AWS Organization의 SCP 문자 크기 한도 또는 SCP 수를 늘리려면 어떻게 해야 합니까?
최종 업데이트 날짜: 2022년 12월 14일
서비스 제어 정책(SCP)의 글자 수 한도를 늘리거나 AWS Organization 내 엔티티에 더 많은 SCP를 연결하고 싶습니다.
간략한 설명
SCP 정책 문서의 최대 크기는 5,120바이트입니다. 조직 단위(OU), 루트 또는 계정에 연결할 수 있는 SCP의 최대 수는 5개입니다. 자세한 내용은 AWS Organizations에 대한 할당량을 참조하세요.
해결 방법
SCP 크기를 줄여 문자 한도 5,120바이트 이하를 유지합니다.
SCP를 검토하고 중복된 권한을 제거합니다. 예를 들어, 동일한 Effect 및 Resource 요소를 가진 모든 작업을 여러 명령문 대신 하나의 명령문에 넣습니다.
Sid와 같은 불필요한 요소는 허용되는 총 문자 수에 포함되므로 제거합니다.
접미사 또는 접두사가 동일한 작업에는 와일드카드를 사용합니다. 예를 들어 ec2:DescribeInstances, ec2:DescribeTags, ec2:DescribeSubnets 작업을 ec2:Describe*로 결합할 수 있습니다.
OU 계층 구조에서 SCP 상속 사용
5개의 SCP 한도에는 상위 항목으로부터 물려받은 SCP는 포함되지 않습니다. OU와 멤버 계정에 SCP의 상속 구조를 사용하고 여러 OU에 SCP를 배포할 수 있습니다. 예를 들어 조직의 멤버 계정을 가진 IAM 사용자 또는 역할이 AWS 서비스에 액세스하는 것을 거부하려면 다음과 같이 조직 구조를 설정합니다.
Root <--- 1 full access SCP (1 directly attached)
|
OU1 <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited)
|
OU2 <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited)
|
Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited)
|
Bob조직 계층 구조의 각 노드에서 SCP에 의해 필터링되는 권한은 직접 연결된 SCP와 상속된 SCP의 교차점입니다. 멤버 계정에서 IAM 사용자 Bob에게 허용되는 유효 권한은 전체 액세스 권한에서 12개의 거부 기반 SCP가 거부한 서비스를 제외한 권한입니다. 이 접근 방식은 조직 계층 구조 내에서 보유할 수 있는 중첩된 OU의 최대 개수가 5개이므로 확장 가능합니다. 자세한 내용은 서비스 제어 정책에 대한 상속을 참조하세요.
중요: SCP는 어떤 권한도 부여하지 않습니다. 관리자는 ID 기반 또는 리소스 기반 정책을 IAM 사용자 또는 역할에 연결하거나 계정의 리소스에 연결하여 권한을 부여해야 합니다. 자세한 내용은 서비스 제어 정책(SCP)을 참조하세요.