[aws] IAM JSON 정책 파헤치기 / IAM ARN

 

 

이 글의 일부는 aws 공식문서의 내용을 참조하였음을 밝힙니다.

 

 

📌 IAM JSON  

 

1. Statement : 실질적인 내용을 묶어주는 큰 틀이라고 볼 수 있는데 하나일 수도 있고 여러 개 일 수도 있기 때문에 일부 정책에서는 SID 같은 라인도 생긴다.

2. Effect : Allow 와 Deny로 구분되며, 특정 API의 인허가 여부이다.

3. Principal : AdministratorAccess의 JSON의 경우 Principal이 생략되어있는데, 이 부분은 특정 정책이 적용될 사용자 계정 or 역할로 구성된다. root 계정이면 root 혹은 추후 생성되는 asdf IAM 사용자가 될 수 있다.

4. Action : 은 Effcet에 기반하여 거부되거나 승인되는 Get 같은 API 호출의 목록이다.  

5. Resource : 요소는 문에서 다루는 객체를 지정한다. Resource또는 NotResource요소가 반드시 추가되어야 하며 리소스는 ARN을 사용하여 지정할 수 있다. ARN과 관련된 부분은 어려울 것 같으니 밑에서 설명하겠다.

6. Condition : 또한 다루고 있지 않는데 이것은 Statement가 언제 적용될지를 결정한다.

 

 

 

JSON 예시

 

 

 

 

다음은 AWS 계정에서 Bob이라는 이름의 IAM 사용자를 나타내는 예시이다. 

 

 

 

 

 

 

📌 IAM ARN

 

 

위에서 정책의 JSON 표기에 알아보았다면 이번엔 세부적으로 Resource 부분에서 어떤식으로 표기하는지 알아보고자 한다.

다른 부분들은 직관적으로 그 쓰임새를 알기 쉽지만 Resource는 헷갈리고 직관적으로 알기 어려운 부분이기도 하여서 따로 정리하게되었다. ARN 은 Amazon Resource Number의 약자로 AWS 서비스를 생성할 때 생성되는 일련번호를 말한다.  AWS는 각각의 서비스에서 만든 리소스들을 ARN으로 구분하고 ARN이 다르면 서로 다르게 취급한다. 

 

 

 

 

 

 

• partition은 리소스가 위치하는 파티션을 식별한다. 표준 AWS 리전에서 파티션은 aws이며 리소스가 다른 파티션에 있는 경우 파티션은 aws-partitionname이 된다 . 예를 들어 중국(베이징) 리전에 있는 리소스의 파티션은 aws-cn이 되겠다.
• service는 s3, lambda와 같은 서비스를 식별한다
• region은 리소스의 리전을 식별합니다. IAM 리소스의 경우 항상 공백이다.
• account은(는) 하이픈이 없는 AWS 계정 ID를 지정한다.
• resource는 특정 리소스를 이름으로 식별한다.  resource 또는 resource-type-  이 ARN 부분의 내용은 서비스별로 다르며. 리소스 식별자는 리소스의 이름 또는 ID일 수 있다. 

 

- ARN 예시

 

예제에서는 S3 ARN을 사용할 것이다. 이 S3 ARN은 경로와 파일이 지정되었음을 보여준다. 일부 리소스 식별자에는 상위 리소스 (sub-resource-type/parent-resource/sub-resource) 로 표기되는데 S3의 예시로 그 표기법을 볼 수 있다.

 

 

 

 

 

 

 

이 경우 s3서비스 exaplebucket 디렉토리안에 my-data/sales-export-2019-q4.json의 리소스만을 표기한다.

하지만 대부분의 s3 사용의 경우 버킷의 모든 리소스들에 권한이 필요하기 때문에 아래와 같이 ARN에서 와일드카드를 사용한다.

 

 

 

 

 

혹은 특정 디렉토리에만 리소스를 허용하고 싶은 경우 하위 디렉토리 부분에서 와일드 카드를 사용하여 일부 리소스에 대한 디렉토리에만 와일드카드를 사용하여 ARN을 표기할 수 있다.

 

 

 

 

 

 

 

 

 출처:  https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns [aws 공식문서]