를 사용하여 조직의 액세스 권한 관리 AWS Organizations - AWS Organizations
AWS Organizations 리소스 및 작업리소스 소유권 이해 리소스 액세스 관리정책 요소 지정: 작업, 조건, 효과, 리소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용하여 조직의 액세스 권한 관리 AWS Organizations

조직의 루트, , OUs계정 및 정책을 포함한 모든 AWS 리소스는 에서 소유 AWS 계정하며 리소스를 생성하거나 액세스할 수 있는 권한은 권한 정책에 의해 관리됩니다. 조직의 경우, 조직의 관리 계정이 모든 리소스를 소유합니다. 계정 관리자는 권한 정책을 IAM 자격 증명(사용자, 그룹 및 역할)에 연결하여 AWS 리소스에 대한 액세스를 제어할 수 있습니다.

참고

계정 관리자(또는 관리자 사용자)는 관리자 권한이 있는 사용자입니다. 자세한 내용은 IAM 사용 설명서의 에서 보안 모범 사례를 IAM 참조하세요.

권한을 부여하려면 권한을 부여 받을 사용자, 권한 대상이 되는 리소스, 해당 리소스에 허용되는 특정 작업을 결정합니다.

기본적으로 IAM 사용자, 그룹 및 역할에는 권한이 없습니다. 조직의 관리 계정의 관리자는 관리 작업을 수행하거나 관리 계정의 다른 IAM 사용자 또는 역할에 관리자 권한을 위임할 수 있습니다. 이렇게 하려면 IAM 사용자, 그룹 또는 역할에 IAM 권한 정책을 연결합니다. 기본적으로 사용자는 어떤 권한도 가지지 않습니다. 이를 묵시적 거부라고 합니다. 이 정책은 사용자가 수행할 수 있는 작업과 사용자가 작업을 수행할 수 있는 리소스를 지정하는 명시적 허용으로 묵시적 거부를 무시합니다. 권한을 역할에 부여하면, 해당 역할은 조직 내 다른 계정 사용자가 맡을 수 있습니다.

AWS Organizations 리소스 및 작업

이 섹션에서는 AWS Organizations 개념이 IAM동등한 개념에 매핑되는 방법을 설명합니다.

리소스

에서 다음 리소스에 대한 액세스를 제어할 AWS Organizations수 있습니다.

  • 조직의 계층 구조를 OUs 구성하는 루트 및

  • 조직의 멤버가 되는 계정

  • 조직 내 다음 개체에 연결하는 정책

  • 조직 상태를 변경할 때 사용하는 핸드셰이크

이러한 각 리소스에는 연결된 고유한 Amazon 리소스 이름(ARN)이 있습니다. IAM 권한 정책의 Resource 요소에 리소스를 지정하여 리소스ARN에 대한 액세스를 제어합니다. 에서 사용되는 리소스의 ARN 형식에 대한 전체 목록은 서비스 권한 부여 참조의 에서 정의한 리소스 유형을 AWS Organizations AWS Organizations참조하세요.

운영

AWS 는 조직의 리소스로 작업할 수 있는 일련의 작업을 제공합니다. 이를 통해 리소스 콘텐츠 생성, 나열, 수정, 액세스 및 리소스 삭제 같은 일을 할 수 있습니다. 대부분의 작업은 IAM 정책의 Action 요소에서 참조되어 해당 작업을 사용할 수 있는 사용자를 제어할 수 있습니다. IAM 정책에서 권한으로 사용할 수 있는 AWS Organizations 작업 목록은 서비스 권한 부여 참조조직에서 정의한 작업을 참조하세요.

ActionResource를 단일 권한 정책 Statement로 결합하면, 특정 작업 모음을 사용할 수 있는 리소스를 정확하게 제어할 수 있습니다.

조건 키

AWS 는 특정 작업에 대해 보다 세분화된 제어를 제공하기 위해 쿼리할 수 있는 조건 키를 제공합니다. IAM 정책 Condition 요소에서 이러한 조건 키를 참조하여 명령문이 일치로 간주되기 위해 충족해야 하는 추가 상황을 지정할 수 있습니다.

다음 조건 키는 에 특히 유용합니다 AWS Organizations.

  • aws:PrincipalOrgID - 리소스 기반 정책의 Principal 요소 지정을 간소화합니다. 이 글로벌 키는 조직의 모든 에 IDs 대한 모든 계정을 나열하는 대안 AWS 계정 을 제공합니다. 조직의 멤버인 모든 계정을 나열하는 대신 Condition 요소에 조직 ID를 지정할 수 있습니다.

