조직의 정책에 대한 정보 가져오기

이 항목에서는 조직의 정책에 대한 세부 정보를 얻을 수 있는 다양한 방법을 설명합니다. 이러한 절차는 모든 정책 유형에 적용됩니다. 해당 유형의 정책을 해당 조직 루트의 모든 엔터티에 연결하려면 먼저 조직 루트에서 정책 유형을 활성화해야 합니다.

모든 정책 나열

최소 권한

조직 내 정책을 나열하려면 다음과 같은 권한이 있어야 합니다.

• organizations:ListPolicies

에서 조직의 정책을 볼 수 있습니다. AWS Management Console 또는 다음을 사용하여 AWS Command Line Interface (AWS CLI) 명령 또는 AWS SDK오퍼레이션.

AWS Management Console

조직의 모든 정책을 나열하려면

1. 에 로그인하기AWS Organizations 콘솔. 조직의 관리 계정에서 IAM 사용자로 로그인하거나, IAM 역할을 수임하거나, 루트 사용자 (권장되지 않음) 로 로그인해야 합니다.

2. 정책(Policies) 페이지에서 나열할 정책을 선택합니다.

   지정된 정책 유형이 활성화되어 있으면 조직에서 현재 사용 가능한 해당 유형의 모든 정책 목록이 콘솔에 표시됩니다.

3. 정책(Policies) 페이지로 돌아가서 각 정책 유형에 대해 위의 과정을 반복합니다.

AWS CLI & AWS SDKs

다음 코드 예제는 ListPolicies의 사용 방법을 보여 줍니다.

.NET

AWS SDK for .NET

참고

자세한 내용은 여기에서 확인할 수 GitHub 있습니다. 전체 예제를 찾아 설치 및 실행 방법을 알아보십시오. AWS 코드 예제 리포지토리.

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to list the AWS Organizations policies associated with an
    /// organization.
    /// </summary>
    public class ListPolicies
    {
        /// <summary>
        /// Initializes an Organizations client object, and then calls its
        /// ListPoliciesAsync method.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            // The value for the Filter parameter is required and must must be
            // one of the following:
            //     AISERVICES_OPT_OUT_POLICY
            //     BACKUP_POLICY
            //     SERVICE_CONTROL_POLICY
            //     TAG_POLICY
            var request = new ListPoliciesRequest
            {
                Filter = "SERVICE_CONTROL_POLICY",
                MaxResults = 5,
            };

            var response = new ListPoliciesResponse();
            try
            {
                do
                {
                    response = await client.ListPoliciesAsync(request);
                    response.Policies.ForEach(p => DisplayPolicies(p));
                    if (response.NextToken is not null)
                    {
                        request.NextToken = response.NextToken;
                    }
                }
                while (response.NextToken is not null);
            }
            catch (AWSOrganizationsNotInUseException ex)
            {
                Console.WriteLine(ex.Message);
            }
        }

        /// <summary>
        /// Displays information about the Organizations policies associated
        /// with an organization.
        /// </summary>
        /// <param name="policy">An Organizations policy summary to display
        /// information on the console.</param>
        private static void DisplayPolicies(PolicySummary policy)
        {
            string policyInfo = $"{policy.Id} {policy.Name}\t{policy.Description}";

            Console.WriteLine(policyInfo);
        }
    }

• 자세한 API 내용은 ListPolicies을 참조하십시오. AWS SDK for .NET API참조.

CLI

AWS CLI

특정 유형의 조직에 있는 모든 정책 목록을 검색하는 방법

다음 예제는 필터 매개 변수로 지정된 목록을 SCPs 가져오는 방법을 보여줍니다.

aws organizations list-policies --filter SERVICE_CONTROL_POLICY

출력에는 요약 정보가 포함된 정책 목록이 포함됩니다.

{
        "Policies": [
                {
                        "Type": "SERVICE_CONTROL_POLICY",
                        "Name": "AllowAllS3Actions",
                        "AwsManaged": false,
                        "Id": "p-examplepolicyid111",
                        "Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid111",
                        "Description": "Enables account admins to delegate permissions for any S3 actions to users and roles in their accounts."
                },
                {
                        "Type": "SERVICE_CONTROL_POLICY",
                        "Name": "AllowAllEC2Actions",
                        "AwsManaged": false,
                        "Id": "p-examplepolicyid222",
                        "Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid222",
                        "Description": "Enables account admins to delegate permissions for any EC2 actions to users and roles in their accounts."
                },
                {
                        "AwsManaged": true,
                        "Description": "Allows access to every operation",
                        "Type": "SERVICE_CONTROL_POLICY",
                        "Id": "p-FullAWSAccess",
                        "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess",
                        "Name": "FullAWSAccess"
                }
        ]
}

• 자세한 API 내용은 ListPolicies을 참조하십시오. AWS CLI 명령 레퍼런스.

