기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
서비스 제어 정책(SCPs)
서비스 제어 정책(SCPs)은 조직의 권한을 관리하는 데 사용할 수 있는 조직 정책의 한 유형입니다.는 조직의 IAM 사용자 및 IAM 역할에 대해 사용 가능한 최대 권한에 대한 중앙 제어를 SCPs 제공합니다.는 계정이 조직의 액세스 제어 지침 내에 있도록 SCPs 지원합니다. SCPs는 모든 기능이 활성화된 조직에서만 사용할 수 있습니다. SCPs는 조직에서 통합 결제 기능만 활성화한 경우 사용할 수 없습니다. SCPs을(를) 활성화하는 데 대한 지침은 정책 유형 활성화 섹션을 참조하세요.
SCPs는 조직의 IAM 사용자 및 IAM 역할에 권한을 부여하지 않습니다. 에서는 권한이 부여되지 않습니다SCP. 는 조직의 IAM 사용자 및 IAM 역할이 수행할 수 있는 작업에 대한 권한 가드레일을 SCP 정의하거나 제한을 설정합니다. 권한을 부여하려면 관리자가 IAM 사용자 및 IAM 역할에 연결된 자격 증명 기반 정책, 계정의 리소스에 연결된 리소스 기반 정책 등 액세스를 제어하는 정책을 연결해야 합니다. 자세한 내용은 IAM 사용 설명서의 자격 증명 기반 정책 및 리소스 기반 정책을 참조하세요.
유효 권한은 SCP 및 리소스 제어 정책(RCPs)에서 허용하는 것과 자격 증명 기반 및 리소스 기반 정책에서 허용하는 것 간의 논리적 교차점입니다.
SCPs 관리 계정의 사용자 또는 역할에 영향을 주지 않음
SCPs는 관리 계정의 사용자 또는 역할에 영향을 주지 않습니다. 조직의 멤버 계정에만 영향을 줍니다. 또한는 위임된 관리자로 지정된 멤버 계정에도 SCPs 적용됩니다.
주제
의 효과 테스트 SCPs
AWS 는 정책이 계정에 미치는 영향을 철저히 테스트하지 않고 조직의 SCPs 루트에 연결하지 않도록 강력히 권장합니다. 대신 한 번에 하나씩, 또는 소량 단위로 계정을 옮길 수 있는 OU를 만들어 사용자가 주요 서비스를 이용하지 못하는 일이 없게 하세요. 서비스가 계정에 사용되는지 확인하는 한 가지 방법은 IAM에서 마지막으로 데이터를 액세스한 서비스를 살펴보는 것입니다. 또 다른 방법은를 사용하여 API 수준에서 서비스 사용량을 로깅 AWS CloudTrail 하는 것입니다.
참고
FullAWSAccess 정책을 수정하거나 허용된 작업이 있는 별도의 정책으로 바꾸지 않는 한 F 정책을 제거해서는 안 됩니다. 그렇지 않으면 멤버 계정의 모든 AWS 작업이 실패합니다.
의 최대 크기 SCPs
의 모든 문자SCP는 최대 크기에 포함됩니다. 이 가이드의 예제는 가독성을 높이기 위해 추가 공백으로 SCPs 형식이 지정된를 보여줍니다. 하지만 정책 크기가 최대 크기에 근접한 경우 공백을 저장하려면 인용 부호 바깥에 있는 공백 문자(예: 공백 및 줄 바꿈)를 모두 삭제할 수 있습니다.
작은 정보
시각적 편집기를 사용하여를 빌드합니다SCP. 편집기가 자동으로 불필요한 공백을 제거합니다.
조직의 SCPs 다양한 수준에 연결
SCPs 작동 방식에 대한 자세한 설명은 섹션을 참조하세요SCP 평가.
SCP 권한에 미치는 영향
SCPs는 AWS Identity and Access Management 권한 정책과 유사하며 거의 동일한 구문을 사용합니다. 그러나는 권한을 부여SCP하지 않습니다. 대신 SCPs는 조직의 IAM 사용자 및 IAM 역할에 대해 사용 가능한 최대 권한을 지정하는 액세스 제어입니다. 자세한 내용은 IAM 사용 설명서의 정책 평가 로직을 참조하세요.
-
SCPs는 조직의 일부인 계정에서 관리하는 IAM 사용자 및 역할에만 영향을 미칩니다.는 리소스 기반 정책에 직접 영향을 SCPs 주지 않습니다. 조직 외부 계정의 사용자 또는 역할에도 영향을 주지 않습니다. 예를 들어 조직의 A 계정이 소유하는 Amazon S3 버킷을 가정해 보겠습니다. 버킷 정책(리소스 기반 정책)은 조직 외부의 B 계정에 속한 사용자에게 액세스 권한을 부여합니다. 계정 A에는가 SCP 연결되어 있습니다. 이는 계정 B의 외부 사용자에게는 적용되지 SCP 않습니다.는 조직의 계정 A에서 관리하는 사용자에게만 SCP 적용됩니다.
