개요

권한을 가지고 있음에도 S3에서 kms:decrypt explict denied가 발생했던 건입니다.

<Message>User: arn:aws:sts::....:assumed-role/Smileshark-sysadmin/smileshark_bjchoi is not authorized to perform: kms:Decrypt on resource: arn:aws:kms:ap-northeast-2:.....:key/0a0f650c-8736-491b-8cc8-2d248f57e1cb with an explicit deny in an identity-based policy</Message>

{
    "eventVersion": "1.11",
    "userIdentity": {
      ....
        },
        "invokedBy": "AWS Internal"
    },
    ...
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "sessionCredentialFromConsole": "true"
}

InvokedBy를 확인해보면 AWS Internal이 호출 했다는 것을 확인할 수 있습니다. 하지만 IP 권한 정책을 설정하는 과정에서 AWS를 경유하여 들어오는 경우 사용자 정책 상의 소스IP와 일치되지 않아 차단될 수 있습니다.

"Bool": {
    "aws:ViaAWSService": "false"
}

따라서 ViaAWSService 를 false 로 설정하여 해당 요청이 AWS를 경유할 경우 요청이 차단되지 않도록 설정합니다.

즉, AWS 서비스 경유가 아닌 요청에 대해서만 IP를 적용하는 것입니다.

• https://support.bespinglobal.com/ko/support/solutions/articles/73000544833--aws-aws-%EC%86%8C%EC%8A%A4-ip%EB%A5%BC-%EB%B0%94%ED%83%95%EC%9C%BC%EB%A1%9C-aws%EC%97%90-%EB%8C%80%ED%95%9C-%EC%95%A1%EC%84%B8%EC%8A%A4-%EA%B1%B0%EB%B6%80