SCP 및 태그 정책을 사용하여 AWS Organizations 멤버 계정의 사용자가 리소스를 생성하지 못하도록 하려면 어떻게 해야 합니까?

간략한 설명

SCP는 조직의 권한을 관리하는 데 사용할 수 있지만 권한을 부여하는 데는 사용할 수 없습니다. 자세한 내용은 서비스 제어 정책(SCP)을 참조하세요.

태그 정책은 조직이 있는 계정에 대해 AWS 리소스와 함께 표준화된 태그를 유지 관리하는 데 사용할 수 있습니다. 자세한 내용은 태그 정책을 참조하십시오.

해결 방법

사용 사례에 따라 다음 SCP 또는 태그 정책을 사용하십시오.

태그 정책을 사용하여 기존 리소스에 대한 태깅 방지

기존 리소스의 태그에 영향을 주는 작업을 수행할 때 태그 정책이 확인됩니다. 예를 들어 태그 정책은 사용자가 AWS 리소스에서 지정된 태그를 비준수 태그로 변경할 수 없도록 강제할 수 있습니다.

다음 예제 태그 정책은 태그 키-값 페어를 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 적용되는 환경-프로덕션으로 허용합니다. 이 정책은 사용자가 기존 Amazon EC2 인스턴스에서 이 태그를 변경하지 못하도록 하지만, 규정을 준수하지 않는 태그가 있거나 태그가 없는 새 인스턴스를 시작하는 것을 막지는 않습니다.

{
  "tags": {
    "Environment": {
      "tag_key": {
        "@@assign": "Environment"
      },
      "tag_value": {
        "@@assign": [
          "Production"
        ]
      },
      "enforced_for": {
        "@@assign": [
          "ec2:instance"
        ]
      }
    }
  }
}

SCP를 사용하여 신규 리소스 생성을 위한 태깅 방지

SCP를 사용하여 조직의 태깅 제한 지침에 따라 태그가 지정되지 않은 신규 AWS 리소스가 생성되지 않도록 할 수 있습니다. 특정 태그가 있는 경우에만 AWS 리소스가 생성되도록 하려면 SCP 정책 예제를 사용하여 지정된 생성 리소스에 태그를 요구합니다.

---

관련 정보

AWS Organizations 서비스 제어 정책과 IAM 정책의 차이점은 무엇인가요?