테스트 효과 SCPs 최대 크기 SCPs 조직 내 다양한 수준에 SCPs 연결하기 SCP권한에 미치는 영향 액세스 데이터를 사용하여 개선 SCPs 제한을 받지 않는 작업 및 엔티티 SCPs

서비스 제어 정책 (SCPs)

서비스 제어 정책 (SCPs) 은 조직의 권한을 관리하는 데 사용할 수 있는 조직 정책의 한 유형입니다. SCPs조직 내 IAM 사용자 및 IAM 역할에 대해 사용 가능한 최대 권한을 중앙에서 제어할 수 있습니다. SCPs계정이 조직의 액세스 제어 지침을 준수하도록 도와줍니다. SCPs모든 기능이 활성화된 조직에서만 사용할 수 있습니다. SCPs조직에서 통합 결제 기능만 활성화한 경우에는 사용할 수 없습니다. 활성화에 대한 지침은 SCPs 을 참조하십시오정책 유형 활성화.

SCPs조직의 IAM 사용자 및 IAM 역할에는 권한을 부여하지 마십시오. 는 권한을 부여하지 않습니다SCP. An은 조직의 IAM 사용자 및 IAM 역할이 수행할 수 있는 작업에 대한 권한 가드레일을 SCP 정의하거나 제한을 설정합니다. 권한을 부여하려면 관리자가 IAM사용자 및 IAM 역할에 연결된 ID 기반 정책, 계정의 리소스에 연결된 리소스 기반 정책 등 액세스를 제어하는 정책을 연결해야 합니다. 유효 사용 권한은 ID SCP 및 리소스 기반 정책에서 허용하는 항목 간의 논리적 교차점입니다.

중요

SCPs관리 계정의 사용자 또는 역할에는 영향을 주지 마십시오. 조직의 멤버 계정에만 영향을 줍니다.

주제

테스트 효과 SCPs
최대 크기 SCPs
조직 내 다양한 수준에 SCPs 연결하기
SCP권한에 미치는 영향
액세스 데이터를 사용하여 개선 SCPs
제한을 받지 않는 작업 및 엔티티 SCPs
SCP 평가
SCP 구문
서비스 제어 정책 예
서비스 제어 정책 문제 해결 (SCPs) AWS Organizations

테스트 효과 SCPs

AWS 정책이 계정에 미치는 영향을 철저하게 테스트하지 않고는 조직의 SCPs 루트에 연결하지 않는 것이 좋습니다. 대신 한 번에 하나씩, 또는 소량 단위로 계정을 옮길 수 있는 OU를 만들어 사용자가 주요 서비스를 이용하지 못하는 일이 없게 하세요. 계정이 서비스를 사용하는지 여부를 확인하는 한 가지 방법은 서비스에서 마지막으로 액세스한 데이터를 검사하는 IAM 것입니다. 또 다른 방법은 다음을 사용하는 것입니다. AWS CloudTrail API수준에서 서비스 사용을 기록합니다.

참고

F ullAWSAccess 정책을 수정하거나 허용된 작업이 포함된 별도의 정책으로 바꾸지 않는 한 제거해서는 안 됩니다. 그렇지 않으면 모두 AWS 회원 계정의 작업은 실패합니다.

최대 크기 SCPs

내 모든 문자가 최대 크기를 SCP 기준으로 계산됩니다. 이 안내서의 예제는 가독성을 높이기 위해 공백을 SCPs 추가한 서식을 보여줍니다. 하지만 정책 크기가 최대 크기에 근접한 경우 공백을 저장하려면 인용 부호 바깥에 있는 공백 문자(예: 공백 및 줄 바꿈)를 모두 삭제할 수 있습니다.

작은 정보

비주얼 에디터를 사용하여 직접 만들어 보세요. SCP 편집기가 자동으로 불필요한 공백을 제거합니다.

조직 내 다양한 수준에 SCPs 연결하기

SCPs작업 방식에 대한 자세한 설명은 을 참조하십시오SCP 평가.

SCP권한에 미치는 영향

SCPs다음과 유사합니다. AWS Identity and Access Management (IAM) 권한 정책을 사용하며 거의 동일한 구문을 사용합니다. 그러나 an은 SCP 절대 권한을 부여하지 않습니다. 대신 조직 내 IAM 사용자 및 IAM 역할에 대한 최대 권한을 지정하는 JSON 정책이 SCPs 사용됩니다. 자세한 내용은 IAM사용 설명서의 정책 평가 로직을 참조하십시오.

