[AWS Academy] AmazonEC2ReadOnlyAccess 정책(관리형 IAM 정책)

AmazonEC2ReadOnlyAccess 정책(관리형 IAM 정책)

AmazonEC2ReadOnlyAccess는 AWS에서 제공하는 관리형 IAM 정책(Managed Policy) 중 하나입니다. 이 정책을 사용자(User), 그룹(Group), 역할(Role)에 연결하면 해당 주체는 Amazon EC2 리소스를 읽기 전용(Read-Only)으로 조회할 수 있습니다.

AmazonEC2ReadOnlyAccess 권한이 설정된 그룹

---

1. 주요 목적

• 조회 전용 권한 부여
  EC2 인스턴스나 스냅샷, AMI, 보안 그룹, 네트워크 인터페이스 등의 정보를 조회할 수 있지만, 생성·수정·삭제는 불가능합니다.
• 운영 모니터링 용도
  시스템 관리자, 감사 담당자, 모니터링 툴 등이 EC2 리소스를 확인할 때 안전하게 사용할 수 있습니다.

---

2. 포함된 권한

ec2:Describe* 와 같은 조회 계열 API 호출 권한을 주로 포함합니다. 예를 들어:

• ec2:DescribeInstances → 인스턴스 목록과 상태 확인
• ec2:DescribeVolumes → EBS 볼륨 확인
• ec2:DescribeSecurityGroups → 보안 그룹 조회
• ec2:DescribeImages → AMI 목록 조회
• ec2:DescribeSnapshots → 스냅샷 확인

즉, Describe, Get, List 계열 API만 허용되고, RunInstances, TerminateInstances, DeleteVolume 같은 변경 계열 API는 허용되지 않습니다.

---

3. 사용 예시

• 보안 팀 / 감사 팀
  리소스 현황을 확인하지만 직접 수정 권한은 주지 않을 때.
• 모니터링 도구
  CloudWatch, 외부 관리 툴에서 EC2 리소스 상태를 수집할 때.
• 개발자
  운영 중인 인스턴스를 참고하거나 학습용으로 조회만 필요할 때.

---

4. 주의 사항

• 읽기 전용이므로 사고(삭제·변경) 위험은 거의 없지만,
  민감한 정보(예: 퍼블릭 IP, 보안 그룹 규칙, AMI ID)는 노출될 수 있으니 접근 주체를 신중히 관리해야 합니다.
• EC2 외 다른 서비스는 포함하지 않습니다. (예: S3, RDS는 불가)
• 필요하다면 CloudWatchReadOnlyAccess, AmazonS3ReadOnlyAccess 등과 조합하여 사용할 수 있습니다.