    참고

    이 전역 조건은 조직의 관리 계정에도 적용됩니다.

    자세한 내용은 IAM 사용 설명서PrincipalOrgID AWS 전역 조건 컨텍스트 키에서 의 설명을 참조하세요.

  • aws:PrincipalOrgPaths - 이 조건 키를 사용하여 특정 조직 루트, OU 또는 해당 하위 항목의 멤버를 일치시킵니다. 요청을 수행하는 보안 주체(루트 사용자, IAM 사용자 또는 역할)가 지정된 조직 경로에 있으면 aws:PrincipalOrgPaths 조건 키가 true로 반환됩니다. 경로는 AWS Organizations 엔터티 구조의 텍스트 표현입니다. 경로에 대한 자세한 내용은 IAM 사용 설명서의 AWS Organizations 개체 경로 이해를 참조하세요. 이 조건 키 사용에 대한 자세한 내용은 IAM 사용 설명서aws:PrincipalOrgPaths를 참조하세요.

    예를 들어, 다음 조건 요소는 동일한 조직의 두 구성원 중 하나OUs와 일치합니다.

                "Condition": {
                "ForAnyValue:StringLike": {
                    "aws:PrincipalOrgPaths": [
                        "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
                        "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/"
                    ]
                }
            }

  • organizations:PolicyType - 이 조건 키를 사용하여 지정된 유형의 Organizations 정책에서만 작동하도록 Organizations 정책 관련 API 작업을 제한할 수 있습니다. 이 조건 키는 Organizations 정책과 상호 작용하는 작업이 포함된 모든 정책 문에 적용할 수 있습니다.

    이 조건 키에는 다음 값을 사용할 수 있습니다.

    • SERVICE_CONTROL_POLICY

    • BACKUP_POLICY

    • TAG_POLICY

    • CHATBOT_POLICY

    • AISERVICES_OPT_OUT_POLICY

    예를 들어 다음 예제 정책은 사용자가 모든 Organizations 작업을 수행할 수 있도록 허용합니다. 그러나 사용자가 정책을 인수하는 작업을 수행하는 경우 지정된 정책이 태그 지정 정책인 경우에만 작업이 허용됩니다. 사용자가 다른 유형의 정책을 지정하면 작업이 실패합니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "IfTaggingAPIThenAllowOnOnlyTaggingPolicies",
            "Effect": "Allow",
            "Action": "organizations:*",
            "Resource": "*",
            "Condition": { 
                "StringLikeIfExists": {
                    "organizations:PolicyType": [ "TAG_POLICY" ]
                }
            }
        }
    ]
}

  • organizations:ServicePrincipal - E nableAWSServiceAccess 또는 D isableAWSServiceAccess 작업을 사용하여 다른 AWS 서비스에 대한 신뢰할 수 있는 액세스를 활성화하거나 비활성화하는 경우 조건으로 사용할 수 있습니다. organizations:ServicePrincipal을 사용하여 승인된 서비스 보안 주체 이름의 목록에 대하여 이런 작업 요청을 제한할 수 있습니다.

    예를 들어, 다음 정책은 사용자가 에서 신뢰할 수 있는 액세스를 활성화 및 비활성화할 AWS Firewall Manager 때만 를 지정할 수 있도록 허용합니다 AWS Organizations.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowOnlyAWSFirewallIntegration",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess"
            ],
            "Resource": "*",
            "Condition": { 
                "StringLikeIfExists": {
                    "organizations:ServicePrincipal": [ "fms.amazonaws.com" ]
                }
            }
        }
    ]
}

IAM 정책에서 권한으로 사용할 수 있는 모든 AWS Organizations특정 조건 키 목록은 서비스 권한 부여 참조의 에 대한 조건 키를 AWS Organizations 참조하세요.

리소스 소유권 이해

는 누가 리소스를 생성했는지에 관계없이 계정에서 생성된 리소스를 AWS 계정 소유합니다. 특히 리소스 소유자는 리소스 생성 요청을 인증하는 AWS 계정 보안 주체 엔터티(즉, 루트 사용자, IAM 사용자 또는 IAM 역할)의 입니다. 조직의 경우 항상 관리 계정입니다. 멤버 계정에서 조직 리소스를 생성 또는 액세스하는 작업은 대부분 호출할 수 없습니다. 다음 예에서는 이러한 작동 방식을 설명합니다.

