서비스 제어 정책(SCP)
서비스 제어 정책(SCP)은 조직의 권한을 관리하는 데 사용할 수 있는 조직 정책 유형입니다. SCP는 조직 내 모든 IAM 사용자 및 IAM 역할에 대해 사용 가능한 최대 권한을 중앙에서 제어합니다. SCP를 사용하면 조직의 액세스 제어 지침에 따라 계정을 유지할 수 있습니다. SCP는 활성화된 모든 기능을 가진 조직에서만 사용할 수 있습니다. 조직이 통합 결제 기능만 지원한다면 SCP를 이용할 수 없습니다. SCP 활성화에 대한 지침은 정책 유형 활성화 단원을 참조하세요.
SCP는 조직 내 IAM 사용자 및 IAM 역할에 권한을 부여하지 않습니다. SCP는 어떠한 권한도 부여하지 않습니다. SCP는 조직 내 IAM 사용자 및 IAM 역할이 수행할 수 있는 작업에 대한 권한 가드레일을 정의하거나 제한을 설정합니다. 권한을 부여하려면 관리자가 IAM 사용자 및 IAM 역할에 연결된 자격 증명 기반 정책, 계정의 리소스에 연결된 리소스 기반 정책 등 액세스를 제어하는 정책을 연결해야 합니다. 유효 권한은 SCP가 허용하는 권한과 ID 및 리소스 기반 정책이 허용하는 권한 간의 논리적 교집합입니다.
중요
SCP는 관리 계정의 사용자 또는 역할에 영향을 미치지 않습니다. 조직의 멤버 계정에만 영향을 줍니다.
주제
SCP의 효과 테스트
AWS는 정책이 계정에 미치는 영향을 철저히 검증하지 않았다면 SCP를 조직의 루트에 연결하지 않는 것을 적극 권장합니다. 대신 한 번에 하나씩, 또는 소량 단위로 계정을 옮길 수 있는 OU를 만들어 사용자가 주요 서비스를 이용하지 못하는 일이 없게 하세요. 서비스가 계정에 사용되는지 확인하는 한 가지 방법은 IAM에서 마지막으로 데이터를 액세스한 서비스를 살펴보는 것입니다. 또 다른 방법은 AWS CloudTrail을 사용하여 API 수준의 서비스 사용량을 기록하는 것입니다.
참고
FullAWSAccess 정책을 수정하거나 허용된 작업이 포함된 별도의 정책으로 대체하지 않는 한 이 정책을 제거해서는 안 됩니다. 그렇지 않으면 멤버 계정의 모든 AWS 작업이 실패합니다.
SCP의 최대 크기
SCP 내 모든 문자는 최대 크기를 기준으로 계수됩니다. 이 설명서의 예제는 가독성을 높이기 위한 추가 공백으로 포맷된 SCP를 보여 줍니다. 하지만 정책 크기가 최대 크기에 근접한 경우 공백을 저장하려면 인용 부호 바깥에 있는 공백 문자(예: 공백 및 줄 바꿈)를 모두 삭제할 수 있습니다.
작은 정보
시각적 편집기를 사용하여 SCP를 작성합니다. 편집기가 자동으로 불필요한 공백을 제거합니다.
조직 내 여러 수준에 SCP 연결하기
SCP가 작동하는 방식에 대한 자세한 설명은 SCP 평가을(를) 참조하세요.
권한에 대한 SCP 효과
SCP는 AWS Identity and Access Management(IAM) 권한 정책과 유사하며 거의 같은 구문을 사용합니다. 그러나 SCP는 권한을 부여하지는 않습니다. 대신 SCP는 조직 내 IAM 사용자 및 IAM 역할에 대한 최대 권한을 지정하는 JSON 정책입니다. 자세한 내용은 IAM 사용 설명서의 정책 평가 로직을 참조하세요.
-
SCP는 조직에 속한 계정이 관리하는 IAM 사용자 및 역할에만 영향을 줍니다. SCP는 리소스 기반 정책에 직접 영향을 주지 않습니다. 조직 외부 계정의 사용자 또는 역할에도 영향을 주지 않습니다. 예를 들어 조직의 A 계정이 소유하는 Amazon S3 버킷을 가정해 보겠습니다. 버킷 정책(리소스 기반 정책)은 조직 외부의 B 계정에 속한 사용자에게 액세스 권한을 부여합니다. A 계정에는 SCP가 연결되어 있습니다. 해당 SCP는 B 계정의 외부 사용자에게 적용되지 않습니다. 이 SCP는 조직의 A 계정이 관리하는 사용자에게만 적용됩니다.
