AWS Organizations의 AWS 관리형 정책 - AWS Organizations
AWS IAM 관리형 정책AWS 관리 서비스 제어 정책

AWS Organizations의 AWS 관리형 정책

이 단원에서는 사용자가 조직을 관리하는 데 사용할 수 있는 AWS 관리형 정책을 살펴봅니다. AWS 관리 정책을 수정 또는 삭제할 순 없지만, 필요에 따라 조직에 엔터티를 연결하거나 분리할 수는 있습니다.

AWS Organizations(IAM)에 사용할 수 있는 AWS Identity and Access Management 관리형 정책

IAM 관리형 정책은 AWS에서 제공하고 관리합니다. 관리형 정책은 관리형 정책을 적절한 IAM 사용자 또는 역할 객체에 연결하여 사용자에게 할당할 수 있는 일반 작업에 대한 권한을 제공합니다. 정책을 직접 작성할 필요가 없으며 새로운 서비스를 지원하기 위해 AWS가 적절하게 정책을 업데이트하면 자동으로 즉시 업데이트의 이점을 얻을 수 있습니다. AWS 관리형 정책 목록은 IAM 콘솔의 정책(Policies) 페이지에서 볼 수 있습니다. 정책 필터 드롭다운을 사용해 AWS 관리형을 선택합니다.

다음의 관리형 정책을 사용하여 조직의 사용자에게 권한을 부여할 수 있습니다.

정책 이름 설명 ARN
AWSOrganizationsFullAccess

조직을 생성하고 완전히 관리하는 데 필요한 모든 권한을 제공합니다.

정책 보기: AWSOrganizationsFullAccess.

 arn:aws:iam::aws:policy/AWSOrganizationsFullAccess
AWSOrganizationsReadOnlyAccess

조직 관련 정보에 대한 읽기 전용 액세스를 제공합니다. 사용자가 변경할 수 없습니다.

정책 보기: AWSOrganizationsReadOnlyAccess.

 arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess

Organizations AWS 관리형 정책으로 업데이트

다음 표에는 이 서비스가 변경 사항을 추적하기 시작한 이후의 AWS 관리형 정책 업데이트에 대해 상세히 설명되어 있습니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 AWS Organizations 문서 기록 페이지에서 RSS 피드를 구독하세요.

변경 사항 설명 날짜

AWSOrganizationsReadOnlyAccess-루트 사용자 이메일 주소를 보는 데 필요한 계정 API 권한을 허용하도록 업데이트되었습니다.

Organizations에 조직 내 멤버 계정에 대한 루트 사용자 이메일 주소를 볼 수 있는 액세스 권한을 활성화하는 account:GetPrimaryEmail 작업과 조직 내 멤버 계정에 대해 활성화된 리전을 볼 수 있는 액세스 권한을 활성화하는 account:GetRegionOptStatus 작업이 추가되었습니다.

2024년 6월 6일

AWSOrganizationsFullAccess-정책 문을 설명하는 Sid 요소를 포함하도록 업데이트되었습니다.

Organizations에 AWSOrganizationsFullAccess 관리형 정책에 대한 Sid 요소가 추가되었습니다.

2024년 2월 6일

AWSOrganizationsReadOnlyAccess-정책 문을 설명하는 Sid 요소를 포함하도록 업데이트되었습니다.

Organizations에 AWSOrganizationsReadOnlyAccess 관리형 정책에 대한 Sid 요소가 추가되었습니다.

2024년 2월 6일

AWSOrganizationsFullAccess - Organizations 콘솔을 통해 AWS 리전을 활성화하거나 비활성화하는 데 필요한 계정 API 권한을 허용하도록 업데이트되었습니다.

계정에 대해 리전을 활성화하거나 비활성화하기 위한 쓰기 액세스를 활성화할 수 있도록 Organizations의 정책에 account:ListRegions, account:EnableRegionaccount:DisableRegion 작업이 추가되었습니다.

2022년 12월 22일

AWSOrganizationsReadOnlyAccess - Organizations 콘솔을 통해 AWS 리전을 나열하는 데 필요한 계정 API 권한을 허용하도록 업데이트되었습니다.

계정의 리전을 보기 위한 액세스를 활성화할 수 있도록 Organizations의 정책에 account:ListRegions 작업이 추가되었습니다.

2022년 12월 22일

AWSOrganizationsFullAccess – Organizations 콘솔을 통해 계정 연락처를 추가 또는 편집하는 데 필요한 계정 API 권한을 허용하도록 업데이트되었습니다.

계정의 연락처를 수정하기 위한 쓰기 액세스를 활성화할 수 있도록 Organizations의 정책에 account:GetContactInformationaccount:PutContactInformation 작업이 추가되었습니다.

2022년 10월 21일

AWSOrganizationsReadOnlyAccess – Organizations 콘솔을 통해 대체 연락처를 보는 데 필요한 계정 API 권한을 허용하도록 업데이트되었습니다.

계정의 연락처를 보기 위한 액세스를 활성화할 수 있도록 Organizations의 정책에 account:GetContactInformation 작업이 추가되었습니다.

2022년 10월 21일

AWSOrganizationsFullAccess – 조직을 생성할 수 있도록 업데이트되었습니다.

Organizations가 조직을 생성하는 데 필요한 서비스 연결 역할 생성을 지원하기 위해 CreateServiceLinkedRole 권한을 정책에 추가했습니다. 이 권한은 organizations.amazonaws.com 서비스에서만 사용할 수 있는 역할을 생성하는 것으로 제한됩니다.

2022년 8월 24일

AWSOrganizationsFullAccess – Organizations 콘솔을 통해 계정 대체 연락처를 추가, 편집 또는 삭제하는 데 필요한 계정 API 권한을 허용하도록 업데이트되었습니다.

계정의 대체 연락처를 수정하기 위한 쓰기 액세스를 활성화할 수 있도록 Organizations의 정책에 account:GetAlternateContact, account:DeleteAlternateContact, account:PutAlternateContact 작업이 추가되었습니다.

2022년 2월 7일

AWSOrganizationsReadOnlyAccess – Organizations 콘솔을 통해 계정 대체 연락처를 보는 데 필요한 계정 API 권한을 허용하도록 업데이트되었습니다.

계정의 대체 연락처를 보기 위한 액세스를 활성화할 수 있도록 Organizations의 정책에 account:GetAlternateContact 작업이 추가되었습니다.

2022년 2월 7일

AWS Organizations 관리 서비스 제어 정책

서비스 제어 정책(SCP)은 IAM 권한 정책과 비슷하지만, IAM이 아닌 AWS Organizations의 기능입니다. SCP를 사용하여 영향을 받는 엔터티의 최대 권한을 지정합니다. SCP는 조직 내의 루트, 조직 단위(OU)나 계정에 연결할 수 있습니다. 직접 생성할 수도 있고, IAM이 정의하는 정책을 사용할 수도 있습니다. Organizations 콘솔의 정책(Policies) 페이지에서 조직의 정책 목록을 확인할 수 있습니다.

중요

모든 루트, OU와 계정에는 언제나 하나 이상의 SCP가 연결돼 있어야 합니다.

정책 이름 설명 ARN
FullAWSAccess 멤버 계정에 대한 AWS Organizations 관리 계정 액세스를 제공합니다. arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess