자격 증명 기반 정책 및 기타 정책 유형 구현 - AWS Management 콘솔
지원되는 AWS 전역 조건 컨텍스트 키AWS Management 콘솔 프라이빗 액세스가 aws:SourceVpc와 함께 작동하는 방식다양한 네트워크 경로가 CloudTrail에 반영되는 방식

자격 증명 기반 정책 및 기타 정책 유형 구현

정책을 생성하고 IAM 자격 증명(사용자, 사용자 그룹 또는 역할) 또는 AWS 리소스에 연결하여 AWS에서 액세스를 관리합니다. 이 페이지에서는 AWS Management 콘솔 프라이빗 액세스와 함께 사용할 때 정책이 어떻게 기능하는지 설명합니다.

지원되는 AWS 전역 조건 컨텍스트 키

AWS Management 콘솔 프라이빗 액세스는 aws:SourceVpceaws:VpcSourceIp AWS 전역 조건 컨텍스트 키를 지원하지 않습니다. AWS Management 콘솔 프라이빗 액세스를 사용할 경우 정책에서 aws:SourceVpc IAM 조건을 대신 사용할 수 있습니다.

AWS Management 콘솔 프라이빗 액세스가 aws:SourceVpc와 함께 작동하는 방식

이 섹션에서는 AWS Management 콘솔에서 생성한 요청이 AWS 서비스에 적용할 수 있는 다양한 네트워크 경로를 설명합니다. 일반적으로 AWS 서비스 콘솔은 직접 브라우저 요청과 AWS Management 콘솔 웹 서버에서 AWS 서비스로 프록시되는 요청을 조합하여 구현됩니다. 이러한 구현은 사전 고지 없이 변경될 수 있습니다. 보안 요구 사항에 VPC 엔드포인트를 사용하는 AWS 서비스에 대한 액세스가 포함될 경우, 직접적으로든 또는 AWS Management 콘솔 프라이빗 액세스를 통해서든 VPC에서 사용하려는 모든 서비스에 대해 VPC 엔드포인트를 구성하는 것이 좋습니다. 또한 AWS Management 콘솔 프라이빗 액세스 기능과 더불어, 정책에서 aws:SourceVpce 값 대신 aws:SourceVpc IAM 조건을 사용해야 합니다. 이 섹션에서는 다양한 네트워크 경로의 작동 방식에 대한 세부 정보를 제공합니다.

사용자가 AWS Management 콘솔에 로그인하면 직접 브라우저 요청과 AWS Management 콘솔 웹 서버에서 AWS 서버로 프록시되는 요청을 조합하는 방식을 통해 AWS 서비스가 요청됩니다. 예를 들어, CloudWatch 그래프 데이터 요청이 브라우저에서 직접 이루어집니다. 반면, Amazon S3 같은 일부 AWS 서비스 콘솔 요청은 웹 서버에 의해 Amazon S3로 프록시됩니다.

직접 브라우저 요청의 경우 AWS Management 콘솔 프라이빗 액세스를 사용해도 아무것도 변경되지 않습니다. 이전과 마찬가지로, 요청은 VPC가 monitoring.region.amazonaws.com에 도달하도록 구성한 네트워크 경로를 통해 서비스에 도달합니다. VPC가 com.amazonaws.region.monitoring에 대한 VPC 엔드포인트로 구성된 경우, 요청은 해당 CloudWatch VPC 엔드포인트를 통해 CloudWatch에 도달합니다. CloudWatch에 대한 VPC 엔드포인트가 없는 경우, 요청은 VPC의 인터넷 게이트웨이를 통해 퍼블릭 엔드포인트에서 CloudWatch에 도달합니다. CloudWatch VPC 엔드포인트를 통해 CloudWatch에 도착한 요청은 IAM 조건인 aws:SourceVpcaws:SourceVpce가 각각 해당하는 값으로 설정됩니다. 퍼블릭 엔드포인트를 통해 CloudWatch에 도달하는 요청은 aws:SourceIp가 요청의 소스 IP 주소로 설정됩니다. IAM 조건 키에 대한 자세한 정보는 IAM 사용 설명서전역 조건 키를 참조하세요.

Amazon S3 콘솔을 방문할 때 Amazon S3 콘솔에서 버킷을 나열하도록 요청하는 것과 마찬가지로, AWS Management 콘솔 웹 서버에서 프록시되는 요청의 경우 네트워크 경로가 다릅니다. 이러한 요청은 VPC에서 시작되지 않으므로 해당 서비스에 대해 VPC에 구성된 VPC 엔드포인트를 사용하지 않습니다. 이 경우 Amazon S3에 대한 VPC 엔드포인트가 있더라도, 버킷 목록을 나열해달라는 Amazon S3에 대한 세션의 요청은 Amazon S3 VPC 엔드포인트를 사용하지 않습니다. 하지만 지원되는 서비스와 함께 AWS Management 콘솔 프라이빗 액세스를 사용할 경우, 이러한 요청(예: Amazon S3에 대한 요청)에는 요청 컨텍스트에 aws:SourceVpc 조건 키가 포함됩니다. aws:SourceVpc 조건 키는 로그인 및 콘솔에 대한 AWS Management 콘솔 프라이빗 액세스 엔드포인트가 배포되는 VPC ID로 설정됩니다. 따라서 자격 증명 기반 정책에서 aws:SourceVpc 제한을 사용할 경우, AWS Management 콘솔 프라이빗 액세스 로그인과 콘솔 엔드포인트를 호스팅하는 이 VPC의 VPC ID를 추가해야 합니다. aws:SourceVpce 조건은 각각의 로그인 또는 콘솔 VPC 엔드포인트 ID로 설정됩니다.

참고

사용자가 AWS Management 콘솔 프라이빗 액세스에서 지원되지 않는 서비스 콘솔에 액세스해야 하는 경우, aws:SourceIP 조건 키를 사용하여 사용자의 ID 기반 정책에 예상 퍼블릭 네트워크 주소(예: 온프레미스 네트워크 범위) 목록을 포함해야 합니다.

다양한 네트워크 경로가 CloudTrail에 반영되는 방식

AWS Management 콘솔에서 생성한 요청에 의해 사용되는 다양한 네트워크 경로가 CloudTrail 이벤트 기록에 반영됩니다.

직접 브라우저 요청의 경우 AWS Management 콘솔 프라이빗 액세스를 사용해도 아무것도 변경되지 않습니다. CloudTrail 이벤트에는 서비스 API 호출에 사용된 VPC 엔드포인트 ID 등 연결에 대한 세부 정보가 포함됩니다.

AWS Management 콘솔 웹 서버에서 프록시되는 요청의 경우 CloudTrail 이벤트에 VPC 관련 세부 정보가 포함되지 않습니다. 하지만 브라우저 세션을 설정하는 데 필요한 AWS 로그인에 대한 초기 요청(예: AwsConsoleSignIn 이벤트 유형)에는 이벤트 세부 정보에 AWS 로그인 VPC 엔드포인트 ID가 포함됩니다.