Req)
어떤 기업에서 AWS Organizations를 구축했습니다. 최근에 많은 신규 게정을 셋업했으며, 신규 계정들에서는 특정 서비스 셋의 접근을 거부하길 원합니다.
어떻게 이 요구사항이 가장 효율적으로 제어될 수 있을까요?
Sol) SCP(service control policy)
| 요구사항 | 솔루션 |
| 신규 계정들에서 특정 서비스셋의 접근 거부 (AWS Organizations 환경) |
SCP(service control policy) 1) 서비스 접근 거부하는 SCP를 생성 2) 모든 신규 계정을 single organizaions unit(OU)에 추가 3) 신규 계정의 OU에 해당 Policy를 적용 |
참고 : SCP
AWS 계정 또는 계정의 상위 OU와 연결된 SCP가 명시적으로 허용하지 않는 AWS 서비스는 SCP와 연결된 AWS 계정 또는 OU에 대한 액세스가 거부됩니다.
SCP를 사용하면 AWS Organizations 멤버 계정이 있는 개별 AWS 계정 또는 조직 단위(OU) 내의 계정 그룹에 대해 AWS 서비스에 대한 액세스를 허용하거나 거부할 수 있습니다. 연결된 SCP에서 지정한 작업은 멤버 계정의 루트 사용자를 포함한 모든 IAM 자격 증명에 영향을 줍니다.
AWS Organizations SCP는 AWS 계정 내의 연결된 IAM 정책을 대체하지 않습니다.
IAM 정책은 IAM으로 작업하는 AWS 서비스 또는 API 작업에 대한 액세스를 허용하거나 거부합니다. IAM 정책은 IAM 자격 증명(사용자, 그룹 또는 역할)에만 적용할 수 있습니다. IAM 정책은 AWS 계정 루트 사용자를 제한할 수 없습니다.
'ITPE metacog > Cloud metacog' 카테고리의 다른 글
| [AWS SAP] 고가용성 애플리케이션 설계와 유저의 인증정보 관리 (0) | 2021.04.07 |
|---|---|
| [AWS SAP] 온프레미스 VM 100개를 AWS로 마이그레이션 (0) | 2021.04.07 |
| [AWS SAP] RDB 취약점 관리 (0) | 2021.04.06 |
| [AWS SAP] 마케팅 캠페인의 산발적인 주문 트래픽 처리 (0) | 2021.04.06 |
| [AWS SAP] 그룹별 EC2인스턴스 접근 제한 (0) | 2021.04.06 |