어라 AWS가 Public인데 어떻게 접근을 못하게 막지?
결론은 AWS의 WEB Console로 접근을 못하게 막을 수는 없다.
하지만 IAM설정으로 로그인 하는 사용자에게 특정 아이피를 제외하고 아무것도 못하게 막을수 있다.
IAM에서 Create Policy를 하여 json형태에 아래와 같이 넣어주고 사용자 및 그룹에 policy를 추가하면 된다.
특정 IP 접근제어로 검색하면 아래와 같이 설정하라고 나온다.
다음 링크처럼...
{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": {"NotIpAddress": {"aws:SourceIp": [ "
192.0.2.0/24",
"203.0.113.0/24"
]}}
}
}위에 대하여 설명하면
192.0.2.0/24 대역에 있는 아이피와 203.0.113.0/24 대역의 아이피만 접근해 !! 다른 아이피는 전부 Deny야 권한이 없어~!!위에 NotInAddress에 고객의 NAT IP를 설정하면 외부에서는 로그인이 가능해서 권한이 없어 업무를 수행할 수 없다.
그런데 얼마전부터 CodeCommit이 접근이 안되는거다.
접근이 가능한 아이피 임에도 CodeCommit 버킷을 생성할 수 없고 접근도 안된다. 앗 머지 OTL
한 2~3일 이것도 해보고 저것도 해봤지만 안되서 AWS joonkim 님께 SOS~!
다행이 joonkim님이 찾아주셨다. ㅋㅋ
원인은 CodeCommit이 KMS를 이용하는데 KMS에 접근을 할 수 없어서 발생하는 사항 같다고 하셨고.
"혹시 NotAction에 kms를 넣으면 되지 않을까요?" 라고 ㅋㅋ
그래서 결론은 아래와 같이 설정하면 CodeCommit도 정상동작한다.
{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "NotAction": ["kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:DescribeKey"
], "Resource": "*", "Condition": {"NotIpAddress": {"aws:SourceIp": [ "
192.0.2.0/24",
"203.0.113.0/24"
]}}
}
}
댓글 없음:
댓글 쓰기