기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
서비스 제어 정책을 사용하여 계정 수준에서 인터넷 액세스 방지
작성자: Sergiy Shevchenko(AWS), Sean O'Sullivan(AWS), Victor Mazeo Whitaker(AWS)
요약
조직은 비공개로 유지해야 하는 계정 리소스에 대한 인터넷 액세스를 제한하는 경우가 많습니다. 이러한 계정에서 Virtual Private Cloud(VPCs)의 리소스는 어떤 방식으로든 인터넷에 액세스해서는 안 됩니다. 많은 조직에서 중앙 집중식 검사 아키텍처
이 패턴은 서비스 제어 정책(SCP)을 사용하여 인터넷 액세스를 방지합니다. 계정 또는 조직 단위(OU) 수준에서이 SCP를 적용할 수 있습니다. SCP는 다음을 방지하여 인터넷 연결을 제한합니다.
VPC에 대한 직접 인터넷 액세스를 허용하는 IPv4 또는 IPv6 인터넷 게이트웨이 생성 또는 연결 https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html
다른 VPC를 통한 간접 인터넷 액세스를 허용할 수 있는 VPC 피어링 연결 생성 또는 수락
VPC 리소스에 대한 직접 인터넷 액세스를 허용할 수 있는 AWS Global Accelerator 구성 생성 또는 업데이트
사전 조건 및 제한 사항
사전 조건
에서 조직으로 AWS 계정 관리되는 하나 또는 여러 AWS Organizations개.
모든 기능이에서 활성화됩니다 AWS Organizations.
권한:
조직의 관리 계정에 액세스합니다.
SCPs 생성합니다. 최소 권한에 대한 자세한 내용은 SCP 생성을 참조하세요.
대상 계정 또는 조직 단위(OUs)에 SCP를 연결합니다. 최소 권한에 대한 자세한 내용은 서비스 제어 정책 연결 및 분리를 참조하세요.
제한 사항
SCP는 관리 계정의 사용자 또는 역할에 영향을 미치지 않습니다. 조직의 멤버 계정에만 영향을 줍니다.
SCPs는 조직의 일부인 계정에서 관리하는 AWS Identity and Access Management (IAM) 사용자 및 역할에만 영향을 미칩니다. 자세한 내용은 권한에 대한 SCP 효과를 참조하세요.
도구
서비스
AWS Organizations는 여러을 생성하여 중앙에서 관리하는 조직 AWS 계정 으로 통합할 수 있도록 지원하는 계정 관리 서비스입니다. 이 패턴에서는에서 서비스 제어 정책(SCPs 사용합니다 AWS Organizations.
Amazon Virtual Private Cloud(Amazon VPC)를 사용하면 정의한 가상 네트워크에서 AWS 리소스를 시작할 수 있습니다. 이 가상 네트워크는 AWS의 확장 가능한 인프라를 사용한다는 이점과 함께 고객의 자체 데이터 센터에서 운영하는 기존 네트워크와 유사합니다.
모범 사례
조직에서이 SCP를 설정한 후 인터넷 액세스에 영향을 미칠 수 있는 새로운 AWS 서비스 기능이나 기능을 해결하도록 자주 업데이트해야 합니다.
에픽
| 작업 | 설명 | 필요한 기술 |
|---|---|---|
SCP를 생성합니다. |
| 관리자 |
SCP를 연결합니다. |
| 관리자 |
관련 리소스
