리소스 태그를 사용하여 EC2 리소스에 대한 액세스 제어 - Amazon Elastic Compute Cloud

리소스 태그를 사용하여 EC2 리소스에 대한 액세스 제어

IAM 사용자에게 EC2 리소스 사용 권한을 부여하는 IAM 정책을 생성할 때 정책의 Condition 요소에 태그 정보를 포함시키면 태그를 기반으로 액세스를 제어할 수 있습니다. 이를 속성 기반 액세스 제어(ABAC)라고 합니다. ABAC를 통해 사용자는 수정, 사용 또는 삭제할 수 있는 리소스를 더욱 정확하게 제어할 수 있습니다. 자세한 내용은 AWS용 ABAC란 무엇입니까? 단원을 참조하세요.

예를 들어 사용자가 인스턴스를 종료할 수 있도록 허용하지만 인스턴스에 environment=production 태그가 있는 경우 작업을 거부하는 정책을 만들 수 있습니다. 이렇게 하려면 aws:ResourceTag 조건 키를 사용하여 리소스에 연결된 태그를 기반으로 리소스에 대한 액세스를 허용하거나 거부합니다.

"StringEquals": { "aws:ResourceTag/environment": "production" }

Amazon EC2 API 작업에서 aws:ResourceTag 조건 키를 사용한 액세스 제어를 지원하는지 알아보려면 Amazon EC2에 사용되는 작업, 리소스 및 조건 키를 참조하세요. Describe 작업은 리소스 수준 권한을 지원하지 않기 때문에 조건 없이 별도의 명령문에 지정해야 합니다.

예제 IAM 정책은 AWS CLI 또는 AWS SDK 작업을 위한 정책 예제 섹션을 참조하세요.

태그를 기준으로 리소스에 대한 사용자 액세스를 허용 또는 거부하는 경우 동일한 리소스에서 태그를 추가 또는 제거할 수 있도록 사용자를 명시적으로 거부할 것을 고려해야 합니다. 그렇지 않으면 사용자가 제한을 피해 태그를 수정하여 리소스에 대한 액세스 권한을 얻을 수 있습니다.