IAM User 리전별 제어 설정 방법 (IAM Permission boundary)
2023. 10. 18. 18:06ㆍAWS/AWS Identity and Access Management
728x90
SMALL
- 개요
https://happyengine.tistory.com/174에서 다룬 내용을 응용해서 IAM User를 리전별로 제어하는 방법은 여러 가지가 있지만, 간단히 하는 방법은 IAM permission boundary를 설정하는 방법이다.
- policy
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudfront:*",
"route53:*",
"iam:*",
"support:*",
"access-analyzer:*",
"route53domains:*",
"sso:*",
"sso-directory:*",
"rolesanywhere:*",
"rds-db:*",
"elemental-support-cases:*",
"elemental-support-content:*",
"supportapp:*",
"supportplans:*",
"ce:*",
"cur:*",
"billing:*",
"billingconductor:*",
"aws-portal:*",
"consolidatedbilling:*",
"s3:*",
"s3-object-lambda:*",
"s3-outposts:*",
"budgets:*",
"organizations:*",
"globalaccelerator:*",
"directconnect:*",
"fms:*",
"waf:*",
"waf-regional:*",
"wafv2:*",
"shield:*",
"arc-zonal-shift:*",
"route53-recovery-cluster:*",
"route53-recovery-control-config:*",
"route53-recovery-readiness:*",
"route53resolver:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"us-east-1"
]
}
}
},
{
"Effect": "Allow",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"ap-northeast-2"
]
}
}
}
]
}
- 설정 방법
IAM User 에서 제어하고 싶은 User 선택
>> Permissions
>>> Permission boundary, Set permission boundary
>>>> Permissions policies에서 위에 생성한 policy 선택
>>>>> Set boundary
- 비고
https://happyengine.tistory.com/174 의 예시의 policy를 적용하면 ap-northeast-1 리전 아닌 리전에서는 아무런 작업도 확인도 불가능해진다.
- 참고
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/access_policies_boundaries.html
https://happyengine.tistory.com/174
728x90
LIST
'AWS > AWS Identity and Access Management' 카테고리의 다른 글
| Region Based IAM Policy example (0) | 2023.10.18 |
|---|---|
| Root User로만 할 수 있는 작업 (0) | 2023.10.12 |
| AWS root password 분실 시 대처 (0) | 2023.09.15 |
| IAM policy for cloudfront invalidation (0) | 2022.07.22 |
| IAM Granting access to your billing page (0) | 2022.07.21 |