서비스 제어 정책(SCP)의 글자 수 제한을 늘리거나 AWS 조직의 엔터티에 더 많은 SCP를 추가하려고 합니다.
해결 방법
AWS Organizations 서비스는 계정당 SCP를 5개로 엄격하게 제한합니다. 계정, OU 또는 루트에 SCP를 너무 많이 연결한 경우 ConstraintViolationException 오류가 발생할 수 있습니다.
SCP의 최대 크기는 5,120자이며 여기에는 추가 공백이나 줄 바꿈이 포함됩니다. 자세한 내용은 AWS Organizations의 할당량 및 서비스 제한을 참조하십시오.
다음 방법을 사용하면 계정에 직접 연결되는 SCP의 수를 줄여 조직에 추가 제한을 둘 수 있습니다.
- 여러 SCP를 단일 SCP로 통합
- 조직 단위(OU) 계층 구조에서 SCP 상속 사용
여러 SCP를 단일 SCP로 통합
SCP의 크기가 정책 크기 제한인 5,120바이트보다 작은 경우, 이 방법을 사용합니다.
SCP 크기 제한을 줄이려면, 다음 권장 사항을 따릅니다.
-
SCP를 검토하고 중복된 권한을 제거합니다. 예를 들어, 동일한 Effect 및 Resource 요소를 가진 모든 작업을 여러 명령문이 아닌 하나의 명령문에 넣습니다.
-
해당 요소는 허용되는 총 문자 수에 포함되므로 명령문 ID(Sid)와 같은 불필요한 요소는 제거합니다.
-
접미사나 접두사가 같은 작업에는 와일드카드를 사용합니다. 예를 들어, ec2:DescribeInstance, ec2:DescribeTags 및 ec2:DescribeSubnets 작업은 ec2:Describe*로 결합할 수 있습니다.
중요: 와일드카드는 조직에 추가적인 보안 위험을 초래할 수 있습니다. 와일드카드는 대개 여러 리소스에 대해 광범위한 권한을 부여합니다. 와일드카드는 조직의 AWS Identity and Access Management(IAM) ID(사용자, 그룹, 역할)에 의도하지 않은 권한을 부여할 수 있습니다. 권한을 적용하기 위해 AWS Lambda 함수에 이 방법을 사용하지 마십시오. 와일드카드는 실사를 수행한 후에만 사용해야 합니다. IAM 정책에서 와일드카드 권한을 부여하지 않는 것이 좋습니다.
OU 계층 구조에서 SCP 상속 사용
다섯 개의 SCP 한도에는 부모로부터 물려받은 SCP는 포함되지 않습니다. OU 및 멤버 계정의 SCP의 상속 구조를 사용하여 SCP를 여러 OU에 분산할 수 있습니다. 예를 들어, 조직의 멤버 계정을 가진 IAM 사용자 또는 역할이 AWS 서비스에 액세스하는 것을 거부하려면, 다음과 같이 조직 구조를 설정합니다.
Root <--- 1 full access SCP (1 directly attached) |
OU1 <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited)
|
OU2 <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited)
|
Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited)
|
Bob
조직 계층 구조의 각 노드에서 SCP에 의해 필터링되는 권한은 직접 연결된 SCP와 상속된 SCP의 공통되는 부분입니다. 이 예시에서 멤버 계정의 IAM 사용자 Bob은 12개의 거부 기반 SCP에 의해 거부된 서비스를 제외한 전체 액세스 권한을 가집니다. 이 접근 방식은 조직 계층 내에서 가질 수 있는 중첩된 OU의 최대 개수가 5개이므로 확장할 수 있습니다.
자세한 내용은 SCP 평가를 참조하십시오.
관련 정보
다중 계정 환경에서 서비스 제어 정책을 최대한 활용