AWS 조직의 SCP 문자 크기 제한 또는 SCP 수를 늘리려면 어떻게 해야 하나요?

2분 분량
0

서비스 제어 정책(SCP)의 글자 수 제한을 늘리거나 AWS 조직의 엔터티에 더 많은 SCP를 추가하려고 합니다.

해결 방법

AWS Organizations 서비스는 계정당 SCP를 5개로 엄격하게 제한합니다.

다음 방법을 사용하면, 계정에 직접 연결되는 SCP의 수를 줄여 조직에 추가 제한을 둘 수 있습니다.

  • 여러 SCP를 단일 SCP로 통합
  • 조직 단위(OU) 계층 구조에서 SCP 상속 사용

여러 SCP를 단일 SCP로 통합

SCP의 크기가 정책 크기 제한인 5,120바이트보다 작은 경우, 이 방법을 사용합니다.

SCP 크기 제한을 줄이려면, 다음 권장 사항을 따릅니다.

  • SCP를 검토하고 중복된 권한을 제거합니다. 예를 들어, 동일한 Effect 및 Resource 요소를 가진 모든 작업을 여러 명령문이 아닌 하나의 명령문에 넣습니다.
  • 해당 요소는 허용되는 총 문자 수에 포함되므로 명령문 ID(Sid)와 같은 불필요한 요소는 제거합니다.
  • 접미사나 접두사가 같은 작업에는 와일드카드를 사용합니다. 예를 들어, ec2:DescribeInstance, ec2:DescribeTagsec2:DescribeSubnets 작업은 ec2:Describe*로 결합할 수 있습니다.
    **중요:**와일드카드를 사용하면 조직에 추가적인 보안 위험이 발생할 수 있습니다. 와일드카드는 대개 여러 리소스에 대해 광범위한 권한을 부여합니다. 조직의 사용자 및 역할에 의도하지 않은 권한을 부여할 수 있습니다. 이 방법을 사용하여 AWS Lambda 함수에 권한을 적용하지 않습니다. 실사를 수행한 후에만 와일드카드를 사용해야 합니다.

OU 계층 구조에서 SCP 상속 사용

다섯 개의 SCP 한도에는 부모로부터 물려받은 SCP는 포함되지 않습니다. OU 및 구성원 계정의 SCP의 상속 구조를 사용하여 SCP를 여러 OU에 분산할 수 있습니다. 예를 들어, 조직의 구성원 계정을 가진 IAM 사용자 또는 역할이 AWS 서비스에 액세스하는 것을 거부하려면, 다음 예와 같이 조직 구조를 설정합니다.

Root    <--- 1 full access SCP (1 directly attached)  
 |
OU1     <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited)
 |
OU2     <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited)
 |
Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited)
 |
Bob

조직 계층 구조의 각 노드에서 SCP에 의해 필터링되는 권한은 직접 연결된 SCP와 상속된 SCP의 공통되는 부분입니다. 이 예제에서 구성원 계정의 AWS Identity and Access Management(IAM) 사용자 Bob은 12개의 거부 기반 SCP에 의해 거부된 서비스를 제외한 전체 액세스 권한을 가집니다. 이 접근 방식은 조직 계층 내에서 가질 수 있는 중첩된 OU의 최대 개수가 5개이므로 확장할 수 있습니다. 자세한 내용을 보려면, SCP 평가AWS Organizations을 위한 할당량을 참조합니다.

관련 정보

SCP 사용 전략

AWS 공식
AWS 공식업데이트됨 6달 전