기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 서비스 제어 정책을 사용하여 계정 수준에서 인터넷 액세스 방지
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy"></a>

*Sergiy Shevchenko, Sean O'Sullivan, Victor Mazeo Whitaker, Amazon Web Services*

## 요약
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-summary"></a>

조직은 비공개로 유지해야 하는 계정 리소스에 대한 인터넷 액세스를 제한하는 경우가 많습니다. 이러한 계정에서 Virtual Private Cloud(VPCs)의 리소스는 어떤 방식으로든 인터넷에 액세스해서는 안 됩니다. 많은 조직에서 [중앙 집중식 검사 아키텍처](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/)를 선택합니다. 중앙 집중식 검사 아키텍처의 동서(VPC-to-VPC) 트래픽의 경우 스포크 계정과 해당 리소스가 인터넷에 액세스할 수 없는지 확인해야 합니다. 남북(인터넷 송신 및 온프레미스) 트래픽의 경우 검사 VPC를 통해서만 인터넷 액세스를 허용하려고 합니다.

이 패턴은 [서비스 제어 정책(SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)을 사용하여 인터넷 액세스를 방지합니다. 계정 또는 조직 단위(OU) 수준에서이 SCP를 적용할 수 있습니다. SCP는 다음을 방지하여 인터넷 연결을 제한합니다.
+ VPC에 대한 직접 인터넷 액세스를 허용하는 IPv4 또는 IPv6 [인터넷 게이트웨이](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) 생성 또는 연결 
+ 다른 VPC를 통한 간접 인터넷 액세스를 허용할 수 있는 [VPC 피어링 연결](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) 생성 또는 수락
+ VPC 리소스에 대한 직접 인터넷 액세스를 허용할 수 있는 [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html) 구성 생성 또는 업데이트

## 사전 조건 및 제한 사항
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-prereqs"></a>

**사전 조건 **
+ 에서 조직으로 AWS 계정 관리되는 하나 이상의 입니다 AWS Organizations.
+ [모든 기능이에서 활성화됩니다](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) AWS Organizations.
+ 조직에서 [SCP가 활성화됨](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html).
+ 다음 권한:
  + 조직의 관리 계정에 액세스합니다.
  + SCP를 생성합니다. 최소 권한에 대한 자세한 내용은 [SCP 생성](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#create-an-scp)을 참조하세요.
  + 대상 계정 또는 조직 단위(OU)에 SCP를 연결합니다. 최소 권한에 대한 자세한 내용은 [서비스 제어 정책 연결 및 분리](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)를 참조하세요.

**제한 사항 **
+ SCP는 관리 계정의 사용자 또는 역할에 영향을 미치지 않습니다. 조직의 멤버 계정에만 영향을 줍니다.
+ SCPs는 조직의 일부인 계정에서 관리하는 AWS Identity and Access Management (IAM) 사용자 및 역할에만 영향을 미칩니다. 자세한 내용은 [권한에 대한 SCP 효과](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions)를 참조하세요.

## 도구
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-tools"></a>

**서비스**
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)는 여러을 생성하여 중앙에서 관리하는 조직 AWS 계정 으로 통합하는 데 도움이 되는 계정 관리 서비스입니다. 이 패턴에서는 AWS Organizations에서 [서비스 제어 정책(SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)을 사용합니다.
+ [Amazon Virtual Private Cloud(Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)를 사용하면 정의한 가상 네트워크에서 AWS 리소스를 시작할 수 있습니다. 이 가상 네트워크는 AWS의 확장 가능한 인프라를 사용한다는 이점과 함께 고객의 자체 데이터 센터에서 운영하는 기존 네트워크와 유사합니다.

## 모범 사례
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-best-practices"></a>

조직에서이 SCP를 설정한 후 인터넷 액세스에 영향을 미칠 수 있는 새로운 AWS 서비스 기능이나 기능을 처리하도록 자주 업데이트해야 합니다.

## 에픽
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-epics"></a>

### SCP 생성 및 연결
<a name="create-and-attach-the-scp"></a>


| 작업 | 설명 | 필요한 기술 | 
| --- | --- | --- | 
| SCP를 생성합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/prevent-internet-access-at-the-account-level-by-using-a-service-control-policy.html) | 관리자 | 
| SCP를 연결합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/prevent-internet-access-at-the-account-level-by-using-a-service-control-policy.html) | 관리자 | 

## 관련 리소스
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-resources"></a>
+ [AWS Organizations 설명서](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ [서비스 제어 정책(SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ [AWS Gateway Load Balancer 및를 사용한 중앙 집중식 검사 아키텍처 AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/)(AWS 블로그 게시물)