계정을 보호하기 위한 3가지 AWS 서비스 제어 정책(SCP) 예제

여러 AWS 계정을 관리할 때 예를 들어 사용하지 않는 AWS 서비스 또는 AWS 리전으로 사용량을 제어하고 제한하는 방법이 필요합니다. AWS 서비스 제어 정책(SCP)이라는 AWS Organizations의 기능을 사용하면 한 번에 여러 계정의 AWS 리소스에 대한 액세스를 제한하거나 허용하는 일련의 규칙을 생성할 수 있습니다.

이 기사에서는 AWS 계정의 보안을 개선하기 위해 즉시 적용할 수 있는 3가지 AWS SCP 예제AWS Organization를 공유합니다.

기본적으로 모든 작업은 AWS 조직 내에서 허용됩니다. 따라서 여기에서 공유하는 AWS SCP는 deny list strategy을 사용합니다.

참고: 프로덕션 계정 또는 조직 단위(OU)에서 활성화하기 전에 예를 확인하십시오review and test the AWS SCP.

목차

AWS SCP example 1: Deny access to AWS resources for the AWS account root user

AWS SCP example 2: Deny access to AWS services in unsupported AWS regions

AWS SCP example 3: Enforce S3 Bucket owner

Conclusion

AWS SCP 예제 1: AWS 계정 루트 사용자의 AWS 리소스에 대한 액세스 거부

일반적으로 루트 사용자를 사용하여 AWS 계정에서 작업을 수행하지 않는 것이 모범 사례입니다. 대신 IAM 관리 사용자를 생성하고 이를 사용하여 관리 작업을 수행해야 합니다.

루트 사용자는 모든 리소스 및 청구 정보에 대한 전체 액세스 권한을 가지므로 다음 단계를 통해 추가로 보호해야 합니다.

Enable AWS multi-factor authentication (MFA)

Security credentials page에서 액세스 키를 삭제합니다.

설정하기 strong password

추가 보호 계층으로 서비스 제어 정책의 형태로 가드레일을 설정하여 루트 사용자의 AWS 리소스에 대한 액세스를 거부할 수 있습니다.

{

  "Version": "2012-10-17",

  "Statement": [

    {

      "Condition": {

        "StringLike": {

          "aws:PrincipalArn": "arn:aws:iam:::root"

        }

      },

      "Action": "",

      "Resource": "*",

      "Effect": "Deny",

      "Sid": "DenyRootUser"

    }

  ]

}

AWS SCP 예제 2: 지원되지 않는 AWS 리전에서 AWS 서비스에 대한 액세스 거부

이 SCP는 지원되지 않는 AWS 리전에서 AWS 서비스 사용을 제한합니다. 단일 AWS 지역에만 배포하는 경우 매우 유용합니다. 다른 AWS 지역에 대한 액세스 권한을 취소하면 보안 위반 시 폭발 반경을 효과적으로 제한할 수 있습니다.

아래 예에서 볼 수 있듯이 AWS API 호출이 eu-west-1 리전과 일치하지 않으면 NotAction 요소의 AWS 서비스를 제외한 모든 리소스에 대한 모든 작업을 거부합니다.
NotAction 요소를 자세히 보면 여기에 나열된 서비스는 글로벌 서비스이며 기본적으로 us-east-1 리전에서 호스팅됩니다. 이 작업에서 허용 목록에 있는 서비스를 차단하면 활성 지역에서 문제가 발생할 수 있습니다.

{

  "Version": "2012-10-17",

  "Statement": [

    {

      "Condition": {

        "StringNotEquals": {

          "aws:RequestedRegion": ["eu-west-1"]

        }

      },

      "Resource": "",

      "Effect": "Deny",

      "NotAction": [

        "a4b:",

        "acm:",

        "aws-marketplace-management:",

        "aws-marketplace:",

        "aws-portal:",

        "budgets:",

        "ce:",

        "chime:",

        "cloudfront:",

        "config:",

        "cur:",

        "directconnect:",

        "ec2:DescribeRegions",

        "ec2:DescribeTransitGateways",

        "ec2:DescribeVpnGateways",

        "fms:",

        "globalaccelerator:",

        "health:",

        "iam:",

        "importexport:",

        "kms:",

        "mobileanalytics:",

        "networkmanager:",

        "organizations:",

        "pricing:",

        "route53:",

        "route53domains:",

        "s3:GetAccountPublic",

        "s3:ListAllMyBuckets",

        "s3:PutAccountPublic*",

        "shield:",

        "sts:",

        "support:",

        "trustedadvisor:",

        "waf-regional:",

        "waf:",

        "wafv2:",

        "wellarchitected:"

      ],

      "Sid": "DenyUnsupportedRegions"

    }

  ]

}

AWS SCP 예제 3: S3 버킷 소유자 적용

객체 소유권에 대한 버킷 소유자 적용 설정을 지정하지 않고 ACL을 비활성화하지 않는 한 IAM 사용자 또는 역할에 대한 s3:CreateBucket 권한을 거부합니다.

{

  "Version": "2012-10-17",

  "Statement": [

    {

      "Condition": {

        "StringNotEquals": {

          "s3:x-amz-object-ownership": "BucketOwnerEnforced"

        }

      },

      "Action": ["s3:CreateBucket"],

      "Resource": "*",

      "Effect": "Deny",

      "Sid": "RequireBucketOwnerFullControl"

    }

  ]

}

결론

이 문서에서 제공하는 AWS SCP 예제는 중앙 지점에서 AWS 조직 내에서 관리하는 여러 환경을 더 잘 보호하는 데 도움이 됩니다.

거부 목록 전략을 사용하여 특정 AWS 서비스 또는 지역에 대한 액세스를 차단하면 AWS 계정에서 실행 중인 팀과 애플리케이션에 큰 영향을 미칠 수 있습니다. 따라서 프로덕션에서 권한 정책을 활성화하기 전에 개발 또는 테스트 계정에서 새 AWS SCP를 테스트하는 것이 중요합니다.

Source