기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
RCP 구문
리소스 제어 정책(RCPs)은 리소스 기반 정책에서 사용하는 구문과 유사한 구문을 사용합니다. IAM 정책 및 해당 구문에 대한 자세한 내용은 IAM 사용 설명서의 IAM 정책 개요를 참조하세요.
RCP는의 규칙에 따라 구조화됩니다JSON
참고
의 모든 문자RCP는 최대 크기에 포함됩니다. 이 가이드의 예제는 가독성을 높이기 위해 추가 공백으로 RCPs 형식이 지정된를 보여줍니다. 하지만 정책 크기가 최대 크기에 근접한 경우 공백을 저장하려면 인용 부호 바깥에 있는 공백 문자(예: 공백 및 줄 바꿈)를 모두 삭제할 수 있습니다.
RCPs에 대한 일반적인 내용은 리소스 제어 정책(RCPs) 단원을 참조하십시오.
요소 요약
다음 표에는에서 사용할 수 있는 정책 요소가 요약되어 있습니다RCPs. 지원되는 효과 열에는의 각 정책 요소에 사용할 수 있는 효과 유형이 나열됩니다RCPs.
참고
의 효과는 RCPFullAWSAccess
정책에 대해서만 지원Allow
됩니다.
의 효과는 RCPFullAWSAccess
정책에 대해서만 지원Allow
됩니다. 이 정책은 리소스 제어 정책()을 활성화하면 조직 루트, 모든 OU 및 조직의 모든 계정에 자동으로 연결됩니다RCPs. 이 정책은 분리할 수 없습니다. 이 기본값을 RCP 사용하면 모든 보안 주체 및 작업에 대한 액세스가 RCP 평가를 통과할 수 있습니다. 즉RCPs,를 생성하고 연결하기 시작할 때까지 모든 기존 IAM 권한이 그대로 작동합니다. 이는 액세스 권한을 부여하지 않습니다.
Element | 용도 |
---|---|
버전 | 정책을 처리하는 데 사용할 언어 구문 규칙을 지정합니다. |
Statement | 정책 요소 컨테이너의 역할을 합니다. 에 여러 문이 있을 수 있습니다RCPs. |
Statement ID(Sid) | (선택 사항) 문의 표시 이름을 제공합니다. |
효과 | RCP 문이 계정의 리소스에 대한 액세스를 거부할지 여부를 정의합니다. |
보안 주체 | 계정의 리소스에 대한 액세스가 허용되거나 거부되는 보안 주체를 지정합니다. |
가 RCP 허용하거나 거부하는 AWS 서비스 및 작업을 지정합니다. |
|
리소스 | 가 RCP 적용되는 AWS 리소스를 지정합니다. |
NotResource |
에서 제외되는 AWS 리소스를 지정합니다RCP. |
Condition | 문이 효력을 발휘하는 조건을 지정합니다. |
주제
Version
요소
모든 에는 값이 인 Version
요소가 포함되어야 RCP 합니다"2012-10-17"
. 이는 권한 IAM 정책의 최신 버전과 동일한 버전 값입니다.
"Version": "2012-10-17",
자세한 내용은 IAM 사용 설명서의 IAM JSON 정책 요소: 버전을 참조하세요.
Statement
요소
는 하나 이상의 Statement
요소로 RCP 구성됩니다. 정책에Statement
는 키워드가 하나만 있을 수 있지만 값은 문 JSON 배열일 수 있습니다([]자).
다음 예제에서는 단일 Effect
, Action
, 및 Resource
요소로 구성된 단일 문Principal
을 보여줍니다.
{ "Statement": { "Effect": "Deny", "Principal": "*", "Action": "*", "Resource": "*" } }
자세한 내용은 IAM 사용 설명서의 IAM JSON 정책 요소: 문을 참조하세요.
Statement ID(Sid
) 요소
Sid
는 정책 문에 입력되는 식별자(옵션)입니다. Sid
값은 문 배열에서 각 문에 할당할 수 있습니다. 다음 예제에서는 샘플 Sid
문을 RCP 보여줍니다.
