태그로 Amazon EC2 리소스에 액세스하는 것을 제어하는 IAM 정책을 생성하려면 어떻게 해야 하나요?

2분 분량
0

태그로 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 액세스하는 것을 제어하는 AWS Identity and Access Management(IAM) 정책을 생성하려고 합니다.

간략한 설명

Amazon EC2 인스턴스의 소규모 배포에 액세스하는 것을 제어하려면 다음을 따르세요.

  1. 사용자나 그룹에 액세스 권한을 부여하려는 인스턴스에 특정 태그를 추가합니다.
  2. 특정 태그가 있는 인스턴스 모두에 액세스 권한을 부여하는 IAM 정책을 생성합니다.
  3. 인스턴스에 액세스가 필요한 사용자나 그룹에 IAM 정책을 연결합니다.

해결 방법

EC2 인스턴스 그룹에 태그 추가

Amazon EC2 콘솔을 엽니다. 그 후 사용자나 그룹이 액세스할 수 있게 하려는 EC2 인스턴스 그룹에 태그를 추가합니다. 아직 태그가 없으면 새 태그를 생성하세요.
참고: 리소스에 태그를 지정하기 전에 먼저 태그 제한 사항을 읽고 이해해야 합니다. Amazon EC2 태그는 대소문자를 구분합니다.

특정 태그가 있는 인스턴스에 액세스 권한을 부여하는 IAM 정책 생성

다음을 실행하는 IAM 정책을 생성합니다.

  • 태그가 있는 인스턴스 제어를 허용합니다.
  • 조건 키 ec2:ResourceTag/UserName의 값이 정책 변수 aws:username과 일치하는 경우 Amazon EC2 리소스에 액세스할 수 있게 허용하는 조건문이 포함되어 있습니다. IAM에서 정책을 평가할 때는 정책 변수 **${aws:username}**이 현재 IAM 사용자의 대화명으로 대체됩니다.
  • Amazon EC2 리소스의 ec2:Describe* 작업에 액세스를 허용합니다.
  • 사용자가 태그를 생성하거나 삭제하지 못하도록 ec2:CreateTagsec2:DeleteTags 작업 액세스를 명시적으로 거부합니다. 이렇게 하면 특정 태그를 추가하여 사용자가 EC2 인스턴스를 제어하지 못하게 할 수 있습니다.

정책이 완성되면 다음과 유사한 출력이 나타납니다.

참고: 이 정책은 ec2:ResourceTag 조건 키를 사용하는 Amazon EC2 인스턴스에 적용됩니다. 태그를 사용해 새 Amazon EC2 인스턴스를 시작하는 것을 제한하려면 IAM 정책 태그를 사용하여 EC2 인스턴스나 EBS 볼륨 생성 방법을 제한하려면 어떻게 해야 하나요?를 참고하세요.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/UserName": "${aws:username}"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "ec2:Describe*",
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "ec2:CreateTags",
        "ec2:DeleteTags"
      ],
      "Resource": "*"
    }
  ]
}

참고: IAM Identity Center 권한 집합이나 페더레이션 사용자와 같은 IAM 사용자가 아닌 보안 주체의 경우, aws:username 대신 aws:userid 변수를 사용하세요. aws:userid 변수에는 account:caller-specified-name이 있습니다. 자세한 내용은 IAM JSON 정책 요소: 변수 및 태그페더레이션 사용자와 함께 IAM 정책 변수를 사용하려면 어떻게 해야 하나요?를 참고하세요.

인스턴스에 액세스가 필요한 사용자나 그룹에 IAM 정책을 연결합니다.

인스턴스에 액세스가 필요한 사용자나 그룹에 IAM 정책을 연결합니다. AWS Management Console, AWS CLI, 또는 AWS API를 사용해 IAM 정책을 연결할 수 있습니다.

관련 정보

Amazon EC2 리소스에 필요한 권한 부여

Amazon EC2의 IAM 정책

IAM 자습서: 태그를 기반으로 AWS 리소스에 액세스할 수 있는 권한 정의

댓글 없음

관련 콘텐츠