문제
- 유저에게 IAM에서 활동할 수 있는 범위 중, 액세스 키와 MFA 관련해서만 콘솔 조작을 할 수 있도록 허용해주고 싶습니다.
최소 권한으로 이루어진 정책 생성 후 사용자 그룹에 연결
1. IAM에서 정책을 생성합니다.
2. 아래와 같은 권한을 가진 JSON을 작성합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"iam:DeactivateMFADevice",
"iam:DeleteVirtualMFADevice",
"iam:DeleteAccessKey",
"iam:EnableMFADevice",
"iam:UpdateAccessKey",
"iam:CreateVirtualMFADevice",
"iam:ListMFADevices",
"iam:ListAccessKeys",
"iam:CreateAccessKey"
],
"Resource": "*"
}
]
}권한 설명
iam:DeleteVirtualMFADevice: 가상 MFA 디바이스 삭제 권한iam:DeactivateMFADevice: 가상 MFA 디바이스 비활성화 권한iam:EnableMFADevice: MFA 디바이스 활성화 권한iam:CreateVirtualMFADevice: 가상 MFA 디바이스 생성 권한iam:ListMFADevices: MFA 디바이스 목록 보기 권한iam:CreateAccessKey: 액세스 키 생성 권한iam:UpdateAccessKey: 액세스 키 업데이트(비활성화) 권한iam:DeleteAccessKey: 액세스 키 삭제 권한iam:ListAccessKeys: 액세스 키 목록 보기 권한
3. 정책을 사용자 그룹에 연결합니다.
이로써, 사용자 그룹에 속한 사용자들은 IAM 콘솔에서 액세스 키와 MFA 관련 조작만 가능하게 되었습니다.
Devops Engineer