  • 관리 계정의 루트 계정 자격 증명을 사용하여 OU를 생성하는 경우, 관리 계정이 리소스 소유자가 됩니다. (에서 AWS Organizations리소스는 OU입니다).

  • 관리 계정에서 IAM 사용자를 생성하고 해당 사용자에게 OU를 생성할 수 있는 권한을 부여하는 경우 사용자는 OU를 생성할 수 있습니다. 하지만 사용자가 속한 관리 계정이 OU 리소스를 소유합니다.

  • OU를 생성할 권한이 있는 관리 계정에서 IAM 역할을 생성하는 경우 역할을 수임할 수 있는 모든 사용자가 OU를 생성할 수 있습니다. 역할(역할을 담당하는 사용자가 아님)이 속하게 될 관리 계정이 OU 리소스를 소유합니다.

리소스 액세스 관리

권한 정책은 누가 무엇에 액세스 할 수 있는지를 나타냅니다. 다음 섹션에서는 권한 정책을 만드는 데 사용 가능한 옵션에 대해 설명합니다.

참고

이 섹션에서는 의 컨텍스트IAM에서 를 사용하는 방법에 대해 설명합니다 AWS Organizations. IAM 서비스에 대한 자세한 정보는 제공하지 않습니다. 전체 IAM 설명서는 IAM 사용 설명서 섹션을 참조하세요. IAM 정책 구문 및 설명에 대한 자세한 내용은 IAM 사용 설명서IAM JSON 정책 참조를 참조하세요.

IAM 자격 증명에 연결된 정책을 자격 증명 기반 정책(IAM 정책)이라고 합니다. 리소스에 연결된 정책은 리소스 기반 정책이라고 합니다. 는 자격 증명 기반 정책(IAM 정책)만 AWS Organizations 지원합니다.

자격 증명 기반 권한 정책(IAM 정책)

자격 IAM 증명에 정책을 연결하여 해당 자격 증명이 AWS 리소스에 대한 작업을 수행할 수 있도록 할 수 있습니다. 예를 들어 다음을 수행할 수 있습니다.

  • 사용자 또는 계정의 그룹에 권한 정책 연결 - 서비스 제어 정책(SCP) 또는 OU와 같은 AWS Organizations 리소스를 생성할 수 있는 권한을 사용자에게 부여하려면 사용자 또는 사용자가 속한 그룹에 권한 정책을 연결할 수 있습니다. 사용자나 그룹은 조직의 관리 계정에 있어야 합니다.

  • 권한 정책을 역할에 연결(계정 간 권한 부여) - 자격 증명 기반 권한 정책을 IAM 역할에 연결하여 조직에 교차 계정 액세스 권한을 부여할 수 있습니다. 예를 들어 관리 계정 관리자는 다음과 같이 멤버 계정 사용자에게 교차 계정 권한을 부여하는 역할을 만들 수 있습니다.

    1. 관리 계정 관리자는 IAM 역할을 생성하고 조직의 리소스에 권한을 부여하는 권한 정책을 역할에 연결합니다.

    2. 관리 계정 관리자는 멤버 계정 ID를 역할 수임 가능 Principal로 식별하는 역할에 신뢰 정책을 연결합니다.

    3. 이후 멤버 계정 관리자는 멤버 계정의 모든 사용자에게 역할을 맡는 권한을 위임할 수 있습니다. 이렇게 하면 멤버 계정 사용자는 관리 계정과 조직의 리소스를 생성하거나 리소스에 액세스할 수 있습니다. 역할을 수임할 수 있는 권한을 AWS 서비스에 부여하려는 경우 신뢰 정책의 보안 주체가 AWS 서비스 보안 주체가 될 수도 있습니다.

    를 사용하여 권한을 위임IAM하는 방법에 대한 자세한 내용은 IAM 사용 설명서액세스 관리를 참조하세요.