Python

SDK파이썬용 (보토3)

참고

더 많은 정보가 있습니다. GitHub 전체 예제를 찾아 설치 및 실행 방법을 알아보십시오. AWS 코드 예제 리포지토리.

def list_policies(policy_filter, orgs_client):
    """
    Lists the policies for the account, limited to the specified filter.

    :param policy_filter: The kind of policies to return.
    :param orgs_client: The Boto3 Organizations client.
    :return: The list of policies found.
    """
    try:
        response = orgs_client.list_policies(Filter=policy_filter)
        policies = response["Policies"]
        logger.info("Found %s %s policies.", len(policies), policy_filter)
    except ClientError:
        logger.exception("Couldn't get %s policies.", policy_filter)
        raise
    else:
        return policies

• 자세한 API 내용은 ListPolicies을 참조하십시오. AWS SDK파이썬 (Boto3) API 참조용.

루트, OU, 계정에 연결된 정책 나열

최소 권한

조직 내 루트, 조직 단위(OU) 또는 계정에 연결된 정책을 나열하려면 다음과 같은 권한이 있어야 합니다.

• organizations:ListPoliciesForTarget지정된 대상의 Amazon 리소스 이름 (ARN) (또는 “*”) 이 포함된 동일한 정책 설명의 Resource 요소 포함

AWS Management Console

지정된 루트, OU 또는 계정에 직접 연결된 모든 정책을 나열하려면

1. 에 로그인하기AWS Organizations 콘솔. 조직의 관리 계정에서 IAM 사용자로 로그인하거나, IAM 역할을 수임하거나, 루트 사용자 (권장되지 않음) 로 로그인해야 합니다.

2. AWS 계정페이지에서 정책을 보려는 루트, OU 또는 계정의 이름을 선택합니다. 원하는 OU를 찾으려면 확장 OUs (선택 ) 해야 할 수도 있습니다.

3. 루트, OU 또는 계정 페이지에서 정책(Policies) 탭을 선택합니다.

   정책 탭에는 해당 루트, OU 또는 계정에 연결된 모든 정책이 정책 유형별로 그룹화되어 표시됩니다.

AWS CLI & AWS SDKs

지정된 루트, OU 또는 계정에 직접 연결된 모든 정책 나열

다음 명령 중 하나를 사용하여 개체에 연결된 정책을 나열할 수 있습니다.

• AWS CLI: list-policies-for-target

  다음 예제에서는 지정된 OU에 연결된 모든 서비스 제어 정책을 나열합니다. 루트, OU 또는 계정의 ID와 나열할 정책 유형을 모두 지정해야 합니다.

  $ aws organizations list-policies-for-target \
      --target-id ou-a1b2-f6g7h222 \
      --filter SERVICE_CONTROL_POLICY
  {
      "Policies": [
          {
              "Id": "p-FullAWSAccess",
              "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess",
              "Name": "FullAWSAccess",
              "Description": "Allows access to every operation",
              "Type": "SERVICE_CONTROL_POLICY",
              "AwsManaged": true
          }
      ]
  }

• AWS SDKs: ListPoliciesForTarget

정책이 연결된 모든 루트OUs, 계정 및 계정 나열

최소 권한

정책이 연결된 개체를 나열하려면 다음과 같은 권한이 있어야 합니다.

• organizations:ListTargetsForPolicy동일한 정책 설명에 지정된 정책 (또는 “*”) ARN 의 내용이 포함된 Resource 요소 포함

AWS Management Console

지정된 정책이 연결된 모든 루트OUs, 계정 및 계정을 나열하려면

1. 에 로그인하기AWS Organizations 콘솔. 조직의 관리 계정에서 IAM 사용자로 로그인하거나, IAM 역할을 수임하거나, 루트 사용자 (권장되지 않음) 로 로그인해야 합니다.

2. 정책(Policies) 페이지에서 정책 유형을 선택한 다음 연결을 검토하려는 정책의 이름을 선택합니다.

3. 대상(Targets) 탭을 선택하여 선택한 정책이 연결된 모든 루트, OU, 계정의 테이블을 표시합니다.

AWS CLI & AWS SDKs

지정된 정책이 연결된 모든 루트 및 계정을 나열하려면 OUs

다음 명령 중 하나를 사용하여 정책이 있는 개체를 나열할 수 있습니다.

