[SAA]Priority of IAM policies(정책 적용 우선순위)?

IAM 사용자 권한 허용이 그룹 중복 허용, 개별 inline 정책 적용 된다는 건 알겠다.

그렇다면 policies 적용의 우선순위는 어떻게 될까?

 

 

답은

한 군데라도 명시적 접근 허용 => 허용

한 군데라도 명시적 접근 거부 => 거부 되시겠다.

 

하긴 생각해보면 암행어사가 양민으로 잠입했다고 신분이 권한이 축소되면 곤란하지 않겠나

 

+)권한 경계 설정이란?

그룹 소속이나 권한을 축소하고 싶을때, 관리형 정책을 설정해주게 된다.

관리형 정책으로 Access 접근 범위 설정이 가능하다.

그룹 policy 우선 적용이 아닌 개별 scope만 접근 허용되게 울타리를 쳐주는 셈으로

 

신규 직원이 스파이인 걸 감안해서 허용 영역을 제한한다 생각하면 되겠다.