본문 바로가기
ITPE metacog/Cloud metacog

[AWS SAP] 신규 계정들에서 특정 서비스셋의 접근 거부

by 잘 배우고, 잘 익히기 2021. 4. 6.

Req) 

어떤 기업에서 AWS Organizations를 구축했습니다. 최근에 많은 신규 게정을 셋업했으며, 신규 계정들에서는 특정 서비스 셋의 접근을 거부하길 원합니다. 

어떻게 이 요구사항이 가장 효율적으로 제어될 수 있을까요?

 

 

Sol) SCP(service control policy)

요구사항 솔루션
신규 계정들에서 특정 서비스셋의 접근 거부
 (AWS Organizations 환경)
SCP(service control policy)
1) 서비스 접근 거부하는 SCP를 생성
2) 모든 신규 계정을 single organizaions unit(OU)에 추가
3) 신규 계정의 OU에 해당 Policy를 적용

참고 : SCP

AWS 계정 또는 계정의 상위 OU와 연결된 SCP가 명시적으로 허용하지 않는 AWS 서비스는 SCP와 연결된 AWS 계정 또는 OU에 대한 액세스가 거부됩니다.

SCP를 사용하면 AWS Organizations 멤버 계정이 있는 개별 AWS 계정 또는 조직 단위(OU) 내의 계정 그룹에 대해 AWS 서비스에 대한 액세스를 허용하거나 거부할 수 있습니다. 연결된 SCP에서 지정한 작업은 멤버 계정의 루트 사용자를 포함한 모든 IAM 자격 증명에 영향을 줍니다.

 

AWS Organizations SCP는 AWS 계정 내의 연결된 IAM 정책을 대체하지 않습니다.

IAM 정책은 IAM으로 작업하는 AWS 서비스 또는 API 작업에 대한 액세스를 허용하거나 거부합니다. IAM 정책은 IAM 자격 증명(사용자, 그룹 또는 역할)에만 적용할 수 있습니다. IAM 정책은 AWS 계정 루트 사용자를 제한할 수 없습니다.