

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 사용 시기 AWS Organizations
<a name="using-orgs"></a>

AWS Organizations 는를 그룹 AWS 계정 으로 관리하는 데 사용할 수 있는 AWS 서비스입니다. 이렇게 하면 계정의 모든 청구서를 그룹화하고 한 명의 결제자가 처리하는 통합 결제와 같은 기능이 제공됩니다. 정책 기반 제어를 사용하여 조직의 보안을 중앙에서 관리할 수도 있습니다. 에 대한 자세한 내용은 [AWS Organizations 사용 설명서를](https://docs.aws.amazon.com/organizations/latest/userguide/) AWS Organizations참조하세요.

**트러스트된 액세스**

 AWS Organizations 를 사용하여 계정을 그룹으로 관리하는 경우 조직의 대부분의 관리 작업은 조직의 *관리 계정*에서만 수행할 수 있습니다. 기본적으로 여기에는 조직 자체 관리와 관련된 작업만 포함됩니다. Organizations와 해당 AWS 서비스 간에 *신뢰할 수 있는 액세스를* 활성화하여이 추가 기능을 다른 서비스로 확장할 수 있습니다. 신뢰할 수 있는 액세스는 지정된 AWS 서비스에 조직 및 조직에 포함된 계정에 대한 정보에 액세스할 수 있는 권한을 부여합니다. 계정 관리에 대한 신뢰할 수 있는 액세스를 활성화하면 계정 관리 서비스는 조직 및 해당 관리 계정에게 조직의 모든 멤버 계정에 대한 기본 또는 대체 연락처 정보와 같은 메타데이터에 액세스할 수 있는 권한을 부여합니다.

자세한 내용은 [AWS 계정 관리에 대한 신뢰할 수 있는 액세스 활성화](using-orgs-trusted-access.md) 단원을 참조하십시오.

**위임된 관리자**

신뢰할 수 있는 액세스를 활성화한 후 멤버 계정 중 하나를 AWS 계정 관리의 *위임된 관리자* 계정으로 지정하도록 선택할 수도 있습니다. 이렇게 하면 위임된 관리자 계정이 조직의 멤버 계정에 대해 이전에 관리 계정만 수행할 수 있었던 것과 동일한 계정 관리 메타데이터 관리 작업을 수행할 수 있습니다. 위임된 관리자 계정은 계정 관리 서비스의 관리 작업에만 액세스할 수 있습니다. 위임된 관리자 계정에는 관리 계정에 있는 조직에 대한 모든 관리 액세스 권한이 없습니다.

자세한 내용은 [계정 관리에 대해 위임된 관리자 AWS 계정 활성화](using-orgs-delegated-admin.md) 단원을 참조하십시오.

**서비스 제어 정책**

 AWS 계정 가에서 관리하는 조직의 일부인 경우 조직의 AWS Organizations관리자는 멤버 계정의 보안 주체가 수행할 수 있는 작업을 제한할 수 있는 [서비스 제어 정책(SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)을 적용할 수 있습니다. SCP는 권한을 부여하지 않습니다. 대신 멤버 계정에서 사용할 수 있는 권한을 제한하는 필터입니다. 멤버 계정의 사용자 또는 역할(*위탁자*)은 계정에 적용되는 SCP와 위탁자에 연결된 IAM 권한 정책이 허용하는 것과 교차하는 작업만 수행할 수 있습니다. 예를 들어 SCP 사용하여 계정의 위탁자가 자기 계정의 대체 연락처를 수정하지 못하도록 할 수 있습니다.

SCPs의 예는 단원을 AWS 계정참조하십시오[AWS Organizations 서비스 제어 정책을 사용하여 액세스 제한](using-orgs-example-scps.md).

# AWS 계정 관리에 대한 신뢰할 수 있는 액세스 활성화
<a name="using-orgs-trusted-access"></a>

 AWS 계정 관리에 대한 신뢰할 수 있는 액세스를 활성화하면 관리 계정의 관리자가의 각 멤버 계정과 관련된 정보 및 메타데이터(예: 기본 또는 대체 연락처 세부 정보)를 수정할 수 있습니다 AWS Organizations. 자세한 내용은 *AWS Organizations 사용 설명서*에서 [AWS Account Management 및 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-account.html#integrate-enable-ta-account)을 참조하세요. 신뢰할 수 있는 액세스의 작동 방식에 대한 일반적인 내용은 [다른 AWS 서비스와 AWS Organizations 함께 사용을](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) 참조하세요.

신뢰할 수 있는 액세스가 활성화되면 `accountID` 파라미터를 지원하는 [계정 관리 API 작업](API_Operations.md)에서 해당 파라미터를 사용할 수 있습니다. 이 파라미터는 관리 계정이나 조직의 위임된 관리자 계정(활성화된 경우)에서 자격 증명을 사용하여 작업을 호출한 경우에만 성공적으로 사용할 수 있습니다. 자세한 내용은 [계정 관리에 대해 위임된 관리자 AWS 계정 활성화](using-orgs-delegated-admin.md) 단원을 참조하십시오.

다음 절차에 따라 조직의 계정 관리에 대한 신뢰할 수 있는 액세스를 활성화합니다.

**최소 권한**  
이 작업을 수행하려면 다음 요구 사항을 충족해야 합니다.  
이 작업은 조직의 관리 계정에서만 수행할 수 있습니다.
조직의 [모든 기능을 활성화](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)해야 합니다.

------
#### [ AWS Management Console ]

**AWS 계정 관리에 대해 신뢰할 수 있는 액세스를 활성화하려면**

1. [AWS Organizations 콘솔](https://console.aws.amazon.com/organizations)에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

1. 탐색 창에서 **서비스**를 선택합니다.