SCPs조직의 일부인 계정으로 관리되는 IAM사용자 및 역할에만 영향을 미칩니다. SCPs리소스 기반 정책에 직접 영향을 주지 마세요. 조직 외부 계정의 사용자 또는 역할에도 영향을 주지 않습니다. 예를 들어 조직의 A 계정이 소유하는 Amazon S3 버킷을 가정해 보겠습니다. 버킷 정책(리소스 기반 정책)은 조직 외부의 B 계정에 속한 사용자에게 액세스 권한을 부여합니다. 계정 A에는 첨부 파일이 있습니다. SCP 이는 계정 B의 외부 사용자에게는 SCP 적용되지 않으며 조직의 계정 A로 관리되는 사용자에게만 SCP 적용됩니다.
는 구성원 계정의 루트 IAM 사용자를 포함하여 구성원 계정의 사용자 및 역할에 대한 권한을 SCP 제한합니다. 각 계정은 모든 상위 계정이 허용하는 권한만 갖게 됩니다. 권한이 명시적으로 (정책 설명에 포함되지 않음) 또는 명시적으로 (Allow정책 설명에 포함됨으로써) 계정 상위 수준에서 차단되는 경우, 계정 관리자가 사용자에게*/* 권한으로 AdministratorAccess IAM 정책을 연결하더라도 영향을 받는 계정의 사용자 또는 역할은 해당 권한을 사용할 수 없습니다. Deny
SCPs조직의 구성원 계정에만 영향을 줍니다. 관리 계정의 사용자 또는 역할에는 영향을 미치지 않습니다.
사용자와 역할에는 여전히 적절한 IAM 권한 정책이 적용된 권한을 부여해야 합니다. IAM권한 정책이 없는 사용자는 액세스 권한이 없습니다. 해당하는 경우 모든 서비스와 모든 작업을 SCPs 허용하더라도 마찬가지입니다.
해당 사용자나 역할에 해당 사용자도 허용하는 작업에 대한 액세스 권한을 부여하는 IAM 권한 정책이 있는 경우 사용자 또는 역할이 해당 SCPs 작업을 수행할 수 있습니다.
해당 사용자가 허용하지 않거나 명시적으로 거부한 작업에 대한 액세스 권한을 부여하는 IAM 권한 정책이 사용자 또는 역할에 있는 경우 해당 SCPs 사용자 또는 역할은 해당 작업을 수행할 수 없습니다.
SCPs루트 사용자를 포함하여 연결된 계정의 모든 사용자 및 역할에 영향을 줍니다. 유일한 예외는 제한을 받지 않는 작업 및 엔티티 SCPs에 설명되어 있습니다.
SCPs서비스에 연결된 역할에는 영향을 주지 않습니다. 서비스 연결 역할을 통해 다른 사용자는 서비스를 사용할 수 있습니다. AWS 서비스 통합 대상 AWS Organizations 제한할 수 없습니다SCPs.
루트에서 SCP 정책 유형을 비활성화하면 모든 정책 유형이 자동으로 모든 유형에서 SCPs 분리됩니다. AWS Organizations 해당 루트에 있는 엔티티. AWS Organizations 엔티티에는 조직 단위, 조직 및 계정이 포함됩니다. SCPs루트에서 다시 활성화하면 해당 루트는 루트의 모든 엔티티에 자동으로 연결된 기본 FullAWSAccess 정책으로만 되돌아갑니다. ~의 모든 첨부 파일 SCPs AWS Organizations 이전에 SCPs 비활성화되었던 엔티티는 손실되며 자동으로 복구할 수 없지만 수동으로 다시 첨부할 수는 있습니다.
권한 경계 (고급 IAM 기능) 와 SCP a가 모두 있는 경우 경계SCP, 및 ID 기반 정책이 모두 작업을 허용해야 합니다.

액세스 데이터를 사용하여 개선 SCPs

관리 계정 자격 증명으로 로그인하면 서비스에 마지막으로 액세스한 데이터를 볼 수 있습니다. AWS Organizations 내 엔티티 또는 정책 AWS OrganizationsIAM콘솔 섹션. 다음을 사용할 수도 있습니다. AWS Command Line Interface (AWS CLI) 또는 AWS APIIAM를 눌러 서비스에서 마지막으로 액세스한 데이터를 검색합니다. 이 데이터에는 IAM 사용자와 역할이 어떤 서비스를 허용했는지에 대한 정보가 포함됩니다. AWS Organizations 계정이 마지막으로 액세스를 시도한 시기와 시간 이 정보를 사용하여 미사용 권한을 식별하여 최소 권한 원칙을 더 잘 SCPs 준수하도록 권한을 세분화할 수 있습니다.

예를 들어 세 항목에 대한 액세스를 금지하는 거부 목록이 SCP 있을 수 있습니다. AWS 서비스. Deny설명서에 SCP 나열되지 않은 모든 서비스가 허용됩니다. 서비스에서 마지막으로 액세스한 데이터에 따라 어느 데이터가 IAM 어디인지 알 수 있습니다. AWS 서비스 에서 SCP 허용하지만 사용되지는 않습니다. 이 정보를 사용하여 필요하지 않은 서비스에 대한 액세스를 SCP 거부하도록 을 업데이트할 수 있습니다.

자세한 내용은 IAM사용 설명서의 다음 항목을 참조하십시오.

제한을 받지 않는 작업 및 엔티티 SCPs

다음 작업은 SCPs 을 사용하여 제한할 수 없습니다.

관리 계정이 수행하는 모든 작업
서비스 연결 역할에 연결된 권한을 사용한 모든 작업.
루트 사용자로 Enterprise Support 플랜 등록하기
변경 AWS 루트 사용자로서의 지원 수준
CloudFront 비공개 콘텐츠를 위한 신뢰할 수 있는 서명자 기능 제공
Amazon Lightsail 이메일 서버와 EC2 Amazon 인스턴스를 루트 DNS 사용자로 역으로 구성합니다.
일부 작업의 경우 AWS관련 서비스:
- Alexa Top Sites
- Alexa Web Information Service
- Amazon Mechanical Turk
- 아마존 제품 마케팅 API

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

조직 정책 작업

SCP 평가