권한 경계(Permissions boundaries)

권한 경계 (Permissions Boundary)

권한 경계 (Permissions Boundary)란?

권한 경계는 자격 증명 기반 정책을 통해 IAM 엔터티에 부여할 수 있는 최대 권한을 설정하는 고급 기능입니다. 엔터티에 대한 권한 경계를 설정할 경우 해당 엔터티는 자격 증명 기반 정책 및 관련 권한 경계 모두에서 허용되는 작업만 수행할 수 있습니다. 사용자나 역할을 보안 주체로 지정하는 리소스 기반 정책은 권한 경계에 제한을 받지 않습니다.

이미 명시적으로 허용된 넓은 범위의 권한을 특정 사용자 또는 그룹을 대상으로 허용범위를 제약하는 방법으로 매우 효과적입니다.

1. 권한 경계 설정

Super-Intern은 운영팀이므로, 모든 권한인 AdministratorAccess를 부여받았지만, 아직 업무가 익숙하지 않습니다다. 그래서 Super-Intern의 다른 모든 서비스의 권한은 막은 채, EC2의 관리만 맡기고자 합니다.

Super-Pro로 로그인합니다. IAM에서 좌측의 사용자 선택, Super-Intern을 클릭합니다.

Permissions boundary (not set)을 클릭한 뒤 경계 설정 버튼을 클릭합니다.

2. 권한 경계 설정

권한 경계로 설정할 정책 선택에서 AmazonEC2FullAccess 를 검색 후 선택하고, 경계 설정 버튼을 클릭합니다.

3. 권한 경계 설정 확인

Super-Intern의 권한에 정상적으로 Permissions boundary에 지금 선택한 AmazonEC2FullAccess (AWS 관리형 정책)이 설정되었는지 확인합니다.

4. 사용자 자원 제한 확인

Super-Intern은 [Super]사용자 그룹에 적용된 AdministratorAccess 정책을 상속 받았으나, 권한 경계 정책으로 AmazonEC2FullAccess 권한만 설정되었으므로, EC2를 제외한 모든 요청이 Deny되어야 합니다.

Super-Intern으로 로그인하여 아래와 같이 S3에 대한 권한이 없는지 확인합니다.

권한 경계로 AmazonEC2FullAccess 권한이 적용되었으므로, EC2 화면은 정상적으로 보이는지 확인합니다.

이를 통해서 권한 경계를 설정하면, 아래와 같이 자격증명 기반 정책과 권한 경계의 교집합 부분의 정책만 허용된다는 것을 확인하실 수 있습니다.