정책(Policy) 구조
{
"version": "2022-22-22",
"Statement: [
"Effect": "Allow or Deny", # 허용 or 차단
"Action": [ # 어떤 행위를
"dynamodb:GetItem",
"dynamodb:PutItem"
...
],
"Resource": [ # 어떤 리소스에 대해
...
"arn:aws:dynamodb:ap-northeast-2:111222333/MyTable"
],
"Condition": { # 어떤 조건에서
...
"IpAddress": {
"aws:SourceIp": "1.1.1.1"
},
}
]
}정책 종류
1. Identity-based 정책(JSON, 관리: IAM) : IAM 보안 주체(IAM User, group or role)에 할당되어 해당 주체의 권한을 규정
2. Resource-based 정책(JSON, 관리: 개별 리소스) : 정책이 할당괼 리소스를 기준으로 어떤 보안 주체가 어떤 작업을 할 수 있/없는지 규정
※ Principal 구문 필수 : 해당 리소스에 요청 할 수 있는 IAM 보안주체 기술
3. ACL 정책(XML, 개별 리소스) : 리소스 기준으로 정의하며, 주로 Cross-Account 간의 리소스 공유 시, 보
안 주체에 대한 접근을 규정
4. Organization SCP(JSON, Organization) : Organization의 OU 또는 개념 어카운트 별로 권한의 최대치를 규정. 주로 root 계정의 권한을 제한할 때 사용
5. Session 정책(JSON, STS) : 임시 자격증명의 기존 퍼미션을 해당 세션에 대해서만 제한할 때 사용 AssumeRole * , GetFederationToken API의 파라미터로 전달됨
6. Permission Boundary 정책(JSON, 관리: IAM) : IAM 보안 주체 별로 획득할 수 있는 권한의 최대치를 규정
7. Endpoint 정책(JSON, VPC) : VPC G/W Endpoint에 적용되는 접근제어 정책, 일종의 Resourcebased
정책
동일 어카운트 vs 크로스 어카운트
- 동일 어카운트인 경우 IBP와 RBP의 합집합에 대한 요청 권한 검사
- 크로스 어카운트인 경우 IBP와 RBP의 교집합에 대한 요청 권한 검사
yozzum