를 사용하여 조직 정책 만들기 AWS Organizations - AWS Organizations
백업 정책 생성태그 정책 만들기AI 서비스 옵트아웃 정책 생성서비스 제어 정책 만들기 (SCP)

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용하여 조직 정책 만들기 AWS Organizations

조직에 정책을 사용하도록 설정한 후 정책을 생성할 수 있습니다.

이 항목에서는 다음을 사용하여 정책을 생성하는 방법을 설명합니다. AWS Organizations. 정책은 그룹에 적용할 제어를 정의합니다. AWS 계정. AWS Organizations 관리 정책 및 권한 부여 정책을 지원합니다.

백업 정책 생성

최소 권한

백업 정책을 생성하려면 다음 작업을 실행할 수 있는 권한이 필요합니다.

  • organizations:CreatePolicy

AWS Management Console

에서 백업 정책을 생성할 수 있습니다. AWS Management Console 다음 두 가지 방법 중 하나로

  • 옵션을 선택하고 JSON 정책 텍스트를 자동으로 생성할 수 있는 시각적 편집기입니다.

  • JSON정책 텍스트를 직접 만들 수 있는 텍스트 편집기입니다.

시각적 편집기를 사용하면 프로세스를 쉽게 수행할 수 있지만 유연성은 제한됩니다. 이는 처음 정책을 생성하여 편안하게 사용할 수 있는 좋은 방법입니다. 작동 방식을 이해하고 시각적 편집기가 제공하는 기능에 제한을 받기 시작한 후에는 JSON 정책 텍스트를 직접 편집하여 정책에 고급 기능을 추가할 수 있습니다. 시각적 편집기는 @@assign value-setting 연산자만 사용하며, 하위 제어 연산자에 대한 액세스 권한을 제공하지 않습니다. JSON정책 텍스트를 수동으로 편집하는 경우에만 하위 제어 연산자를 추가할 수 있습니다.

백업 정책을 생성하려면

  1. 에 로그인하기AWS Organizations 콘솔. 조직의 관리 계정에서 IAM 사용자로 로그인하거나, IAM 역할을 수임하거나, 루트 사용자 (권장되지 않음) 로 로그인해야 합니다.

  2. 백업 정책(Backup policies) 페이지에서 정책 생성(Create policy)을 선택합니다.

  3. 정책 생성(Create policy) 페이지에서 정책 이름정책 설명(선택 사항)을 입력합니다.

  4. (선택 사항) 태그 추가(Add tags)를 선택한 다음 키 및 값(선택 사항)을 입력해 정책에 하나 이상의 태그를 추가할 수 있습니다. 값을 공백으로 남겨두면 null이 아닌 빈 문자열로 설정됩니다. 한 정책에 최대 50개의 태그를 연결할 수 있습니다. 태그 지정에 대한 자세한 내용은 단원을 참조하세요태그 지정 AWS Organizations resources

  5. 이 절차의 설명과 같이 시각적 편집기를 사용하여 정책을 작성할 수 있습니다. JSON탭에 정책 텍스트를 입력하거나 붙여넣을 수도 있습니다. 백업 정책 구문에 대한 자세한 내용은 백업 정책 구문 및 예제 단원을 참조하세요.

    시각적 편집기를 사용하기로 선택한 경우 시나리오에 적합한 백업 옵션을 선택합니다. 백업 계획은 세 부분으로 구성됩니다. 이러한 백업 계획 요소에 대한 자세한 내용은 백업 계획 생성리소스 할당을 참조하십시오. AWS Backup 개발자 안내서.

    1. 백업 계획 일반 세부 정보

      • 백업 계획 이름은 영숫자, 하이픈, 밑줄 문자로만 구성할 수 있습니다.

      • 목록에서 하나 이상의 백업 계획 영역을 선택해야 합니다. 플랜은 선택한 리소스만 백업할 수 있습니다. AWS 리전.

    2. 방법과 시기를 지정하는 하나 이상의 백업 규칙 AWS Backup 운영하는 것입니다. 각 백업 규칙은 다음 사항을 정의합니다.

      • 백업 빈도 및 백업을 수행할 수 있는 기간을 포함하는 일정.

