서비스 제어 정책 연결 및 분리 - AWS Organizations
조직 루트, OU 또는 계정에서 SCP 분리

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

서비스 제어 정책 연결 및 분리

조직의 관리 계정에 로그인하면 이전에 생성한 SCP(서비스 제어 정책)를 연결할 수 있습니다. SCP를 조직 루트 또는 조직 단위(OU)에 연결하거나 계정에 직접 연결할 수 있습니다. SCP를 연결하려면 다음 단계를 완료하세요.

최소 권한

SCP를 루트, OU 또는 계정에 연결하려면 다음 작업을 실행할 수 있는 권한이 필요합니다.

  • 동일한 정책 명령문에서 지정된 정책의 Amazon 리소스 이름(ARN)(또는 "*"), 루트의 ARN, 또는 정책을 연결할 루트, OU, 계정의 ARN을 포함하는 Resource 요소를 가진 organizations:AttachPolicy

정책으로 이동하거나, 정책을 연결하려는 루트, OU 또는 계정으로 이동하여 SCP를 연결할 수 있습니다.

루트, OU 또는 계정으로 이동하여 SCP를 연결하려면

  1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

  2. AWS 계정 페이지에서 SCP를 연결할 루트, OU, 계정을 찾아서 그 옆에 있는 확인란을 선택합니다. 원하는 OU 또는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다( 선택).

  3. 정책(Policies) 탭의 서비스 제어 정책(Service control policies)에 대한 항목에서 연결(Attach)을 선택합니다.

  4. 원하는 정책을 찾아서 정책 연결(Attach policy)을 선택합니다.

    정책(Policies) 탭의 연결된 SCP 목록이 업데이트되어 새 추가 항목이 목록에 포함됩니다. 정책 변경은 즉시 적용되어 연결된 계정 또는 연결된 루트나 OU에 있는 모든 계정의 IAM 사용자와 역할이 가지는 권한에 영향을 줍니다.

정책으로 이동하여 SCP를 연결하려면

  1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

  2. 서비스 제어 정책(Service control policies) 페이지에서 연결할 정책의 이름을 선택합니다.

  3. 대상(Targets) 탭에서 연결(Attach)을 선택합니다.

  4. 정책을 연결할 루트, OU 또는 계정 옆에 있는 라디오 버튼을 선택합니다. 원하는 OU 또는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다( 선택).

  5. 정책 연결을 선택합니다.

    대상(Policies) 탭의 연결된 SCP 목록이 업데이트되어 새 추가 항목이 목록에 포함됩니다. 정책 변경은 즉시 적용되어 연결된 계정 또는 연결된 루트나 OU에 있는 모든 계정의 IAM 사용자와 역할이 가지는 권한에 영향을 줍니다.

루트, OU 또는 계정으로 이동하여 SCP를 연결하려면

다음 코드 예제는 AttachPolicy의 사용 방법을 보여줍니다.

.NET
AWS SDK for .NET
참고

자세한 내용은 다음과 같습니다. GitHub AWS 코드 예제 리포지토리에서 전체 예제를 찾고 설정 및 실행하는 방법을 배워보세요.

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to attach an AWS Organizations policy to an organization,
    /// an organizational unit, or an account.
    /// </summary>
    public class AttachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then calls the
        /// AttachPolicyAsync method to attach the policy to the root
        /// organization.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new AttachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.AttachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully attached Policy ID {policyId} to Target ID: {targetId}.");
            }
            else
            {
                Console.WriteLine("Was not successful in attaching the policy.");
            }
        }
    }

  • API 세부 정보는 AWS SDK for .NET API AttachPolicy참조를 참조하십시오.

CLI
AWS CLI

정책을 루트, OU 또는 계정에 연결하는 방법

예 1

다음 예시에서는 서비스 제어 정책(SCP)을 OU에 연결하는 방법을 보여줍니다.

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id ou-examplerootid111-exampleouid111

예제 2

다음 예시에서는 계정에 서비스 제어 정책을 직접 연결하는 방법을 보여줍니다.

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id 333333333333

  • API 세부 정보는 AWS CLI 명령 AttachPolicy참조를 참조하십시오.

Python
SDK for Python(Boto3)
참고

자세한 내용은 에서 확인할 수 GitHub 있습니다. AWS 코드 예제 리포지토리에서 전체 예제를 찾고 설정 및 실행하는 방법을 배워보세요.

def attach_policy(policy_id, target_id, orgs_client):
    """
    Attaches a policy to a target. The target is an organization root, account, or
    organizational unit.

    :param policy_id: The ID of the policy to attach.
    :param target_id: The ID of the resources to attach the policy to.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.attach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Attached policy %s to target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't attach policy %s to target %s.", policy_id, target_id
        )
        raise

  • API에 대한 자세한 내용은 파이썬용AWS SDK (Boto3) API 레퍼런스를 참조하십시오 AttachPolicy.

정책 변경은 즉시 적용되어 연결된 계정 또는 연결된 루트나 OU에 있는 모든 계정의 IAM 사용자와 역할이 가지는 권한에 영향을 줍니다.

