RCP 구문 - AWS Organizations

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

RCP 구문

리소스 제어 정책(RCPs)은 리소스 기반 정책에서 사용하는 구문과 유사한 구문을 사용합니다. IAM 정책 및 해당 구문에 대한 자세한 내용은 IAM 사용 설명서의 IAM 정책 개요를 참조하세요.

RCP는의 규칙에 따라 구조화됩니다JSON. SCP는 이번 주제에서 설명하는 요소를 사용합니다.

참고

의 모든 문자RCP는 최대 크기에 포함됩니다. 이 가이드의 예제는 가독성을 높이기 위해 추가 공백으로 RCPs 형식이 지정된를 보여줍니다. 하지만 정책 크기가 최대 크기에 근접한 경우 공백을 저장하려면 인용 부호 바깥에 있는 공백 문자(예: 공백 및 줄 바꿈)를 모두 삭제할 수 있습니다.

RCPs에 대한 일반적인 내용은 리소스 제어 정책(RCPs) 단원을 참조하십시오.

요소 요약

다음 표에는에서 사용할 수 있는 정책 요소가 요약되어 있습니다RCPs. 지원되는 효과 열에는의 각 정책 요소에 사용할 수 있는 효과 유형이 나열됩니다RCPs.

참고

의 효과는 RCPFullAWSAccess 정책에 대해서만 지원Allow됩니다.

의 효과는 RCPFullAWSAccess 정책에 대해서만 지원Allow됩니다. 이 정책은 리소스 제어 정책()을 활성화하면 조직 루트, 모든 OU 및 조직의 모든 계정에 자동으로 연결됩니다RCPs. 이 정책은 분리할 수 없습니다. 이 기본값을 RCP 사용하면 모든 보안 주체 및 작업에 대한 액세스가 RCP 평가를 통과할 수 있습니다. 즉RCPs,를 생성하고 연결하기 시작할 때까지 모든 기존 IAM 권한이 그대로 작동합니다. 이는 액세스 권한을 부여하지 않습니다.

Element 용도
버전 정책을 처리하는 데 사용할 언어 구문 규칙을 지정합니다.
Statement 정책 요소 컨테이너의 역할을 합니다. 에 여러 문이 있을 수 있습니다RCPs.
Statement ID(Sid) (선택 사항) 문의 표시 이름을 제공합니다.
효과 RCP 문이 계정의 리소스에 대한 액세스를 거부할지 여부를 정의합니다.
보안 주체 계정의 리소스에 대한 액세스가 허용되거나 거부되는 보안 주체를 지정합니다.

작업

가 RCP 허용하거나 거부하는 AWS 서비스 및 작업을 지정합니다.

리소스 가 RCP 적용되는 AWS 리소스를 지정합니다.
NotResource

에서 제외되는 AWS 리소스를 지정합니다RCP. Resource 요소 대신 사용합니다.

Condition 문이 효력을 발휘하는 조건을 지정합니다.

Version 요소

모든 에는 값이 인 Version 요소가 포함되어야 RCP 합니다"2012-10-17". 이는 권한 IAM 정책의 최신 버전과 동일한 버전 값입니다.

"Version": "2012-10-17",

자세한 내용은 IAM 사용 설명서IAM JSON 정책 요소: 버전을 참조하세요.

Statement 요소

는 하나 이상의 Statement 요소로 RCP 구성됩니다. 정책에Statement는 키워드가 하나만 있을 수 있지만 값은 문 JSON 배열일 수 있습니다([]자).

다음 예제에서는 단일 Effect, Action, 및 Resource 요소로 구성된 단일 문Principal을 보여줍니다.

{ "Statement": { "Effect": "Deny", "Principal": "*", "Action": "*", "Resource": "*" } }

자세한 내용은 IAM 사용 설명서IAM JSON 정책 요소: 문을 참조하세요.

Statement ID(Sid) 요소

Sid는 정책 문에 입력되는 식별자(옵션)입니다. Sid 값은 문 배열에서 각 문에 할당할 수 있습니다. 다음 예제에서는 샘플 Sid 문을 RCP 보여줍니다.

