의 선언적 정책 AWS Organizations

선언적 정책을 사용하면 AWS 서비스 및 해당 기능을 중앙에서 구성하고 관리할 수 있습니다. 이러한 정책이 정책을 상속하는 OUs 및 계정에 미치는 영향은 적용하는 선언적 정책의 유형에 따라 달라집니다 AWS Organizations. 이 섹션의 주제를 검토하여 선언적 정책에 대한 관련 용어와 개념을 이해합니다.

선언적 정책을 사용하면 조직 전체에서 지정된에 대해 원하는 구성을 중앙 AWS 서비스 에서 선언하고 적용할 수 있습니다. 연결되면 서비스가 새 기능 또는 API를 추가할 때 구성이 항상 유지됩니다. 선언적 정책을 사용하여 규정 미준수 작업을 방지합니다. 예를 들어 조직 전체에서 Amazon VPC 리소스에 대한 퍼블릭 인터넷 액세스를 차단할 수 있습니다.

선언적 정책 사용의 주요 이점은 다음과 같습니다.

사용 편의성: AWS Organizations 및 AWS Control Tower 콘솔에서 AWS 서비스 몇 가지를 선택하거나 AWS CLI & AWS SDKs.
한 번 설정하고 잊어버림: 서비스에 새 기능 또는 APIs가 도입되더라도의 기준 구성 AWS 서비스 은 항상 유지됩니다. 새 계정이 조직에 추가되거나 새 위탁자 및 리소스가 생성될 때도 기준 구성이 유지됩니다.
투명성: 계정 상태 보고서를 사용하여 범위 내 계정에 대한 선언적 정책에서 지원하는 모든 속성의 현재 상태를 평가할 수 있습니다. 또한 사용자 지정 가능한 오류 메시지를 생성하여 관리자가 최종 사용자를 내부 Wiki 페이지로 리디렉션하거나 최종 사용자에게 작업이 실패한 이유를 이해하는 데 도움이 되는 설명 메시지를 제공할 수 있습니다.

선언적 정책 작동 방식

선언적 정책은 서비스의 컨트롤 플레인에서 적용되며, 이는 서비스 제어 정책(SCP) 및 리소스 제어 정책(RCP)과 같은 권한 부여 정책과 중요한 차이점입니다. 권한 부여 정책은 API에 대한 액세스를 규제하지만 선언적 정책은 서비스 수준에서 직접 적용되어 지속적인 의도를 강제합니다. 이렇게 하면 서비스에 새 기능 또는 API가 도입되더라도 기준 구성이 항상 적용됩니다.

다음 표는 이러한 차이를 설명하고 몇 가지 사용 사례를 제공합니다.

	서비스 제어 정책	리소스 제어 정책	선언적 정책
이유?	위탁자(예: IAM 사용자 및 IAM 역할)에 대한 일관된 액세스 제어를 대규모로 중앙에서 정의하고 적용합니다.	대규모 리소스에 대한 일관된 액세스 제어를 중앙에서 정의하고 적용하는 방법	대규모 AWS 서비스에 대한 기준 구성을 중앙에서 정의하고 적용합니다.
방법?	API 수준에서 위탁자의 사용 가능한 최대 액세스 권한을 제어합니다.	API 수준에서 리소스의 사용 가능한 최대 액세스 권한을 제어합니다.	API 작업을 사용하지 AWS 서비스 않고의 원하는 구성을 적용합니다.
서비스 연결 역할을 관리하나요?	아니요	아니요	예
예제 정책	멤버 계정의 조직 탈퇴 거부	리소스에 대한 HTTPS 연결에만 대한 액세스 제한	허용된 이미지 설정

선언적 정책을 생성하고 연결하면 조직 전체에 적용되고 구현됩니다. 선언적 정책은 전체 조직, 조직 단위(OU) 또는 계정에 적용될 수 있습니다. 조직에 가입하는 계정은 조직의 선언적 정책을 자동으로 상속합니다. 자세한 내용은 선언적 정책 상속 이해 단원을 참조하십시오.

유효 정책은 조직 루트 및 OU에서 상속되는 규칙과 계정에 직접 연결된 규칙의 집합입니다. 유효 정책은 계정에 적용되는 최종 규칙 집합을 지정합니다. 자세한 내용은 효과적인 선언적 정책 보기 단원을 참조하십시오.

선언적 정책이 분리되면 속성 상태가 선언적 정책이 연결되기 전인 이전 상태로 롤백됩니다.

주제

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

RCP 예

사전 조건 및 권한