본문 바로가기
AWS/SAA

[AWS/IAM] IAM 정책

by jonnwon 2024. 5. 20.
728x90
반응형

그룹과 정책 연결 예시

  • 개발자 그룹: A, B, C로 구성. 그룹 레벨에서 정책을 연결하면 모든 구성원에게 적용됨.
  • 운영자 그룹: D, E로 구성. 개발자 그룹과 다른 정책을 적용받음.
  • 감사팀: C와 D가 속한 감사팀에도 정책을 연결할 수 있음. C는 개발자와 감사팀의 정책을, D는 운영팀과 감사팀의 정책을 적용받음.

인라인 정책

  • 특정 사용자에게만 적용되는 정책.
  • 사용자가 그룹에 속해 있든 아니든 원하는 사용자에게 인라인 정책을 적용 가능.

IAM 정책 구조

  • Version: 정책 언어 버전 (보통 "2012-10-17").
  • ID: 정책을 식별하는 선택적 ID.
  • Statement: 정책의 주요 구성 요소로, 하나 이상 포함.
    • Sid: 문장의 식별자 (선택 사항).
    • Effect: 특정 API 접근을 허용(Allow)할지 거부(Deny)할지 결정.
    • Principal: 정책이 적용될 사용자, 계정, 역할.
    • Action: 허용되거나 거부되는 API 호출 목록.
    • Resource: 적용될 액션의 리소스 목록.
    • Condition: 정책이 언제 적용될지를 결정하는 조건 (선택 사항).

정책 예시

  • JSON 문서로 작성되며, 다양한 요소가 포함됨.
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "1",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/A"
      },
      "Action": [
        "ec2:DescribeInstances",
        "ec2:StartInstances",
        "ec2:StopInstances"
      ],
      "Resource": "*",
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": "192.168.0.1/32"
        }
      }
    },
    {
      "Sid": "2",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/B"
      },
      "Action": [
        "cloudwatch:PutMetricData",
        "cloudwatch:GetMetricData"
      ],
      "Resource": "*"
    }
  ]
}

결론

Effect, Principal, Action, Resource에 대해 확실히 이해해야 함.
IAM 정책의 각 구성 요소와 정책 생성 방법을 이해하면, 보다 효과적으로 AWS 리소스에 대한 접근을 관리할 수 있다.

728x90

'AWS > SAA' 카테고리의 다른 글

[AWS/IAM] MFA 개요  (0) 2024.05.20
[AWS/IAM] IAM 정책 실습  (0) 2024.05.20
[AWS/IAM] 사용자 및 그룹 실습  (0) 2024.05.20
[AWS/IAM] AWS IAM(Identity and Access Management) 소개  (0) 2024.05.20
[AWS] AWS 클라우드 개요  (0) 2024.05.20