AWS JSON 정책 요소: Principal - AWS Identity and Access Management

AWS JSON 정책 요소: Principal

정책의 Principal 요소를 사용하여 리소스에 대한 액세스가 허용되거나 거부되는 보안 주체를 지정합니다. IAM 자격 증명 기반 정책에서는 Principal 요소를 사용할 수 없습니다. IAM 역할을 위한 신뢰 정책 및 리소스 기반 정책에서는 사용할 수 있습니다. 리소스 기반 정책은 IAM 리소스에 직접 삽입할 수 있는 정책입니다. 예를 들어, Amazon S3 버킷 또는 AWS KMS 고객 마스터 키(CMK)에 정책을 삽입할 수 있습니다.

정책에서 다음 보안 주체를 지정할 수 있습니다.

  • AWS 계정 및 루트 사용자

  • IAM 사용자

  • 연동 사용자(웹 자격 증명 또는 SAML 연동 사용)

  • IAM 역할

  • 위임된 역할 세션

  • AWS 서비스

  • 익명 사용자(권장하지 않음)

Principal 요소의 사용 방법은 아래와 같습니다.

  • IAM 역할의 신뢰 정책에서 Principal 요소를 사용하여 역할을 위임할 사용자를 지정합니다. 교차 계정 액세스인 경우에는 신뢰할 수 있는 계정의 12자리 식별자를 지정합니다. 해당 신뢰 영역(신뢰할 수 있는 조직 또는 계정) 외의 계정 내 보안 주체가 역할을 수임하는 권한이 있는지 자세히 알고 싶다면, IAM Access Analyzer란 무엇일까요? 단원을 참조하십시오.

    참고

    역할을 생성한 이후 계정을 "*"로 변경하여 모두가 이 역할을 수임하도록 할 수 있습니다. 이렇게 하는 경우 다른 방법(예: 특정 IP 주소로만 액세스를 제한하는 Condition 요소)을 통해 역할에 액세스할 수 있는 사용자를 제한하는 것이 좋습니다. 역할을 모두 액세스할 수 있는 상태로 두지 마십시오.

  • 리소스 기반 정책에서는 Principal 요소를 사용해 리소스 액세스가 허용된 계정 또는 사용자를 지정합니다.

IAM 사용자 및 그룹에 연결한 정책에서는 Principal 요소를 사용하지 마십시오. 마찬가지로 IAM 역할의 권한 정책에서도 보안 주체를 지정해서는 안 됩니다. 이 경우 보안 주체는 묵시적으로 정책이 연결되어 있는 사용자(IAM 사용자) 또는 역할을 위임하는 사용자(역할 액세스 정책)가 됩니다. 그리고, 정책이 IAM 그룹에 연결되면 해당 그룹 내에서 요청하는 IAM 사용자가 보안 주체가 됩니다.

보안 주체 지정

보안 주체자의 Amazon 리소스 이름(ARN) 또는 다른 식별자를 사용하여 보안 주체를 지정합니다. IAM 그룹 및 인스턴스 프로파일을 보안 주체로 지정할 수 없습니다.

다음 예에서는 보안 주체를 지정하는 여러 가지 방법을 보여 줍니다.

특정 AWS 계정

정책에서 AWS 계정 식별자를 보안 주체로 사용할 경우 권한을 해당 계정에게 위임하는 것과 다름없습니다. 명시적으로 액세스를 허용하기 위해 적절한 IAM 권한이 연결되어 있는 경우, 계정 내의 모든 ID가 리소스에 액세스할 수 있습니다. 여기에는 해당 계정의 IAM 사용자 및 역할이 포함됩니다. AWS 계정을 지정하는 경우 계정 ARN(arn:aws:iam::AWS-account-ID:root)을 사용하거나 접두사 AWS:와 그 뒤에 계정 ID가 따라오는 약식 형태를 사용할 수 있습니다.

예를 들어, 계정 ID 123456789012의 경우 다음 방법 중 하나를 사용하여 Principal 요소에서 해당 계정을 지정할 수 있습니다.

