Question
개인정보 점검 준비 중에 관리자 접근 권한(access key)를 IP로 제한해야 한다는 요건이 확인되었습니다.
Access Key 또는 IAM user에 대하여 IP를 제한할 수 있는 방안이 있을까요?
Answer
아래 예제에서는 지정된 IP 범위를 벗어나는 보안 주체에서 요청이 오는 경우, 계정의 모든 AWS 작업에 대한 액세스를 거부합니다.
이 정책은 프로그래밍 방식(CLI) 및 콘솔 액세스에 대한 권한을 정의합니다.
아래 예제는 소스 IP "192.0.2.0/24"와 "203.0.113.0/24"를 제외한 모든 IP를 Deny하는 정책입니다.
즉, 해당 IP만 AWS 작업을 허용하는 정책입니다.
소스 IP 부분을 사용자 환경에 맞게 변경하시어 사용하시면 됩니다.
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"Bool": {"aws:ViaAWSService": "false"}
}
}
}
IAM 콘솔에서 새로운 사용자 그룹을 생성하시어 해당 그룹에 아래 정책을 부여하시는 방법으로 진행하셔도 되고,
각 IAM user에 정책을 추가하셔도 됩니다.
참조 링크:
[1] AWS: 소스 IP를 바탕으로 AWS에 대한 액세스 거부 -
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
위 내용 관련하여 궁금증이 해결되지 않으셨거나,
추가 문의 사항이 있으시면 저희 고객 지원 포털에 문의 남겨주시기 바랍니다.