리소스 태그를 사용하여 Amazon ECS 리소스에 대한 액세스 제어

사용자에게 Amazon ECS 리소스를 사용할 수 있는 권한을 부여하는 IAM 정책을 생성할 때 정책의 Condition 요소에 태그 정보를 포함하면 태그를 기반으로 액세스를 제어할 수 있습니다. 이를 속성 기반 액세스 제어(ABAC)라고 합니다. ABAC를 통해 사용자는 수정, 사용 또는 삭제할 수 있는 리소스를 더욱 정확하게 제어할 수 있습니다. 자세한 내용은 AWS용 ABAC란 무엇입니까? 단원을 참조하세요.

예를 들어 사용자가 클러스터를 삭제할 수 있도록 허용하지만 클러스터에 environment=production 태그가 있는 경우 작업을 거부하는 정책을 생성할 수 있습니다. 이렇게 하려면 aws:ResourceTag 조건 키를 사용하여 리소스에 연결된 태그를 기반으로 리소스에 대한 액세스를 허용하거나 거부합니다.

"StringEquals": { "aws:ResourceTag/environment": "production" }

Amazon ECS API 작업에서 aws:ResourceTag 조건 키를 사용한 액세스 제어를 지원하는지 알아보려면 Amazon Elastic Container Service에 사용되는 작업, 리소스 및 조건 키를 참조하세요. Describe 작업은 리소스 수준 권한을 지원하지 않기 때문에 조건 없이 별도의 명령문에 지정해야 합니다.

예제 IAM 정책은 Amazon ECS 예제 정책 섹션을 참조하세요.

태그를 기준으로 리소스에 대한 사용자 액세스를 허용 또는 거부하는 경우 동일한 리소스에서 태그를 추가 또는 제거할 수 있도록 사용자를 명시적으로 거부할 것을 고려해야 합니다. 그렇지 않으면 사용자가 제한을 피해 태그를 수정하여 리소스에 대한 액세스 권한을 얻을 수 있습니다.