서비스 제어 정책 예

서비스 제어 정책(SCPs)은 대략적인 가드레일로 사용하기 위한 것이며 액세스 권한을 직접 부여하지 않습니다. 실제로 권한을 부여하려면 관리자가 여전히 계정의 IAM 보안 주체 또는 리소스에 자격 증명 기반 또는 리소스 기반 정책을 연결해야 합니다. 유효 권한은 서비스 제어 정책/리소스 제어 정책과 자격 증명 정책 또는 서비스 제어 정책/리소스 제어 정책과 리소스 정책 간의 논리적 교집합입니다. SCP가 권한에 미치는 영향에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

서비스 제어 정책(SCP)은 조직, 조직 단위 또는 계정에 연결된 경우 조직, 조직 단위 또는 계정의 모든 계정에 대해 사용 가능한 최대 권한을 중앙에서 제어합니다. 조직의 여러 수준에서 SCP를 적용할 수 있으므로 SCPs 평가 방법을 이해하면 올바른 결과를 산출하는 SCPs를 작성하는 데 도움이 될 수 있습니다.

이 리포지토리의 서비스 제어 정책은 예제로 표시됩니다. 정책이 계정에 미치는 영향을 철저히 테스트하지 않고 SCPs를 연결해서는 안 됩니다. 구현하려는 정책이 준비되면 프로덕션 환경을 나타낼 수 있는 별도의 조직 또는 OU에서 테스트하는 것이 좋습니다. 테스트를 마치면 더 구체적인 OUs에 변경 사항을 배포한 다음 시간이 지남에 따라 더 광범위하고 더 광범위한 OUs에 변경 사항을 천천히 배포해야 합니다.

이 리포지토리의 SCP 예제는 거부 목록 전략을 사용합니다. 즉, FullAWSAccess 정책 또는 조직 엔터티에 연결된 액세스가 작업을 허용하도록 허용하는 기타 정책도 필요합니다. 또한 자격 증명 기반 또는 리소스 기반 정책을 사용하여 보안 주체에게 적절한 권한을 부여해야 합니다.