다음과 같이 리소스 기반 위임 정책을 만들거나 업데이트하십시오. AWS Organizations - AWS Organizations

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다음과 같이 리소스 기반 위임 정책을 만들거나 업데이트하십시오. AWS Organizations

관리 계정에서, 조직의 리소스 기반 위임 정책을 생성하거나 업데이트하고, 정책과 관련한 작업을 수행할 권한이 부여된 멤버 계정을 지정하는 명령문을 추가합니다. 정책에 여러 명령문을 추가하여 멤버 계정마다 다양하게 구성된 권한을 부여할 수 있습니다.

최소 권한

리소스 기반 위임 정책을 생성하거나 업데이트하려면 다음 작업을 실행할 권한이 필요합니다.

  • organizations:PutResourcePolicy

  • organizations:DescribeResourcePolicy

또한 위임된 관리자 계정의 역할과 사용자에게 필요한 IAM 작업에 해당하는 권한을 부여해야 합니다. IAM권한이 없으면 통화 주체에게 관리에 필요한 권한이 없는 것으로 간주됩니다. AWS Organizations 정책.

AWS Management Console

의 리소스 기반 위임 정책에 설명을 추가합니다. AWS Management Console 다음 방법 중 하나를 사용하십시오.

  • JSON정책 — 계정에서 사용할 예제 리소스 기반 위임 정책을 붙여넣고 사용자 지정하거나 편집기에 자체 JSON 정책 문서를 입력합니다. JSON

  • 비주얼 에디터 - 비주얼 에디터에서 새 위임 정책을 구성하면 구문을 작성할 필요 없이 위임 정책을 만들 수 있습니다. JSON

JSON정책 편집기를 사용하여 위임 정책을 만들거나 업데이트할 수 있습니다.

  1. 에 로그인하기AWS Organizations 콘솔. 조직의 관리 계정에서 IAM 사용자로 로그인하거나, IAM 역할을 수임하거나, 루트 사용자 (권장되지 않음) 로 로그인해야 합니다.

  2. 설정을 선택합니다.

  3. 다음과 같은 위임 관리자에서 AWS Organizations섹션에서 위임을 선택하여 Organizations 위임 정책을 생성합니다. 기존 위임 정책을 업데이트하려면 Edit(편집)를 선택합니다.

  4. JSON정책 문서를 입력하거나 붙여넣습니다. IAM정책 언어에 대한 자세한 내용은 IAMJSON정책 참조를 참조하십시오.

  5. 정책을 검증하는 동안 생성된 모든 보안 경고, 오류 또는 일반 경고를 해결한 다음 Create policy(정책 생성)를 선택하여 작업 내용을 저장합니다.

시각적 편집기를 사용하여 위임 정책을 생성하거나 업데이트하려면

  1. 에 로그인하기AWS Organizations 콘솔. 조직의 관리 계정에서 IAM 사용자로 로그인하거나, IAM 역할을 수임하거나, 루트 사용자 (권장되지 않음) 로 로그인해야 합니다.

  2. 설정을 선택합니다.

  3. 다음과 같은 위임 관리자에서 AWS Organizations섹션에서 위임을 선택하여 Organizations 위임 정책을 생성합니다. 기존 위임 정책을 업데이트하려면 Edit(편집)를 선택합니다.

  4. Create Delegation policy(위임 정책 생성) 페이지에서 Add new statement(새 명령문 추가)를 선택합니다.

  5. Effect(효과)를 Allow로 설정합니다.

  6. Principal을 추가하여, 작업을 위임하려는 멤버 계정을 정의합니다. 구문에 대한 자세한 내용은 리소스 기반 위임 정책 예제 섹션을 참조하세요.

  7. Actions(작업) 목록에서 위임하려는 작업을 선택합니다. Filter actions(작업 필터링)를 사용하여 선택 범위를 좁힐 수 있습니다.

  8. 위임된 구성원 계정으로 조직의 루트 또는 조직 구성 단위에 정책을 연결할 수 있는지 지정하려면 (OUs) 을 설정합니다. Resources 또한 리소스 유형으로 policy를 선택해야 합니다. 자세한 내용은 리소스 기반 위임 정책 예제 섹션을 참조하세요. 다음과 같은 방법으로 리소스를 지정할 수 있습니다.

