안녕하십니까?
곰군 입니다.
보안 강화를 위해서 특정 IP를 제외하고는 AWS 콘솔에 대한 접근을 통제할 수 있습니다.
하기와 같이 특정 SourceIp를 제외하고는 모든 리스소와 모든 액션에 대해 Deny를 설정하면됩니다.
다만, 몇가지 주의할 점이 있습니다.
1. iam 정책에서는 프라이빗ip 대한 내용은 반영이 안된다는 점입니다.
공인ip를 넣어서 등록해서 제어하시길 바랍니다.
2. IAM 정책 우선순위: AWS IAM 정책의 우선순위를 이해하고, 다른 정책과 충돌이 없는지 확인하십시오.
Deny가 Allow보다 우선하기 때문에 필요한 경우 Deny 규칙에 예외를 설정해야 할 수도 있습니다.
3. 관리자 계정 혹은 IP 제외: 관리자 계정이나 중요한 서비스 계정이 차단되지 않도록 정책을 적용할 때 주의해야 합니다. 필요시 별도의 예외 규칙을 추가할 수 있습니다.
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"X.X.X.X/24",
"X.X.X.X/32"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
댓글