728x90
반응형
그룹과 정책 연결 예시
- 개발자 그룹: A, B, C로 구성. 그룹 레벨에서 정책을 연결하면 모든 구성원에게 적용됨.
- 운영자 그룹: D, E로 구성. 개발자 그룹과 다른 정책을 적용받음.
- 감사팀: C와 D가 속한 감사팀에도 정책을 연결할 수 있음. C는 개발자와 감사팀의 정책을, D는 운영팀과 감사팀의 정책을 적용받음.
인라인 정책
- 특정 사용자에게만 적용되는 정책.
- 사용자가 그룹에 속해 있든 아니든 원하는 사용자에게 인라인 정책을 적용 가능.
IAM 정책 구조
- Version: 정책 언어 버전 (보통 "2012-10-17").
- ID: 정책을 식별하는 선택적 ID.
- Statement: 정책의 주요 구성 요소로, 하나 이상 포함.
- Sid: 문장의 식별자 (선택 사항).
- Effect: 특정 API 접근을 허용(Allow)할지 거부(Deny)할지 결정.
- Principal: 정책이 적용될 사용자, 계정, 역할.
- Action: 허용되거나 거부되는 API 호출 목록.
- Resource: 적용될 액션의 리소스 목록.
- Condition: 정책이 언제 적용될지를 결정하는 조건 (선택 사항).
정책 예시
- JSON 문서로 작성되며, 다양한 요소가 포함됨.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/A"
},
"Action": [
"ec2:DescribeInstances",
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": "192.168.0.1/32"
}
}
},
{
"Sid": "2",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/B"
},
"Action": [
"cloudwatch:PutMetricData",
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}
결론
Effect, Principal, Action, Resource에 대해 확실히 이해해야 함.
IAM 정책의 각 구성 요소와 정책 생성 방법을 이해하면, 보다 효과적으로 AWS 리소스에 대한 접근을 관리할 수 있다.
728x90
'AWS > SAA' 카테고리의 다른 글
[AWS/IAM] MFA 개요 (0) | 2024.05.20 |
---|---|
[AWS/IAM] IAM 정책 실습 (0) | 2024.05.20 |
[AWS/IAM] 사용자 및 그룹 실습 (0) | 2024.05.20 |
[AWS/IAM] AWS IAM(Identity and Access Management) 소개 (0) | 2024.05.20 |
[AWS] AWS 클라우드 개요 (0) | 2024.05.20 |