개인정보 점검 준비 중에 관리자 접근 권한을 IP로 제한해야 한다는 요건이 확인되었습니다. Access Key 또는 IAM user에 대하여 IP를 제한할 수 있는 방안이 있을까요?

Answer

아래 예제에서는 지정된 IP 범위를 벗어나는 보안 주체에서 요청이 오는 경우, 계정의 모든 AWS 작업에 대한 액세스를 거부합니다. 이 정책은 프로그래밍 방식(CLI) 및 콘솔 액세스에 대한 권한을 정의합니다.

아래 예제는 소스 IP "192.0.2.0/24"와 "203.0.113.0/24"를 제외한 모든 IP를 Deny하는 정책입니다. 즉, 해당 IP만 AWS 작업을 허용하는 정책입니다.

소스 IP 부분을 사용자 환경에 맞게 변경하시어 사용하시면 됩니다.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24"
                ]
            },
            "Bool": {"aws:ViaAWSService": "false"}
        }
    }
}

IAM 콘솔에서 새로운 사용자 그룹을 생성하시어 해당 그룹에 아래 정책을 부여하시는 방법으로 진행하셔도 되고, 각 IAM user에 정책을 추가하셔도 됩니다.

참조 링크: #1 AWS: 소스 IP를 바탕으로 AWS에 대한 액세스 거부 - https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html

• AWS의 Public IP 할당을 하게 되면, 동적 IP가 할당됩니다. 중지시키면 반납되며, 시작되면 새로운 IP를 할당 받습니다.
• 따라서, 고정 IP가 필요한 경우는 Elastic IP를 사용해야 합니다.

* Public 구간은 최소화 하셔야 합니다 * Elastic IP를 추가 할당 받으시기 이전에, 꼭 필요한 리소스인지 검토하여 보시고 보안 그룹도 다시 한 번 살펴보시기 바랍니다.

기본적으로 모든 AWS 계정은 region당 5개의 Elastic IP 주소로 제한됩니다.

인스턴스 장애 시 주소를 다른 인스턴스로 다시 매핑하는 기능이 필요할 때는 Elastic IP 주소를 주로 사용하고, 다른 모든 노드 간 통신에는 DNS 호스트 이름을 사용하는 것이 좋습니다.

2. Elasitc IP 개수 limit 확인

아래의 과정을 통해 현재 계정의 Elastic IP 개수 limit을 확인할 수 있습니다.

Amazon EC2 콘솔 -> 탐색 창에서 [제한] 선택 -> 검색 필드에 IP 입력

3. Elasitc IP 개수 증량 요청

AWS Case open을 통하여 Elastic IP 개수 증량 요청을 할 수 있습니다.

a. Amazon 홈페이지 우측 상단의 Support -> Support Center 진입
b. Create Case
    - Regarding: Service Limit Increase
    - Limit Type: Elastic IPs -> region 선택 -> 새로운 limit 입력
c. 하단에 내용 작성 후 Submit

한 번에 너무 많은 수량을 요청할 경우에는 증가 사유에 대해서 소명해야 할 수 있으며 이 경우 처리에 시간이 소요될 수 있습니다.

빠를 경우 30분 내에 처리될 수 있으나, 최대 2~3일까지 소요될 수 있습니다.

참조 링크: #1 탄력적 IP 주소 제한 - https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-limit