# IAM Advanced Policy 02

## IAM JSON 정책의 구성 요소
- Version : JSON 정책 버전. "2012-10-17"로 설정 권장(최신 버전)
- Statement : 아래 내용들을 담은 논리적 단위
    - Sid(Optional) : Statement ID
    - Effect : Allow or Deny
    - Principal : 주로 리소스 기반 정책에서 "누가"에 해당하는 값
        - 예 : S3 버킷 정책에서 "누가" 이 파일에 접근할 수 있는가에 대한 ARN
    - Action : Allow or Deny 할 행동
    - Resource : Action의 대상이 되는 리소스
    - Condition(Optional) : 이 정책이 적용되는 조건

### Action
- 특정 Allow / Deny할 Action을 정의
- 예 : s3:GetObject
- 와일드카드로 모든 Action 표현 가능
    - 예 : ec2:*
- List로 설정 가능
    - 예 : ["s3:*","ec2:*"]

### NotAction
- 지정한 Action 이외에~ 에 해당하는 조건을 정의
- 예: "Effect":"Allow","NotAction":"s3:DeleteBucket","Resource":"arn:aws:s3:::*"

### Resource
- "무엇을"에 해당하는 내용을 정의
- ARN을 사용해 리소스 표현
    - 예 : "arn:aws:dynamodb:us-east-2:12345678:table/books_table",
- 리스트 및 와일드카드로 여러 리소스 표현 가능
- Variable 사용 가능
    - 예 : "arn:aws:dynamodb:us-east-2:account-id:table/${aws:username}"

### NotResource
- "이것을 제외하고"에 해당하는 내용을 정의
- 예 : 특정 버킷을 제외한 모든 버킷에 대해~

### Condition
- IAM 정책의 적용 조건을 판별 가능
- 예 : "Condition":{StringLike":{"s3:prefix":"marketing/*"}}
- StringLike는 대소문자 구분 매칭. 와일드카드 사용 가능. 여러 스트링 포함 가능
- 따라서 s3 패스가 marketing인 경우를 허용

### Condition - Wildcard
- "*" : 길이 제한 없는 와일드카드
    - 예 : "Resource":"arn:aws:s3:::*-bucket*"
    - arn:aws:s3:::12345678-bucketfortest
- ? : 길이 한 글자 와일드카드
    - 예 : "Resource":"arn:aws:dynamodb:*.*:table/test?table"
    - arn:aws:dynamodb:us-east-1:12345678:table/test_table
    - arn:aws:dynamodb:us-east-1:12345678:table/test-table

### Condition - Numeric
- 숫자가 같거나, 크거나, 작거나 등등 조건 설정 가능

### Condition - Date
- 날짜, 시간이 같거나 크거나 작거나 등등 조건 설정 가능

### Condition - 기타
- 불리안
- 아이피주소
- ARN 매칭
- BynaryEquals : Base 64 바이너리 체크
- IfExists
    - 만약 존재한다면을 체크
    - 컨디션 Operator에 IfExists를 붙여서 체크
    - 예 : StringLikeIfExists : String이 있다면 비교하겠다

### AWS Variable
- aws:CurrentTime : 현재 시간 비교
- aws:EpochTime : 현재 유닉스 타임
- aws:TokenIssueTime : 임시 자격 증명에서 토큰이 발급된 시간(assume 된 시간)
- aws:PrincipalType : 권한 행사 주체의 타입 (Account, User, FederatedUser, AssumedRole)
- aws:SecureTransport : SSL 통신으로 권한이 행사 중인지 체크
- aws:SourceIP : Source IP
- aws:UserAgent : 유저 에이전트 정보(변조 가능)
- aws:userid : IAM Unique Identifiers
    - IAM Unique Identifiers : IAM 아이덴티티가 사용하는 유니크 구분 키
        - AKIA : Access key
        - AIDA : IAM User
- aws:username : AWS 유저 이름
- ec2:SourceInstanceARN : IAM Role을 사용해서 EC2에 요청을 한 경우에만 사용. Source Instance ARN