상속 연산자

상속 연산자는 상속된 정책과 계정 정책이 계정의 유효 정책으로 병합되는 방법을 제어합니다. 이러한 연산자에는 값 설정 연산자와 하위 제어 연산자가 포함됩니다.

AWS Organizations 콘솔에서 시각적 편집기를 사용하는 경우 @@assign 연산자만 사용할 수 있습니다. 기타 연산자는 고급 기능으로 간주됩니다. 기타 연산자를 사용하려면 JSON 정책을 수동으로 작성해야 합니다. 숙련된 정책 작성자는 상속 연산자를 사용하여 유효 정책에 적용되는 값을 제어하고 하위 정책에 따라 변경할 수 있는 내용을 제한할 수 있습니다.

값 설정 연산자

다음 값 설정 연산자를 사용하여 정책이 상위 정책과 상호 작용하는 방식을 제어할 수 있습니다.

@@assign – 상속된 정책 설정을 지정된 설정으로 덮어씁니다. 지정된 설정이 상속되지 않은 경우 이 연산자는 해당 설정을 유효 정책에 추가합니다. 이 연산자는 모든 유형의 정책 설정에 적용할 수 있습니다.
- 단일 값 설정의 경우 이 연산자는 상속된 값을 지정된 값으로 바꿉니다.
- 다중 값 설정(JSON 배열)의 경우 이 연산자는 상속된 값을 모두 제거하고 이 정책에 지정된 값으로 바꿉니다.
@@append – 지정된 설정을 제거하지 않고 상속된 설정에 추가합니다. 지정된 설정이 상속되지 않은 경우 이 연산자는 해당 설정을 유효 정책에 추가합니다. 이 연산자는 다중 값 설정에서만 사용할 수 있습니다.
- 이 연산자는 상속된 배열의 값에 지정된 값을 추가합니다.
@@remove – 상속된 지정된 설정(있는 경우)을 유효 정책에서 제거합니다. 이 연산자는 다중 값 설정에서만 사용할 수 있습니다.
- 이 연산자는 상위 정책에서 상속된 값 배열에서 지정된 값만 제거합니다. 다른 값은 배열에 계속 존재할 수 있으며 하위 정책이 상속할 수 있습니다.

하위 제어 연산자

하위 제어 연산자를 사용하는 것은 선택 사항입니다. @@operators_allowed_for_child_policies 연산자를 사용하여 하위 정책에서 사용할 수 있는 값 설정 연산자를 제어할 수 있습니다. 모든 연산자를 허용하거나, 일부 특정 연산자를 허용하거나, 연산자를 허용하지 않을 수 있습니다. 기본적으로 모든 연산자(@@all) 가 허용됩니다.

"@@operators_allowed_for_child_policies":["@@all"] – 하위 OU와 계정은 정책에서 어떤 연산자든지 사용할 수 있습니다. 기본적으로 모든 연산자가 하위 정책에서 허용됩니다.
"@@operators_allowed_for_child_policies":["@@assign", "@@append", "@@remove"] – 하위 OU 및 계정은 하위 정책에서 지정된 연산자만 사용할 수 있습니다. 이 하위 제어 연산자에서 값 설정 연산자를 하나 이상 지정할 수 있습니다.
"@@operators_allowed_for_child_policies":["@@none"] – 하위 OU와 계정은 정책에서 연산자를 사용할 수 없습니다. 이 연산자를 사용하여 하위 정책에서 해당 값을 추가, 첨부 또는 제거할 수 없도록 상위 정책에서 정의된 값을 효과적으로 잠글 수 있습니다.

참고

상속된 하위 제어 연산자가 연산자 사용을 제한하는 경우 하위 정책에서 해당 규칙을 되돌릴 수 없습니다. 상위 정책에 하위 제어 연산자를 포함하면 이러한 연산자는 모든 하위 정책에서 값 설정 연산자를 제한합니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

관리 정책 유형

상속 사례