• AWS CLI: list-targets-for-policy

  다음 예제는 지정된 정책의 루트OUs, 및 계정에 대한 모든 첨부 파일을 보여줍니다.

  $ aws organizations list-targets-for-policy \
      --policy-id p-FullAWSAccess
  {
      "Targets": [
          {
              "TargetId": "ou-a1b2-f6g7h111",
              "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h111",
              "Name": "testou2",
              "Type": "ORGANIZATIONAL_UNIT"
          },
          {
              "TargetId": "ou-a1b2-f6g7h222",
              "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222",
              "Name": "testou1",
              "Type": "ORGANIZATIONAL_UNIT"
          },
          {
              "TargetId": "123456789012",
              "Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
              "Name": "My Management Account (bisdavid)",
              "Type": "ACCOUNT"
          },
          {
              "TargetId": "r-a1b2",
              "Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
              "Name": "Root",
              "Type": "ROOT"
          }
      ]
  }

• AWS SDKs: ListTargetsForPolicy

정책 세부 정보 확인

최소 권한

정책 세부 정보를 표시하려면 다음과 같은 권한이 있어야 합니다.

• organizations:DescribePolicy동일한 정책 설명에 지정된 정책 (또는 “*”) ARN 의 내용이 포함된 Resource 요소 포함

AWS Management Console

정책에 대한 세부 정보를 얻으려면

1. 에 로그인하기AWS Organizations 콘솔. 조직의 관리 계정에서 IAM 사용자로 로그인하거나, IAM 역할을 수임하거나, 루트 사용자 (권장되지 않음) 로 로그인해야 합니다.

2. 정책(Policies) 페이지에서 검토하려는 정책의 정책 유형을 선택한 다음 정책의 이름을 선택합니다.

   정책 페이지에는 정책, 설명ARN, 첨부된 대상 등 정책에 대해 사용 가능한 정보가 표시됩니다.

   • 콘텐츠 탭에는 정책의 현재 콘텐츠가 JSON 형식으로 표시됩니다.

   • 대상 탭에는 정책이 연결된 루트OUs, 계정 및 계정 목록이 표시됩니다.

   • 태그(Tags) 탭에는 정책에 연결된 태그가 표시됩니다. 참고: Tags 탭은 다음과 같은 경우에는 사용할 수 없습니다. AWS 관리형 정책.

   정책을 편집하려면 정책 편집(Edit policy)을 선택합니다. 정책 유형마다 편집 요구 사항이 다르기 때문에 지정된 정책 유형의 정책 생성 및 업데이트에 대한 지침을 참조하세요.

AWS CLI & AWS SDKs

다음 코드 예제는 DescribePolicy의 사용 방법을 보여 줍니다.

CLI

AWS CLI

정책에 대한 정보를 가져오는 방법

다음 예시에서는 정책에 대한 정보를 요청하는 방법을 보여줍니다.

aws organizations describe-policy --policy-id p-examplepolicyid111

출력에는 정책에 대한 세부 정보가 포함된 정책 객체가 포함됩니다.

{
        "Policy": {
                "Content": "{\n  \"Version\": \"2012-10-17\",\n  \"Statement\": [\n    {\n      \"Effect\": \"Allow\",\n      \"Action\": \"*\",\n      \"Resource\": \"*\"\n    }\n  ]\n}",
                "PolicySummary": {
                        "Arn": "arn:aws:organizations::111111111111:policy/o-exampleorgid/service_control_policy/p-examplepolicyid111",
                        "Type": "SERVICE_CONTROL_POLICY",
                        "Id": "p-examplepolicyid111",
                        "AwsManaged": false,
                        "Name": "AllowAllS3Actions",
                        "Description": "Enables admins to delegate S3 permissions"
                }
        }
}

• 자세한 API 내용은 DescribePolicy을 참조하십시오. AWS CLI 명령 레퍼런스.

Python

SDK파이썬용 (보토3)

참고

더 많은 정보가 있습니다. GitHub 전체 예제를 찾아 설치 및 실행 방법을 알아보십시오. AWS 코드 예제 리포지토리.

def describe_policy(policy_id, orgs_client):
    """
    Describes a policy.

    :param policy_id: The ID of the policy to describe.
    :param orgs_client: The Boto3 Organizations client.
    :return: The description of the policy.
    """
    try:
        response = orgs_client.describe_policy(PolicyId=policy_id)
        policy = response["Policy"]
        logger.info("Got policy %s.", policy_id)
    except ClientError:
        logger.exception("Couldn't get policy %s.", policy_id)
        raise
    else:
        return policy

• 자세한 API 내용은 DescribePolicy을 참조하십시오. AWS SDK파이썬 (Boto3) API 참조용.