      • 사용할 백업 볼트의 이름입니다. 백업 볼트 이름은 영숫자, 하이픈, 밑줄 문자로만 구성할 수 있습니다. 백업 볼트가 있어야 계획을 성공적으로 실행할 수 있습니다. 를 사용하여 볼트를 생성합니다. AWS Backup 콘솔 또는 AWS CLI 커맨드.

      • (선택 사항) 백업을 다른 저장소에도 복사하기 위한 하나 이상의 영역에 복사 규칙 AWS 리전.

      • 이 백업 계획이 실행될 때마다 생성된 백업 복구 지점에 연결할 하나 이상의 태그 키/값 페어.

      • 백업이 콜드 스토리지로 전환되는 시기와 백업이 만료되는 시기를 지정하는 수명 주기 옵션.

      규칙 추가(Add rule)를 선택해 필요한 모든 규칙을 추가합니다.

      백업 규칙에 대한 자세한 내용은 의 Backup Rules를 참조하십시오. AWS Backup 개발자 가이드.

    3. 어떤 리소스를 다음과 같이 지정하는지 지정하는 리소스 배정입니다. AWS Backup 이 플랜으로 백업해야 합니다. 할당은 다음과 같은 태그 쌍을 지정하여 이루어집니다. AWS Backup 리소스를 찾고 매칭하는 데 사용합니다.

      • 리소스 할당 이름은 영숫자, 하이픈, 밑줄 문자로만 구성될 수 있습니다.

      • IAM역할을 지정하십시오. AWS Backup 이름을 기준으로 백업을 수행하는 데 사용합니다.

        콘솔에서는 전체 Amazon 리소스 이름 (ARN) 을 지정하지 않습니다. 역할 이름과 역할 유형을 지정하는 접두사를 모두 포함해야 합니다. 접두사는 일반적으로 role 또는 service-role이며, 슬래시('/')로 역할 이름과 구분합니다. 예를 들어 role/MyRoleName 또는 service-role/MyManagedRoleName을 입력할 수 있습니다. 기본 파일에 저장하면 전체 ARN 파일로 변환됩니다JSON.

        중요

        지정된 IAM 역할은 정책이 적용되는 계정에 이미 존재해야 합니다. 그렇지 않으면 백업 계획이 백업 작업을 성공적으로 시작할 수 있지만 이러한 백업 작업은 실패합니다.

      • 백업할 리소스를 식별하기 위해 하나 이상의 리소스 태그 키태그 값 페어를 지정합니다. 태그 값이 두 개 이상인 경우 쉼표로 값을 구분합니다.

      할당 추가(Add assignment)를 선택해, 구성된 각 리소스 할당을 백업 계획에 추가합니다.

      자세한 내용은 의 Backup Plan에 리소스 할당을 참조하십시오. AWS Backup 개발자 가이드.

  6. 정책 작성을 마쳤으면 정책 생성(Create policy)을 선택합니다. 정책이 사용 가능한 백업 정책 목록에 나타납니다.

AWS CLI & AWS SDKs
백업 정책을 생성하려면

다음 중 하나를 사용하여 백업 정책을 생성할 수 있습니다.

  • AWS CLI: 정책 생성

    다음과 비슷한 JSON 텍스트로 백업 계획을 만들고 텍스트 파일에 저장합니다. 구문의 전체 규칙은 백업 정책 구문 및 예제 단원을 참조하세요.

    {
    "plans": {
        "PII_Backup_Plan": {
            "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
            "rules": {
                "Hourly": {
                    "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
                    "start_backup_window_minutes": { "@@assign": "480" },
                    "complete_backup_window_minutes": { "@@assign": "10080" },
                    "lifecycle": {
                        "move_to_cold_storage_after_days": { "@@assign": "180" },
                        "delete_after_days": { "@@assign": "270" }
                    },
                    "target_backup_vault_name": { "@@assign": "FortKnox" },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
                            "lifecycle": {
                                "move_to_cold_storage_after_days": { "@@assign": "10" },
                                "delete_after_days": { "@@assign": "100" }
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                        "tag_key": { "@@assign": "dataType" },
                        "tag_value": { "@@assign": [ "PII" ] }
                    }
                }
            }
        }
    }
}

    이 백업 계획에서는 다음을 지정합니다. AWS Backup은 영향을 받는 사이트의 모든 리소스를 백업해야 합니다. AWS 계정 해당 항목은 지정된 위치에 있습니다. AWS 리전 그리고 값이 dataType 인 태그가 있습니다PII.

