IAM Policy에 관한 2가지 질문

Question

안녕하세요.

IAM Policy 관련해서 궁금한 사항이 있습니다.

질문 1.
보안규정 준수를 위해 특정 사용자가 특정 리소스를 생성하려고 할 때 태그를 부여하지 않으면 거부되는 규칙을 작성하고 싶습니다.
몇몇 리소스는 의도한 대로 동작되는 것을 확인하였지만, 시큐리티 그룹 생성시엔 무조건 **거부**로 동작이 됩니다.

사용된 IAM Policy는 아래와 같습니다.
```
 {
...
        "Sid" : "RestrictSecurtiyGroup",
        "Effect" : "Deny",
        "Action" : [
          "ec2:CreateSecurityGroup"
        ],
        "Resource" : [
          "arn:aws:ec2:*:*:vpc/*" #  ARN을 제외하고 애스터리스크(*)로 넣어도 동일합니다.
        ],
        "Condition" : {
          "ForAllValues:StringNotLike" : {
            "aws:Tagkeys" : [
              "Owner",
              "Description"
            ]
          }
        }
      },
...
}
```

질문 2.
몇몇 리소스는 IAM Policy에서 resource의 값을 *로 설정해도 잘 동작이 되는 반면 특정 리소스들은 Specific하게 ARN(`arn:aws:ec2:*:*:instance/*` 같은..)을 기입해야만 의도한 규칙대로 동작이 되는 것을 확인하였습니다. 이와 같은 동작의 차이가 발생되는 이유는 무엇인가요?

Accepted Answer

안녕하세요?

**"질문 1" 에 대한 답변**

작성하신 정책의 Resource 부분에 문제가 있는 것 같습니다. Security Group 의 통제를 위해서는 아래와 같이 리소스 부분을 수정하신 후 테스트해보세요.

"arn:aws:ec2:*:*:vpc/*" ==> "arn:aws:ec2:*:*:security-group/*"

**"질문 2" 에 대한 답변**

리소스를 Specific 하게 넣지 않고 "*" 로 넣었다면 기본적으로 모든 자원을 대상으로하기 때문에 Action 수행에 영향을 주는 경우는 없을 것 같습니다. "*" 을 사용하였을 때 문제가 되었던 정책을 공유해주시기 바랍니다.

감사합니다.

IAM Policy에 관한 2가지 질문

관련 콘텐츠