    • [리소스 추가] 를 선택하고 대화 상자의 프롬프트에 따라 Amazon 리소스 이름 (ARN) 을 생성합니다.

    • 편집기에 리소스를 ARNs 수동으로 나열하십시오. ARN구문에 대한 자세한 내용은 의 Amazon 리소스 이름 (ARN) 을 참조하십시오. AWS 일반 참조 가이드. 정책의 리소스 ARNs 요소에서 사용하는 방법에 대한 자세한 내용은 IAMJSON정책 요소: 리소스를 참조하십시오.

  9. Add a condition(조건 추가)을 선택하여 위임하려는 정책 유형을 비롯한 다른 조건을 지정합니다. 조건의 Condition key(조건 키), Tag key(태그 키), Qualifier(한정어), Operator(연산자)를 선택한 후 Value를 입력합니다. 자세한 내용은 리소스 기반 위임 정책 예제섹션을 참조하세요. 마치면 Add condition(조건 추가)을 선택합니다. 조건 요소에 대한 자세한 내용은 정책 참조의 IAMJSONIAMJSON정책 요소: 조건을 참조하십시오.

  10. 권한 블록을 더 추가하려면 Add new statement(새 명령문 추가)를 선택합니다. 각 블록마다 5~9단계를 반복합니다.

  11. 정책을 검증하는 동안 생성된 모든 보안 경고, 오류 또는 일반 경고를 해결한 다음 Create policy(정책 생성)를 선택하여 작업 내용을 저장합니다.

AWS CLI & AWS SDKs
위임 정책 생성 또는 업데이트

위임 정책을 생성하거나 업데이트하려면 다음 명령을 사용합니다.

  • AWS CLI: put-resource-policy

    다음 예제에서는 위임 정책을 생성하거나 업데이트합니다.

    $ aws organizations put-resource-policy --content
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Fully_manage_backup_policies",
            "Effect": "Allow",
            "Principal": {
                "AWS": "135791357913"
            },
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:CreatePolicy",
                "organizations:DescribePolicy",
                "organizations:UpdatePolicy",
                "organizations:DeletePolicy",
                "organizations:AttachPolicy",
                "organizations:DetachPolicy"
            ],
            "Resource": [
                "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                "arn:aws:organizations::246802468024:account/o-abcdef/*",
                "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
            ],
            "Condition": {
                "StringLikeIfExists": {
                    "organizations:PolicyType": [
                        "BACKUP_POLICY"
                    ]
                }
            }
        }
    ]
}
지원되는 위임 정책 작업

위임 정책과 관련하여 지원되는 작업은 다음과 같습니다.

  • AttachPolicy

  • CreatePolicy

  • DeletePolicy

  • DescribeAccount

  • DescribeCreateAccountStatus

  • DescribeEffectivePolicy

  • DescribeHandshake

  • DescribeOrganization

  • DescribeOrganizationalUnit

  • DescribePolicy

  • DescribeResourcePolicy

  • DetachPolicy

  • DisablePolicyType

  • EnablePolicyType

  • ListAccounts

  • ListAccountsForParent

  • ListAWSServiceAccessForOrganization

  • ListChildren

  • ListCreateAccountStatus

  • ListDelegatedAdministrators

  • ListDelegatedServicesForAccount

  • ListHandshakesForAccount

  • ListHandshakesForOrganization

  • ListOrganizationalUnitsForParent

  • ListParents

  • ListPolicies

  • ListPoliciesForTarget

  • ListRoots

  • ListTagsForResource

  • ListTargetsForPolicy

  • TagResource

  • UntagResource

  • UpdatePolicy

지원되는 조건 키

에서 지원되는 조건 키만 AWS Organizations 위임 정책에 사용할 수 있습니다. 자세한 내용은 조건 키를 참조하십시오. AWS Organizations서비스 권한 부여 참조에서.