기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
에 대한 위임 관리자 AWS Organizations
AWS Organizations 관리 계정과 해당 사용자 및 역할은 해당 계정으로 수행해야 하는 작업에만 사용하는 것이 좋습니다. 또한 AWS
리소스를 조직의 다른 멤버 계정에 저장하고 관리 계정에는 저장하지 않는 것이 좋습니다. 이는 Organizations 서비스 제어 정책(SCP)과 같은 보안 기능이 관리 계정의 사용자나 역할을 제한하지 않기 때문입니다.
조직의 관리 계정에서, Organizations의 정책 관리를 지정된 멤버 계정에 위임하여 기본적으로 관리 계정에서만 사용할 수 있는 정책 작업을 수행할 수 있습니다.
리소스 기반 위임 정책 생성 또는 업데이트
관리 계정에서, 조직의 리소스 기반 위임 정책을 생성하거나 업데이트하고, 정책과 관련한 작업을 수행할 권한이 부여된 멤버 계정을 지정하는 명령문을 추가합니다. 정책에 여러 명령문을 추가하여 멤버 계정마다 다양하게 구성된 권한을 부여할 수 있습니다.
리소스 기반 위임 정책을 생성하거나 업데이트하려면 다음 작업을 실행할 권한이 필요합니다.
또한 위임된 관리자 계정의 역할과 사용자에게, 필요한 작업에 해당하는 IAM 권한을 부여해야 합니다. IAM 권한이 없으면 통화 주체에게는 정책을 관리하는 AWS Organizations 데 필요한 권한이 없는 것으로 간주됩니다.
- AWS Management Console
-
AWS Management Console
에서 다음 방법 중 하나를 사용하여 리소스 기반 위임 정책에 명령문을 추가합니다.
-
JSON 정책 - 예제 리소스 기반 위임 정책을 붙여 넣고 계정에서 사용하기에 적합하도록 수정하거나, JSON 편집기에서 직접 JSON 정책 문서를 입력합니다.
-
시각적 편집기 - 시각적 편집기에서 새 위임 정책을 구성합니다. 시각적 편집기는 사용자가 JSON 구문을 작성하지 않고도 위임 정책을 만들 수 있도록 안내합니다.
JSON 정책 편집기를 사용하여 위임 정책을 생성하거나 업데이트하려면
-
AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
-
설정을 선택합니다.
-
Delegated administrator for AWS Organizations(의 위임된 관리자) 섹션에서 Delegate(위임)를 선택하여 Organizations 위임 정책을 생성합니다. 기존 위임 정책을 업데이트하려면 Edit(편집)를 선택합니다.
-
JSON 정책 문서를 입력하거나 붙여 넣습니다. IAM 정책 언어에 대한 자세한 내용은 IAM JSON 정책 참조를 참조하세요.
-
정책을 검증하는 동안 생성된 모든 보안 경고, 오류 또는 일반 경고를 해결한 다음 Create policy(정책 생성)를 선택하여 작업 내용을 저장합니다.
시각적 편집기를 사용하여 위임 정책을 생성하거나 업데이트하려면
-
AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
-
설정을 선택합니다.
-
Delegated administrator for AWS Organizations(의 위임된 관리자) 섹션에서 Delegate(위임)를 선택하여 Organizations 위임 정책을 생성합니다. 기존 위임 정책을 업데이트하려면 Edit(편집)를 선택합니다.
-
Create Delegation policy(위임 정책 생성) 페이지에서 Add new statement(새 명령문 추가)를 선택합니다.
-
Effect(효과)를 Allow로 설정합니다.
-
Principal을 추가하여, 작업을 위임하려는 멤버 계정을 정의합니다. 구문에 대한 자세한 내용은 리소스 기반 위임 정책 예제 섹션을 참조하세요.
-
Actions(작업) 목록에서 위임하려는 작업을 선택합니다. Filter actions(작업 필터링)를 사용하여 선택 범위를 좁힐 수 있습니다.
-
위임된 멤버 계정이 조직 루트 또는 조직 단위(OU)에 정책을 연결할 수 있도록 할지 여부를 지정하려면, Resources를 설정합니다. 또한 리소스 유형으로 policy를 선택해야 합니다. 자세한 내용은 리소스 기반 위임 정책 예제 섹션을 참조하세요. 다음과 같은 방법으로 리소스를 지정할 수 있습니다.
-
Add a resource(리소스 추가)를 선택하고 대화 상자에 나타나는 지시에 따라 Amazon 리소스 이름(ARN)을 구성합니다.
-
편집기에서 리소스 ARN을 수동으로 나열합니다. ARN 구문에 대한 자세한 내용은 일반 참조 안내서의 Amazon 리소스 이름 (ARN) 을 AWS 참조하십시오. 정책의 Resource 요소에 ARN을 사용하는 방법에 대한 자세한 내용은 IAM JSON 정책 요소: Resource를 참조하세요.
