IP 기반으로 IAM User 접근을 제어해보자
내 접속환경은 Wifi 연결시 IP가 193이고, 이더넷 연결시 IP가 204이다.
IAM User에 대해서 Wifi IP(193)만 허용하도록 제한해보았다.
1.
Test IAM User 생성
2.
Inline Policy 추가 예시
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"x.x.x.193/32"
]
},
"Bool": {"aws:ViaAWSService": "false"}
}
}
}
Shell
복사
3.
Inline Policy 생성 완료
테스트
1.
이더넷 환경에서 IAM User로 Console 접속 → 로그인은 되지만 API 호출이 모두 실패한다.
2.
Wifi 환경에서 IAM User로 Console 접속 → 정상적으로 Administrator 권한을 사용할 수 있다.
결과
간단한 테스트를 위해서 Wifi와 Ethernet으로 확인해보았다.
•
사용자에게 회사 IP 대역만 추가해주는 등의 설정이 가능하다.
•
사설 IP를 통한 IP 제어는 불가능하다.
•
AWS CLI도 동일하게 작동한다. (API를 호출하기 때문에)