"Principal": { "AWS": "arn:aws:iam::123456789012:root" }
"Principal": { "AWS": "123456789012" }

또한 앞서 언급한 방법을 자유롭게 조합하여 배열을 사용해 두 개 이상의 AWS 계정을 보안 주체로 지정할 수 있습니다.

"Principal": { "AWS": [ "arn:aws:iam::123456789012:root", "999999999999" ] }

일부 AWS 서비스는 계정 보안 주체를 지정하기 위한 몇 가지 옵션을 추가로 지원합니다. 예를 들어 Amazon S3에서는 다음 형식을 사용하여 정식 사용자 ID를 지정할 수 있습니다.

"Principal": { "CanonicalUser": "79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be" }

개별 IAM 사용자

다음 예제와 같이 개별 IAM 사용자를 보안 주체로 지정할 수 있습니다. 요소에 둘 이상의 보안 주체를 지정할 때 각 보안 주체에 권한을 부여하십시오. 한 번에 하나의 보안 주체로 인증되기 때문에 이것은 논리적 AND이며 논리적 OR이 아닙니다.

참고

Principal 요소에서 사용자 이름은 대/소문자를 구분합니다.

"Principal": { "AWS": "arn:aws:iam::AWS-account-ID:user/user-name" }
"Principal": { "AWS": [ "arn:aws:iam::AWS-account-ID:user/user-name-1", "arn:aws:iam::AWS-account-ID:user/UserName2" ] }

Principal 요소로 사용자를 지정할 때는 "모든 사용자"의 의미로 와일드카드(*)를 사용할 수 없습니다. 보안 주체는 항상 특정 사용자가 되어야 하기 때문입니다.

중요

역할 신뢰 정책의 Principal 요소에 특정 IAM 사용자를 가리키는 ARN이 포함되어 있으면, 정책을 저장할 때 해당 ARN이 해당 사용자의 고유 보안 주체 ID로 변환됩니다. 그러면 누군가가 해당 사용자를 제거하고 다시 만들어 본인의 권한을 에스컬레이션할 위험을 완화할 수 있습니다. 일반적으로 콘솔에서는 이 ID가 보이지 않습니다. 신뢰 정책이 표시될 때 해당 사용자의 ARN으로 다시 역변환되기 때문입니다. 그러나 해당 사용자를 삭제하면 관계가 깨집니다. 사용자를 다시 생성해도 정책은 더 이상 적용되지 않습니다. 새 사용자의 새 보안 주체 ID가 신뢰 정책에 저장된 ID와 일치하지 않기 때문입니다. 이 경우 보안 주체 ID가 콘솔에 표시됩니다. AWS에서 더 이상 이를 유효한 ARN에 다시 매핑할 수 없기 때문입니다. 결과적으로 신뢰 정책의 Principal 요소에서 참조된 사용자를 삭제하고 다시 만드는 경우, 역할을 편집하여 현재의 잘못된 보안 주체 ID를 올바른 ARN으로 바꿔야 합니다. 정책을 저장하면 ARN이 다시 해당 사용자의 새로운 보안 주체 ID로 변환됩니다.

연동 웹 자격 증명 사용자

"Principal": { "Federated": "cognito-identity.amazonaws.com" }
"Principal": { "Federated": "www.amazon.com" }
"Principal": { "Federated": "graph.facebook.com" }
"Principal": { "Federated": "accounts.google.com" }

연동 SAML 사용자

"Principal": { "Federated": "arn:aws:iam::AWS-account-ID:saml-provider/provider-name" }

