태그를 사용하여 Amazon EC2 인스턴스 5~10개로 구성된 그룹에 대한 액세스를 제어할 IAM 정책을 만들려면 어떻게 해야 합니까?

다음을 수행하여 소규모 EC2 인스턴스 배포(한 번에 인스턴스 5~10개)에 대한 액세스를 제어할 수 있습니다.

  1. 사용자 또는 그룹에 액세스 권한을 부여하려는 인스턴스에 특정 태그를 추가합니다.
  2. 특정 태그가 있는 인스턴스에 대한 액세스를 허용하는 IAM 정책을 만듭니다.
  3. 인스턴스에 액세스할 수 있게 할 사용자 또는 그룹에 IAM 정책을 연결합니다.

EC2 인스턴스 그룹에 태그 추가

Amazon EC2 콘솔을 열고 사용자 또는 그룹이 액세스할 수 있게 할 EC2 인스턴스 그룹에 태그를 추가합니다. 태그가 아직 없는 경우 새 태그를 만듭니다.

참고: 리소스에 태그를 지정하기 전에 태그 제한을 읽고 이해해야 합니다. EC2 태그는 대/소문자를 구분합니다.

특정 태그가 있는 인스턴스에 대한 액세스를 허용하는 IAM 정책 만들기

다음을 수행하는 IAM 정책을 만듭니다.

  • 태그가 있는 인스턴스에 대한 제어를 허용합니다.
  • ec2:ResourceTag/UserName 태그 값과 aws:username 정책 변수 값을 일치시켜 EC2 리소스에 대한 액세스를 허용하는 조건문을 포함합니다.
  • EC2 리소스의 ec2:Describe* 작업에 대한 액세스를 허용합니다.
  • 사용자가 태그를 만들거나 삭제하지 못하도록 ec2:CreateTagsec2:DeleteTags 작업에 대한 액세스를 명시적으로 거부합니다.
    참고: 그러면 사용자가 EC2 인스턴스에 특정 태그를 추가하여 제어할 수 없게 됩니다.

예를 들어 완료된 정책은 다음과 같습니다.

{
    "Version" : "2012-10-17",
        "Statement" :
    [
        {
            "Effect" : "Allow",
            "Action" : "ec2:*",
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "ec2:ResourceTag/UserName" : "${aws:username}"
                }
            }
        },
        {
            "Effect" : "Allow",
            "Action" : "ec2:Describe*",
            "Resource" : "*"
        },
        {
            "Effect" : "Deny",
            "Action" :
                [
                 "ec2:CreateTags",
                 "ec2:DeleteTags"
                ],
            "Resource" : "*"
        }        
    ]                                        
}

인스턴스에 액세스할 수 있게 할 사용자 또는 그룹에 IAM 정책 연결

마지막으로 인스턴스에 액세스할 수 있게 할 사용자 또는 그룹에 생성한 IAM 정책을 연결합니다. AWS Management Console, AWS CLI 또는 AWS API를 사용하여 IAM 정책을 연결할 수 있습니다.


페이지 내용이 도움이 되었습니까? | 아니요

AWS 지원 지식 센터로 돌아가기

도움이 필요하십니까? AWS 지원 센터를 방문하십시오.

게시된 날짜: 2015년 10월 12일

업데이트된 날짜: 2018년 7월 19일