AWS Organizations를 사용하여 리소스 기반 위임 정책 업데이트
관리 계정에서, 조직의 리소스 기반 위임 정책을 업데이트하고, 정책과 관련한 작업을 수행할 권한이 부여된 멤버 계정을 지정하는 문을 추가합니다. 정책에 여러 명령문을 추가하여 멤버 계정마다 다양하게 구성된 권한을 부여할 수 있습니다.
리소스 기반 위임 정책을 업데이트하려면 다음 작업을 실행할 권한이 필요합니다.
또한 위임된 관리자 계정의 역할과 사용자에게, 필요한 작업에 해당하는 IAM 권한을 부여해야 합니다. IAM 권한이 없으면 호출하는 보안 주체에게 AWS Organizations 정책을 관리하는 데 필요한 권한이 없는 것으로 간주됩니다.
- AWS Management Console
-
AWS Management Console에서 다음 방법 중 하나를 사용하여 리소스 기반 위임 정책에 명령문을 추가합니다.
-
JSON 정책-예제 리소스 기반 위임 정책을 붙여 넣고 계정에서 사용하기에 적합하도록 수정하거나, JSON 편집기에서 직접 JSON 정책 문서를 입력합니다.
-
시각적 편집기 - 시각적 편집기에서 새 위임 정책을 구성합니다. 시각적 편집기는 사용자가 JSON 구문을 작성하지 않고도 위임 정책을 만들 수 있도록 안내합니다.
JSON 정책 편집기를 사용하여 위임 정책을 업데이트하려면
-
AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
-
설정을 선택합니다.
-
AWS Organizations의 위임된 관리자 섹션에서 위임을 선택하여 Organizations 위임 정책을 업데이트합니다.
-
JSON 정책 문서를 입력합니다. IAM 정책 언어에 대한 자세한 내용은 IAM JSON 정책 참조를 참조하세요.
-
정책 검증 동안 생성된 모든 보안 경고, 오류 또는 일반 경고를 해결한 다음 정책 생성을 선택합니다.
시각적 편집기를 사용하여 위임 정책을 업데이트하려면
-
AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
-
설정을 선택합니다.
-
AWS Organizations의 위임된 관리자 섹션에서 위임을 선택하여 Organizations 위임 정책을 업데이트합니다.
-
Create Delegation policy(위임 정책 생성) 페이지에서 Add new statement(새 명령문 추가)를 선택합니다.
-
Effect(효과)를 Allow로 설정합니다.
-
Principal을 추가하여, 작업을 위임하려는 멤버 계정을 정의합니다.
-
Actions(작업) 목록에서 위임하려는 작업을 선택합니다. Filter actions(작업 필터링)를 사용하여 선택 범위를 좁힐 수 있습니다.
-
위임된 멤버 계정이 조직 루트 또는 조직 단위(OU)에 정책을 연결할 수 있도록 할지 여부를 지정하려면, Resources를 설정합니다. 또한 리소스 유형으로 policy를 선택해야 합니다. 다음과 같은 방법으로 리소스를 지정할 수 있습니다.
-
Add a resource(리소스 추가)를 선택하고 대화 상자에 나타나는 지시에 따라 Amazon 리소스 이름(ARN)을 구성합니다.
-
편집기에서 리소스 ARN을 수동으로 나열합니다. ARN 구문에 대한 자세한 내용은 AWS 일반 참조 가이드에서 Amazon 리소스 이름(ARN)을 참조하세요. 정책의 Resource 요소에 ARN을 사용하는 방법에 대한 자세한 내용은 IAM JSON 정책 요소: Resource를 참조하세요.
-
Add a condition(조건 추가)을 선택하여 위임하려는 정책 유형을 비롯한 다른 조건을 지정합니다. 조건의 Condition key(조건 키), Tag key(태그 키), Qualifier(한정어), Operator(연산자)를 선택한 후 Value를 입력합니다. 마치면 Add condition(조건 추가)을 선택합니다. Condition 요소에 대한 자세한 내용은 IAM JSON 정책 참조에서 IAM JSON 정책 요소: Condition을 참조하세요.
-
권한 블록을 더 추가하려면 Add new statement(새 명령문 추가)를 선택합니다. 각 블록마다 5~9단계를 반복합니다.
-
정책 검증 동안 생성된 모든 보안 경고, 오류 또는 일반 경고를 해결한 다음 정책 저장를 선택합니다.
- AWS CLI & AWS SDKs
-
위임 정책 생성 또는 업데이트
위임 정책을 생성하거나 업데이트하려면 다음 명령을 사용합니다.
-
AWS CLI: put-resource-policy
다음 예제에서는 위임 정책을 생성하거나 업데이트합니다.
$ aws organizations put-resource-policy --content
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Fully_manage_backup_policies",
"Effect": "Allow",
"Principal": {
"AWS": "135791357913"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
"arn:aws:organizations::246802468024:ou/o-abcdef/*",
"arn:aws:organizations::246802468024:account/o-abcdef/*",
"arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": [
"BACKUP_POLICY"
]
}
}
}
]
}
지원되는 위임 정책 작업
위임 정책과 관련하여 지원되는 작업은 다음과 같습니다.
-
AttachPolicy
-
CreatePolicy
-
DeletePolicy
-
DescribeAccount
-
DescribeCreateAccountStatus
-
DescribeEffectivePolicy
-
DescribeHandshake
-
DescribeOrganization
-
DescribeOrganizationalUnit
-
DescribePolicy
-
DescribeResourcePolicy
-
DetachPolicy
-
DisablePolicyType
-
EnablePolicyType
-
ListAccounts
-
ListAccountsForParent
-
ListAWSServiceAccessForOrganization
-
ListChildren
-
ListCreateAccountStatus
-
ListDelegatedAdministrators
-
ListDelegatedServicesForAccount
-
ListHandshakesForAccount
-
ListHandshakesForOrganization
-
ListOrganizationalUnitsForParent
-
ListParents
-
ListPolicies
-
ListPoliciesForTarget
-
ListRoots
-
ListTagsForResource
-
ListTargetsForPolicy
-
TagResource
-
UntagResource
-
UpdatePolicy
지원되는 조건 키
AWS Organizations에서 지원하는 조건 키만 위임 정책에 사용할 수 있습니다. 자세한 내용은 서비스 권한 부여 참조의 AWS Organizations 조건 키를 참조하세요.
