영하는 경로를 갖는 서버 인증서: arn:aws:iam::123456789012:server-certificate/division_abc/subdivision_xyz/ProdServerCert
자격 증명 공급자(SAML 및 OIDC): arn:aws:iam::123456789012:saml-provider/ADFSProvider arn:aws:iam::123456789012:oidc-provider/GoogleProvider
AWS 계정 - 계정 자체: arn:aws:iam::123456789012:root
ARN의리소스부분에 와일드카드를 사용하여 여러 사용자, 그룹 또는 정책을 지정할 수 있습니다. 예를 들어, product_1234를 작업하는 모든 사용자를 지정하려면 다음을 사용합니다. arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/product_1234/*
이름이app_문자열로 시작하는 사용자가 여럿 있다고 가정해 봅시다. 다음과 같은 ARN을 사용하여 이들 모두를 언급할 수 있습니다. arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/product_1234/app_*
AWS 계정의 모든 사용자, 그룹 또는 정책을 지정하려면, ARN의user/,group/또는policy부분 다음에 각각 와일드카드를 사용합니다. arn:aws:iam::123456789012:user/* arn:aws:iam::123456789012:group/* arn:aws:iam::123456789012:policy/*
ARN의user/,group/또는policy부분에 와일드카드를 사용하지 마십시오. 예를 들어 다음은 허용되지 않습니다. arn:aws:iam::123456789012:u*
