AWS IAM 정책의 허용 여부 결정 프로세스는 다음과 같다.
1. 명시적 거부 : 요청에 대한 모든 정책 문서에서 Deny를 탐색하고 존재할 시 무조건 거부
2. 명시적 허용 : 요청에 대해 Allow일 때 같은 요청에 대한 명시적 거부가 없다면 허용한다.
3. 묵시적 거부 : 명시되지 않은 항목에 대한 모든 요청은 기본적으로 거부된다.
위 번호 순서대로 우선순위를 가지게 되며
해당 우선순위는 IoT Core의 정책 등 다른 서비스에서도 동일하게 작동한다.
IAM에선 한 그룹 혹은 사용자가 여러 정책을 attach할 수 있으며
IoT Core에서도 기기 그룹 혹은 기기가 여러 정책을 attach할 수 있기 때문에
서로 Allow-Deny로 상충되는 항목이 있다면 Deny가 우선된다는 것이다.
'Infra' 카테고리의 다른 글
| Terraform 403 error (0) | 2021.07.15 |
|---|---|
| AWS Role-base (0) | 2021.01.04 |
| 내부 로드 밸런서란? (0) | 2020.12.10 |
| AMI 생성 간 컨테이너 상태에 관한 이슈 (0) | 2020.12.10 |
| aws ec2 인스턴스 사용자 데이터 (0) | 2020.12.09 |
