AWS IAM으로 그룹 및 사용자 별로 AWS Resource 사용을 제한하고 있는데, 특정 EC2 인스턴스의 Type을 변경해야 하는 요청이 있었다.
EC2 인스턴스는 Tag를 추가하여 사용하고 있어, 특정 Tag(Env가 Test인 경우)에 한하여 권한을 주고자 아래과 같은 Policy를 작성하여 적용 하였다.
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:ModifyInstanceAttribute"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Env": "Test"
}
}
}
]
}
그러나 정상적으로 동작을 하지 않는 것이다. 여러가지 시도를 하였으나 인증 관련 에러가 발생이 되고 있었다.
여러 삽질끝에도 처리가 되지 않아 AWS Support에 물어 보니, 현재 ModifyInstanceAttribute는 resource-level 별로 권한을 주지 않는다는 답변을 전달 받았다. 그래서 어쩔 수 없이 아래와 같이 특정 Tag를 가지는 인스턴스가 아닌 전체 인스턴스를 대상으로 권한을 주어 처리 하였다.
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:ModifyInstanceAttribute"
],
"Resource": "*",
}
]
}'AWS' 카테고리의 다른 글
| AWS Cloud 2016 발표 후기 (0) | 2016.01.11 |
|---|---|
| AWS Region 선택의 중요성 (0) | 2016.01.11 |
| Amazon Cognito에 대한 날림 정리 (0) | 2015.07.21 |
| AWS 계정 관리 (0) | 2015.05.20 |
| AWS Identity and Access Management(IAM) (0) | 2014.09.21 |