피드로 돌아가기
Dev.toSecurity
원문 읽기
IAM Explicit Deny 우회를 통한 Bedrock Agent 배포 시간 3주에서 30초로 단축
The iam: PassRole Nightmare - 3 Weeks of My Life I Will Never Get Back
AI 요약
Context
Enterprise 환경의 Managed Policy 내 iam:PassRole에 설정된 Explicit Deny로 인한 Bedrock Agent 배포 불가 상황. AdministratorAccess 권한 보유 여부와 무관하게 최우선 적용되는 IAM 평가 로직으로 인해 CLI 기반 리소스 생성이 차단된 구조적 한계 존재.
Technical Solution
- User Identity 대신 CloudFormation Service Role을 활용한 권한 위임 구조 설계
- IAM Evaluation Chain(SCP → Permission Boundary → Managed Policy → Inline Policy → Resource Policy) 분석을 통한 병목 지점 식별
- 개발자 역할의 Explicit Deny 영향을 받지 않는 별도의 서비스 역할(cloudformation-service-role)에 iam:PassRole 권한 부여
- 인프라 프로비저닝 전용 역할의 권한을 통해 Bedrock Agent 및 Execution Role 간의 연결 고리 확보
- 최소 권한 원칙(Least Privilege) 기반의 특정 ARN 패턴으로 Scope를 제한한 정책 정의
실천 포인트
- IAM AccessDeniedException 발생 시 SCP, Permission Boundary, Managed Policy의 Explicit Deny 여부 우선 확인 - 플랫폼 팀 요청 시 "권한 추가"가 아닌 구체적인 "Action + Resource ARN" 기반의 JSON 정책 제출 - POC 단계에서 Enterprise 배포 전, 대상 환경의 IAM Evaluation Chain에 대한 Architecture Review 선행 - 인프라 배포 시 User CLI 대신 CloudFormation 등 IaC 도구의 Service Role 활용 가능성 검토