Access Control via IAM

이 가이드는 특정 계정에 대한 접근 제한을 구성하는 방법을 안내합니다. 이를 통해 승인된 IP 주소에서만 Storage Bucket 콘텐츠에 접근할 수 있도록 설정할 수 있습니다. 승인되지 않은 IP 주소의 접근 시도는 거부되어, 무단 사용으로부터 콘텐츠를 보호합니다.

사전 조건

• 서로 다른 계정의 접근을 제어하기 위해 반드시 IAM(Identity and Access Management)을 사용해야 하며, 사용 가능한 AccessKey 및 AccessKey Secret 쌍이 필요합니다.
• IAM을 사용하기 전에 접근을 제한할 계정에 최소 한 세트의 이러한 자격 증명이 있는지 확인해야 합니다.
• IAM 권한은 Storage Bucket에 직접 접근하는 경우에만 영향을 미치며, CDN의 원본 복원 요청에는 영향이 없습니다.

IAM 작업에 대한 추가 정보는 IAM 문서를 참조하시기 바랍니다.

예시 시나리오

하위 계정의 접근을 IP 주소로 제한하기

예를 들어, 하위 계정 "alvin"이 오브젝트 스토리지(Object Storage)에 “27.148.104.22” IP 주소를 통해서만 접근하도록 제한해야 하는 경우, 다음 단계를 따라 주십시오:

1. CDNetworks 콘솔에 로그인합니다. IAM > 권한 > 정책 메뉴로 이동한 후, 정책 추가를 클릭하여 새 권한 정책을 생성합니다.

2. **시각화(Visualized)**를 선택한 후, **비CDN 제품 서비스(Non-CDN Product Services)**에서 **Object Storage(wos)**를 선택하고 **다음(Next)**을 클릭합니다.

   

3. Allow, All Actions, All Resources를 선택합니다.

   

4. 제한 조건을 설정합니다:

   • 키워드로 SourceIp를 선택합니다.
   • 조건으로 StringNotEquals를 선택합니다.
   • 허용할 IP 주소인 "27.148.104.22"를 해당 공간에 입력합니다.
   

5. 정책에 이름을 지정한 후 다음을 클릭하여 계속 진행합니다.

6. 정책을 “alvin” 계정에 할당하고 완료를 클릭하여 설정을 마칩니다.

   

IAM 구성 확인

콘솔 액세스를 통한 검증

서브 계정 "alvin"으로 로그인합니다. 인가되지 않은 IP 주소(즉, "27.148.106.28"이 아닌)에서 접속할 경우, 어떤 버킷도 표시되지 않아야 하며, 설정이 올바르다면 "There is no corresponding access rights"라는 알림이 나타납니다.

파일 URL 접근으로 검증

스토리지 버킷에서 접근 가능한 파일 URL을 복사합니다. 다음 명령줄을 사용하여 비인가 IP 주소에서 해당 파일에 접근을 시도하세요.

curl -voa "http://test20240103.s3-cn-east-7.wcsapi.com/IMG_3413.jpeg?Signature=%AHYRGqm0WL%2FZc%3D&AWSAccessKeyId=Cis17pTPsW2rwYdxaUZ7RZpxype&Expires=14611"

403 Forbidden 응답은 귀하의 IAM 구성(설정)이 정상적으로 활성화되어 제대로 동작하고 있음을 확인시켜 줍니다.