안녕하세요. AWS 공부중인 어린이 입니다.
SCP 정책을 만들어서 특정 인스턴스(저렴이) 말고는 모든 계정에서 생성할 수 없도록 적용중인데요,,
아래와 같이 정책만들어서 Root 적용했는데, Root 계정에서 .xlarge EC2 생성이 여전히 가능합니다.
정책이 틀린건가요? 아니면 Root 라서 가능한건가요? (root도 scp 적용받으면 못만든다고 알고있는데..)
아니면 정책 적용까지 시간이 좀 걸리나요?
혹시 고수님들 아시면 답변 부탁드립니다 ㅠ
정책은 AWS 정책생성기 쓴거고, 생성기에서 문법오류는 없다고 떳습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyBitcoin",
"Effect": "Deny",
"Action": [
"ec2:RunInstances"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"ForAnyValue:StringNotLike": {
"ec2:InstanceType": [
"*.nano",
"*.small",
"*.micro",
"*.medium"
]
}
}
}
]
}
5개의 답변이 있습니다.
답변 참고합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입해당 AWS SCP는 특정 인스턴스 유형(nano, small, micro, medium)을 제외한 다른 모든 인스턴스 유형(xlarge 포함)에 대해 ec2:RunInstances를 거부하려는 의도로 보입니다.
그리고, AWS Organizations의 SCP는 Root 사용자에게도 적용됩니다.
Root 계정이라도 SCP에서 허용하지 않으면 해당 액션 ec2:RunInstances 을 실행할 수 없습니다.
참고로, SCP는 즉시 적용되지 않을 수 있으며, 최대 몇 분 정도의 지연 시간이 발생할 수 있습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입root 계정은 관리자 계정인데...
root 계정에 어떤 제한을 설정하는 것 보다는 가급적 사용자 계정을 추가해서 사용자 계정에 대한 제한을 설정하는게 맞을 걸로 보이네요.
그리고, root 계정은 관리 목적으로만 사용하도록 최대한 사용을 하지 않는 것이 맞을 것 같고요.
관리 목적이 아닐 경우는 일반 사용자 계정으로 로긴해서 사용하는 것을 생활화하는 것이 좋겠죠.
root 계정이 IAM 정책에서 제외되어 있기 때문이 아닐까 싶어 보이네요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입AWS Organizations 확인이 필요해 보입니다.
1.Organizations > Policies 메뉴에서 해당 SCP가 "Active" 상태인지 확인
2.SCP가 Root OU에 제대로 연결(attach)되어 있는지 확인
3.Root OU의 정책 상속이 비활성화되어 있지는 않은지 확인
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입올려주신 AWS 정책 구문상의 이상은 없어보입니다.
구문 문제보다는 scp 적용이 안되었거나 잘못된게 아닐까요?
그리고 IAM정책을 통해 root 사용자의 권한을 직접적으로 제한할 수 없지만
AWS Organization의 SCP를 통해서는 root 사용자의 권한도 제한 가능합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입