기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Organizations의 권한 부여 정책

AWS Organizations의 권한 부여 정책을 사용하면 멤버 계정의 보안 주체 및 리소스에 대한 액세스를 중앙에서 구성하고 관리할 수 있습니다. 이러한 정책이 적용되는 조직 단위(OU) 및 계정에 미치는 영향은 적용되는 권한 부여 정책의 유형에 따라 다릅니다.

AWS Organizations에는 서비스 제어 정책(SCP)과 리소스 제어 정책(RCP)이라는 두 가지 유형의 권한 부여 정책이 있습니다.

SCP 및 RCP 간의 차이점

SCP는 보안 주체 중심의 제어입니다. SCP는 권한 가드레일을 생성하거나 멤버 계정의 위탁자가 사용할 수 있는 최대 권한에 대한 제한을 설정합니다. 조직의 위탁자에 대해 일관된 액세스 제어를 중앙에서 적용하려는 경우 SCP를 사용할 수 있습니다. 여기에는 IAM 사용자와 IAM 역할이 액세스할 수 있는 서비스, 액세스할 수 있는 리소스 또는 요청을 수행할 수 있는 조건(예: 특정 리전 또는 네트워크)을 지정하는 것이 포함될 수 있습니다.

RCP는 리소스 중심 제어입니다. RCP는 권한 가드레일을 생성하거나 멤버 계정의 리소스가 사용할 수 있는 최대 권한에 대한 제한을 설정합니다. 조직의 리소스 간에 일관된 액세스 제어를 중앙에서 적용하려는 경우 RCP를 사용할 수 있습니다. 조직에 속한 자격 증명만 액세스할 수 있도록 리소스에 대한 액세스를 제한하거나 조직 외부의 자격 증명이 리소스에 액세스할 수 있는 조건을 지정할 수 있습니다.

일부 제어는 SCP와 RCP를 통해 비슷한 방식으로 적용될 수 있습니다. 예를 들어 사용자가 암호화되지 않은 객체를 S3에 업로드하지 못하도록 할 수 있습니다. 이는 보안 주체가 S3 버킷에서 수행할 수 있는 작업에 대한 제어를 적용하기 위해 SCP로 작성할 수 있습니다. 이 제어는 보안 주체가 S3 버킷에 객체를 업로드할 때마다 암호화를 요구하도록 RCP로 작성할 수도 있습니다. 버킷이 타사 공급업체와 같은 조직 외부의 보안 주체가 S3 버킷에 객체를 업로드하도록 허용하는 경우 두 번째 옵션이 선호될 수 있습니다. 그러나 일부 제어는 RCP에서만 구현할 수 있으며 일부 제어는 SCP에서만 구현할 수 있습니다. 자세한 내용은 SCP 및 RCP의 일반 사용 사례 섹션을 참조하세요.

SCPs 및 RCPs 사용

SCP와 RCP는 독립적인 제어입니다. SCP 또는 RCP만 활성화하거나 두 정책 유형을 함께 사용하도록 선택할 수 있습니다. SCP와 RCP를 모두 사용하면 자격 증명과 리소스에 데이터 경계를 생성할 수 있습니다.

SCP는 사용자 자격 증명이 액세스할 수 있는 리소스를 제어하는 기능을 제공합니다. 예를 들어 사용자 자격 증명이 AWS 조직의 리소스에 액세스하도록 허용할 수 있습니다. 그러나 사용자 자격 증명이 조직 외부의 리소스에 액세스하지 못하도록 할 수 있습니다. SCP를 사용하여 이 제어를 시행할 수 있습니다.

RCP는 리소스에 액세스하는 자격 증명을 제어하는 기능을 제공합니다. 예를 들어 조직의 자격 증명이 조직의 리소스에 액세스하도록 허용할 수 있습니다. 그러나 조직 외부의 자격 증명이 리소스에 액세스하지 못하도록 할 수 있습니다. RCP를 사용하여 이 제어를 시행할 수 있습니다. RCP는 리소스에 액세스하는 조직 외부의 보안 주체에 대한 유효한 권한에 영향을 미치는 기능을 제공합니다. SCP는 AWS 조직 내 보안 주체에 대한 유효한 권한에만 영향을 미칠 수 있습니다.

SCP 및 RCP의 일반 사용 사례

다음 표는 일반적인 SCP 및 RCP 사용 사례를 자세히 설명합니다.