수백 개 계정을 가진 조직에서 "모든 계정이 절대 하면 안 되는 일"을 어떻게 강제할까? 계정마다 IAM 정책을 일일이 배포하면 새 계정이 추가될 때마다 누락이 생기고, root 사용자는 IAM 정책으로 제어조차 안 된다. 이 문제의 정답이 **AWS Organizations의 SCP(Service Control Policy)**다.
SCP는 day1·day2에서 본 "권한의 상한선"의 최상위 층이다. 계정 전체에, root 사용자까지 포함해 가드레일을 친다. Specialty 시험 도메인 1(보안 거버넌스)의 핵심이며, OU 설계·SCP 평가·상속 규칙을 정확히 이해해야 한다.
Organizations는 계정들을 트리로 조직한다.
Root (조직 루트, 단 하나)
│
├── 관리 계정 (Management Account, payer)
│
├── OU: Security
│ ├── Log Archive 계정
│ └── Audit 계정
│
├── OU: Production
│ ├── prod-app-1 계정
│ └── prod-app-2 계정
│
└── OU: Sandbox
└── dev-1 계정
SCP는 이 트리의 Root, OU, 또는 개별 계정에 부착할 수 있다. 그리고 상위에 부착한 SCP는 하위 모든 노드에 상속된다.