자격 증명 기반 정책 및 기타 정책 유형 구현 - AWS Management Console
지원되는 AWS 전역 조건 컨텍스트 키AWS Management Console 프라이빗 액세스가 aw와 작동하는 방식:SourceVpc다양한 네트워크 경로가 에 반영되는 방식 CloudTrail

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

자격 증명 기반 정책 및 기타 정책 유형 구현

정책을 AWS 생성하고 자격 증명(사용자, 사용자 그룹 또는 역할) 또는 AWS 리소스에 연결하여 IAM 의 액세스를 관리합니다. 이 페이지에서는 AWS Management Console 프라이빗 액세스와 함께 사용할 때 정책이 작동하는 방식을 설명합니다.

지원되는 AWS 전역 조건 컨텍스트 키

AWS Management Console 프라이빗 액세스는 aws:SourceVpceaws:VpcSourceIp AWS 전역 조건 컨텍스트 키를 지원하지 않습니다. 프라이빗 액세스를 사용할 때 대신 정책에서 aws:SourceVpc IAM 조건을 사용할 AWS Management Console 수 있습니다.

AWS Management Console 프라이빗 액세스가 aw와 작동하는 방식:SourceVpc

이 섹션에서는 에서 생성된 요청이 에 적용할 AWS Management Console 수 있는 다양한 네트워크 경로를 설명합니다 AWS 서비스. 일반적으로 AWS 서비스 콘솔은 직접 브라우저 요청과 AWS Management Console 웹 서버에서 로 프록시하는 요청을 혼합하여 구현됩니다 AWS 서비스. 이러한 구현은 사전 고지 없이 변경될 수 있습니다. 보안 요구 사항에 VPC 엔드포인트 AWS 서비스 사용에 대한 액세스가 포함된 경우 VPC직접 또는 AWS Management Console 프라이빗 액세스를 통해 에서 사용하려는 모든 서비스에 대해 VPC 엔드포인트를 구성하는 것이 좋습니다. 또한 AWS Management Console 프라이빗 액세스 기능과 함께 특정 aws:SourceVpce 값이 아닌 정책에서 aws:SourceVpc IAM 조건을 사용해야 합니다. 이 섹션에서는 다양한 네트워크 경로의 작동 방식에 대한 세부 정보를 제공합니다.

사용자가 에 로그인하면 직접 브라우저 AWS Management Console요청과 AWS Management Console 웹 서버에서 AWS 서버로 프록시되는 요청을 AWS 서비스 조합하여 에 요청합니다. 예를 들어 CloudWatch 그래프 데이터 요청은 브라우저에서 직접 이루어집니다. 반면 Amazon S3와 같은 일부 AWS 서비스 콘솔 요청은 웹 서버에서 Amazon S3로 프록시됩니다.

직접 브라우저 요청의 경우 AWS Management Console 프라이빗 액세스를 사용해도 아무것도 변경되지 않습니다. 이전과 마찬가지로 요청은 가 에 도달하도록 구성VPC한 네트워크 경로를 통해 서비스에 도달합니다.monitoring.region.amazonaws.com. VPC 가 에 대한 VPC 엔드포인트로 구성된 경우 com.amazonaws.region.monitoring, 요청은 해당 CloudWatch VPC 엔드포인트를 통해 전달됩니다 CloudWatch. 에 대한 VPC 엔드포인트가 없는 경우 요청은 CloudWatch의 Internet Gateway를 통해 CloudWatch 퍼블릭 엔드포인트에 도달합니다VPC. 엔드포인트 CloudWatch 를 통해 CloudWatch VPC 에 도착하는 요청은 IAM 조건이 지정aws:SourceVpc되고 해당 값으로 aws:SourceVpce 설정됩니다. 퍼블릭 엔드포인트를 CloudWatch 통해 에 도달하는 는 요청의 소스 IP 주소로 aws:SourceIp 설정됩니다. 이러한 IAM 조건 키에 대한 자세한 내용은 IAM 사용 설명서전역 조건 키를 참조하세요.

Amazon S3 콘솔을 방문할 때 Amazon S3 콘솔이 버킷을 나열하도록 하는 요청과 같이 AWS Management Console 웹 서버에서 프록시하는 요청의 경우 Amazon S3 네트워크 경로가 다릅니다. 이러한 요청은 에서 시작되지 VPC 않으므로 해당 서비스에 VPC 대해 에서 구성했을 수 있는 VPC 엔드포인트를 사용하지 않습니다. 이 경우 Amazon S3에 대한 VPC 엔드포인트가 있더라도 버킷을 나열하기 위한 세션의 Amazon S3 요청은 Amazon S3 VPC 엔드포인트를 사용하지 않습니다. 그러나 지원되는 서비스와 함께 AWS Management Console 프라이빗 액세스를 사용하는 경우 이러한 요청(예: Amazon S3)은 요청 컨텍스트에 aws:SourceVpc 조건 키를 포함합니다. aws:SourceVpc 조건 키는 로그인 및 콘솔에 대한 AWS Management Console 프라이빗 액세스 엔드포인트가 배포되는 VPC ID로 설정됩니다. 따라서 자격 증명 기반 정책에서 aws:SourceVpc 제한을 사용하는 경우 프라이빗 액세스 로그인 및 콘솔 엔드포인트를 호스팅VPC하는 VPC ID를 AWS Management Console 추가해야 합니다. aws:SourceVpce 조건은 각 로그인 또는 콘솔 VPC 엔드포인트 로 설정됩니다IDs.

참고

사용자가 AWS Management Console 프라이빗 액세스에서 지원되지 않는 서비스 콘솔에 액세스해야 하는 경우, aws:SourceIP 조건 키를 사용하여 사용자의 ID 기반 정책에 예상 퍼블릭 네트워크 주소(예: 온프레미스 네트워크 범위) 목록을 포함해야 합니다.

다양한 네트워크 경로가 에 반영되는 방식 CloudTrail

에서 생성된 요청에 사용되는 다양한 네트워크 경로 AWS Management Console 는 CloudTrail 이벤트 기록에 반영됩니다.

직접 브라우저 요청의 경우 AWS Management Console 프라이빗 액세스를 사용해도 아무것도 변경되지 않습니다. CloudTrail 이벤트에는 서비스 API 호출에 사용된 VPC 엔드포인트 ID와 같은 연결에 대한 세부 정보가 포함됩니다.

AWS Management Console 웹 서버가 대리하는 요청의 경우 CloudTrail 이벤트에는 VPC 관련 세부 정보가 포함되지 않습니다. 그러나 AwsConsoleSignIn 이벤트 유형과 같은 브라우저 세션을 설정하는 데 AWS 로그인 필요한 에 대한 초기 요청에는 이벤트 세부 정보에 AWS 로그인 VPC 엔드포인트 ID가 포함됩니다.