AWS: 소스 IP를 바탕으로 AWS에 대한 액세스 거부 - AWS Identity and Access Management

AWS: 소스 IP를 바탕으로 AWS에 대한 액세스 거부

이 예제는 지정된 IP 범위 외부의 보안 주체로부터 요청이 온 경우 계정의 모든 AWS 작업에 대한 액세스를 거부하는 아이덴티티 기반 정책을 생성하는 방법을 보여줍니다. 이 정책은 회사의 IP 주소가 지정된 범위 내에 있는 경우에 유용합니다. 이 예제에서는 CIDR 범위 192.0.2.0/24 또는 203.0.113.0/24에서 시작되지 않는 한 요청이 거부됩니다. 정책은 원래 요청자의 IP 주소가 보존되므로 전달 액세스 세션를 사용하는 AWS 서비스에 의한 요청을 거부하지 않습니다.

"Effect": "Deny"와 동일한 정책 문에서 부정적인 조건을 사용해야 합니다. 이렇게 하면 정책 문에 지정된 작업이 지정된 조건을 제외한 모든 조건에서 명시적으로 거부됩니다.

중요

이 정책은 어떤 작업도 허용하지 않습니다. 이 정책을 특정 작업을 허용하는 다른 정책과 함께 사용합니다.

다른 정책에서 작업을 허용하는 경우 보안 주체는 IP 주소 범위 내에서 요청을 할 수 있습니다. 또한 AWS 서비스는 보안 주체의 자격 증명을 사용하여 요청할 수도 있습니다. 보안 주체가 IP 범위 밖에서 요청을 하면 요청이 거부됩니다.

정책에서 aws:SourceIp가 작동하지 않는 경우를 포함해 aws:SourceIp 조건 키에 대한 자세한 내용은 AWS 글로벌 조건 컨텍스트 키 섹션을 참조하세요.

{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "203.0.113.0/24" ] } } } }