조직의 정책 설정에 관한 질문

안녕하세요 Lagrangejess님,

조직의 정책 컨텐츠에 "ec2:" 외 다른 부분에도 권한이 필요하여 "ec2-instance-connect:" 등을 설정 하였을 때 아래와 같은 에러가 발생하고 있어 문의주신 것으로 이해하였습니다. error: You are not authorized to perform this operation. User: arn:aws:iam:: {userid} :root is not authorized to perform: ec2:DescribeInstances with an explicit deny in a service control policy

위 에러 확인 시, AWS Organizations의 서비스 제어 정책(SCPs)에 의해서 DescribeInstances API 호출이 명시적으로 Deny되고 있는 것으로 예상됩니다. [1][2] SCP는 조직의 모든 계정에 사용 가능한 최대 권한을 중앙에서 제어할 수 있습니다.

이를 해결하기 위해서 귀사의 AWS Organizations를 운영하는 담당자에게 문의하여 고객님에 에러가 발생하는 계정에 어떠한 SCPs가 적용되어 있는지 확인 필요합니다. 아래 경로를 따라 에러가 발생하는 계정에 Deny를 발생시킬 수 있는 정책이 있는지 확인이 필요합니다.

확인 경로: AWS Organizations -> AWS 계정 -> 에러가 발생한 계정 클릭 -> 정책 -> 서비스 제어 정책에서 적용된 정책에 명시적 Deny가 있는지 확인합니다.

자세한 Support를 원하신다면, 다음 링크를 통해 에러가 발생하는 계정으로 한국어 케이스 지원을 통해 문의를 주시면 Support Engineer가 적용되어 있는 SCPs를 확인하여 어떠한 이유로 차단되고 있는지 분석 및 자세한 가이드를 제공드릴 수 있습니다.

위에 안내드린 내용이 도움이 되셨길 바랍니다. 감사합니다🙂

Reference Links:

[1] 서비스 제어 정책(SCP) - https://docs.aws.amazon.com/ko_kr/organizations/latest/userguide/orgs_manage_policies_scps.html

[2] 계정 내에서 요청 허용 여부 결정 - https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow