자격 증명 기반 정책 및 기타 정책 유형 구현

정책을 만들고 IAM ID (사용자, 사용자 그룹 또는 역할) 또는 리소스에 AWS 정책을 연결하여 액세스를 관리합니다. AWS 이 페이지에서는 AWS Management Console Private Access와 함께 사용할 경우 정책이 어떻게 작동하는지 설명합니다.

지원되는 AWS 글로벌 조건 컨텍스트 키

AWS Management Console 프라이빗 액세스는 aws:VpcSourceIp AWS 글로벌 조건 컨텍스트 키를 지원하지 aws:SourceVpce 않습니다. AWS Management Console 프라이빗 액세스를 사용할 때는 정책에서 aws:SourceVpc IAM 조건을 대신 사용할 수 있습니다.

AWS Management Console 프라이빗 액세스가 AWS와 함께 작동하는 방식: SourceVpc

이 섹션에서는 사용자가 생성한 요청이 AWS Management Console 도달할 수 있는 다양한 네트워크 경로를 설명합니다 AWS 서비스. 일반적으로 AWS 서비스 콘솔은 직접 브라우저 요청과 웹 서버에서 프록시되는 요청을 혼합하여 구현됩니다. AWS Management Console AWS 서비스이러한 구현은 사전 고지 없이 변경될 수 있습니다. 보안 요구 사항에 VPC 엔드포인트 AWS 서비스 사용에 대한 액세스가 포함되는 경우 직접 또는 Private Access를 통해 사용하려는 모든 서비스에 대해 VPC 엔드포인트를 구성하는 것이 좋습니다. VPC AWS Management Console 또한 AWS Management Console Private Access 기능에서는 특정 aws:SourceVpce 값 대신 정책의 aws:SourceVpc IAM 조건을 사용해야 합니다. 이 섹션에서는 다양한 네트워크 경로의 작동 방식에 대한 세부 정보를 제공합니다.

사용자는 에 로그인한 후 직접 브라우저 요청과 AWS Management Console 웹 서버가 서버로 프록시하는 요청을 조합하여 요청합니다. AWS Management Console AWS 서비스 AWS 예를 들어, CloudWatch 그래프 데이터 요청은 브라우저에서 직접 이루어집니다. 반면 Amazon S3와 같은 일부 AWS 서비스 콘솔 요청은 웹 서버에서 Amazon S3로 프록시됩니다.

직접 브라우저 요청의 경우, AWS Management Console 프라이빗 액세스를 사용해도 아무 것도 변경되지 않습니다. 이전과 마찬가지로 요청은 도달하도록 구성된 네트워크 경로를 통해 서비스에 monitoring.region.amazonaws.com 도달합니다. VPC 에 VPC 엔드포인트가 구성되어 있는 경우 VPC 요청은 해당 CloudWatch VPC 엔드포인트를 CloudWatch 통해 전달됩니다. com.amazonaws.region.monitoring 에 대한 VPC CloudWatch 엔드포인트가 없는 경우 요청은 의 Internet Gateway를 통해 퍼블릭 엔드포인트에 CloudWatch VPC 도달합니다. CloudWatch VPC엔드포인트를 CloudWatch 통해 도착하는 요청에는 IAM 조건이 aws:SourceVpc 적용되며 해당 값으로 aws:SourceVpce 설정됩니다. 퍼블릭 엔드포인트를 CloudWatch 통해 도달하는 요청은 요청의 소스 IP 주소로 aws:SourceIp 설정됩니다. 이러한 IAM 조건 키에 대한 자세한 내용은 IAM사용 설명서의 글로벌 조건 키를 참조하십시오.

Amazon S3 콘솔을 방문할 때 Amazon S3 콘솔이 버킷을 나열하도록 요청하는 것과 같이 AWS Management Console 웹 서버에서 프록시되는 요청의 경우 네트워크 경로가 다릅니다. 이러한 요청은 사용자로부터 시작되지 않으므로 해당 VPC 서비스에 대해 구성한 VPC 엔드포인트를 사용하지 않습니다. VPC 이 경우 Amazon S3에 대한 VPC 엔드포인트가 있더라도 세션에서 Amazon S3에 버킷을 나열하도록 요청하면 Amazon S3 VPC 엔드포인트가 사용되지 않습니다. 하지만 지원되는 서비스와 함께 AWS Management Console 프라이빗 액세스를 사용하는 경우 이러한 요청 (예: Amazon S3) 에는 요청 컨텍스트에 aws:SourceVpc 조건 키가 포함됩니다. aws:SourceVpc조건 키는 로그인 및 콘솔용 AWS Management Console 프라이빗 액세스 엔드포인트가 배포되는 VPC ID로 설정됩니다. 따라서 ID 기반 정책에서 aws:SourceVpc 제한을 사용하는 경우 AWS Management Console Private Access 로그인 및 콘솔 엔드포인트를 VPC 호스팅하는 엔드포인트의 VPC ID를 추가해야 합니다. aws:SourceVpce조건은 해당 로그인 또는 콘솔 엔드포인트로 설정됩니다. VPC IDs

참고

사용자가 AWS Management Console 프라이빗 액세스에서 지원되지 않는 서비스 콘솔에 액세스해야 하는 경우, aws:SourceIP 조건 키를 사용하여 사용자의 ID 기반 정책에 예상 퍼블릭 네트워크 주소(예: 온프레미스 네트워크 범위) 목록을 포함해야 합니다.

다양한 네트워크 경로가 반영되는 방식 CloudTrail

사용자가 생성한 요청에 사용된 다양한 네트워크 경로가 CloudTrail 이벤트 기록에 AWS Management Console 반영됩니다.

직접 브라우저 요청의 경우, AWS Management Console 프라이빗 액세스를 사용해도 아무 것도 변경되지 않습니다. CloudTrail 이벤트에는 서비스 API 호출을 수행하는 데 사용된 VPC 엔드포인트 ID와 같은 연결에 대한 세부 정보가 포함됩니다.

AWS Management Console 웹 서버에서 프록시되는 요청의 경우 CloudTrail 이벤트에 VPC 관련 세부 정보가 포함되지 않습니다. 하지만 브라우저 세션을 설정하는 데 필요한 초기 요청 (예: AwsConsoleSignIn 이벤트 유형) 에는 이벤트 세부 정보에 AWS 로그인 VPC 엔드포인트 ID가 포함됩니다. AWS 로그인