Cloud Infra Architecture (AWS)/AWS Organization
[AWS Organization] 특정 Role에 대한 Assume Role 제한 SCP 생성
seongduck
2025. 3. 3. 16:14
시나리오
- 특정 IAM Role에 대한 AssumeRole 요청을 제한
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAssumeRoleFromUnauthorizedPrincipals",
// 특정 주체 외에는 AssumeRole 요청을 차단
"Effect": "Deny",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::11111111:role/ExternalRole",
// 제한할 IAM 역할
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::111122223333:role/abcRole"
// 요청 주체가 abcRole이 아닌 경우 차단
}
}
},
{
"Sid": "AllowAssumeRoleForTrustedRole",
// 특정 TrustedRole에 대해서는 AssumeRole 요청 허용
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::11111111:role/ExternalRole",
// 허용할 IAM 역할
"Condition": {
"StringEquals": {
"aws:PrincipalArn": "arn:aws:iam::111122223333:role/abcRole"
// 요청 주체가 abcRole인 경우 허용
}
}
}
]
}