태그 정책 생성, 업데이트 및 삭제

이 주제에서 수행할 작업

• 조직에 대해 태그 정책을 활성화한 후에 태그 정책을 생성할 수 있습니다.

• 태그 지정 요구 사항이 변경되면 기존 정책을 업데이트할 수 있습니다.

• 정책이 더 이상 필요하지 않은 경우 모든 조직 단위(OU) 및 계정에서 정책을 분리한 후 삭제할 수 있습니다.

중요

태그가 지정되지 않은 리소스는 결과에 정책 미준수로 나타나지 않습니다.

태그 정책 생성

최소 권한

태그 정책을 생성하려면 다음 작업을 실행할 수 있는 권한이 필요합니다.

• organizations:CreatePolicy

다음 두 가지 방법 중 하나로 AWS Management Console 에서 태그 정책을 생성할 수 있습니다.

• 사용자가 옵션을 선택하면 자동으로 JSON 정책 텍스트를 생성하는 시각적 편집기.

• 사용자가 직접 JSON 정책 텍스트를 작성할 수 있는 텍스트 편집기.

시각적 편집기를 사용하면 프로세스를 쉽게 수행할 수 있지만 유연성은 제한됩니다. 이는 처음 정책을 생성하여 편안하게 사용할 수 있는 좋은 방법입니다. 정책이 어떻게 작동하는지 이해하고 시각적 편집기가 제공하는 기능에 의해 제한되기 시작하면 JSON 정책 텍스트를 직접 편집하여 정책에 고급 기능을 추가할 수 있습니다. 시각적 편집기는 @@assign value-setting 연산자만 사용하며, 하위 제어 연산자에 대한 액세스 권한을 제공하지 않습니다. 하위 제어 연산자는 JSON 정책 텍스트를 수동으로 편집하는 경우에만 추가할 수 있습니다.

AWS Management Console

태그 정책을 생성하려면

1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

2. 태그 정책(Tag policies) 페이지에서 정책 생성(Create policy)을 선택합니다.

3. 정책 생성(Create policy) 페이지에서 정책 이름(Policy name) 및 정책 설명(Policy description)(선택 사항)을 입력합니다.

4. (선택 사항) 정책 객체 자체에 하나 이상의 태그를 추가할 수 있습니다. 이러한 태그는 정책에 포함되지 않습니다. 이렇게 하려면 태그 추가(Add tag)를 선택한 다음 키 및 값(선택 사항)을 입력합니다. 값을 공백으로 남겨두면 null이 아닌 빈 문자열로 설정됩니다. 한 정책에 최대 50개의 태그를 연결할 수 있습니다. 자세한 정보는 AWS Organizations 리소스에 태그 지정 섹션을 참조하세요.

5. 이 절차의 설명과 같이 시각적 편집기를 사용하여 태그 정책을 빌드할 수 있습니다. JSON 탭에서 태그 정책을 입력하거나 붙여 넣을 수도 있습니다. 태그 정책 구문에 대한 자세한 내용은 태그 정책 구문 단원을 참조하세요.

   새 태그 키 1(New tag key 1)에서 추가할 태그 키의 이름을 지정합니다.

6. 태그 키 대소문자 정책 준수(Tag key capitalization compliance)에서, 상속된 상위 태그 정책이 있는 경우 해당 정책이 태그 키의 대/소문자 처리를 정의하도록 지정하려면 이 옵션을 선택 취소된(기본값) 상태로 둡니다.

   이 정책을 사용하여 태그 키에 특정 대소문자를 강제하려면 이 옵션을 활성화합니다. 이 옵션을 선택하면 태그 키에 대해 지정한 대소문자 처리가 상속된 상위 정책에 지정된 대소문자 처리를 재정의합니다.

   상위 정책이 존재하지 않고 이 옵션을 활성화하지 않으면 모든 소문자의 태그 키만 정책을 준수하는 것으로 간주됩니다. 상위 정책으로부터의 상속에 관한 자세한 내용은 관리 정책 상속에 대한 이해 단원을 참조하세요.

