AWS 를 운영하다가 난 서울리전말고는 다른리전에는 ec2를 생성할일이 정말 하나도 없어!! 이런경우가 있을수 있다.
하지만!!! aws console 를 무심코 사용하다보면 region 이 seoul 에서 버지니아, 상파울로, 싱가포르 등등 실수로 변경이 되는 경우가 있다.
이러한 경우 특정 리전만 허용하자!! 라는 IAM Policy 내용이다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:*"
],
"Condition": {
"StringEquals": {
"ec2:Region": "ap-northeast-2"
}
},
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:*"
],
"Condition": {
"StringEquals": {
"ec2:Region": "ap-northeast-1"
}
},
"Resource": [
"*"
]
},
{
"Effect": "Deny",
"Action": [
"ec2:*"
],
"Condition": {
"StringNotEquals": {
"ec2:Region": [
"ap-northeast-1",
"ap-northeast-2"
]
}
},
"Resource": [
"*"
]
}
]
}
위의 내용을 분석해보면 IAM 의 Condition 의 StringEquals 를 이용해서 특정 리전을 허용하며 StringNotEquals 을 이용해서 특정리전을 제외한 모든 리전에 대한 리소스를 제한한다.
AWS 업무하시는 분들은 참고!!
'AWS > IAM' 카테고리의 다른 글
| [IAM policy] Security Group 추가 제거에 필요한 권한 (0) | 2017.10.30 |
|---|---|
| [IAM policy] deny region access (0) | 2017.01.17 |
| [IAM policy] region access (0) | 2017.01.16 |