🛡️ AWS Organizations에서 Service Control Policies (SCPs) 이해하기

발행: 4일 전 (2025년 12월 2일 오후 12:47 GMT+9)

8 min read

Source: Dev.to

소개

SCP가 해결하는 문제는 무엇인가요?

Service Control Policies (SCP)는 IAM 권한과 달리 권한을 부여하지 않고, 제한합니다. 흔히 가드레일 또는 바리케이드라고 불리며, AWS 거버넌스와 기업의 보안·컴플라이언스 지침을 설정하는 핵심 도구입니다.

진행하기 전에 몇 가지 사전 개념을 이해해야 합니다:

IAM 정책

IAM 정책의 한 종류로, AWS 사용자와 역할에 권한을 부여할 수 있습니다.

AWS Organizations

AWS Organizations는 여러 AWS 계정을 중앙에서 관리·운영할 수 있게 해주는 서비스입니다. Organizations를 사용하면:

AWS 계정 생성 및 관리 (Account Management)
AWS 계정 비용 통합 (Billing)
IAM Identity Center와 함께 AWS 계정 권한 관리 (Identity and Access Management)
AWS 계정에 보안 정책 적용 (SCPs)
다중 계정 서비스 활성화 (Multi‑account)
조직 단위(Organizational Units)로 계정 그룹화 (조직 계층)
다중 계정 환경 감사 (Audit)
여러 계정 간 리소스 공유 (Resource sharing)
CloudFormation을 통한 다중 계정 프로비저닝 자동화 (Multi‑account)

Service Control Policies (SCPs)

AWS Organizations의 정책 유형으로, 조직에 속한 AWS 계정의 권한을 제한합니다.

SCP 구조

SCP 구문

SCP의 주요 요소

요소	역할
Statement	정책의 최상위 컨테이너. 하나의 SCP에 여러 statement를 포함할 수 있음(주의: 문자 수 제한 존재).
Effect	해당 statement가 동작을 허용(`Allow`)할지 거부(`Deny`)할지 정의. 참고: `Allow`는 조건부를 지원하지 않음.
Action	허용하거나 차단할 AWS 작업을 지정(e.g., `s3:PutObject`).
Resource	정책이 적용될 AWS 리소스를 지정(e.g., 특정 버킷).
Condition (옵션)	특정 상황에서만 statement가 적용되도록 조건을 추가.
NotAction	`Action`의 반대: SCP에서 제외할 작업을 지정.
NotResource	`Resource`의 반대: SCP에서 제외할 리소스를 지정.
Sid (옵션)	statement를 식별하기 위한 친숙한 이름.
Version	정책 언어 버전 정의(항상 `"2012-10-17"` 사용).

SCP 동작 방식

SCP가 어떻게 작동하는지 이해하기 위해 네 가지 핵심 카테고리로 정리할 수 있습니다:

1. 기본 원칙

성격: 권한을 부여하지 않으며, 오직 제한만 함.
평가: 권한은 IAM 정책에서 허용되고 SCP에서 허용되거나 거부되지 않을 때만 실행됩니다. 최종 평가는 AWS 공식 문서에 설명되어 있습니다.

2. 적용 범위: 누구에게 영향을 미치는가?

회원 계정: SCP는 모든 사용자와 역할, 루트 사용자 포함의 권한을 제한합니다.
위임된 관리자: 회원 계정에 속하므로 동일하게 영향을 받습니다.
핵심 예외: 관리 계정(Management Account) 은 SCP의 영향을 받지 않음.

3. 다른 정책과의 상호 작용

IAM Deny: 모든 SCP보다 우선합니다.
SCP Deny: AdministratorAccess와 같은 IAM 허용이 있더라도 명시적으로 차단합니다.
Permission Boundaries: 최종 평가는 IAM Allow + SCP Allow + Boundary Allow가 모두 충족되어야 함을 의미합니다.

4. 기술적 예외

Service‑Linked Roles: AWS 서비스가 정상 작동하도록 필요하기 때문에 SCP로 제한할 수 없습니다.
Resource‑Based Policies: SCP의 영향을 받지 않으며, 리소스 정책이 허용하면 외부 접근이 계속 가능합니다(예: S3 버킷).
외부 사용자: 제한된 계정 내 리소스에 접근하더라도 SCP에 의해 영향을 받지 않습니다.

SCP는 어디에 적용되는가?

AWS Organizations에서 SCP는 조직에 속한 AWS 계정 및 조직 단위(OU) 에 적용됩니다. OU는 계정을 그룹화할 수 있는 폴더와 같습니다.

다음은 AWS Organizations의 조직 계층 구조 예시입니다:

조직 구조 이미지

조직 계층의 구성 요소

루트 계정 (Root): 조직의 최상위 계정. 중요: 루트에 SCP를 적용하면 조직 내 모든 계정에 예외 없이 적용됩니다.
조직 단위 (OUs): 계정을 그룹화하는 폴더. OU에 SCP를 적용하면 해당 OU에 속한 모든 계정에 적용됩니다.
계정: 조직 내 개별 AWS 계정. 특정 계정에 SCP를 적용하면 그 계정에만 적용됩니다.

참고: 정책 상속을 통해 하나의 SCP를 여러 계정에 동시에 적용할 수 있습니다.

실습: SCP 만들기

실습 비용: $0

⚠️ 주의: 프로덕션 계정이나 프로덕션 계정이 포함된 환경에 절대 SCP를 적용하지 마세요. 반드시 테스트 계정에서 SCP 동작을 검증한 후 다수 계정에 적용하십시오.

A. SCP 테스트를 위한 실험실 구성

🔐 사전 요구 사항

조직을 만들 주 계정(payer) 이 필요합니다.
해당 계정에 대한 관리자 권한이 있어야 합니다.
두 번째 계정에 별도의 결제 수단은 필요하지 않습니다.

✅ 단계 1: AWS에서 조직 생성 (아직 없을 경우)

관리자( payer/root) 계정에 로그인합니다.
AWS Organizations 서비스로 이동합니다.
조직이 아직 없으면 Create Organization 버튼을 클릭하고 생성을 확인합니다.

🎉 이제 SCP를 사용할 수 있습니다.

✅ 단계 2: 테스트용 조직 단위(OU) 생성

AWS Organizations에서 AWS accounts 로 이동합니다.
루트 OU를 선택하고 Actions 를 클릭합니다.
Create new organizational unit (OU) 를 선택합니다.
명확한 이름을 지정(e.g., lab-scp-test)하고 확인합니다.

✅ 단계 3: OU 안에 회원 계정 생성

AWS Organizations에서 AWS Accounts → Add an AWS account → Create an AWS account 로 이동합니다.
다음 항목을 입력합니다:
- Account name: lab-scp-member (또는 원하는 이름)
- Email address: 관리자 계정을 만들 때 사용한 이메일 별칭을 사용합니다.
생성 절차를 완료합니다. 이 계정이 SCP를 검증할 “테스트 계정”이 됩니다.

(필요에 따라 정책 설정 및 테스트를 계속 진행하세요.)