   작은 정보

   태그 키와 해당 대소문자 처리를 정의하는 태그 키를 생성할 때 예제 1: 조직 전체의 태그 키 사례 정의에 표시된 태그 정책 예제를 가이드로 사용할 수 있습니다. 이 태그 정책을 조직 루트에 연결합니다. 나중에 추가 태그 정책을 생성하고 OU 또는 계정에 연결하여 추가 태그 규칙을 생성할 수 있습니다.

7. 태그 값 정책 준수(Tag value compliance)의 경우 해당 태그 키에 허용되는 값을 상위 정책에서 상속된 모든 값에 추가하려면 이 옵션을 활성화합니다.

   기본적으로 이 옵션은 선택 취소되어 있으므로 상위 정책에서 정의되고 상속된 값만 정책을 준수하는 것으로 간주됩니다. 상위 정책이 없거나 태그 값을 지정하지 않는 경우 모든 값(값 없음 포함)이 정책을 준수하는 것으로 간주됩니다.

   허용 가능한 태그 값 목록을 업데이트하려면 이 태그 키에 허용되는 값 지정(Specify allowed values for this tag key)을 선택한 다음 값 지정(Specify values)을 선택합니다. 메시지가 표시되면 새 값(상자당 하나의 값)을 입력하고 변경 사항 저장(Save changes)을 선택합니다.

8. 이 태그에 대한 정책 미준수 작업 금지(Prevent noncompliant operations for this tag)의 경우 태그 정책을 사용한 경험이 없으면 이 옵션을 선택 취소(기본값)된 상태로 두는 것이 좋습니다. 적용 이해에서 권장 사항을 검토했는지 확인하고 철저히 테스트합니다. 그렇지 않으면 조직의 계정에 있는 사용자가 필요한 리소스에 태그를 지정하지 못하도록 할 수 있습니다.

   이 태그 키에 정책 준수를 적용하지 않으려면 확인란을 선택한 다음 리소스 유형 지정(Specify resource types)을 선택합니다. 메시지가 표시되면 정책에 포함할 리소스 유형을 선택합니다. 변경 사항 저장(Save changes)을 선택합니다.

   중요

   이 옵션을 선택하면 지정된 유형의 리소스에 대한 태그를 조작하는 모든 작업은 해당 작업의 결과로 태그가 정책을 준수하게 되는 경우에만 성공합니다.

9. (선택 사항) 이 태그 정책에 다른 태그 키를 추가하려면 태그 키 추가를 선택합니다. 그런 다음 6~9단계를 수행하여 태그 키를 정의합니다.

10. 태그 정책 빌드를 완료하면 변경 사항 저장을 선택합니다.

AWS CLI & AWS SDKs

태그 정책을 생성하려면

다음 중 하나를 사용하여 태그 정책을 생성할 수 있습니다.

• AWS CLI: create-policy

  어떤 텍스트 편집기든 사용하여 태그 정책을 생성할 수 있습니다. JSON 구문을 사용하여 태그 정책을 선택한 위치에 어떤 이름과 확장명으로든 파일로 저장합니다. 태그 정책은 공백을 포함하여 최대 2,500자를 사용할 수 있습니다. 태그 정책 구문에 대한 자세한 내용은 태그 정책 구문 단원을 참조하세요.

  태그 정책을 생성하려면

  1. 텍스트 파일에 다음과 유사한 태그 정책을 만듭니다.

     testpolicy.json의 콘텐츠:

     {
         "tags": {
             "CostCenter": {
                 "tag_key": {
                     "@@assign": "CostCenter"
                 }
             }
         }
     }

     이 태그 정책은 CostCenter 태그 키를 정의합니다. 태그는 어떠한 값이든 수락하거나 값을 수락하지 않을 수 있습니다. 이와 같은 정책은 값이 있든 없든 CostCenter 태그가 첨부된 리소스가 규정을 준수한다는 것을 의미합니다.

  2. 파일의 정책 콘텐츠를 담은 정책을 생성합니다. 읽기 쉽도록 출력의 여분의 공백을 잘랐습니다.