-
는 멤버 계정의 루트 IAM 사용자를 포함하여 멤버 계정의 사용자 및 역할에 대한 권한을 SCP 제한합니다. 각 계정은 모든 상위 계정이 허용하는 권한만 갖게 됩니다. 계정 위의 어떤 수준에서든 권한이 묵시적으로(
Allow
정책 설명에 포함되지 않음) 또는 명시적으로(Deny
정책 설명에 포함됨) 차단되는 경우, 계정 관리자가 */* 권한으로AdministratorAccess
IAM 정책을 연결하더라도 영향을 받는 계정의 사용자 또는 역할은 해당 권한을 사용할 수 없습니다. -
SCPs는 조직의 멤버 계정에만 영향을 미칩니다. 관리 계정의 사용자 또는 역할에는 영향을 미치지 않습니다. 또한는 위임된 관리자로 지정된 멤버 계정에 SCPs 적용됩니다. 자세한 내용은 관리 계정의 모범 사례 단원을 참조하십시오.
-
적절한 IAM 권한 정책으로 사용자와 역할에 권한을 부여해야 한다는 사실은 변하지 않습니다. IAM 권한 정책이 없는 사용자는 해당가 모든 서비스 및 모든 작업을 SCPs 허용하더라도 액세스할 수 없습니다.
-
사용자 또는 역할에 해당에서 허용하는 작업에 대한 액세스 권한을 부여하는 IAM 권한 정책이 있는 경우 SCPs사용자 또는 역할은 해당 작업을 수행할 수 있습니다.
-
사용자 또는 역할에 해당에서 허용되지 않거나 명시적으로 거부된 작업에 대한 액세스 권한을 부여하는 IAM 권한 정책이 있는 경우 SCPs사용자 또는 역할은 해당 작업을 수행할 수 없습니다.
-
SCPs 루트 사용자를 포함하여 연결된 계정의 모든 사용자 및 역할에 영향을 미칩니다. 유일한 예외는 에서 제한되지 않는 작업 및 엔터티 SCPs에 설명되어 있습니다.
-
SCPs는 서비스 연결 역할에 영향을 주지 않습니다. 서비스 연결 역할을 사용하면 다른이와 통합 AWS 서비스 될 수 AWS Organizations 있으며에 의해 제한될 수 없습니다SCPs.
-
루트에서 SCP 정책 유형을 비활성화하면 해당 루트의 모든 AWS Organizations 엔터티에서 모두 자동으로 분리SCPs됩니다. AWS Organizations 엔터티에는 조직 단위, 조직 및 계정이 포함됩니다. 루트SCPs에서를 다시 활성화하면 해당 루트는 루트의 모든 엔터티에 자동으로 연결된 기본
FullAWSAccess
정책으로만 돌아갑니다. 이전에 비활성화SCPs된의 AWS Organizations 엔터티SCPs에 대한 모든 연결은 손실되며 수동으로 다시 연결할 수 있지만 자동으로 복구할 수 없습니다. -
권한 경계(고급 IAM 기능)와 SCP가 모두 있는 경우 경계, 및 SCP자격 증명 기반 정책이 모두 작업을 허용해야 합니다.
액세스 데이터를 사용하여 개선 SCPs
관리 계정 자격 증명으로 로그인하면 IAM 콘솔의 AWS Organizations 섹션에서 AWS Organizations 엔터티 또는 정책에 대해 마지막으로 액세스한 서비스를 볼 수 있습니다. 또한 AWS Command Line Interface (AWS CLI) 또는 AWS API의 IAM를 사용하여 마지막으로 액세스한 서비스를 검색할 수 있습니다. 이 데이터에는 AWS Organizations 계정의 IAM 사용자와 역할이 마지막으로 액세스를 시도한 허용된 서비스와 시간에 대한 정보가 포함됩니다. 이 정보를 사용하여 미사용 권한을 식별할 수 있으므로 최소 권한 원칙을 더 잘 준수하도록를 구체화SCPs할 수 있습니다.
예를 들어 3개에 대한 액세스를 금지하는 거부 목록이 SCP 있을 수 있습니다 AWS 서비스. SCP의 Deny
문에 나열되지 않은 모든 서비스는 허용됩니다. 에서 서비스에 마지막으로 액세스한 데이터는에서 AWS 서비스 허용SCP하지만 사용되지 않는 데이터를 IAM 알려줍니다. 이 정보를 사용하여를 업데이트SCP하여 필요하지 않은 서비스에 대한 액세스를 거부할 수 있습니다.
자세한 내용은 IAM 사용 설명서에서 다음 주제를 참조하세요.
에서 제한되지 않는 작업 및 엔터티 SCPs
SCPs를 사용하여 다음 작업을 제한할 수 없습니다.
-
관리 계정이 수행하는 모든 작업
-
서비스 연결 역할에 연결된 권한을 사용한 모든 작업.
-
루트 사용자로 Enterprise Support 플랜 등록하기
-
CloudFront 프라이빗 콘텐츠에 신뢰할 수 있는 서명자 기능 제공
-
DNS Amazon Lightsail 이메일 서버 및 Amazon EC2 인스턴스를 루트 사용자로 역방향 구성
-
일부 AWS관련 서비스에 대한 작업:
-
Alexa Top Sites
-
Alexa Web Information Service
-
Amazon Mechanical Turk
-
Amazon 제품 마케팅 API
-