AWS: 소스 IP를 바탕으로 AWS에 대한 액세스 거부 - AWS Identity and Access Management

AWS: 소스 IP를 바탕으로 AWS에 대한 액세스 거부

이 예제에서는 지정된 IP 범위 외부의 보안 주체에게서 요청이 온 경우 계정의 모든 AWS 작업에 대한 액세스를 거부하는 IAM 정책을 생성할 수 있는 방법을 보여줍니다. 이 정책은 회사의 IP 주소가 지정된 범위 내에 있는 경우에 유용합니다. 이 정책은 보안 주체의 자격 증명을 사용하여 AWS 서비스에 의해 수행된 요청을 거부하지 않습니다. 이 정책은 프로그래밍 방식 및 콘솔 액세스에 대한 권한을 정의합니다. 이 정책을 사용하려면 정책 예제의 기울임꼴 자리 표시자 텍스트를 본인의 정보로 대체하십시오. 그런 다음 정책 생성 또는 정책 편집의 지침을 따릅니다.

"Effect": "Deny"와 동일한 정책 문에서 부정적인 조건을 사용해야 합니다. 이렇게 하면 정책 문에 지정된 작업이 지정된 조건을 제외한 모든 조건에서 명시적으로 거부됩니다.

또한 이 정책은 논리적 AND를 초래하는 여러 조건 키를 포함합니다. 이 정책에서는 AWS 서비스가 not호출을 할 때 소스 IP 주소가 지정된 범위 AND의 AWS이면 모든 not 작업이 거부됩니다.

중요

이 정책은 어떤 작업도 허용하지 않습니다. 이 정책을 특정 작업을 허용하는 다른 정책과 함께 사용합니다.

다른 정책에서 작업을 허용하는 경우 보안 주체는 IP 주소 범위 내에서 요청을 할 수 있습니다. 또한 AWS 서비스는 보안 주체의 자격 증명을 사용하여 요청할 수도 있습니다. 보안 주체가 IP 범위 밖에서 요청을 하면 요청이 거부됩니다. 보안 주체가 서비스 역할 또는 서비스 연결 역할을 사용해 보안 주체를 대신하여 호출하는 서비스를 트리거하는 작업을 수행하는 경우에도 요청이 거부됩니다.

정책에서 aws:SourceIp 키가 작동하지 않는 경우를 포함해 aws:SourceIpaws:ViaAWSService조건 키에 대한 자세한 내용은 AWS 글로벌 조건 컨텍스트 키 섹션을 참조하세요.

{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "203.0.113.0/24" ] }, "Bool": {"aws:ViaAWSService": "false"} } } }