    그런 다음 JSON 정책 파일 백업 계획을 가져와서 조직에 새 백업 정책을 생성합니다. 출력의 정책 끝에 있는 정책 ID를 ARN 기록해 둡니다.

    $ aws organizations create-policy \
    --name "MyBackupPolicy" \
    --type BACKUP_POLICY \
    --description "My backup policy" \
    --content file://policy.json{
    "Policy": {
        "PolicySummary": {
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
            "Description": "My backup policy",
            "Name": "MyBackupPolicy",
            "Type": "BACKUP_POLICY"
        }
        "Content": "...a condensed version of the JSON policy document you provided in the file...",
    }
}

  • AWS SDKs: CreatePolicy
다음에 수행할 작업

백업 정책을 생성한 후 정책을 적용할 수 있습니다. 이를 위해 정책을 조직 루트, 조직 단위 (OUs) 에 연결할 수 있습니다. AWS 계정 조직 내에서, 또는 이 둘을 모두 조합한 경우.

태그 정책 만들기

최소 권한

태그 정책을 생성하려면 다음 작업을 실행할 수 있는 권한이 필요합니다.

  • organizations:CreatePolicy

에서 태그 정책을 생성할 수 있습니다. AWS Management Console 다음 두 가지 방법 중 하나로

  • 옵션을 선택하고 JSON 정책 텍스트를 자동으로 생성할 수 있는 시각적 편집기입니다.

  • JSON정책 텍스트를 직접 만들 수 있는 텍스트 편집기입니다.

시각적 편집기를 사용하면 프로세스를 쉽게 수행할 수 있지만 유연성은 제한됩니다. 이는 처음 정책을 생성하여 편안하게 사용할 수 있는 좋은 방법입니다. 작동 방식을 이해하고 시각적 편집기가 제공하는 기능에 제한을 받기 시작한 후에는 JSON 정책 텍스트를 직접 편집하여 정책에 고급 기능을 추가할 수 있습니다. 시각적 편집기는 @@assign value-setting 연산자만 사용하며, 하위 제어 연산자에 대한 액세스 권한을 제공하지 않습니다. JSON정책 텍스트를 수동으로 편집하는 경우에만 하위 제어 연산자를 추가할 수 있습니다.

AWS Management Console

에서 태그 정책을 생성할 수 있습니다. AWS Management Console 다음 두 가지 방법 중 하나로

  • 옵션을 선택하고 JSON 정책 텍스트를 자동으로 생성할 수 있는 시각적 편집기입니다.

  • JSON정책 텍스트를 직접 만들 수 있는 텍스트 편집기입니다.

시각적 편집기를 사용하면 프로세스를 쉽게 수행할 수 있지만 유연성은 제한됩니다. 이는 처음 정책을 생성하여 편안하게 사용할 수 있는 좋은 방법입니다. 작동 방식을 이해하고 시각적 편집기가 제공하는 기능에 제한을 받기 시작한 후에는 JSON 정책 텍스트를 직접 편집하여 정책에 고급 기능을 추가할 수 있습니다. 시각적 편집기는 @@assign value-setting 연산자만 사용하며, 하위 제어 연산자에 대한 액세스 권한을 제공하지 않습니다. JSON정책 텍스트를 수동으로 편집하는 경우에만 하위 제어 연산자를 추가할 수 있습니다.

태그 정책을 생성하려면

  1. 에 로그인하기AWS Organizations 콘솔. 조직의 관리 계정에서 IAM 사용자로 로그인하거나, IAM 역할을 수임하거나, 루트 사용자 (권장되지 않음) 로 로그인해야 합니다.

  2. 태그 정책(Tag policies) 페이지에서 정책 생성(Create policy)을 선택합니다.

  3. 정책 생성(Create policy) 페이지에서 정책 이름(Policy name)정책 설명(Policy description)(선택 사항)을 입력합니다.

  4. (선택 사항) 정책 객체 자체에 하나 이상의 태그를 추가할 수 있습니다. 이러한 태그는 정책에 포함되지 않습니다. 이렇게 하려면 태그 추가(Add tag)를 선택한 다음 키 및 값(선택 사항)을 입력합니다. 값을 공백으로 남겨두면 null이 아닌 빈 문자열로 설정됩니다. 한 정책에 최대 50개의 태그를 연결할 수 있습니다. 자세한 정보는 태그 지정 AWS Organizations resources 섹션을 참조하세요.

  5. 이 절차의 설명과 같이 시각적 편집기를 사용하여 태그 정책을 빌드할 수 있습니다. JSON탭에 태그 정책을 입력하거나 붙여넣을 수도 있습니다. 태그 정책 구문에 대한 자세한 내용은 태그 정책 구문 단원을 참조하세요.

    비주얼 편집기를 사용하기로 선택한 경우 다음을 지정하십시오.

  6. 새 태그 키 1(New tag key 1)에서 추가할 태그 키의 이름을 지정합니다.

  7. 규정 준수 옵션의 경우 다음 옵션을 선택할 수 있습니다.

    1. 태그 키에 대해 위에서 지정한 대소문자를 사용하십시오. 상속된 상위 태그 정책 (있는 경우) 이 태그 키의 대/소문자를 정의하도록 지정하려면 이 옵션을 선택하지 않은 상태로 두십시오 (기본값).

      이 정책을 사용하여 태그 키에 특정 대소문자를 강제하려면 이 옵션을 활성화합니다. 이 옵션을 선택하면 태그 키에 대해 지정한 대소문자 처리가 상속된 상위 정책에 지정된 대소문자 처리를 재정의합니다.

      상위 정책이 존재하지 않고 이 옵션을 활성화하지 않으면 모든 소문자의 태그 키만 정책을 준수하는 것으로 간주됩니다. 상위 정책으로부터의 상속에 관한 자세한 내용은 관리 정책 상속에 대한 이해 단원을 참조하세요.

      작은 정보

      태그 키와 해당 대소문자 처리를 정의하는 태그 키를 생성할 때 예제 1: 조직 전체의 태그 키 사례 정의에 표시된 태그 정책 예제를 가이드로 사용할 수 있습니다. 이 태그 정책을 조직 루트에 연결합니다. 나중에 OUs 또는 계정에 추가 태그 정책을 만들고 첨부하여 추가 태그 규칙을 만들 수 있습니다.

    2. 이 태그 키에 허용되는 값 지정 - 이 태그 키에 허용되는 값을 상위 정책에서 상속된 값에 추가하려면 이 옵션을 활성화하십시오.

      기본적으로 이 옵션은 선택 취소되어 있으므로 상위 정책에서 정의되고 상속된 값만 정책을 준수하는 것으로 간주됩니다. 상위 정책이 없거나 태그 값을 지정하지 않는 경우 모든 값(값 없음 포함)이 정책을 준수하는 것으로 간주됩니다.

      허용 가능한 태그 값 목록을 업데이트하려면 이 태그 키에 허용되는 값 지정(Specify allowed values for this tag key)을 선택한 다음 값 지정(Specify values)을 선택합니다. 메시지가 표시되면 새 값(상자당 하나의 값)을 입력하고 변경 사항 저장(Save changes)을 선택합니다.

  8. 적용할 리소스 유형의 경우 이 태그에 대해 비준수 작업 방지를 선택할 수 있습니다.

    태그 정책을 사용해 본 경험이 없는 한 이 옵션을 선택하지 않은 상태로 두는 것이 좋습니다 (기본값). 적용 이해에서 권장 사항을 검토했는지 확인하고 철저히 테스트합니다. 그렇지 않으면 조직의 계정에 있는 사용자가 필요한 리소스에 태그를 지정하지 못하도록 할 수 있습니다.

    이 태그 키에 정책 준수를 적용하지 않으려면 확인란을 선택한 다음 리소스 유형 지정(Specify resource types)을 선택합니다. 메시지가 표시되면 정책에 포함할 리소스 유형을 선택합니다. 변경 사항 저장(Save changes)을 선택합니다.

    중요

    이 옵션을 선택하면 지정된 유형의 리소스에 대한 태그를 조작하는 모든 작업은 해당 작업의 결과로 태그가 정책을 준수하게 되는 경우에만 성공합니다.

  9. (선택 사항) 이 태그 정책에 다른 태그 키를 추가하려면 태그 키 추가를 선택합니다. 그런 다음 6~9단계를 수행하여 태그 키를 정의합니다.

  10. 태그 정책 빌드를 완료하면 변경 사항 저장을 선택합니다.

AWS CLI & AWS SDKs
태그 정책을 생성하려면

다음 중 하나를 사용하여 태그 정책을 생성할 수 있습니다.

  • AWS CLI: 정책 생성

    어떤 텍스트 편집기든 사용하여 태그 정책을 생성할 수 있습니다. JSON구문을 사용하고 태그 정책을 원하는 위치에 원하는 이름과 확장자를 가진 파일로 저장합니다. 태그 정책은 공백을 포함하여 최대 2,500자를 사용할 수 있습니다. 태그 정책 구문에 대한 자세한 내용은 태그 정책 구문 단원을 참조하세요.

    태그 정책을 생성하려면

    1. 텍스트 파일에 다음과 유사한 태그 정책을 만듭니다.

      testpolicy.json의 콘텐츠:

      {
    "tags": {
        "CostCenter": {
            "tag_key": {
                "@@assign": "CostCenter"
            }
        }
    }
}

      이 태그 정책은 CostCenter 태그 키를 정의합니다. 태그는 어떠한 값이든 수락하거나 값을 수락하지 않을 수 있습니다. 이와 같은 정책은 값이 있든 없든 CostCenter 태그가 첨부된 리소스가 규정을 준수함을 의미합니다.

    2. 파일의 정책 콘텐츠를 담은 정책을 생성합니다. 읽기 쉽도록 출력의 여분의 공백을 잘랐습니다.

      $ aws organizations create-policy \
    --name "MyTestTagPolicy" \
    --description "My Test policy" \
    --content file://testpolicy.json \
    --type TAG_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-a1b2c3d4e5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
            "Name": "MyTestTagPolicy",
            "Description": "My Test policy",
            "Type": "TAG_POLICY",
            "AwsManaged": false
        },
        "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
    }
}

  • AWS SDKs: CreatePolicy
다음에 수행할 작업

태그 정책을 생성한 후에는 태그 지정 규칙을 적용할 수 있습니다. 이렇게 하려면 정책을 조직 루트인 조직 단위 (OUs) 에 연결하세요. AWS 계정 조직 내에서 또는 조직 엔티티의 조합 내에서.

AI 서비스 옵트아웃 정책 생성

최소 권한

AI 서비스 옵트아웃 정책을 생성하려면 다음 작업을 실행할 수 있는 권한이 필요합니다.

  • organizations:CreatePolicy

AWS Management Console
AI 서비스 옵트아웃 정책을 만들려면

  1. 에 로그인하기AWS Organizations 콘솔. 조직의 관리 계정에서 IAM 사용자로 로그인하거나, IAM 역할을 수임하거나, 루트 사용자 (권장되지 않음) 로 로그인해야 합니다.

  2. AI 서비스 옵트아웃 정책(AI services opt-out policies) 페이지에서 정책 생성(Create policy)을 선택합니다.

  3. 새 AI 서비스 옵트아웃 정책 생성(Create new AI services opt-out policy) 페이지에서 정책 이름정책 설명을 입력합니다. 정책 설명은 선택 사항입니다.

  4. (선택 사항) 태그 추가(Add tags)를 선택한 다음 키 및 값(선택 사항)을 입력해 정책에 하나 이상의 태그를 추가할 수 있습니다. 값을 공백으로 남겨두면 null이 아닌 빈 문자열로 설정됩니다. 한 정책에 최대 50개의 태그를 연결할 수 있습니다. 자세한 내용은 태그 지정 AWS Organizations resources 단원을 참조하십시오.

  5. JSON탭에 정책 텍스트를 입력하거나 붙여넣습니다. AI 서비스 옵트아웃 정책 구문에 대한 자세한 내용은 AI 서비스 옵트아웃 정책 구문 및 예제 단원을 참조하세요. 시작점으로 사용할 수 있는 정책 예제를 보려면 AI 서비스 옵트아웃 정책 예제 단원을 참조하세요.

  6. 정책 편집을 마쳤으면 페이지의 오른쪽 아래 모서리에 있는 정책 생성(Create policy)을 선택합니다.

AWS CLI & AWS SDKs
AI 서비스 옵트아웃 정책을 만들려면

다음 중 하나를 사용하여 태그 정책을 생성할 수 있습니다.

  • AWS CLI: 정책 생성

    1. 다음과 같은 AI 서비스 옵트아웃 정책을 작성하여 텍스트 파일에 저장합니다. “optOut“과 “optIn“는 대소문자를 구분합니다.

      {
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

      이 AI 서비스 옵트아웃 정책은 정책의 영향을 받는 모든 계정이 Amazon Rekognition을 제외한 모든 AI 서비스에서 옵트아웃되도록 지정합니다.

    2. JSON정책 파일을 가져와서 조직에 새 정책을 생성합니다. 이 예에서는 이전 JSON 파일의 이름을 policy.json 지정했습니다.

      $ aws organizations create-policy \
    --type AISERVICES_OPT_OUT_POLICY \
    --name "MyTestPolicy" \
    --description "My test policy" \
    --content file://policy.json
{
    "Policy": {
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5"
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Description": "My test policy",
            "Name": "MyTestPolicy",
            "Type": "AISERVICES_OPT_OUT_POLICY"
        }
    }
}

  • AWS SDKs: CreatePolicy
다음에 수행할 작업

AI 서비스 옵트아웃 정책을 생성한 후 옵트아웃 옵션을 적용할 수 있습니다. 이를 위해 정책을 조직 루트인 조직 단위 (OUs) 에 연결할 수 있습니다. AWS 계정 조직 내에서, 또는 이 둘을 모두 조합한 경우.

서비스 제어 정책 만들기 (SCP)

최소 권한

SCPs생성하려면 다음 작업을 실행할 수 있는 권한이 필요합니다.

  • organizations:CreatePolicy

AWS Management Console
서비스 제어 정책을 생성하려면

  1. 에 로그인하기AWS Organizations 콘솔. 조직의 관리 계정에서 IAM 사용자로 로그인하거나, IAM 역할을 수임하거나, 루트 사용자 (권장되지 않음) 로 로그인해야 합니다.

  2. 서비스 제어 정책(Service control policies) 페이지에서 정책 생성(Create policy)을 선택합니다.

  3. 새 서비스 제어 정책 생성(Create new service control policy) 페이지에서 정책 이름정책 설명(선택 사항)을 입력합니다.

  4. (선택 사항) 태그 추가(Add tags)를 선택한 다음 키 및 값(선택 사항)을 입력해 하나 이상의 태그를 추가합니다. 값을 공백으로 남겨두면 null이 아닌 빈 문자열로 설정됩니다. 한 정책에 최대 50개의 태그를 연결할 수 있습니다. 자세한 내용은 태그 지정 AWS Organizations resources 단원을 참조하십시오.

    참고

    이후 대부분의 단계에서는 JSON 편집기 오른쪽에 있는 컨트롤을 사용하여 정책을 요소별로 구성하는 방법을 설명합니다. 또는 언제든지 창 왼쪽에 있는 JSON 편집기에 텍스트를 입력해도 됩니다. 직접 입력하거나 복사 및 붙여넣기를 사용할 수 있습니다.

  5. 정책 작성은 추가하는 문이 액세스를 거부하는지, 아니면 허용하지에 따라 그 다음 단계가 달라집니다. 자세한 내용은 SCP평가 단원을 참조하십시오. Deny명령문을 사용하면 특정 리소스에 대한 액세스를 제한하고, 적용 시기에 SCPs 대한 조건을 정의하고, NotAction요소를 사용할 수 있으므로 추가 제어가 가능합니다. 구문에 대한 자세한 내용은 SCP통사론 단원을 참조하세요.

    액세스를 거부하는 문을 추가하려면:

    1. 편집기의 오른쪽 명령문 편집 창에서 작업 추가 아래에서 원하는 항목을 선택합니다. AWS 서비스를 제공합니다.

      오른쪽에서 옵션을 선택하면 JSON 편집기가 업데이트되어 왼쪽에 해당 JSON 정책이 표시됩니다.

    2. 서비스를 선택하면 해당 서비스에 대해 사용 가능한 작업이 포함된 목록이 열립니다. 모든 작업(All actions)을 선택하거나, 거부하려는 개별 작업을 하나 이상 선택할 수 있습니다.

      JSON왼쪽의 내용이 업데이트되어 선택한 작업이 포함됩니다.

      참고

      개별 작업을 선택한 다음 다시 돌아가서 모든 작업을 선택하면 예상 항목이 에 servicename/* 추가되지만 이전에 선택한 개별 작업은 제거되지 않고 그대로 유지됩니다. JSON JSON

    3. 추가 서비스에서 작업을 추가하려면 문(Statement) 상자 상단에서 모든 서비스(All services)를 선택한 다음 필요에 따라 앞의 두 단계를 반복할 수 있습니다.

    4. 문에 포함할 리소스를 지정합니다.

      • 리소스 추가 옆에 있는 추가를 선택합니다.

      • 리소스 추가 대화 상자의 목록에서 리소스를 제어하려는 서비스를 선택합니다. 이전 단계에서 선택한 서비스 중에서만 선택할 수 있습니다.

      • 리소스 유형(Resource type)에서 제어할 리소스 유형을 선택합니다.

      • 마지막으로, 리소스에서 Amazon 리소스 이름 (ARN) ARN 을 작성하여 액세스를 제어하려는 특정 리소스를 식별하십시오. 중괄호 {}로 둘러싸인 모든 자리 표시자를 교체해야 합니다. 해당 리소스 유형의 ARN 구문이 허용하는 경우 와일드카드 (*) 를 지정할 수 있습니다. 와일드카드를 사용할 수 있는 상황에 대한 내용은 특정 리소스 유형에 대한 설명서를 참조하세요.

      • 리소스 추가(Add resource)를 선택해 정책에 대한 추가 항목을 저장합니다. 의 Resource 요소는 추가 또는 JSON 변경 내용을 반영합니다. 리소스 요소는 필수입니다.

      작은 정보

      선택한 서비스에 대한 모든 리소스를 지정하려면 목록에서 모든 리소스 옵션을 선택하거나 JSON "Resource":"*" 읽으려는 항목에서 직접 Resource 명령문을 편집하십시오.

    5. (선택 사항) 정책 문이 적용되는 상황을 제한하는 조건을 지정하려면 조건 추가 옆에 있는 추가를 선택합니다.

      • 조건 키 - 목록에서 모든 사람이 사용할 수 있는 조건 키를 선택할 수 있습니다. AWS 이 설명서에서 선택한 서비스 중 하나에 대한 서비스 (예:aws:SourceIp) 또는 서비스별 키.

      • 한정어(Qualifier) – (선택 사항) 조건에 여러 값을 입력할 경우(특정 조건 키에 따라 다름) 값에 대해 요청을 테스트할 한정어를 지정할 수 있습니다.

        • 기본값(Default) - 정책의 조건 키 값에 대해 요청의 한 값을 테스트합니다. 요청의 값이 정책의 값과 일치하면 조건이 true를 반환합니다. 정책에 둘 이상의 값이 지정되어 있으면 “or” 테스트로 처리되고, 요청 값이 임의의 정책 값과 일치하는 경우 조건이 true를 반환합니다.

        • 요청의 임의의 값에 대해(For any value in a request) - 요청이 여러 값을 가질 수 있는 경우 이 옵션은 요청 값 중 하나 이상이 정책의 조건 키 값 중 하나 이상과 일치하는지 확인합니다. 요청의 키 값 중 하나가 정책의 조건 값 중 하나와 일치하면 조건이 true를 반환합니다. 일치하는 키가 없거나 null 데이터 세트의 경우 조건에서 false를 반환합니다.

        • 요청의 모든 값에 대해(For all values in a request) - 요청이 여러 값을 가질 수 있는 경우 이 옵션은 모든 요청 값이 정책의 조건 키 값과 일치하는지 확인합니다. 요청의 모든 키 값이 정책에 있는 하나 이상의 값과 일치하면 조건이 true를 반환합니다. 요청에 키가 없거나 키 값이 빈 문자열과 같은 null 데이터 세트로 확인되는 경우에도 true를 반환합니다.

      • 연산자(Operator) - 연산자는 수행할 비교의 유형을 지정합니다. 표시되는 옵션은 조건 키의 데이터 유형에 따라 다릅니다. 예를 들어 aws:CurrentTime 전역 조건 키를 사용하면 날짜 비교 연산자 중 하나를 선택할 수 있습니다. 또는 Null을 사용하면 값이 요청에 있는지 여부를 테스트할 수 있습니다.

        Null테스트를 제외한 모든 조건 연산자의 경우 옵션을 선택할 수 있습니다. IfExists

      • 값(Value) - (선택 사항) 요청에서 테스트할 값을 하나 이상 지정합니다.

      조건 추가를 선택합니다.

      조건 키에 대한 자세한 내용은 IAM사용 설명서의 IAMJSON정책 요소: 조건을 참조하십시오.

    6. (선택 사항) NotAction 요소를 사용하여 지정된 작업을 제외한 모든 작업에 대해 액세스를 거부하려면 왼쪽 창의 ActionNotAction으로 바꿉니다("Effect": "Deny", 요소 바로 뒤에서). 자세한 내용은 IAM사용 설명서의 IAMJSON정책 NotAction 요소:를 참조하십시오.

  6. 액세스를 허용하는 문을 추가하려면:

    1. 왼쪽 JSON 편집기에서 줄을 "Effect": "Deny" 로 변경합니다"Effect": "Allow".

      오른쪽에서 옵션을 선택하면 JSON 편집기가 업데이트되어 왼쪽에 해당 JSON 정책이 표시됩니다.

    2. 서비스를 선택하면 해당 서비스에 대해 사용 가능한 작업이 포함된 목록이 열립니다. 모든 작업(All actions)을 선택하거나, 허용하려는 개별 작업을 하나 이상 선택할 수 있습니다.

      JSON왼쪽의 내용이 업데이트되어 선택한 작업이 포함됩니다.

      참고

      개별 작업을 선택한 다음 다시 돌아가서 모든 작업을 선택하면 예상 항목이 에 servicename/* 추가되지만 이전에 선택한 개별 작업은 제거되지 않고 그대로 유지됩니다. JSON JSON

    3. 추가 서비스에서 작업을 추가하려면 문(Statement) 상자 상단에서 모든 서비스(All services)를 선택한 다음 필요에 따라 앞의 두 단계를 반복할 수 있습니다.

  7. (선택 사항) 정책에 다른 문을 추가하려면 문 추가(Add statement)를 선택하고 시각적 편집기를 사용하여 다음 문을 작성합니다.

  8. 명령문을 모두 추가했으면 정책 생성을 선택하여 완료된 내용을 저장합니다SCP.

새 정책이 조직의 정책 목록에 SCP 표시됩니다. 이제 를 루트OUs, 또는 계정에 SCP 연결할 수 있습니다.

AWS CLI & AWS SDKs
서비스 제어 정책을 생성하려면

다음 명령 중 하나를 사용하여 생성할 수 있습니다SCP.

  • AWS CLI: 정책 생성

    다음 예제에서는 JSON 정책 텍스트가 Deny-IAM.json 포함된 이름이 지정된 파일이 있다고 가정합니다. 이 파일은 새 서비스 제어 정책을 생성하는 데 사용됩니다.

    $ aws organizations create-policy \
    --content file://Deny-IAM.json \
    --description "Deny all IAM actions" \
    --name DenyIAMSCP \
    --type SERVICE_CONTROL_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
            "Name": "DenyIAMSCP",
            "Description": "Deny all IAM actions",
            "Type": "SERVICE_CONTROL_POLICY",
            "AwsManaged": false
        },
         "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
    }
}

  • AWS SDKs: CreatePolicy
참고

SCPs관리 계정 및 기타 몇 가지 상황에서는 적용되지 마십시오. 자세한 내용은 제한을 받지 않는 작업 및 엔티티 SCPs 단원을 참조하십시오.