Cloud Infra Architecture (AWS)/AWS Organization

[AWS Organization] 특정 Role에 대한 Assume Role 제한 SCP 생성

seongduck 2025. 3. 3. 16:14

시나리오

  • 특정 IAM Role에 대한 AssumeRole 요청을 제한
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAssumeRoleFromUnauthorizedPrincipals",
            // 특정 주체 외에는 AssumeRole 요청을 차단
            "Effect": "Deny",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::11111111:role/ExternalRole",
            // 제한할 IAM 역할
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalArn": "arn:aws:iam::111122223333:role/abcRole"
                    // 요청 주체가 abcRole이 아닌 경우 차단
                }
            }
        },
        {
            "Sid": "AllowAssumeRoleForTrustedRole",
            // 특정 TrustedRole에 대해서는 AssumeRole 요청 허용
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::11111111:role/ExternalRole",
            // 허용할 IAM 역할
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalArn": "arn:aws:iam::111122223333:role/abcRole"
                    // 요청 주체가 abcRole인 경우 허용
                }
            }
        }
    ]
}
저작자표시 비영리 변경금지

'Cloud Infra Architecture (AWS) > AWS Organization' 카테고리의 다른 글

[AWS Organization] 특정 시간때만 요청을 허용하는 SCP 생성  (0) 2025.03.03
[AWS Organization] 특정 태그가 없는 리소스 생성 차단 SCP 생성  (0) 2025.03.03
[AWS Organization] MFA를 사용하지 않은 요청 차단 SCP 생성  (0) 2025.03.03
[AWS Organization] 특정 VPC에서만 리소스 접근 허용 SCP 생성  (0) 2025.03.03
[AWS Organization] 특정 AWS 계정에서의 요청만 허용 SCP 생성  (0) 2025.03.03

'Cloud Infra Architecture (AWS)/AWS Organization'의 다른글

  • 현재글[AWS Organization] 특정 Role에 대한 Assume Role 제한 SCP 생성

관련글

댓글

티스토리툴바