성덕이의 개발공간

시나리오요청 IP가 xxx.xxxx.xxx.xxx/24에 포함되지 않을 경우 요청 차단요청이 AWS Servcie에서 발생한 것이 아닐 경우 차단요청 VPC가 vpc-123456789, vpc-0987654321에 포함되지 않을 경우 요청 차단하나의 Sid에 포함되어 있으므로 AND 조건 (OR 조건은 별도로 Sid 분리하여 작성)요청이 허용한 IP 대역이 아니고요청이 AWS Service에서 발생한 것이 아니며요청이 원본 VPC가 허용된 VPC 목록에 포함되지 않는다면요청은 Deny즉, 모두 아니여야 Deny이므로, 위의 3가지 조건 중 1개를 만족하면 요청이 차단되지 않음{ "Version": "2012-10-17", // 정책 버전. AWS IAM 정책의 최신 버전은 "2012-10-17"입니다..

시나리오ap-northeast-2 리전에서만 S3 Servcie만 접근 허용그 외의 모든 서비스 및 다른 리전은 접근 차단{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowOnlyS3Access", // 특정 AWS 서비스(S3)만 허용하는 정책 "Effect": "Deny", // 매칭되는 모든 요청을 차단 "Action": "*", // 모든 AWS API 요청에 대해 적용 "Resource": "*", // 모든 리소스에 대해 적용 "Condi..

시나리오특정 시간대에만 접근 및 조작 허용오전 9시부터 오후 5시 외의 요청은 차단{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyOutsideBusinessHours", // 특정 시간대 외에는 모든 요청을 차단 "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:CurrentTime": [ ..

시나리오EC2, S3, RDS 생성시, Environment 태그가 없는 경우 요청 차단{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyCreateResourceWithoutTags", // 리소스 생성 요청에서 태그가 없는 경우 차단 "Effect": "Deny", "Action": [ "ec2:RunInstances", // EC2 인스턴스 생성 요청 "s3:CreateBucket", // S3 버킷 생성 요청 "rd..

시나리오특정 IAM Role에 대한 AssumeRole 요청을 제한{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAssumeRoleFromUnauthorizedPrincipals", // 특정 주체 외에는 AssumeRole 요청을 차단 "Effect": "Deny", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::11111111:role/ExternalRole", // 제한할 IAM 역할 "Condition": { ..

시나리오MFA를 사용하지 않은 요청은 차단{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyWithoutMFA", // MFA가 없는 요청을 차단하는 정책 "Effect": "Deny", "Action": "*", // 모든 작업에 대해 적용 "Resource": "*", // 모든 리소스에 대해 적용 "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "f..

시나리오vpc-123123123의 VPC에서만 리소스에 접근 허용해당 VPC ID가 아닐 경우 모든 요청 차단{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccesVPC", // 특정 VPC 외부에서의 요청을 차단하는 정책 "Effect": "Deny", "Action": "*", // 모든 AWS API 작업에 대해 적용 "Resource": "*", // 모든 리소스에 대해 적용 "Condition": { "StringNotEquals": {..

시나리오특정 AWS 계정(11111111)에서의 요청만 허용그 외의 요청은 차단{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessAccounts", // 특정 계정 외부에서의 요청을 차단하는 정책 명 "Effect": "Deny", "Action": "*", // 모든 AWS API 작업에 대해 적용 "Resource": "*", // 모든 리소스에 대해 적용 "Condition": { "StringNotEquals": { ..