Access Restriction via IAM

이 가이드는 특정 계정에 대한 액세스 제한을 구성하는 방법을 설명하며, 승인된 IP 주소에서만 스토리지 버킷 콘텐츠에 접근할 수 있도록 보장합니다. 승인되지 않은 IP 주소에서의 접근 시도는 거부되며, 이를 통해 콘텐츠를 무단 사용으로부터 보호할 수 있습니다.

사전 준비 조건

• IAM (Identity and Access Management)을 사용하여 다른 계정의 액세스를 제어해야 하며, 이를 위해 AccessKey와 AccessKey Secret 한 쌍이 필요합니다.
• IAM을 사용하기 전에, 제한하려는 계정이 이러한 자격 증명 세트를 최소한 하나 이상 가지고 있는지 확인해야 합니다.
• IAM 권한은 스토리지 버킷에 대한 직접 액세스에만 영향을 주며, CDN의 원본 요청에는 영향을 주지 않습니다.

IAM 작업에 대한 더 자세한 내용은 IAM documentation을 참조하세요.

예시 시나리오

IP 주소를 통한 서브 계정 액세스 제한

예를 들어, 서브 계정 "alvin"이 IP 주소 "27.148.104.22"를 통해서만 Object Storage에 접근할 수 있도록 제한하려면 다음 단계를 따르세요:

1. CDNetworks 콘솔에 로그인합니다. IAM > Permissions > Policies로 이동한 뒤 Add Policy를 클릭하여 새 권한 정책을 생성합니다.

2. Visualized를 선택하고, Non-CDN Product Services에서 **Object Storage (wos)**를 선택한 뒤 Next를 클릭합니다.

   

3. Allow, All Actions, All Resources를 선택합니다.

   

4. 제한 조건을 설정합니다:

   • 키워드로 SourceIp를 선택
   • 조건으로 StringNotEquals를 선택
   • 허용할 IP 주소 "27.148.104.22"를 입력
   • 양식을 설정한 후 Next를 클릭하여 다음 단계로 진행하세요
   

5. 정책 이름을 지정한 후 Next를 클릭합니다.

6. 정책을 “alvin” 계정에 할당하고 Finish를 클릭하여 설정을 완료합니다.

   

IAM 구성 검증

콘솔 접속을 통한 검증

서브 계정 "alvin"으로 로그인합니다. 허용되지 않은 IP 주소(예: “27.148.106.28”)에서 접속 시 버킷이 표시되지 않아야 하며, "There is no corresponding access rights"라는 알림이 나타나면 구성이 올바르게 적용된 것입니다.

파일 URL을 통한 검증

스토리지 버킷에서 접근 가능한 파일 URL을 복사한 후, 비승인 IP 주소에서 다음 명령줄을 사용하여 접근을 시도합니다:

curl -voa "http://test20240103.s3-cn-east-7.wcsapi.com/IMG_3413.jpeg?Signature=%AHYRGqm0WL%2FZc%3D&AWSAccessKeyId=Cis17pTPsW2rwYdxaUZ7RZpxype&Expires=14611"

403 Forbidden 응답이 나타나면 IAM 설정이 정상적으로 작동하고 있음을 의미합니다.