조직 루트, OU 또는 계정에서 SCP 분리

조직의 관리 계정에 로그인하면 연결된 루트, OU 또는 계정에서 SCP를 분리할 수 있습니다. 개체에서 SCP를 분리하면 해당 SCP는 현재 분리된 개체의 영향을 받는 IAM 사용자 및 IAM 역할에 더 이상 적용되지 않습니다. SCP를 분리하려면 다음 단계를 완료하세요.

참고

마지막 SCP는 루트, OU 또는 계정에서 분리할 수 없습니다. 모든 루트, OU, 계정에는 언제나 하나 이상의 SCP가 연결돼 있어야 합니다.

최소 권한

루트, OU 또는 계정에서 SCP를 분리하려면 다음 작업을 실행할 수 있는 권한이 필요합니다.

  • organizations:DetachPolicy

정책을 탐색하거나, 정책을 분리하려는 루트, OU 또는 계정으로 이동하여 SCP를 분리할 수 있습니다.

정책이 연결된 루트, OU 또는 계정으로 이동하여 SCP을 분리하려면

  1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

  2. AWS 계정 페이지에서 정책을 분리할 루트, OU 또는 계정으로 이동합니다. 원하는 OU 또는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다( 선택). 루트, OU 또는 계정의 이름을 선택합니다.

  3. 정책(Policies) 탭에서, 분리할 SCP 옆에 있는 라디오 버튼을 선택한 다음 분리(Detach)를 선택합니다.

  4. 확인 대화 상자에서 정책 분리(Detach policy)를 선택합니다.

    연결된 SCP의 목록이 업데이트됩니다. SCP 분리로 인해 발생하는 정책 변경은 즉시 적용됩니다. 예를 들어, SCP 분리는 이전에 연결된 계정이나 이전에 연결된 루트 또는 OU에 있는 계정의 IAM 사용자와 역할이 가지고 있는 권한에 즉시 영향을 미칩니다.

정책으로 이동하여 SCP를 분리하려면

  1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

  2. 서비스 제어 정책(Service control policies) 페이지에서 루트, OU 또는 계정과 분리할 정책의 이름을 선택합니다.

  3. 대상(Targets) 탭에서 정책을 분리할 루트, OU 또는 계정 옆에 있는 라디오 버튼을 선택합니다. 원하는 OU 또는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다( 선택).

  4. 분리를 선택합니다.

  5. 확인 대화 상자에서 분리(Detach)를 선택합니다.

    연결된 SCP의 목록이 업데이트됩니다. SCP 분리로 인해 발생하는 정책 변경은 즉시 적용됩니다. 예를 들어, SCP 분리는 이전에 연결된 계정이나 이전에 연결된 루트 또는 OU에 있는 계정의 IAM 사용자와 역할이 가지고 있는 권한에 즉시 영향을 미칩니다.

루트, OU 또는 계정에서 SCP를 분리하려면

다음 코드 예제는 DetachPolicy의 사용 방법을 보여줍니다.

.NET
AWS SDK for .NET
참고

더 많은 정보가 있습니다. GitHub AWS 코드 예제 리포지토리에서 전체 예제를 찾고 설정 및 실행하는 방법을 배워보세요.

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to detach a policy from an AWS Organizations organization,
    /// organizational unit, or account.
    /// </summary>
    public class DetachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and uses it to call
        /// DetachPolicyAsync to detach the policy.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new DetachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.DetachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully detached policy with Policy Id: {policyId}.");
            }
            else
            {
                Console.WriteLine("Could not detach the policy.");
            }
        }
    }

  • API 세부 정보는 AWS SDK for .NET API DetachPolicy참조를 참조하십시오.

CLI
AWS CLI

정책을 루트, OU 또는 계정에서 분리하는 방법

다음 예시에서는 OU에서 정책을 분리하는 방법을 보여줍니다.

aws organizations  detach-policy  --target-id ou-examplerootid111-exampleouid111 --policy-id p-examplepolicyid111

  • API 세부 정보는 AWS CLI 명령 DetachPolicy참조를 참조하십시오.

Python
SDK for Python(Boto3)
참고

자세한 내용은 에서 확인할 수 GitHub 있습니다. AWS 코드 예제 리포지토리에서 전체 예제를 찾고 설정 및 실행하는 방법을 배워보세요.

def detach_policy(policy_id, target_id, orgs_client):
    """
    Detaches a policy from a target.

    :param policy_id: The ID of the policy to detach.
    :param target_id: The ID of the resource where the policy is currently attached.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.detach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Detached policy %s from target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't detach policy %s from target %s.", policy_id, target_id
        )
        raise

  • API에 대한 자세한 내용은 파이썬용AWS SDK (Boto3) API 레퍼런스를 참조하십시오 DetachPolicy.

정책 변경은 즉시 적용되어 연결된 계정 또는 연결된 루트나 OU에 있는 모든 계정의 IAM 사용자와 역할이 가지는 권한에 영향을 줍니다.