{ "Statement": { "Sid": "DenyAllActions", "Effect": "Deny", "Principal": "*", "Action": "*", "Resource": "*" } }
자세한 내용은 IAM 사용 설명서의 IAM JSON 정책 요소: Sid를 참조하세요.
Effect
요소
각 문에는 Effect
요소 하나가 있어야 합니다. Effect
요소Deny
에서의 값을 사용하여 특정 리소스에 대한 액세스를 제한하거나가 적용되는 시기에 대한 조건을 정의할 수 RCPs 있습니다. 를 생성RCPs하려면 값이 여야 합니다Deny
. 자세한 내용은 IAM 사용 설명서의 RCP 평가 및 IAM JSON 정책 요소: 효과를 참조하세요.
Principal
요소
각 문에는 Principal
요소가 포함되어야 합니다. 의 Principal
요소에서만 “*
”를 지정할 수 있습니다RCP. Conditions
요소를 사용하여 특정 보안 주체를 제한합니다.
자세한 내용은 IAM 사용 설명서의 IAM JSON 정책 요소: 보안 주체를 참조하세요.
Action
요소
각 문에는 Action
요소가 포함되어야 합니다.
Action
요소의 값은 명령문에서 허용하거나 거부한 AWS 서비스 및 작업을 식별하는 문자열 또는 문자열 목록(JSON어레이)입니다.
각 문자열은 모든 소문자에서 서비스의 약어('s3', 'sqs' 또는 'sts' 등)와 콜론, 해당 서비스의 작업으로 구성됩니다. 일반적으로 모두 대문자와 나머지 소문자로 시작하는 각 단어와 함께 입력됩니다. 예: "s3:ListAllMyBuckets"
.
에서 별표(*) 또는 물음표(?)와 같은 와일드카드 문자를 사용할 수도 있습니다RCP.
-
이름의 일부를 공유하는 여러 작업을 일치시키려면 별표(*)를 와일드카드로 사용하십시오.
"s3:*"
값은 Amazon S3 서비스의 모든 작업을 의미합니다. 값은 "Get"으로 시작하는 AWS STS 작업과만"sts:Get*"
일치합니다. -
단일 문자를 일치시키려면 물음표(?) 와일드카드를 사용하십시오.
참고
와일드카드(*) 및 물음표(?)는 작업 이름의 어느 곳에서나 사용할 수 있습니다.
와 달리 작업 이름의 아무 곳에나 별표(*) 또는 물음표(?)와 같은 와일드카드 문자를 사용할 SCPs수 있습니다.
를 지원하는 서비스 목록은 섹션을 RCPs참조하세요AWS 서비스 해당 지원 목록 RCPs. 에서 AWS 서비스 지원하는 작업 목록은 서비스 승인 참조의 AWS 서비스에 대한 작업, 리소스 및 조건 키를 참조하세요.
자세한 내용은 IAM 사용 설명서의 IAM JSON 정책 요소: 작업을 참조하세요.
Resource
및 NotResource
요소
각 문에는 Resource
또는 NotResource
요소가 포함되어야 합니다.
리소스 요소에 별표(*) 또는 물음표(?)와 같은 와일드카드 문자를 사용할 수 있습니다.
-
이름의 일부를 공유하는 여러 작업을 일치시키려면 별표(*)를 와일드카드로 사용하십시오.
-
단일 문자를 일치시키려면 물음표(?) 와일드카드를 사용하십시오.
자세한 내용은 IAM 사용 설명서의 IAM JSON 정책 요소: 리소스를 참조하고 IAM JSON 정책 요소: NotResource를 참조하세요.
Condition
요소
의 거부 문에서 Condition
요소를 지정할 수 있습니다RCP.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "*", "Condition:": { "BoolIfExists": { "aws:SecureTransport": "false" } } } ] }
이렇게 RCP 하면 요청이 보안 전송을 통해 이루어지지 않는 한( 요청이를 통해 전송됨) Amazon S3 작업 및 리소스에 대한 액세스가 거부됩니다TLS.
자세한 내용은 IAM 사용 설명서의 IAM JSON 정책 요소: 조건을 참조하세요.
지원되지 않는 요소
다음 요소는에서 지원되지 않습니다RCPs.
-
NotPrincipal
NotAction