24년 말 AWS Organizations 에서 관리하는 새로운 권한 부여 정책인 RCP(리소스 제어 정책) 이 생겼습니다.
RCP는 조직의 리소스에 부여할 수 있는 권한을 설정하고 대규모 리소스에 대한 외부 액세스는 제어하는 데 도움이 되는 수단입니다.
이번에는 기존의 SCP(서비스 제어 정책) 과 RCP의 차이점에 대해 알아보고자 합니다.
SCP(서비스 제어 정책)
조직 내 권한을 관리할 수 있는 조직 정책 유형
조직 내 IAM 사용자 및 IAM 역할에 사용 가능한 최대 권한을 중앙에서 제어할 수 있도록 한다.
SCP는 IAM 사용자나 IAM 역할에 부여하지 않고 어떤 권한도 부여하지 않습니다.
IAM 사용자와 IAM 역할이 수행할 수 있는 작업에 대한 권한 가드레일을 정의하거나 제한을 설정하고 관리자가 액세스를 제어하는 정책을 연결해야 합니다.
요소
| 요소 | 목적 | 효과 |
| Action | SCP가 허용하거나 거부하는 AWS 서비스와 작업을 지정합니다. | Allow, Deny |
| Effect | SCP 명령문이 계정의 IAM 사용자 및 역할에 대한 액세스를 허용 할지 거부 할지 정의합니다. | Allow, Deny |
| Statement | 정책 요소의 컨테이너 역할을 합니다. SCP에는 여러 개의 명령문을 포함할 수 있습니다. | Allow, Deny |
| Statement ID (Sid) | ID(Sid) (선택 사항) 명령문에 대한 친근한 이름을 제공합니다. | Allow, Deny |
| Version | 정책을 처리하는 데 사용할 언어 구문 규칙을 지정합니다. | Allow, Deny |
| Condition | 해당 명령문이 적용되는 조건을 지정합니다. | Deny |
| NotAction | SCP에서 제외되는 AWS 서비스와 작업을 지정합니다. Action요소 대신 사용됩니다. | Deny |
| Resource | SCP가 적용되는 AWS 리소스를 지정합니다. | Deny |
Service control policy examples - AWS Organizations
Before you use these example SCPs in your organization, do the following: Carefully review and customize the SCPs for your unique requirements. Thoroughly test the SCPs in your environment with the AWS services that you use. The example policies in this se
docs.aws.amazon.com
RCP(리소스 제어 정책)
조직의 권한을 관리하는 데 사용하는 조직 정책 유형
조직 내 리소스에 사용 가능한 최대 권한을 중앙에서 제어할 수 있도록 한다.
모든 기능이 활성화된 조직에서만 사용할 수 있음
RCP 만으로 조직의 리소스에 권한을 부여하기에는 충분하지 않으며 RCP는 권한을 부여하지 않음
권한 가드레일을 정의하거나, ID가 조직의 리소스에 대해 수행할 수 있는 작업의 제한을 설정함
관리자는 실제 권한 부여를 위해 IAM 사용자 또는 역할에 기반 정책을 연결해야 한다.
리소스 제어 정책(RCP)은 조직의 AWS 리소스에 부여할 수 있는 최대 권한에 대한 중앙 집중식 관리 기능을 제공.
RCP는 SCP와 마찬가지로 전체 AWS 환경에 데이터 경계를 중앙에서 설정하고 의도치 않은 액세스를 대규모로 방지하는 데 유용함
요소
| 요소 | 목적 |
| Version | 정책을 처리하는 데 사용할 언어 구문 규칙을 지정합니다. |
| Statement | 정책 요소의 컨테이너 역할을 합니다. RCP에는 여러 개의 명령문을 포함할 수 있습니다. |
| Statement ID (Sid) | ID(Sid) (선택 사항) 명령문에 대한 친근한 이름을 제공합니다. |
| Effect | RCP 명령문이 계정의 리소스에 대한 액세스를 거부할지 여부를 정의합니다. |
| Principal | 주요한 계정의 리소스에 대한 액세스가 허용되거나 거부되는 주체를 지정합니다. |
| Action | RCP가 허용하거나 거부하는 AWS 서비스와 작업을 지정합니다. |
| Resource | Specifies the AWS resources that the RCP applies to. |
| NotResource | RCP가 적용되는 AWS 리소스를 지정합니다. |
| Condition | 해당 명령문이 적용되는 조건을 지정합니다. |
Resource control policy examples - AWS Organizations
Before you use these example RCPs in your organization, do the following: Carefully review and customize the RCPs for your unique requirements. Thoroughly test the RCPs in your environment with the AWS services that you use. The example policies in this se
docs.aws.amazon.com
요약
| 특징 | SCP | RCP |
| 목표 | 조직 내 주체에 대한 일관된 액세스 제어 적용 | 조직 내 리소스에 대한 일관된 액세스 제어 적용 |
| 적용 범위 | 조직 내 모든 계정 | 조직내 계정 및 OU |
| 권한 부여 | 권한 부여 X, 최대 권한 제한 O | 권한 부여 X, 액세스 제어 O |
| Deny 문장 | 사용 가능 | 사용 불가능 |
| 기타 | - 외부 리소스에 액세스 하지 못하도록 차단 - 개발자가 사용할 수 있는 서비스 및 지역을 정의 - 클라우드 플랫폼 리소스 보호 |
- 외부 ID의 리소스 액세스 방지 - S3 각 버킷별 정책이 아닌 중앙에서 정책 정의 - 중요한 리소스에 대한 제어를 적용 |
RCP의 장점
- AWS 환경 전반에 걸쳐 데이터 경계를 설정하여 보안을 강화할 수 있습니다.
- 의도치 않은 액세스를 방지하고 규정 준수를 유지할 수 있습니다.
- SCP 와 함께 사용하면 조직의 보안 정책을 보다 강력하게 구현할 수 있습니다.
'Cloud > AWS' 카테고리의 다른 글
| EKS 비용 및 버전 수명주기 (0) | 2025.02.21 |
|---|---|
| NACL 과 SG의 차이 (0) | 2025.02.17 |
| Amazon Bedrock 서울 리전 출시 (0) | 2024.10.15 |
| AWS - Database Data 이관/전송하기 (DMS) (0) | 2024.06.25 |
| Amazon Aurora MySQL version 3 Upgrade (0) | 2024.03.14 |
