IAM Policy에 관한 2가지 질문

0

안녕하세요.

IAM Policy 관련해서 궁금한 사항이 있습니다.

질문 1. 보안규정 준수를 위해 특정 사용자가 특정 리소스를 생성하려고 할 때 태그를 부여하지 않으면 거부되는 규칙을 작성하고 싶습니다. 몇몇 리소스는 의도한 대로 동작되는 것을 확인하였지만, 시큐리티 그룹 생성시엔 무조건 거부로 동작이 됩니다.

사용된 IAM Policy는 아래와 같습니다.

 {
...
        "Sid" : "RestrictSecurtiyGroup",
        "Effect" : "Deny",
        "Action" : [
          "ec2:CreateSecurityGroup"
        ],
        "Resource" : [
          "arn:aws:ec2:*:*:vpc/*" #  ARN을 제외하고 애스터리스크(*)로 넣어도 동일합니다.
        ],
        "Condition" : {
          "ForAllValues:StringNotLike" : {
            "aws:Tagkeys" : [
              "Owner",
              "Description"
            ]
          }
        }
      },
...
}

질문 2. 몇몇 리소스는 IAM Policy에서 resource의 값을 *로 설정해도 잘 동작이 되는 반면 특정 리소스들은 Specific하게 ARN(arn:aws:ec2:*:*:instance/* 같은..)을 기입해야만 의도한 규칙대로 동작이 되는 것을 확인하였습니다. 이와 같은 동작의 차이가 발생되는 이유는 무엇인가요?

1 Answer
1
Accepted Answer

안녕하세요?

"질문 1" 에 대한 답변

작성하신 정책의 Resource 부분에 문제가 있는 것 같습니다. Security Group 의 통제를 위해서는 아래와 같이 리소스 부분을 수정하신 후 테스트해보세요.

"arn:aws:ec2:::vpc/" ==> "arn:aws:ec2:::security-group/"

"질문 2" 에 대한 답변

리소스를 Specific 하게 넣지 않고 "" 로 넣었다면 기본적으로 모든 자원을 대상으로하기 때문에 Action 수행에 영향을 주는 경우는 없을 것 같습니다. "" 을 사용하였을 때 문제가 되었던 정책을 공유해주시기 바랍니다.

감사합니다.

profile pictureAWS
answered a year ago
  • 빠른 답변 감사합니다! 덕분에 해결이 되었습니다.

You are not logged in. Log in to post an answer.

A good answer clearly answers the question and provides constructive feedback and encourages professional growth in the question asker.

Guidelines for Answering Questions