2. IAM 정책 비교(자격증명, 리소스)
전 글에서는 IAM 대해서 중요한 부분을 언급하고 알아보았다.
이번 글에서는 정확히 이해가 필요한 자격증명기반 정책 및 리소스 기반 정책에 대하여 직접 JSON 형식의 정책을 보고 비교할 수 있는 단계까지 갔으면 한다.
바로 시작하자.
1. 자격증명기반 정책
사용자 또는 역할에게 부여하는 정책 유형 입니다.
누가(Principal) 대상(Resource)에 작업(Action)을 조건(Condition)에 따라 허용여부(Effect)를 결정하는 것이다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ListAndDescribe",
"Effect": "Allow",
"Action": [
"dynamodb:*"
],
"Resource": "*"
}
]
}
이 부분에서 Principal은 사용자 또는 역할이다.
해당 정책을 해석하면 다음과 같다.1. 해당 정책이 부여된 사용자(Principal)은 2. 모든 DynamoDB Table(Resource)에 대하여 3. 모든 작업(Action)이 4. 가능하도록 (Effect) 구성된 정책이다.
2. 리소스 기반 정책
대상(Resource) 이 누구(Principal) 에 작업(Action)을 조건(Condition)에 따라 허용 여부(Effect)를 결정하는 것이다.
리소스에게 부여하는 정책이다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Read",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::test-bucket/*"
]
}
]
}
해당 정책을 해석하면 다음과 같다.
1. test-bucket(Resource)의 있는 모든 객체에 대해서
2. 모든 사용자(Principal)가
3. S3 내에 객체를 읽기(Action)
4. 가능(Effect)하도록 하는 정책이다.
이렇게 두 가지를 비교하여 알아보았다.
정책은 많은 시나리오를 기반으로 많이 만들어보고 테스트 하는 것을 추천한다.
❏ 참고 사이트
AWS IAM Identity base 와 resource base policy 의 차이
AWS IAM 정책에 대해 알아보려 합니다. 우선 5가지 형태의 구조를 가지고 있습니다. Effect Principal Resources Action Condition 간단히 말해 누가(Principal) 대상(Resource)에 작업(Action)을 조건(Condition)에 따라 허
going-to-end.tistory.com
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/access_policies_identity-vs-resource.html
자격 증명 기반 정책 및 리소스 기반 정책 - AWS Identity and Access Management
Amazon S3는 자격 증명 기반 정책 및 리소스 기반 정책(버킷 정책이라고 함)을 지원합니다. 또한 Amazon S3는 IAM 정책 및 권한과 무관한, 액세스 제어 목록(ACL)으로 알려진 권한 메커니즘을 지원합니다
docs.aws.amazon.com