AWS SAP : SCP in organization

SCP in organization

Req) 어떤 기업이 단일 AWS master빌링 계정이 있고, 이 계정이 AWS Organization계층에서 루트입니다. 

그 기업이 멀티 AWS 계정을 가지고 모든 조직은 OUs(organization units)에 속합니다. 

더 많은 OUs와 AWS계정이 계속 생성되는 실태로 비즈니스의 다른 파트들도 애플리케이션을 AWS로 마이그레이션합니다. 이런 비즈니스 유닛들은 아마도 다른 AWS 서비스 사용을 필요로 할 수도 있습니다. 

보안팀은 아래의 요구사항으로 모든 현재와 미래의 AWS계정을 구현하고 있습니다.

  * 제어 정책은 모든 계정에 걸쳐 적용되어 AWS server를 금지시킨다.

  * 제어 정책의 예외는 유효한 유즈케이스에 따라 허용됩니다. 

어떤 솔루션이 이 요구사항을 최소의 선택적 오버헤드로 만족시킬까요?

 

Sol) SCP in Organizations

기업의 멀티 AWS 계정 관리   - OU속하기  - AWS Server금지  - 제어 예외는 유효 유즈케이스만

SCP를 delny list로 하나 만들어서 루트 레벨로 적용하기  Default AWS managed SCP삭제 특정 예외사항을 위해 해당 OU에 대해 SCP를 수정