1. 서비스 목록에서 **AWS 계정 관리**를 선택합니다.

1. **신뢰할 수 있는 액세스 활성화**를 선택합니다.

1. ** AWS 계정 관리에 대한 신뢰할 수 있는 액세스 활성화** 대화 상자에서 **활성화**를 입력하여 확인한 다음 신뢰할 수 **있는 액세스 활성화**를 선택합니다.

------
#### [ AWS CLI & SDKs ]

**AWS 계정 관리에 대해 신뢰할 수 있는 액세스를 활성화하려면**  
다음 명령을 실행한 후 조직의 관리 계정에서 자격 증명을 사용하여 `--accountId` 파라미터로 조직의 멤버 계정을 참조하는 계정 관리 API 작업을 호출할 수 있습니다.
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  다음 예시에서는 호출 AWS 계정의 조직에서 계정 관리에 대한 신뢰할 수 있는 액세스를 활성화합니다.

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal account.amazonaws.com
  ```

  성공 시 이 명령은 출력을 생성하지 않습니다.

------

# 계정 관리에 대해 위임된 관리자 AWS 계정 활성화
<a name="using-orgs-delegated-admin"></a>

다른 멤버 계정에 대한 AWS 계정 관리 API 작업을 호출할 수 있도록 위임된 관리자 계정을 활성화합니다 AWS Organizations. 조직에 위임된 관리자 계정을 등록한 후 해당 계정의 사용자 및 역할은 선택적 `AccountId` 파라미터를 지원하여 조직 모드에서 작동할 수 있는 `account` 네임스페이스에서 AWS CLI 및 AWS SDK 작업을 호출할 수 있습니다.

조직의 멤버 계정을 위임된 관리자 계정으로 등록하려면 다음 절차를 따르세요.

------
#### [ AWS CLI & SDKs ]

**계정 관리에 위임된 관리자 계정을 등록하려면**  
다음 명령을 사용하여 계정 관리 서비스에 위임된 관리자를 활성화할 수 있습니다.

**최소 권한**  
이 작업을 수행하려면 다음 요구 사항을 충족해야 합니다.  
이 작업은 조직의 관리 계정에서만 수행할 수 있습니다.
조직의 [모든 기능을 활성화](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)해야 합니다.
[조직의 계정 관리에 대해 신뢰할 수 있는 액세스를 활성화](using-orgs-trusted-access.md)해야 합니다.

다음 서비스 위탁자를 지정해야 합니다.

```
account.amazonaws.com
```
+ AWS CLI: [register-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)

  다음 예에서는 조직의 멤버 계정을 계정 관리 서비스의 위임된 관리자로 등록합니다.

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal account.amazonaws.com
  ```

  성공 시 이 명령은 출력을 생성하지 않습니다.

  이 명령을 실행한 후 계정 123456789012의 자격 증명을 사용하여 `--account-id` 파라미터를 사용하여 조직의 멤버 계정을 참조하는 계정 관리 AWS CLI 및 SDK API 작업을 호출할 수 있습니다.

------
#### [ AWS Management Console ]

이 작업은 AWS 계정 관리 관리 콘솔에서 지원되지 않습니다. 이 작업은 AWS CLI 또는 AWS SDKs.

------

# AWS Organizations 서비스 제어 정책을 사용하여 액세스 제한
<a name="using-orgs-example-scps"></a>

이 주제에서는 AWS Organizations 에서 서비스 제어 정책(SCP)을 사용하여 조직 내 계정의 사용자 및 역할이 수행할 수 있는 작업을 제한하는 방법을 보여주는 예제를 설명합니다. 서비스 제어 정책에 대한 자세한 내용은 *AWS Organizations 사용 설명서*에서 다음 주제를 참조하세요.
+ [SCP 생성](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html)
+ [OU 및 계정에 SCP 연결](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)
+ [SCP 전략](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_strategies.html)
+ [SCP 정책 구문](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_syntax.html)

**Example 예제 1: 계정이 자신의 대체 연락처를 수정하지 못하도록 방지**  
다음 예에서는 [독립 실행형 계정 모드](manage-acct-api-modes-of-operation.md)의 멤버 계정에서 `PutAlternateContact` 및 `DeleteAlternateContact` API 작업을 호출하지 못하도록 거부합니다. 이렇게 하면 영향을 받는 계정의 위탁자가 자신의 대체 연락처를 변경할 수 없습니다.    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "account:PutAlternateContact",
                "account:DeleteAlternateContact"
            ],
            "Resource": [ "arn:aws:account::*:account" ]
        }
    ]
}
```

**Example 예제 2: 멤버 계정이 조직의 다른 멤버 계정의 대체 연락처를 수정하지 못하도록 방지**  
다음 예에서는 `Resource` 요소를 “\$1”로 일반화합니다. 즉, [독립 실행형 모드 요청과 조직 모드 요청](manage-acct-api-modes-of-operation.md) 모두에 적용됩니다. 즉, 계정 관리의 위임된 관리자 계정이라도 SCP가 적용되는 경우 조직 내 모든 계정에 대한 대체 연락처가 변경되지 않습니다.    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "account:PutAlternateContact",
                "account:DeleteAlternateContact"
            ],
            "Resource": [ "*" ]
        }
    ]
}
```

**Example 예제 3: OU의 멤버 계정이 자신의 대체 연락처를 수정하지 못하도록 방지**  
다음 SCP 예에는 계정의 조직 경로를 두 개의 OU 목록과 비교하는 조건이 포함되어 있습니다. 이렇게 하면 지정된 OU의 모든 계정에서 위탁자가 자신의 대체 연락처를 수정하지 못하게 됩니다.