4.5. SCP(서비스 제어 정책)에 대한 최소 유효 권한 세트
SCP(서비스 제어 정책)는 조직 내의 권한을 관리하는 조직 정책의 유형입니다. SCP는 조직 내의 계정이 정의된 액세스 제어 지침에 따라 유지되도록 합니다. 이러한 정책은 AWS 조직에서 유지 관리되며 연결된 AWS 계정 내에서 사용 가능한 서비스를 제어합니다. SCP 관리는 고객의 책임입니다.
AWS STS(Security Token Service)를 사용하는 경우 서비스 제어 정책에서 다음 리소스를 차단하지 않는지 확인해야 합니다.
-
ec2:{} -
iam:{} -
tag:*
SCP(서비스 제어 정책)에서 이러한 필수 권한을 제한하지 않는지 확인합니다.
| Service | 작업 | 효과 | |
|---|---|---|---|
| 필수 항목 | Amazon EC2 | All | 허용 |
| Amazon EC2 Auto Scaling | All | 허용 | |
| Amazon S3 | All | 허용 | |
| ID 및 액세스 관리 | All | 허용 | |
| Elastic Load Balancing | All | 허용 | |
| Elastic Load Balancing V2 | All | 허용 | |
| Amazon CloudWatch | All | 허용 | |
| Amazon CloudWatch Events | All | 허용 | |
| Amazon CloudWatch Logs | All | 허용 | |
| AWS 지원 | All | 허용 | |
| AWS 키 관리 서비스 | All | 허용 | |
| AWS 보안 토큰 서비스 | All | 허용 | |
| AWS Marketplace | Subscription 구독 취소 서브스크립션 보기 | 허용 | |
| AWS 리소스 태그 | All | 허용 | |
| AWS Route53 DNS | All | 허용 | |
| AWS Service Quotas | ListServices GetRequestedServiceQuotaChange GetServiceQuota RequestServiceQuotaIncrease ListServiceQuotas | 허용 | |
| 선택 사항 | AWS billinging | ViewAccount Viewbilling ViewUsage | 허용 |
| AWS Cost and Usage Report | All | 허용 | |
| AWS Cost Explorer Services | All | 허용 |
추가 리소스