Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

IAM Policy에 관한 2가지 질문

0

안녕하세요.

IAM Policy 관련해서 궁금한 사항이 있습니다.

질문 1. 보안규정 준수를 위해 특정 사용자가 특정 리소스를 생성하려고 할 때 태그를 부여하지 않으면 거부되는 규칙을 작성하고 싶습니다. 몇몇 리소스는 의도한 대로 동작되는 것을 확인하였지만, 시큐리티 그룹 생성시엔 무조건 거부로 동작이 됩니다.

사용된 IAM Policy는 아래와 같습니다.

 {
...
        "Sid" : "RestrictSecurtiyGroup",
        "Effect" : "Deny",
        "Action" : [
          "ec2:CreateSecurityGroup"
        ],
        "Resource" : [
          "arn:aws:ec2:*:*:vpc/*" #  ARN을 제외하고 애스터리스크(*)로 넣어도 동일합니다.
        ],
        "Condition" : {
          "ForAllValues:StringNotLike" : {
            "aws:Tagkeys" : [
              "Owner",
              "Description"
            ]
          }
        }
      },
...
}

질문 2. 몇몇 리소스는 IAM Policy에서 resource의 값을 *로 설정해도 잘 동작이 되는 반면 특정 리소스들은 Specific하게 ARN(arn:aws:ec2:*:*:instance/* 같은..)을 기입해야만 의도한 규칙대로 동작이 되는 것을 확인하였습니다. 이와 같은 동작의 차이가 발생되는 이유는 무엇인가요?

Themen
Sicherheit, Identität & KonformitätVernetzung & Bereitstellung von Inhalten
Tags
IAM-RichtlinienSicherheitsgruppe
Sprache
한국어
rePost-User-9823275
gefragt vor einem Jahr254 Aufrufe
1 Antwort
1
Akzeptierte Antwort

안녕하세요?

"질문 1" 에 대한 답변

작성하신 정책의 Resource 부분에 문제가 있는 것 같습니다. Security Group 의 통제를 위해서는 아래와 같이 리소스 부분을 수정하신 후 테스트해보세요.

"arn:aws:ec2:::vpc/" ==> "arn:aws:ec2:::security-group/"

"질문 2" 에 대한 답변

리소스를 Specific 하게 넣지 않고 "" 로 넣었다면 기본적으로 모든 자원을 대상으로하기 때문에 Action 수행에 영향을 주는 경우는 없을 것 같습니다. "" 을 사용하였을 때 문제가 되었던 정책을 공유해주시기 바랍니다.

감사합니다.

profile pictureAWS
Eunsu_Shin
beantwortet vor einem Jahr
  • rePost-User-9823275
    vor einem Jahr

    빠른 답변 감사합니다! 덕분에 해결이 되었습니다.

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt