기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
리소스 제어 정책(RCPs)
리소스 제어 정책(RCPs)은 조직 내 권한을 관리하는 데 사용할 수 있는 조직 정책의 한 유형입니다.는 조직 내 리소스에 대해 사용 가능한 최대 권한에 대한 중앙 제어를 RCPs 제공합니다. RCPs는 계정의 리소스가 조직의 액세스 제어 지침 내에 있도록 지원합니다. RCPs는 모든 기능이 활성화된 조직에서만 사용할 수 있습니다. RCPs는 조직에서 통합 결제 기능만 활성화한 경우 사용할 수 없습니다. RCPs을(를) 활성화하는 데 대한 지침은 정책 유형 활성화 섹션을 참조하세요.
RCPs 조직의 리소스에 권한을 부여하는 데는 충분하지 않습니다. 에서는 권한이 부여되지 않습니다RCP. 는 자격 증명이 조직의 리소스에 대해 수행할 수 있는 작업에 대한 권한 가드레일을 RCP 정의하거나 제한을 설정합니다. 관리자는 사용자 IAM 또는 역할에 자격 증명 기반 정책을 연결하거나 계정의 리소스에 리소스 기반 정책을 연결하여 실제로 권한을 부여해야 합니다. 자세한 내용은 IAM 사용 설명서의 자격 증명 기반 정책 및 리소스 기반 정책을 참조하세요.
유효 권한은 RCPs 및 서비스 제어 정책(SCPs)에서 허용하는 것과 자격 증명 기반 및 리소스 기반 정책에서 허용하는 것 간의 논리적 교차점입니다.
중요
RCPs는 관리 계정의 리소스에 영향을 주지 않습니다. 조직 내 멤버 계정의 리소스에만 영향을 미칩니다. 그러나 여기에는 위임된 관리자로 지정된 멤버 계정도 포함됩니다.
주제
AWS 서비스 해당 지원 목록 RCPs
RCPs는 AWS 서비스다음 리소스에 적용됩니다.
의 효과 테스트 RCPs
AWS 에서는 정책이 계정의 리소스RCPs에 미치는 영향을 철저히 테스트하지 않고 조직의 루트에 연결하지 않도록 강력히 권장합니다. 먼저 개별 테스트 계정에 연결하고 계층 구조에서 해당 계정을 OUs 아래로 이동한 다음 필요에 따라 조직 구조를 따라 작업RCPs할 수 있습니다. 영향을 확인하는 한 가지 방법은 액세스 거부 오류에 대한 AWS CloudTrail 로그를 검토하는 것입니다.
의 최대 크기 RCPs
의 모든 문자RCP는 최대 크기에 포함됩니다. 이 가이드의 예제는 가독성을 높이기 위해 추가 공백으로 RCPs 형식이 지정된를 보여줍니다. 하지만 정책 크기가 최대 크기에 근접한 경우 공백을 저장하려면 인용 부호 바깥에 있는 공백 문자(예: 공백 및 줄 바꿈)를 모두 삭제할 수 있습니다.
작은 정보
시각적 편집기를 사용하여를 빌드합니다RCP. 편집기가 자동으로 불필요한 공백을 제거합니다.
조직 내 RCPs 다양한 수준에 연결
개별 계정, OUs또는 조직 루트에 RCPs 직접 연결할 수 있습니다. RCPs 작동 방식에 대한 자세한 설명은 섹션을 참조하세요RCP 평가.
RCP 권한에 미치는 영향
RCPs는 AWS Identity and Access Management (IAM) 정책의 유형입니다. 리소스 기반 정책과 가장 밀접하게 관련이 있습니다. 그러나는 권한을 부여RCP하지 않습니다. 대신 RCPs는 조직의 리소스에 대해 사용 가능한 최대 권한을 지정하는 액세스 제어입니다. 자세한 내용은 IAM 사용 설명서의 정책 평가 로직을 참조하세요.
-
RCPs는의 하위 집합에 대한 리소스에 적용됩니다 AWS 서비스. 자세한 내용은 AWS 서비스 해당 지원 목록 RCPs 단원을 참조하십시오.
-
RCPs는를 연결한 조직의 일부인 계정에서 관리하는 리소스에만 영향을 미칩니다RCPs. 조직 외부 계정의 리소스에는 영향을 주지 않습니다. 예를 들어 조직의 계정 A가 소유한 Amazon S3 버킷을 생각해 보겠습니다. 버킷 정책(리소스 기반 정책)은 조직 외부의 계정 B의 사용자에게 액세스 권한을 부여합니다. 계정 A에는가 RCP 연결되어 있습니다. 이는 계정 B의 사용자가 액세스한 경우에도 계정 A의 S3 버킷에 RCP 적용됩니다. 그러나 계정 A의 사용자가 액세스할 때는 계정 B의 리소스에 적용되지 RCP 않습니다.
-
는 멤버 계정의 리소스에 대한 권한을 RCP 제한합니다. 계정의 모든 리소스에는 그 위의 모든 상위 사용자가 허용하는 권한만 있습니다. 계정 위의 모든 수준에서 권한이 차단된 경우 리소스 소유자가 사용자에게 전체 액세스를 허용하는 리소스 기반 정책을 연결하더라도 영향을 받는 계정의 리소스에는 해당 권한이 없습니다.
-
RCPs는 작업 요청의 일부로 승인된 리소스에 적용됩니다. 이러한 리소스는 서비스 승인 참조의 작업 테이블의 “리소스 유형” 열에서 찾을 수 있습니다. “리소스 유형” 열에 리소스가 지정되지 않은 경우 호출하는 보안 주체 계정RCPs의가 적용됩니다. 예를 들어는 객체 리소스를
s3:GetObject승인합니다.GetObject요청이 이루어질 때마다 해당가 RCP 적용되어 요청 보안 주체가GetObject작업을 호출할 수 있는지 여부를 결정합니다. 해당 RCP은 계정, 조직 단위(OU) 또는 액세스 중인 리소스를 소유한 조직의 루트에 RCP 연결된 입니다. -
RCPs 조직의 멤버 계정에 있는 리소스에만 영향을 미칩니다. 관리 계정의 리소스에는 영향을 주지 않습니다. 그러나 여기에는 위임된 관리자로 지정된 멤버 계정도 포함됩니다. 자세한 내용은 관리 계정의 모범 사례 단원을 참조하십시오.
-
보안 주체가 연결된 계정RCP(해당가 있는 리소스RCP) 내의 리소스에 대한 액세스를 요청하면 RCP가 정책 평가 로직에 포함되어 보안 주체의 액세스 허용 여부를 결정합니다.
-
RCPs 보안 주체가 동일한 조직에 속하는지 여부에 RCP관계없이 해당를 사용하여 멤버 계정의 리소스에 액세스하려는 보안 주체의 유효 권한에 영향을 미칩니다. 여기에는 루트 사용자가 포함됩니다. 단, 보안 주체가 서비스 연결 역할인 경우는 예외입니다.는 서비스 연결 역할이 수행한 호출에는 적용되지 RCPs 않기 때문입니다. 서비스 연결 역할은 AWS 서비스 가 사용자를 대신하여 필요한 작업을 수행할 수 있도록 하며에 의해 제한될 수 없습니다RCPs.
-
사용자 및 역할에는 자격 증명 기반 및 리소스 기반 정책을 포함한 적절한 IAM 권한 정책이 있는 권한이 부여되어야 합니다. IAM 권한 정책이 없는 사용자 또는 역할은 해당가 모든 서비스, 모든 작업 및 모든 리소스를 RCP 허용하더라도 액세스할 수 없습니다.
에서 제한되지 않는 리소스 및 엔터티 RCPs
를 사용하여 다음을 제한RCPs할 수 없습니다.
-
관리 계정의 리소스에 대한 모든 작업입니다.
-
RCPs는 서비스 연결 역할의 유효 권한에 영향을 주지 않습니다. 서비스 연결 역할은 AWS 서비스에 직접 연결되는 고유한 유형의 IAM 역할이며, 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다. 서비스 연결 역할의 권한은에 의해 제한될 수 없습니다RCPs. RCPs는 서비스 연결 역할을 수임하는 AWS 서비스의 기능에도 영향을 미치지 않습니다. 즉, 서비스 연결 역할의 신뢰 정책도의 영향을 받지 않습니다RCPs.
-
RCPs는 AWS 관리형 키 for AWS Key Management Service. AWS 관리형 키 are에서 사용자를 대신하여 생성, 관리 및 사용하는에 적용되지 않습니다 AWS 서비스. 권한을 변경하거나 관리할 수 없습니다.
RCPs는 다음 권한에 영향을 주지 않습니다.
Service API 에서 승인하지 않은 리소스 RCPs AWS Key Management Service kms:RetireGrantRCPs는 kms:RetireGrant권한에 영향을 주지 않습니다. 에 대한 권한이 결정kms:RetireGrant되는 방법에 대한 자세한 내용은 AWS KMS 개발자 안내서의 권한 사용 중지 및 취소를 참조하세요.
