# 정책 평가 로직
<a name="reference_policies_evaluation-logic"></a>

보안 주체가 AWS Management Console, AWS API 또는 AWS CLI를 사용하려고 시도하면 해당 보안 주체가 *요청*을 AWS에 전송합니다. AWS 서비스가 요청을 받으면 AWS는 여러 단계를 완료하여 요청을 허용할지 거부할지 여부를 결정합니다.

1. **인증** - AWS는 먼저 필요하다면 요청을 생성하는 보안 주체를 인증합니다. 이 단계는 익명 사용자의 요청을 허용하는 Amazon S3와 같은 일부 서비스에서는 필요하지 않습니다.

1. **[요청 컨텍스트 처리](reference_policies_evaluation-logic_policy-eval-reqcontext.md)** – AWS는 요청에 담긴 내용을 처리하여 어떤 정책을 요청에 적용할지 결정합니다.

1. **[AWS 적용 코드 로직이 액세스 허용 또는 거부 요청을 평가하는 방법](reference_policies_evaluation-logic_policy-eval-denyallow.md)** - AWS는 모든 정책 유형을 평가하며 정책의 순서는 정책 평가 방식에 영향을 미칩니다. 그런 다음 AWS는 요청 컨텍스트에 따라 정책을 처리하여 요청이 허용되는지 아니면 거부되는지 확인합니다.

## 리소스 기반 정책과 함께 자격 증명 기반 정책 평가
<a name="policy-eval-basics-id-rdp"></a>

자격 증명 기반 정책 및 리소스 기반 정책은 연결된 자격 증명이나 리소스에 권한을 부여합니다. IAM 엔터티(사용자 또는 역할)가 동일 계정 내에서 리소스에 대한 액세스를 요청할 경우 AWS는 자격 증명 기반 및 리소스 기반 정책을 통해 부여된 모든 권한을 평가합니다. 결과적으로 생성되는 권한은 두 유형의 권한을 합친 것입니다. 자격 증명 기반 정책, 리소스 기반 정책 또는 두 정책 모두에 의해 작업이 허용되는 경우 AWS에서는 해당 작업을 허용합니다. 이들 정책 중 하나에 포함된 명시적 거부는 허용을 재정의합니다.

![\[자격 증명 기반 정책 및 리소스 기반 정책 평가\]](http://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/images/permissions_policies_effective.png)


## 권한 경계와 함께 자격 증명 기반 정책 평가
<a name="policy-eval-basics-id-bound"></a>

AWS에서 사용자의 자격 증명 기반 정책 및 권한 경계를 평가하는 경우 결과적으로 두 범주의 공통된 권한만 권한으로 부여됩니다. 기존 자격 증명 기반 정책으로 사용자에 권한 경계를 추가하면 사용자가 수행할 수 있는 작업을 축소할 수 있습니다. 또는 사용자에게서 권한 경계를 제거하면 사용자가 수행할 수 있는 작업이 늘어날 수 있습니다. 이들 정책 중 하나에 포함된 명시적 거부는 허용을 재정의합니다. 다른 정책 유형을 권한 경계와 함께 평가하는 방식에 대해 자세히 알아보려면 [경계가 있는 효과적인 권한 평가](access_policies_boundaries.md#access_policies_boundaries-eval-logic) 섹션을 참조하세요.

![\[자격 증명 기반 정책 및 권한 경계 평가\]](http://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/images/permissions_boundary.png)


## AWS Organizations SCP 또는 RCP와 함께 자격 증명 기반 정책 평가
<a name="policy-eval-basics-id-scp"></a>

사용자가 조직의 멤버인 계정에 속하고 리소스 기반 정책이 구성되지 않은 리소스에 액세스하는 경우 결과 권한은 사용자 정책, 서비스 제어 정책(SCP) 및 리소스 제어 정책(RCP)의 교집합입니다. 즉, 세 가지 정책 유형 모두에서 작업을 허용해야 합니다. ID 기반 정책, SCP 또는 RCP의 명시적 거부는 허용을 재정의합니다.

![\[ID 기반 정책 및 SCP 또는 RCP 평가\]](http://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/images/permissions_scp-idp.png)


AWS Organizations에서 [계정이 조직의 멤버인지 여부](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_details.html#orgs_view_account)를 알아볼 수 있습니다. 조직 멤버가 SCP 또는 RCP의 영향을 받을 수 있습니다. AWS CLI 명령 또는 AWS API 작업을 사용하여 이 데이터를 보려면 AWS Organizations 엔터티에 대해 `organizations:DescribeOrganization` 작업 권한이 있어야 합니다. AWS Organizations 콘솔에서 작업을 수행할 추가 권한이 있어야 합니다. SCP 또는 RCP가 특정 요청에 대한 액세스를 거부하는지 여부를 확인하거나 유효 권한을 변경하려면 AWS Organizations 관리자에게 문의하세요.