기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
서비스 제어 정책을 사용하여 계정 수준에서 인터넷 액세스 방지
Sergiy Shevchenko, Sean O'Sullivan, Victor Mazeo Whitaker, Amazon Web Services
요약
조직은 비공개로 유지해야 하는 계정 리소스에 대한 인터넷 액세스를 제한하는 경우가 많습니다. 이러한 계정에서 Virtual Private Cloud(VPCs)의 리소스는 어떤 방식으로든 인터넷에 액세스해서는 안 됩니다. 많은 조직에서 중앙 집중식 검사 아키텍처
이 패턴은 서비스 제어 정책(SCP)을 사용하여 인터넷 액세스를 방지합니다. 계정 또는 조직 단위(OU) 수준에서이 SCP를 적용할 수 있습니다. SCP는 다음을 방지하여 인터넷 연결을 제한합니다.
VPC에 대한 직접 인터넷 액세스를 허용하는 IPv4 또는 IPv6 인터넷 게이트웨이 생성 또는 연결 https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html
다른 VPC를 통한 간접 인터넷 액세스를 허용할 수 있는 VPC 피어링 연결 생성 또는 수락
VPC 리소스에 대한 직접 인터넷 액세스를 허용할 수 있는 AWS Global Accelerator 구성 생성 또는 업데이트
사전 조건 및 제한 사항
사전 조건
에서 조직으로 AWS 계정 관리되는 하나 이상의 입니다 AWS Organizations.
모든 기능이에서 활성화됩니다 AWS Organizations.
권한:
조직의 관리 계정에 액세스합니다.
SCPs 생성합니다. 최소 권한에 대한 자세한 내용은 SCP 생성을 참조하세요.
대상 계정 또는 조직 단위(OUs)에 SCP를 연결합니다. 최소 권한에 대한 자세한 내용은 서비스 제어 정책 연결 및 분리를 참조하세요.
제한 사항
SCP는 관리 계정의 사용자 또는 역할에 영향을 미치지 않습니다. 조직의 멤버 계정에만 영향을 줍니다.
SCPs는 조직의 일부인 계정에서 관리하는 AWS Identity and Access Management (IAM) 사용자 및 역할에만 영향을 미칩니다. 자세한 내용은 권한에 대한 SCP 효과를 참조하세요.
도구
서비스
AWS Organizations는 여러을 생성하여 중앙에서 관리하는 조직 AWS 계정 으로 통합하는 데 도움이 되는 계정 관리 서비스입니다. 이 패턴에서는에서 서비스 제어 정책(SCPs 사용합니다 AWS Organizations.
Amazon Virtual Private Cloud(Amazon VPC)를 사용하면 정의한 가상 네트워크에서 AWS 리소스를 시작할 수 있습니다. 이 가상 네트워크는 AWS의 확장 가능한 인프라를 사용한다는 이점과 함께 고객의 자체 데이터 센터에서 운영하는 기존 네트워크와 유사합니다.
모범 사례
조직에서이 SCP를 설정한 후 인터넷 액세스에 영향을 미칠 수 있는 새로운 AWS 서비스 기능이나 기능을 처리하도록 자주 업데이트해야 합니다.
에픽
| 작업 | 설명 | 필요한 기술 |
|---|---|---|
SCP를 생성합니다. |
| 관리자 |
SCP를 연결합니다. |
| 관리자 |
관련 리소스