-
Add a condition(조건 추가)을 선택하여 위임하려는 정책 유형을 비롯한 다른 조건을 지정합니다. 조건의 Condition key(조건 키), Tag key(태그 키), Qualifier(한정어), Operator(연산자)를 선택한 후 Value를 입력합니다. 자세한 내용은 리소스 기반 위임 정책 예제섹션을 참조하세요. 마치면 Add condition(조건 추가)을 선택합니다. Condition 요소에 대한 자세한 내용은 IAM JSON 정책 참조에서 IAM JSON 정책 요소: Condition을 참조하세요.
-
권한 블록을 더 추가하려면 Add new statement(새 명령문 추가)를 선택합니다. 각 블록마다 5~9단계를 반복합니다.
-
정책을 검증하는 동안 생성된 모든 보안 경고, 오류 또는 일반 경고를 해결한 다음 Create policy(정책 생성)를 선택하여 작업 내용을 저장합니다.
- AWS CLI & AWS SDKs
-
위임 정책 생성 또는 업데이트
위임 정책을 생성하거나 업데이트하려면 다음 명령을 사용합니다.
-
AWS CLI: put-resource-policy
다음 예제에서는 위임 정책을 생성하거나 업데이트합니다.
$ aws organizations put-resource-policy --content
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Fully_manage_backup_policies",
"Effect": "Allow",
"Principal": {
"AWS": "135791357913"
}
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
"arn:aws:organizations::246802468024:ou/o-abcdef/*",
"arn:aws:organizations::246802468024:account/o-abcdef/*",
"arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": [
"BACKUP_POLICY"
]
}
}
}
]
}
지원되는 위임 정책 작업
위임 정책과 관련하여 지원되는 작업은 다음과 같습니다.
-
AttachPolicy
-
CreatePolicy
-
DeletePolicy
-
DescribeAccount
-
DescribeCreateAccountStatus
-
DescribeEffectivePolicy
-
DescribeHandshake
-
DescribeOrganization
-
DescribeOrganizationalUnit
-
DescribePolicy
-
DescribeResourcePolicy
-
DetachPolicy
-
DisablePolicyType
-
EnablePolicyType
-
ListAccounts
-
ListAccountsForParent
-
ListAWSServiceAccessForOrganization
-
ListChildren
-
ListCreateAccountStatus
-
ListDelegatedAdministrators
-
ListDelegatedServicesForAccount
-
ListHandshakesForAccount
-
ListHandshakesForOrganization
-
ListOrganizationalUnitsForParent
-
ListParents
-
ListPolicies
-
ListPoliciesForTarget
-
ListRoots
-
ListTagsForResource
-
ListTargetsForPolicy
-
TagResource
-
UntagResource
-
UpdatePolicy
지원되는 조건 키
에서 지원하는 조건 키만 위임 정책에 사용할 AWS Organizations 수 있습니다. 자세한 내용은 서비스 권한 부여 AWS Organizations참조의 조건 키를 참조하십시오.
리소스 기반 위임 정책 보기
관리 계정에서, 조직의 리소스 기반 위임 정책을 보면서 위임된 관리자별로 어떤 정책 유형을 관리할 권한이 부여되어 있는지 파악합니다.
리소스 기반 위임 정책을 보려면 organizations:DescribeResourcePolicy 작업을 실행할 권한이 필요합니다.
- AWS Management Console
-
위임 정책을 보려면
-
AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
-
설정을 선택합니다.
-
Delegated administrator for AWS Organizations(의 위임된 관리자) 섹션에서 스크롤하여 전체 위임 정책을 봅니다.
- AWS CLI & AWS SDKs
-
위임 정책 보기
위임 정책을 보려면 다음 명령을 사용합니다.
리소스 기반 위임 정책 삭제
조직의 정책 관리 작업을 더 이상 위임할 필요가 없는 경우, 조직의 관리 계정에서 리소스 기반 위임 정책을 삭제할 수 있습니다.
삭제한 리소스 기반 위임 정책은 복구할 수 없습니다.
리소스 기반 위임 정책을 삭제하려면 organizations:DeleteResourcePolicy 작업을 실행할 권한이 필요합니다.
- AWS Management Console
-
위임 정책을 삭제하려면
-
AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
-
설정을 선택합니다.
-
Delegated administrator for AWS Organizations(의 위임된 관리자) 섹션에서 Delete(삭제)를 선택합니다.
-
Delete policy(정책 삭제) 확인 대화 상자에 delete를 입력합니다. 그런 다음 Delete policy(정책 삭제)를 선택합니다.
- AWS CLI & AWS SDKs
-
위임 정책 삭제
위임 정책을 삭제하려면 다음 명령을 사용합니다.