{ "Statement": { "Sid": "DenyAllActions", "Effect": "Deny", "Principal": "*", "Action": "*", "Resource": "*" } }

자세한 내용은 IAM 사용 설명서IAM JSON 정책 요소: Sid를 참조하세요.

Effect 요소

각 문에는 Effect 요소 하나가 있어야 합니다. Effect 요소Deny에서의 값을 사용하여 특정 리소스에 대한 액세스를 제한하거나가 적용되는 시기에 대한 조건을 정의할 수 RCPs 있습니다. 를 생성RCPs하려면 값이 여야 합니다Deny. 자세한 내용은 IAM 사용 설명서RCP 평가IAM JSON 정책 요소: 효과를 참조하세요.

Principal 요소

각 문에는 Principal 요소가 포함되어야 합니다. 의 Principal 요소에서만 “*”를 지정할 수 있습니다RCP. Conditions 요소를 사용하여 특정 보안 주체를 제한합니다.

자세한 내용은 IAM 사용 설명서IAM JSON 정책 요소: 보안 주체를 참조하세요.

Action 요소

각 문에는 Action 요소가 포함되어야 합니다.

Action 요소의 값은 명령문에서 허용하거나 거부한 AWS 서비스 및 작업을 식별하는 문자열 또는 문자열 목록(JSON어레이)입니다.

각 문자열은 모든 소문자에서 서비스의 약어('s3', 'sqs' 또는 'sts' 등)와 콜론, 해당 서비스의 작업으로 구성됩니다. 일반적으로 모두 대문자와 나머지 소문자로 시작하는 각 단어와 함께 입력됩니다. 예: "s3:ListAllMyBuckets".

에서 별표(*) 또는 물음표(?)와 같은 와일드카드 문자를 사용할 수도 있습니다RCP.

  • 이름의 일부를 공유하는 여러 작업을 일치시키려면 별표(*)를 와일드카드로 사용하십시오. "s3:*" 값은 Amazon S3 서비스의 모든 작업을 의미합니다. 값은 "Get"으로 시작하는 AWS STS 작업과만 "sts:Get*" 일치합니다.

  • 단일 문자를 일치시키려면 물음표(?) 와일드카드를 사용하십시오.

참고

와일드카드(*) 및 물음표(?)는 작업 이름의 어느 곳에서나 사용할 수 있습니다.

와 달리 작업 이름의 아무 곳에나 별표(*) 또는 물음표(?)와 같은 와일드카드 문자를 사용할 SCPs수 있습니다.

를 지원하는 서비스 목록은 섹션을 RCPs참조하세요AWS 서비스 해당 지원 목록 RCPs. 에서 AWS 서비스 지원하는 작업 목록은 서비스 승인 참조AWS 서비스에 대한 작업, 리소스 및 조건 키를 참조하세요.

자세한 내용은 IAM 사용 설명서IAM JSON 정책 요소: 작업을 참조하세요.

ResourceNotResource 요소

각 문에는 Resource 또는 NotResource 요소가 포함되어야 합니다.

리소스 요소에 별표(*) 또는 물음표(?)와 같은 와일드카드 문자를 사용할 수 있습니다.

  • 이름의 일부를 공유하는 여러 작업을 일치시키려면 별표(*)를 와일드카드로 사용하십시오.

  • 단일 문자를 일치시키려면 물음표(?) 와일드카드를 사용하십시오.

자세한 내용은 IAM 사용 설명서IAM JSON 정책 요소: 리소스를 참조하고 IAM JSON 정책 요소: NotResource를 참조하세요.

Condition 요소

의 거부 문에서 Condition 요소를 지정할 수 있습니다RCP.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "*", "Condition:": { "BoolIfExists": { "aws:SecureTransport": "false" } } } ] }

이렇게 RCP 하면 요청이 보안 전송을 통해 이루어지지 않는 한( 요청이를 통해 전송됨) Amazon S3 작업 및 리소스에 대한 액세스가 거부됩니다TLS.

자세한 내용은 IAM 사용 설명서IAM JSON 정책 요소: 조건을 참조하세요.

지원되지 않는 요소

다음 요소는에서 지원되지 않습니다RCPs.

  • NotPrincipal

  • NotAction