IAM 정책

정책(Policy) 구조

{
	"version": "2022-22-22",
    "Statement: [
    	"Effect": "Allow or Deny", # 허용 or 차단
        "Action": [                # 어떤 행위를
        	"dynamodb:GetItem",
			"dynamodb:PutItem"
            ...
        ],
        "Resource": [              # 어떤 리소스에 대해
        	...
            "arn:aws:dynamodb:ap-northeast-2:111222333/MyTable"
        ],
        "Condition": {             # 어떤 조건에서
        	...
            "IpAddress": {
                        "aws:SourceIp": "1.1.1.1"
            },
        }
    ]
}

정책 종류

1. Identity-based 정책(JSON, 관리: IAM) : IAM 보안 주체(IAM User, group or role)에 할당되어 해당 주체의 권한을 규정
2. Resource-based 정책(JSON, 관리: 개별 리소스) : 정책이 할당괼 리소스를 기준으로 어떤 보안 주체가 어떤 작업을 할 수 있/없는지 규정
※ Principal 구문 필수 : 해당 리소스에 요청 할 수 있는 IAM 보안주체 기술
3. ACL 정책(XML, 개별 리소스) : 리소스 기준으로 정의하며, 주로 Cross-Account 간의 리소스 공유 시, 보
안 주체에 대한 접근을 규정
4. Organization SCP(JSON, Organization) : Organization의 OU 또는 개념 어카운트 별로 권한의 최대치를 규정. 주로 root 계정의 권한을 제한할 때 사용
5. Session 정책(JSON, STS) : 임시 자격증명의 기존 퍼미션을 해당 세션에 대해서만 제한할 때 사용 AssumeRole * , GetFederationToken API의 파라미터로 전달됨
6. Permission Boundary 정책(JSON, 관리: IAM) : IAM 보안 주체 별로 획득할 수 있는 권한의 최대치를 규정
7. Endpoint 정책(JSON, VPC) : VPC G/W Endpoint에 적용되는 접근제어 정책, 일종의 Resourcebased
정책

동일 어카운트 vs 크로스 어카운트

• 동일 어카운트인 경우 IBP와 RBP의 합집합에 대한 요청 권한 검사
• 크로스 어카운트인 경우 IBP와 RBP의 교집합에 대한 요청 권한 검사