SCP를 "권한 부여 정책"으로 이해하고 시험에 들어가는 사람의 90%는 도메인 1을 놓친다. SCP의 본질을 한 문장으로 표현하면 이렇다 — "SCP는 권한을 절대 부여하지 않는다. 오직 허용될 수 있는 권한의 최대 한계(ceiling)만 정한다." 이 한 문장을 제대로 이해하지 못하면 Pro 시험의 "SCP 보기 4개 중 옳은 것" 시나리오에서 매번 헷갈린다.
SCP가 등장하기 전, 멀티 계정 환경에서 "모든 계정의 root 사용자가 X를 못 하게" 강제할 방법이 없었다. IAM 정책은 어차피 계정 안의 IAM User/Role에만 적용되고 root는 통과시킨다. AWS Config Rule은 사후 탐지일 뿐 차단이 아니다. 그래서 보안팀은 Lambda + Config + 알람 + 자동 정리라는 복잡한 자동화를 직접 만들어야 했다. 2017년 Organizations와 함께 SCP가 등장하며 이게 단순해졌다. OU 또는 계정에 SCP를 부착하면, 그 안의 모든 Principal(root 포함)이 SCP가 허용하지 않는 액션을 못 한다.
오늘은 SCP의 본질, 평가 순서, Allow-list vs Deny-list 전략, 자주 쓰이는 6가지 패턴, 디버깅 기법, 그리고 2024년 출시된 신기능 **Resource Control Policy(RCP)**까지 본다.
다음 두 가지 사실이 가장 중요하다.
1