     $ aws organizations create-policy \
         --name "MyTestTagPolicy" \
         --description "My Test policy" \
         --content file://testpolicy.json \
         --type TAG_POLICY
     {
         "Policy": {
             "PolicySummary": {
                 "Id": "p-a1b2c3d4e5",
                 "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
                 "Name": "MyTestTagPolicy",
                 "Description": "My Test policy",
                 "Type": "TAG_POLICY",
                 "AwsManaged": false
             },
             "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
         }
     }

• AWS SDK: CreatePolicy

다음에 수행할 작업

태그 정책을 생성한 후에는 태그 지정 규칙을 적용할 수 있습니다. 이렇게 하려면 정책을 조직 루트, 조직 단위 (OU), 조직 AWS 계정 내 조직 단위 (OU) 또는 조직 개체의 조합에 연결하세요.

태그 정책 업데이트

최소 권한

태그 정책을 업데이트하려면 다음 작업을 실행할 수 있는 권한이 있어야 합니다.

• 동일한 정책 명령문에서 지정된 정책의 ARN(또는 "*")을 포함하는 Resource 요소를 가진 organizations:UpdatePolicy

• 동일한 정책 명령문에서 지정된 정책의 ARN(또는 "*")을 포함하는 Resource 요소를 가진 organizations:DescribePolicy

AWS Management Console

태그 정책을 업데이트하려면

1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

2. 태그 정책(Tag policies) 페이지에서 업데이트할 태그 정책을 선택합니다.

3. 정책 편집을 선택합니다.

4. 새로운 정책 이름, 정책 설명을 입력할 수 있습니다. 정책 내용은 시각적 편집기를 사용하거나 JSON을 편집해 변경할 수 있습니다.

5. 태그 정책 업데이트가 완료되면 변경 사항 저장을 선택합니다.

AWS CLI & AWS SDKs

정책을 업데이트하려면

다음 중 하나를 사용하여 정책을 업데이트할 수 있습니다.

• AWS CLI: update-policy

  다음 예제에서는 태그 정책의 이름을 변경합니다.

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --name "Renamed tag policy"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
              "Name": "Renamed tag policy",
              "Type": "TAG_POLICY",
              "AwsManaged": false
          },
          "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
      }
  }

  다음 예제에서는 태그 정책에 대한 설명을 추가하거나 변경합니다.

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --description "My new tag policy description"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
              "Name": "Renamed tag policy",
              "Description": "My new tag policy description",
              "Type": "TAG_POLICY",
              "AwsManaged": false
          },
         "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
      }
  }

  다음 예제에서는 AI 서비스 옵트아웃 정책에 연결된 JSON 정책 문서를 변경합니다. 이 예제에서 콘텐츠는 다음 텍스트를 포함한 policy.json이라는 파일에서 가져옵니다.

  {
    "tags": {
      "Stage": {
        "tag_key": {
          "@@assign": "Stage"
        },
        "tag_value": {
          "@@assign": [
            "Production",
            "Test"
          ]
        }
      }
    }
  }

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --content file://policy.json
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
              "Name": "Renamed tag policy",
              "Description": "My new tag policy description",
              "Type": "TAG_POLICY",
              "AwsManaged": false
          },
           "Content": "{\"tags\":{\"Stage\":{\"tag_key\":{\"@@assign\":\"Stage\"},\"tag_value\":{\"@@assign\":[\"Production\",\"Test\"]},\"enforced_for\":{\"@@assign\":[\"ec2:instance\"]}}}}"
  }

• AWS SDK: UpdatePolicy

태그 정책에 연결된 태그 편집

조직의 관리 계정으로 로그인하여 태그 정책에 연결된 태그를 추가하거나 제거할 수 있습니다. 이렇게 하려면 다음 단계를 완료하세요.

최소 권한

AWS 조직의 태그 정책에 첨부된 태그를 편집하려면 다음 권한이 있어야 합니다.

• organizations:DescribeOrganization(콘솔만 해당 - 정책으로 이동하기 위해)

• organizations:DescribePolicy(콘솔만 해당 - 정책으로 이동하기 위해)

• organizations:TagResource

• organizations:UntagResource

AWS Management Console

AI 서비스 옵트아웃 정책에 연결된 태그를 편집하려면

1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

2. 태그 정책(Tag policies) 페이지에서 편집할 태그가 있는 정책의 이름을 선택합니다.

3. 선택한 정책의 세부 정보 페이지에서 태그(Tags) 탭을 선택한 다음 태그 관리(Manage tags)를 선택합니다.

4. 이 페이지에서 다음과 같은 작업을 수행할 수 있습니다.

