AWS Global Accelerator로 태그 기반 정책 사용 - AWS Global Accelerator

AWS Global Accelerator로 태그 기반 정책 사용

IAM 정책을 설계할 때 특정 리소스에 대한 액세스 권한을 부여하여 세부적인 권한을 설정할 수 있습니다. 하지만 관리하는 리소스의 수가 증가함에 따라 이 작업은 더욱 어려워집니다. 리소스에 태그를 지정한 다음의 정책 문 조건에서 태그를 사용하면 이 작업을 더 쉽게 수행할 수 있습니다. 특정 태그가 있는 모든 리소스에 대량으로 액세스 권한을 부여할 수 있습니다. 리소스를 생성하거나 나중에 리소스를 업데이트하여 관련 리소스에 이 태그를 반복적으로 적용할 수 있습니다.

조건에 태그를 사용하는 것은 리소스 및 요청에 대한 액세스를 제어하는 하나의 방법입니다. 태그는 리소스에 연결되거나 태그 지정을 지원하는 서비스에 요청을 전달될 수 있습니다. Global Accelerator에서는 액셀러레이터만 태그를 포함할 수 있습니다. Global Accelerator의 태그 지정에 대한 자세한 내용은 AWS Global Accelerator에서 태그 지정을 참조하세요.

IAM 정책을 생성하면 태그 조건 키를 사용하여 다음을 제어할 수 있습니다.

  • 이미 가지고 있는 태그를 기반으로 어떤 사용자가 액셀러레이터에 대해 작업을 수행할 수 있는지 제어합니다.

  • 어떤 태그가 작업의 요청에서 전달될 수 있는지 통제합니다.

  • 요청에서 특정 키를 사용할 수 있는지 여부를 통제합니다.

예를 들어, AWS GlobalAcceleratorFullAccess 관리형 사용자 정책은 모든 리소스에 대해 Global Accelerator 작업을 수행할 수 있는 무제한 권한을 사용자에게 부여합니다. 다음의 정책은 이러한 기능을 제한하고 모든 프로덕션 액셀러레이터에 대해 Global Accelerator 작업을 수행할 수 있는 권한을 승인받지 않은 사용자에게 권한을 거부합니다. 고객의 관리자는 권한이 없는 IAM 사용자에게 관리형 사용자 정책 이외에 이 IAM 정책도 연결해야 합니다.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"*", "Resource":"*", "Condition":{ "ForAnyValue:StringEquals":{ "aws:RequestTag/stage":"prod" } } }, { "Effect":"Deny", "Action":"*", "Resource":"*", "Condition":{ "ForAnyValue:StringEquals":{ "aws:ResourceTag/stage":"prod" } } } ] }

태그 조건 키의 전체 구문 및 의미는 IAM 사용 설명서IAM 태그를 사용한 액세스 제어를 참조하세요.