AWS에서 서비스 통제 정책 구성
AWS 관리자는 SCP(서비스 통제 정책)를 구성하고 설정을 위해 클라우드 계정 관리 해당 ID를 관리자와 ServiceNow AI Platform 공유합니다. 클라우드 계정 관리 API 호출을 통해 SCP를 적용하여 계정의 자원 생성을 차단합니다.
서비스 통제 정책의 생성 및 사용과 관련된 프로세스:
- AWS 관리자는 CFT 스크립트의 자원 목록을 사용하여 관리 계정에서 서비스 통제 정책(SCP)을 설정합니다. 관리자는 자원 유형을 더 추가하여 이 목록을 사용자 지정할 수 있습니다.
- AWS 관리자는 SCP ID를 관리자와 ServiceNow 공유하며, 관리자는 구성 프로세스 중에 등록에 SCP ID를 클라우드 계정 관리 사용합니다.
- 클라우드 계정 관리 앱은 일시 중단 요청을 제출하고 조직 연결 정책 API에 대한 API 호출을 트리거합니다AWS. 이 API는 SCP를 적용하여 사용자가 해당 계정에서 리소스를 생성하지 못하도록 차단합니다.
다음 컨텐츠를 파일에 복사하고 파일을 CloudFormation 템플릿(확장명 *.cft)으로 저장합니다.
AWSTemplateFormatVersion: 2010-09-09
Description: SCP policy for ServiceNow Cloud Workspace to restrict creation of new resources.
Resources:
PolicyTestTemplate:
Type: AWS::Organizations::Policy
Properties:
Type: SERVICE_CONTROL_POLICY
Name: CAM_SCP_SuspendAccount_Policy
Content:
Version: 2012-10-17
Statement:
- Sid: CAMSCPSuspendAccountPolicy
Effect: Deny
Action:
- 'ec2:RunInstances'
- 'ec2:CreateVolume'
- 'ec2:CreateSnapshot'
- 'ec2:CreateImage'
- 's3:CreateBucket'
- 'iam:CreateUser'
- 'iam:CreateRole'
- 'iam:CreatePolicy'
- 'dynamodb:CreateTable'
- 'sqs:CreateQueue'
- 'sns:CreateTopic'
- 'lambda:CreateFunction'
- 'ec2:CreateVpc'
- 'ec2:CreateSubnet'
- 'ec2:CreateInternetGateway'
- 'ec2:CreateRoute'
- 'rds:CreateDBInstance'
- 'redshift:CreateCluster'
Resource: '*'