Amazon EC2: 특정 태그 키 값 쌍이 있는 EC2 보안 그룹을 콘솔에서 프로그래밍 방식으로 관리할 수 있도록 허용 - AWS Identity and Access Management

Amazon EC2: 특정 태그 키 값 쌍이 있는 EC2 보안 그룹을 콘솔에서 프로그래밍 방식으로 관리할 수 있도록 허용

이 예제는 동일한 태그가 있는 보안 그룹에 대해 특정 작업을 수행할 수 있는 권한을 사용자에게 부여하는 아이덴티티 기반 정책을 생성하는 방법을 보여줍니다. 이 정책은 Amazon EC2 콘솔에서 보안 그룹을 조회하고, 인바운드 및 아웃바운드 규칙을 추가 및 제거하고, Department=Test 태그가 있는 기존 보안 그룹에 대한 규칙 설명을 나열하고 수정할 권한을 부여합니다. 이 정책은 프로그래밍 방식 및 콘솔 액세스에 대한 권한을 정의합니다. 이 정책을 사용하려면 정책 예제의 기울임꼴 자리 표시자 텍스트를 본인의 정보로 대체하세요. 그런 다음 정책 생성 또는 정책 편집의 지침을 따릅니다.

JSON
{
   "Version": "2012-10-17",
   "Statement": [{
      "Effect": "Allow",
      "Action": [
         "ec2:DescribeSecurityGroups",
         "ec2:DescribeSecurityGroupRules",
         "ec2:DescribeTags"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "ec2:AuthorizeSecurityGroupIngress", 
         "ec2:RevokeSecurityGroupIngress", 
         "ec2:AuthorizeSecurityGroupEgress", 
         "ec2:RevokeSecurityGroupEgress", 
         "ec2:ModifySecurityGroupRules",
         "ec2:UpdateSecurityGroupRuleDescriptionsIngress", 
         "ec2:UpdateSecurityGroupRuleDescriptionsEgress"
      ],
      "Resource": [
         "arn:aws:ec2:region:111122223333:security-group/*"
      ],
      "Condition": {
         "StringEquals": {
            "aws:ResourceTag/Department": "Test"
         }
      }
     },     
     {
      "Effect": "Allow",
      "Action": [
         "ec2:ModifySecurityGroupRules"
      ],
      "Resource": [
         "arn:aws:ec2:region:111122223333:security-group-rule/*"
      ]
     }
   ]
}