AWS IAM Tag

2019. 4. 9. 16:24

728x90

IAM TAG

- IAM 태그를 사용하면 Key - Value 페어의 형태로 사용자 또는 역활에 사용자 지정 속성을 추가할 수 있음

- 태그를 사용하면 AWS에서 권한을 제어할 수 있음

- IAM 정책을 생성할때 IAM 태그와 연관된 태그 조건 키를 사용하여 다음중 하나를 수행하기 위한 액세스를 제어

리소스 : 리소스에 대한 태그를 기반으로 사용자 또는 역활에 대한 액세스를 제어

(iam:ResourceTag/key-name 조건 키를 사용하여 리소스에 연결된 태그를 기반으로 IAM 리소스에 대한 액세스를 허용할지 여부를 결정)
요청 : 어떤 태그가 IAM 요청에 전달될 수 있는지 제어

(aws:RequestTag/key-name 조건 키를 사용하여 어떤 태그를 IAM 사용자 또는 역활에서 추가 ,변경 또는 제거할 수 있는지 지정)
보안 주체 : 요청을 한 사람(보안주체)이 자신의 자격증명에 연결된 태그를 기반으로 수행할 수 있는 권한을 제어

(aws:PrincipalTag/key-name 조건 키를 사용하여 요청을 허용하려면 어떤 태그가 보안 주체에 연결되어야 하는지 지정)
권한 부여 프로세스의 일부 : aws:TagKeys 조건 키를 사용하여 특정 태그 키를 리소스, 요청 또는 보안 주체에서 사용할 수 있는지 여부를 제어 (이 경우 값은 중요하지 않음)
태그키 : aws:TagKeys 조건 키를 사용하여 리소스 또는 요청에서 특정 태그 키를 사용할 수 있는지 여부를 제어

IAM 태그를 사용한 액세스 제어

리소스에 대한 액세스 제어

- IAM 정책에 태그를 사용하여 IAM 사용자 및 역활에 대한 액세스를 제어 (IAM은 그룹에 대한 태그를 지원하지 않으므로 태그를 사용하여 그룹에 대한 액세스를 제어할 수 없음)

- Ex. status=terminated 태그가 지정된 사용자의 삭제를 허용

요청에 대한 액세스 제어

- IAM 정책에서 태그를 사용하여 IAM 사용자 또는 추가, 변경 또는 제거할 수 있는 태그를 제어

- Ex. department=HR 또는 department=CS 태그만을 사용하는 사용자 태그 지정을 허용

보안 주체에 대한 액세스 허용

- IAM 정책에 태그를 사용하여 요청자(보안 주체)가 자신의 자격 증명에 연결된 태그를 기반으로 수행할 수 있는 작업을 제어

- Ex. tagManager=true 태그가 지정된 사용자가 IAM 사용자, 그룹 또는 역활을 관리

태그 키를 사용한 액세스 제어

- IAM 정책에서 태그를 사용하여 리소스, 요청 또는 보안 주체에 특정 태그 키를 사용할 수 있는지 여부를 제어

- Ex. project 키가 있는 태그만 사용자로부터 제거

태그를 사용한 액세스 제어

리소스에 대한 액세스 제어

- IAM 정책의 조건을 사용하여 태그를 기반으로 AWS 리소스에 대한 액세스를 제어

- EC2 인스턴스의 시작 또는 중지를 허용하였지만 인스턴스 태그 Owner가 사용자의 이름 값과 같은 경우로 제한

- 인스턴스 태그 값에 사용자 이름과 계정 사용자가 동일해야 액세스 제어 허용

- 해당 정책을 IAM 사용자에게 연결할 수 있는데 이름이 test인 사용자가 EC2 인스턴스를 시작하려는 경우 Owner=test, owner=test 태그가 지정되어야함, 그렇지않으면 액세스가 거부되는데 태그키는 owner로 일치하지만 조건 키가 대/소문자를 구분하지 않기 때문 (태크기는 대소문자 구분없이 인식하지만 조건키는 대소문자를 구분함)

요청에 대한 액세스 제어

- IAM 정책의 조건을 사용하여 어떤 태그를 AWS 리소스에 추가, 변경 또는 제거할 수 있는지 제어