-
SCP는 멤버 계정의 IAM 사용자 및 역할(멤버 계정의 루트 사용자 포함)에 대해 권한을 제한합니다. 각 계정은 모든 상위 계정이 허용하는 권한만 갖게 됩니다. 권한이 계정 이상의 수준에서 묵시적으로나(
Allow
정책문에 포함되지 않음) 명시적으로(Deny
정책문에 포함됨) 막혀 있다면, 영향받는 계정에 있는 사용자나 역할은 계정 관리자가 */* 권한이 있는AdministratorAccess
IAM 정책을 사용자에 연결하더라도 해당 권한을 사용할 수 없습니다. -
SCP는 조직의 멤버 계정에만 영향을 미칩니다. 관리 계정의 사용자 또는 역할에는 영향을 미치지 않습니다.
-
사용자와 역할이 적절한 IAM 권한 정책으로 권한을 부여받아야 한다는 사실은 변하지 않습니다. IAM 권한 정책이 없는 사용자는 관련 SCP가 모든 서비스와 작업을 허용해도 액세스 권한이 없습니다.
-
사용자나 역할에게 관련 SCP가 허용하는 작업에 대한 액세스를 부여하는 IAM 권한 정책이 있으면 사용자나 역할이 해당 작업을 수행할 수 있습니다.
-
사용자나 역할에 관련 SCP가 허용하지 않거나 명시적으로 거부한 작업의 액세스 권한을 부여하는 IAM 권한 정책이 있으면 사용자나 역할이 해당 작업을 수행할 수 없습니다.
-
SCP는 루트 사용자를 포함하여 추가된 계정의 모든 사용자와 역할에 영향을 줍니다. 유일한 예외는 작업 및 엔터티는 SCP로 제한할 수 없습니다.에 설명되어 있습니다.
-
SCP는 어떠한 서비스 연결 역할에도 영향을 미치지 않습니다. 서비스 연결 역할은 다른 AWS 서비스에서 AWS Organizations와 통합할 수 있도록 하며 SCP로 제한할 수 없습니다.
-
루트에서 SCP 정책 유형을 비활성화하면 모든 SCP는 해당 루트에서 모든 AWS Organizations 엔터티를 자동으로 분리됩니다. AWS Organizations 엔터티에는 조직 단위, 조직 및 계정이 포함됩니다. 루트에서 SCP를 다시 활성화하면, 해당 루트는 루트의 모든 개체에 자동적으로 연결된 기본
FullAWSAccess
정책으로 돌아갑니다. SCP를 비활성화하기 전에 이루어진 SCP와 AWS Organizations 개체 연결은 모두 사라지며, 수동으로 다시 연결할 수는 있지만 자동으로 복원되지는 않습니다. -
권한 경계(고급 IAM 기능)와 SCP가 둘 다 있는 경우 권한 경계, SCP 및 자격 증명 기반 정책 모두에서 해당 작업을 허용해야 합니다.
액세스 데이터를 사용하여 SCP 개선
관리 계정 자격 증명으로 로그인하면 IAM 콘솔의 AWS Organizations 섹션에서 AWS Organizations 엔터티 또는 정책과 관련해 서비스가 마지막으로 액세스한 데이터를 볼 수 있습니다. IAM에서 AWS Command Line Interface(AWS CLI) 또는 AWS API를 사용하여 서비스가 마지막으로 액세스한 데이터를 검색할 수도 있습니다. 이 데이터에는 AWS Organizations 계정의 IAM 사용자 및 역할이 마지막으로 액세스를 시도한 허용된 서비스와 그 시기에 대한 정보가 있습니다. 이 정보를 사용하여 사용되지 않는 권한을 확인할 수 있으므로 SCP를 구체화함으로써 최소 권한의 원칙을 보다 잘 준수할 수 있습니다.
예를 들어 세 가지 AWS 서비스에 대한 액세스를 금지하는 거부 목록 SCP가 있다고 합시다. SCP의 Deny
문에 없는 모든 서비스는 허용됩니다. IAM에서 서비스가 마지막으로 액세스한 데이터를 보면 SCP에서 허용하지만 사용된 적 없는 AWS 서비스를 알 수 있습니다. 이 정보로 SCP를 업데이트하여 필요 없는 서비스에 대한 액세스를 거부할 수 있습니다.
자세한 내용은 IAM 사용 설명서에서 다음 주제를 참조하세요.
작업 및 엔터티는 SCP로 제한할 수 없습니다.
다음 작업은 SCP를 사용해 제한할 수 없습니다.
-
관리 계정이 수행하는 모든 작업
-
서비스 연결 역할에 연결된 권한을 사용한 모든 작업.
-
루트 사용자로 Enterprise Support 플랜 등록하기
-
루트 사용자로 AWS 지원 수준 변경
-
CloudFront 프라이빗 콘텐츠에 대한 신뢰할 수 있는 서명자 기능 제공
-
루트 사용자로 Amazon Lightsail 이메일 서버 및 Amazon EC2 인스턴스에 대한 역방향 DNS 구성
-
일부 AWS 관련 서비스에 대한 작업:
-
Alexa Top Sites
-
Alexa Web Information Service
-
Amazon Mechanical Turk
-
Amazon 제품 마케팅 API
-