IAM 역할

"Principal": { "AWS": "arn:aws:iam::AWS-account-ID:role/role-name" }
중요

역할 신뢰 정책의 Principal 요소에 특정 IAM 역할을 가리키는 ARN이 포함되어 있으면, 정책을 저장할 때 해당 ARN이 해당 역할의 고유 보안 주체 ID로 변환됩니다. 그러면 누군가가 해당 역할을 제거하고 다시 만들어 본인의 권한을 에스컬레이션할 위험을 완화할 수 있습니다. 일반적으로 콘솔에서는 이 ID가 보이지 않습니다. 신뢰 정책이 표시될 때 해당 역할의 ARN으로 다시 역변환되기 때문입니다. 그러나 해당 역할을 삭제하면 관계가 깨집니다. 역할을 다시 만들더라도 해당 정책이 더 이상 적용되지 않습니다. 새 역할의 새 보안 주체 ID가 신뢰 정책에 저장된 ID와 일치하지 않기 때문입니다. 이 경우 보안 주체 ID가 콘솔에 표시됩니다. AWS에서 더 이상 이를 유효한 ARN에 다시 매핑할 수 없기 때문입니다. 결과적으로 신뢰 정책의 Principal 요소에서 참조된 역할을 삭제하고 다시 만드는 경우, 현재 잘못된 보안 주체 ID를 올바른 ARN으로 바꾸도록 역할을 편집해야 합니다. 정책을 저장하면 ARN이 다시 해당 역할의 새로운 보안 주체 ID로 변환됩니다.

특정 수임된 역할 세션

"Principal": { "AWS": "arn:aws:sts::AWS-account-ID:assumed-role/role-name/role-session-name" }

Principal 요소에 위임된 역할 세션을 지정할 때 와일드카드(*)를 사용하여 “모든 세션”을 의미할 수 없습니다. 보안 주체는 항상 특정 세션의 이름을 지정해야 합니다.

AWS 서비스

AWS 서비스에서 위임할 수 있는 IAM 역할을 서비스 역할이라고 합니다. 서비스 역할에는 신뢰 정책이 포함되어 있어야 합니다. 신뢰 정책은 역할을 위임할 수 있는 보안 주체를 정의하는 역할에 연결된 리소스 기반 정책입니다. 일부 서비스 역할에는 신뢰 정책이 미리 정의되어 있습니다. 그러나 신뢰 정책에 서비스 보안 주체를 지정해야 하는 경우도 있습니다. 서비스 보안 주체는 서비스에 권한을 부여하는 데 사용되는 식별자입니다. 식별자에는 긴 버전의 서비스 이름이 포함되어 있고 보통은 다음과 같은 형식을 갖습니다.

long_service-name.amazonaws.com

서비스 보안 주체는 서비스가 정의합니다. 서비스의 보안 주체를 확인하려면 해당 서비스의 설명서를 참조하십시오. 일부 서비스에 대해서는 IAM으로 작업하는 AWS 서비스을 참조하여 서비스 연결 역할 열에 라고 표시된 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 [Yes] 링크를 선택합니다. 서비스의 보안 주체를 보려면 Service-Linked Role Permissions(서비스 연결 역할 권한) 단원을 참조하십시오.

다음 예제는 서비스 역할에 연결할 수 있는 정책을 보여줍니다. 이 정책은 Amazon EMR 서비스와 AWS Data Pipeline 서비스가 역할을 수행할 수 있도록 합니다. 그러면 서비스가 해당 역할에 할당된 권한 정책에서 부여한 모든 작업을 수행할 수 있습니다(표시되지 않음). 여러 서비스 보안 주체를 지정할 때 Service 요소를 두 개 지정하면 안 됩니다. 하나만 지정할 수 있습니다. 대신 여러 서비스 보안 주체의 배열을 하나의 Service 요소의 값으로 사용합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "elasticmapreduce.amazonaws.com", "datapipeline.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }

익명 사용자(퍼블릭)

Amazon S3 버킷 정책과 같은 리소스 기반 정책의 경우 보안 주체 요소의 와일드카드(*)는 모든 사용자와 퍼블릭 액세스를 지정합니다. 다음 요소는 동일합니다.

"Principal": "*"
"Principal" : { "AWS" : "*" }

이름이나 ARN의 일부를 나타내기 위해 와일드카드를 사용할 수 없습니다.

정책에서 Principal 요소를 통해 액세스를 달리 제한하지 않을 경우 역할의 신뢰 정책에서 Condition 요소에 와일드카드를 사용하지 않는 것이 좋습니다. 그렇지 않으면 파티션 내 계정의 모든 IAM 사용자가 역할에 액세스할 수 있습니다.

추가 정보

자세한 내용은 다음을 참조하십시오.