다음은 사용자가 조직에서 CreateAccount 작업을 수행하도록 허용하는 정책의 예입니다.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"Stmt1OrgPermissions",
         "Effect":"Allow",
         "Action":[
            "organizations:CreateAccount"
         ],
         "Resource":"*"
      }
   ]
}

리소스 유형을 나타내기 위해 정책 ARN Resource 요소에 부분 를 제공할 수도 있습니다.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowCreatingAccountsOnResource",
         "Effect":"Allow",
         "Action":"organizations:CreateAccount",
         "Resource":"arn:aws:organizations::*:account/*"
      }
   ]
}

또한 생성 중인 계정에 특정 태그를 포함하지 않는 계정의 생성을 거부할 수도 있습니다.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"DenyCreatingAccountsOnResourceBasedOnTag",
         "Effect":"Deny",
         "Action":"organizations:CreateAccount",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/key":"value"
            }
         }
      }
   ]
}

사용자, 그룹, 역할 및 권한에 대한 자세한 내용은 IAM 사용 설명서IAM 자격 증명(사용자, 사용자 그룹 및 역할)을 참조하세요.

리소스 기반 정책

Amazon S3와 같은 일부 서비스는 리소스 기반 권한 정책을 지원합니다. 예를 들어 정책을 Amazon S3 버킷에 연결하여 해당 버킷에 대한 액세스 권한을 관리할 수 있습니다. AWS Organizations 현재 는 리소스 기반 정책을 지원하지 않습니다.

정책 요소 지정: 작업, 조건, 효과, 리소스

각 AWS Organizations 리소스에 대해 서비스는 어떤 식으로든 해당 리소스와 상호 작용하거나 해당 리소스를 조작할 수 있는 API 일련의 작업 또는 작업을 정의합니다. 이러한 작업에 대한 권한을 부여하려면 는 정책에서 지정할 수 있는 일련의 작업을 AWS Organizations 정의합니다. 예를 들어 OU 리소스의 경우 는 다음과 같은 작업을 AWS Organizations 정의합니다.

  • AttachPolicyDetachPolicy

  • CreateOrganizationalUnitDeleteOrganizationalUnit

  • ListOrganizationalUnitsDescribeOrganizationalUnit

경우에 따라 API 작업을 수행하려면 둘 이상의 작업에 대한 권한이 필요할 수 있으며 둘 이상의 리소스에 대한 권한이 필요할 수 있습니다.

다음은 IAM 권한 정책에서 사용할 수 있는 가장 기본적인 요소입니다.

  • 작업(Action) – 이 키워드를 사용하여 허용 또는 거부할 작업을 식별합니다. 예를 들어 지정된 에 따라 는 CreateAccount 작업을 수행할 수 있는 사용자 권한을 Effect organizations:CreateAccount 허용하거나 거부합니다 AWS Organizations . 자세한 내용은 IAM 사용 설명서IAM JSON 정책 요소: 작업을 참조하세요.

  • 리소스 - 이 키워드를 사용하여 정책 문이 적용되는 리소스ARN의 를 지정합니다. 자세한 내용은 IAM 사용 설명서IAM JSON 정책 요소: 리소스를 참조하세요.

  • 조건(Condition) – 이 키워드를 사용하여 정책 문이 적용되기 위해 충족해야 하는 조건을 지정합니다. Condition은 일반적으로 정책이 일치하려면 충족해야 하는 추가 상황을 지정합니다. 자세한 내용은 IAM 사용 설명서IAM JSON 정책 요소: 조건을 참조하세요.

  • 효과(Effect) – 이 키워드를 사용하여 정책 문이 리소스에 대한 작업을 허용 또는 거부할지를 지정합니다. 명시적으로 리소스에 대한 액세스 권한을 부여(또는 허용)하지 않는다면, 액세스는 암시적으로 거부됩니다. 사용자가 특정 리소스에 대한 특정 작업을 수행하지 못하게 하도록, 다른 정책이 부여한 액세스를 포함한 리소스에 대한 액세스를 명시적으로 거부할 수도 있습니다. 자세한 내용은 IAM 사용 설명서IAM JSON 정책 요소: 효과를 참조하세요.

  • 보안 주체 - 자격 증명 기반 정책(IAM 정책)에서 정책이 연결된 사용자는 자동으로 그리고 암시적으로 보안 주체가 됩니다. 리소스 기반 정책의 경우 권한을 받을 사용자, 계정, 서비스 또는 기타 엔터티를 지정합니다(리소스 기반 정책에만 적용). AWS Organizations 현재 는 리소스 기반 정책이 아닌 자격 증명 기반 정책만 지원합니다.

IAM 정책 구문 및 설명에 대한 자세한 내용은 IAM 사용 설명서IAM JSON 정책 참조를 참조하세요.