IAM 자격 증명 기반 정책을 사용하여 특정 IAM 역할 세션에 대한 액세스를 제한하려면 어떻게 해야 합니까?
자격 증명 기반 정책을 사용하여 특정 AWS Identity and Access Management(IAM) 역할 세션에 권한을 부여하고 싶습니다.
해결 방법
AWS 글로벌 조건 컨텍스트 키 aws:userid를 사용하여 특정 IAM 역할 세션에 대한 액세스를 허용하는 IAM 정책을 생성합니다.
참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생할 경우 최신 AWS CLI 버전을 사용하고 있는지 확인하세요.
aws:userid 글로벌 조건 키는 요청을 수행하는 보안 주체의 고유 ID가 IAM 정책에 지정된 고유 ID와 일치하는지 확인합니다.
예를 들어, 특정 IAM 역할 세션이 AWS 계정에서 특정 Amazon Elastic Compute Cloud(Amazon EC2) 작업만 수행하도록 허용하려는 경우가 있습니다. 다음과 같이 IAM 정책을 생성합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowASpecificRoleSession", "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances", "ec2:RebootInstances", "ec2:TerminateInstances" ], "Resource": "*", "Condition": { "StringEquals": { "aws:userid": "AROAXXXXXXXXXXXXXXXXX:<role-session-name>" } } } ] }
이 IAM 정책은 aws:userid 글로벌 조건 키에서 Amazon EC2 인스턴스에 IAM 역할 세션에 대한 액세스 권한을 부여합니다. 다른 역할 세션은 Amazon EC2 작업을 수행할 수 없습니다.
IAM 역할의 역할 ID를 가져오려면 다음 AWS CLI 명령을 실행합니다.
$ aws iam get-role --role-name <rolename>
그러면 다음과 유사한 출력이 나타납니다.
{ "Role": { "Description": "Test Role", "AssumeRolePolicyDocument":"<URL-encoded-JSON>", "MaxSessionDuration": 3600, "RoleId": "AROA1234567890EXAMPLE", "CreateDate": "2019-11-13T16:45:56Z", "RoleName": "Test-Role", "Path": "/", "RoleLastUsed": { "Region": "us-east-1", "LastUsedDate": "2019-11-13T17:14:00Z" }, "Arn": "arn:aws:iam::123456789012:role/Test-Role" } }
출력에서 RoleID 문자열이 있는지 확인합니다. 역할 ID는 자격 증명 기반 정책에서 IAM 역할 세션에 대한 Amazon EC2 인스턴스 액세스 범위를 지정하는 데 사용됩니다.
참고: aws:userid 글로벌 조건 키는 자격 증명 기반 정책, 리소스 기반 정책, 권한 경계 정책 등 모든 유형의 IAM 정책에 사용할 수 있습니다. aws:userid 글로벌 조건 키의 값은 요청을 시작하는 보안 주체의 유형에 따라 다릅니다. 여러 유형의 보안 주체에 대한 값을 결정하려면 모든 요청에서 사용할 수 있는 정보를 참조하세요.
관련 정보
특정 Amazon EC2 리소스에 대한 IAM 사용자의 액세스를 제한할 수 있습니까?
IAM 정책 태그를 사용하여 EC2 인스턴스 또는 EBS 볼륨의 생성 방식을 제한하려면 어떻게 해야 합니까?
관련 콘텐츠
- 질문됨 2달 전
- AWS 공식업데이트됨 2년 전
- AWS 공식업데이트됨 3년 전