   • 이전 값 위에 새 값을 입력하여 태그의 값을 편집합니다. 키는 수정할 수 없습니다. 키를 변경하려면 이전 키를 가진 태그를 삭제하고 새 키를 가진 태그를 추가해야 합니다.

   • 제거(Remove)를 선택하여 기존 태그를 제거합니다.

   • 새로운 태그 키 및 값 페어를 추가합니다. 태그 추가(Add tag)를 선택한 다음 제시되는 상자에 새로운 키 이름과 값을 입력합니다. 값은 선택 사항입니다. 값(Value) 상자를 비워두면 null이 아닌 빈 문자열이 됩니다.

5. 원하는 추가, 제거, 편집 작업을 모두 수행한 후 변경 사항 저장(Save changes)을 선택합니다.

AWS CLI & AWS SDKs

태그 정책에 연결된 태그를 편집하려면

다음 명령 중 하나를 사용하여 태그 정책에 연결된 태그를 편집할 수 있습니다.

• AWS CLI: tag-resource 및 untag-resource

• AWS SDK: TagResource및 UntagResource

태그 정책 삭제

조직의 관리 계정에 로그인하면 조직에서 더 이상 필요 없는 정책을 삭제할 수 있습니다.

정책을 삭제하기 전에 먼저 연결된 모든 개체에서 정책을 분리해야 합니다.

최소 권한

태그 정책을 삭제하려면 다음 작업을 실행할 수 있는 권한이 있어야 합니다.

• organizations:DeletePolicy

AWS Management Console

태그 정책을 삭제하려면

1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

3. 태그 정책(Tag policies) 페이지에서 삭제할 정책을 선택합니다.

4. 먼저 모든 루트, OU와 계정에서 삭제하려는 정책을 분리해야 합니다. 대상(Targets) 탭을 선택하고 대상 목록에 표시된 각 루트, OU 또는 계정 옆에 있는 라디오 버튼을 선택한 다음 분리(Detach)를 선택합니다. 확인 대화 상자에서 분리(Detach)를 선택합니다.

5. 페이지 상단에서 삭제(Delete)를 선택합니다.

6. 확인 대화 상자에서 정책의 이름을 입력한 다음 삭제(Delete)를 선택합니다.

AWS CLI 및 SDK AWS

백업 정책을 삭제하려면

다음 코드 예제는 DeletePolicy의 사용 방법을 보여줍니다.

.NET

AWS SDK for .NET

참고

자세한 내용은 다음과 같습니다 GitHub. AWS 코드 예제 리포지토리에서 전체 예제를 찾고 설정 및 실행하는 방법을 배워보세요.

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Deletes an existing AWS Organizations policy.
    /// </summary>
    public class DeletePolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then uses it to
        /// delete the policy with the specified policyId.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";

            var request = new DeletePolicyRequest
            {
                PolicyId = policyId,
            };

            var response = await client.DeletePolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully deleted Policy: {policyId}.");
            }
            else
            {
                Console.WriteLine($"Could not delete Policy: {policyId}.");
            }
        }
    }

• API 세부 정보는 AWS SDK for .NET API DeletePolicy참조를 참조하십시오.

CLI

AWS CLI

정책을 삭제하는 방법

다음 예시에서는 조직에서 정책을 삭제하는 방법을 보여줍니다. 이 예시에서는 이전에 정책을 모든 엔터티에서 분리했다고 가정합니다.

aws organizations delete-policy --policy-id p-examplepolicyid111

• API 세부 정보는 AWS CLI 명령 DeletePolicy참조를 참조하십시오.

Python

SDK for Python(Boto3)

참고

자세한 내용은 에서 확인할 수 GitHub 있습니다. AWS 코드 예제 리포지토리에서 전체 예제를 찾고 설정 및 실행하는 방법을 배워보세요.

def delete_policy(policy_id, orgs_client):
    """
    Deletes a policy.

    :param policy_id: The ID of the policy to delete.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.delete_policy(PolicyId=policy_id)
        logger.info("Deleted policy %s.", policy_id)
    except ClientError:
        logger.exception("Couldn't delete policy %s.", policy_id)
        raise

• API에 대한 자세한 내용은 파이썬용AWS SDK (Boto3) API 레퍼런스를 참조하십시오 DeletePolicy.