게시된 날짜: Mar 6, 2023
이제 보안 인증 정보 제어 속성을 사용하여 EC2에 대한 IAM 역할의 사용을 더욱 쉽게 제한할 수 있습니다.
EC2용 IAM 역할을 사용하면 보안 인증 정보를 직접 관리할 필요 없이 애플리케이션이 안전하게 API 요청을 할 수 있습니다. 임시 및 순환 IAM 보안 인증 정보는 해당 역할에 대해 정의한 권한으로 인스턴스의 메타데이터 서비스에 자동으로 프로비저닝됩니다. 애플리케이션은 일반적으로 AWS SDK 또는 CLI를 통해 이러한 임시 보안 인증 정보를 검색하고 사용합니다.
이전에는 이러한 보안 인증 정보를 사용할 수 있는 네트워크 위치를 제한하려면 역할 정책 또는 VPC 엔드포인트 정책에 역할의 VPC ID 및/또는 IP 주소를 하드 코딩해야 했습니다. 이를 위해서는 관리 오버헤드가 필요했고 서로 다른 역할, VPC 등에 따라 잠재적으로 다양한 정책이 필요했습니다.
이제 각 역할 보안 인증 정보에는 AWS 글로벌 조건 키라는 두 개의 새로운 속성이 추가되어 해당 보안 인증 정보가 처음 발급된 인스턴스에 대한 정보가 제공됩니다. VPC ID, 인스턴스의 기본 프라이빗 IP 주소 등과 같은 속성을 IAM 정책, 서비스 제어 정책(SCP), VPC 엔드포인트 정책 또는 리소스 정책에서 사용하여 보안 인증 정보가 생성된 네트워크 위치와 보안 인증 정보가 사용된 위치를 비교할 수 있습니다. 광범위하게 적용되는 정책을 활용하여 이제 역할 보안 인증 정보가 생성된 위치로만 역할 보안 인증 정보의 사용을 제한할 수 있습니다. 이러한 정책의 예는 이 블로그 게시물에 설명되어 있습니다. 다른 IAM 주체와 마찬가지로 IAM 역할을 생성할 때는 애플리케이션에 필요한 특정 API 호출로만 액세스를 제한하는 최소 권한 IAM 정책을 사용하세요.
이제 이러한 속성은 AWS GovCloud(미국) 리전을 비롯하여 모든 AWS 리전에서 사용할 수 있습니다. 이 기능을 사용하는 데 따른 추가 비용은 없습니다. EC2용 IAM에 대한 자세한 내용은 사용 설명서를 참조하세요. Amazon EC2의 작업, 리소스 및 조건 키에 대한 자세한 내용은 서비스 인증 참조 가이드를 살펴보세요.