기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
서비스 제어 정책 예
이 주제에 나온 예제 서비스 제어 정책(SCP)은 정보 제공용입니다.
이 예제를 사용하기 전에
조직에서 예제 SCP를 사용하기 전에 다음 단계를 수행해야 합니다.
-
신중하게 예제 SCP를 검토하고 자신의 요구 사항에 맞게 사용자 지정합니다.
-
자신의 환경과 사용 중인 AWS 서비스에서 SCP를 철저히 테스트합니다.
이 단원의 정책 예제는 SCP의 구현과 사용을 보여줍니다. 그러나 제시된 그대로 실행할 수 있는 공식적인 AWS 권장 사항 또는 모범 사례로 해석해서는 안 됩니다. 고객은 자신의 환경이 가진 비즈니스 요구 사항을 해결하기 위해 거부 기반 정책의 적합성을 테스트할 책임이 있습니다. 거부 기반 서비스 제어 정책은 정책에 필요한 예외 항목을 추가하지 않는 한 AWS 서비스 사용을 의도하지 않게 제한하거나 차단할 수 있습니다. 이러한 예외의 예는 원하지 않는 AWS 리전에 대한 액세스를 차단하는 규칙에서 전역 서비스를 제외하는 첫 번째 예에 제시되어 있습니다.
-
SCP는 모든 사용자 및 역할(연결된 모든 계정의 루트 사용자 포함)에 영향을 준다는 점을 기억해야 합니다.
작은 정보
IAM에서 서비스가 마지막으로 액세스한 데이터를 사용하여 필요한 AWS 서비스로만 액세스를 제한할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 Organizations에서 서비스가 마지막으로 액세스한 데이터 보기를 참조하세요.
다음 각 정책은 거부 목록 정책 전략의 예제입니다. 거부 목록 정책은 해당 계정에서 승인된 작업을 허용하는 다른 정책과 연결되어야 합니다. 예를 들어 기본 FullAWSAccess 정책은 계정의 모든 서비스 사용을 허용합니다. 이 정책은 기본적으로 루트, 모든 조직 단위(OU) 및 모든 계정에 연결됩니다. 실제로 권한을 부여하지 않습니다. 어떠한 SCP도 부여하지 않습니다. 그 대신, 이 정책은 해당 계정의 관리자가 표준 AWS Identity and Access Management(IAM) 권한 정책을 계정의 사용자, 역할 또는 그룹에 연결하여 이러한 작업에 대한 액세스를 위임할 수 있도록 허용합니다. 그런 다음 이러한 각 거부 목록 정책은 특정 서비스 또는 작업에 대한 액세스를 차단하여 모든 정책을 재정의합니다.
목차
- 일반 예제
- Amazon CloudWatch에 대한 SCP 예제
- AWS Config에 대한 SCP 예제
- Amazon Elastic Compute Cloud(Amazon EC2)에 대한 SCP 예제
- Amazon GuardDuty에 대한 SCP 예제
- 다음에 대한 SCP 예시 AWS Resource Access Manager
- Amazon Route 53 애플리케이션 복구 컨트롤러용 예시 SCP
- SCP for Amazon S3 예제
- 리소스 태그 지정에 대한 SCP 예제
- Amazon Virtual Private Cloud(Amazon VPC)에 대한 SCP 예제
