선언적 정책 구문 및 예시 - AWS Organizations
고려 사항선언적 정책의 구문지원되는 선언적 정책

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

선언적 정책 구문 및 예시

이 페이지에서는 선언적 정책 구문에 대해 설명하고 예제를 제공합니다.

고려 사항

  • 선언적 정책을 사용하여 서비스 속성을 구성하면 여러 API에 영향을 미칠 수 있습니다. 규정을 준수하지 않는 작업은 모두 실패합니다.

  • 계정 관리자는 개별 계정 수준에서 서비스 속성의 값을 수정할 수 없습니다.

선언적 정책의 구문

선언적 정책은 JSON 규칙에 따라 구성된 일반 텍스트 파일입니다. 선언적 정책 구문은 모든 관리 정책 유형에 대한 구문을 따릅니다. 해당 구문에 대한 자세한 내용은 관리 정책 유형에 대한 정책 구문 및 상속을 참조하세요. 이 항목에서는 선언적 정책 유형의 특정 요구 사항에 해당 일반 구문을 적용하는 방법을 중점적으로 설명합니다.

다음 예제에서는 선언적 정책의 기본 구문을 보여줍니다.

{
  "ec2_attributes": {
    "exception_message": {
      "@@assign": "Your custom error message.https://myURL"
    }
  }
}

  • ec2_attributes 필드 키 이름입니다. 선언적 정책은 항상 지정된의 고정 키 이름으로 시작합니다 AWS 서비스. 위의 예제 정책에서 맨 위 줄입니다. 현재 선언적 정책은 Amazon EC2 관련 서비스만 지원합니다.

  • ec2_attributes에서 exception_message를 사용하여 사용자 지정 오류 메시지를 설정할 수 있습니다. 자세한 내용은 선언적 정책에 대한 사용자 지정 오류 메시지를 참조하세요.

  • ec2_attributes에서 지원되는 선언적 정책을 하나 이상 삽입할 수 있습니다. 이러한 스키마는 지원되는 선언적 정책 섹션을 참조하세요.

지원되는 선언적 정책

선언적 정책이 지원하는 AWS 서비스 및 속성은 다음과 같습니다. 다음 예제 중 일부에서는 공간을 절약하기 위해 JSON 공백 서식이 압축되었을 수 있습니다.

  • VPC 퍼블릭 액세스 차단

  • 직렬 콘솔 액세스

  • 이미지 퍼블릭 액세스 차단

  • 허용된 이미지 설정

  • 인스턴스 메타데이터 기본값

  • 스냅샷 퍼블릭 액세스 차단

VPC Block Public Access

정책 효과

Amazon VPC 및 서브넷 내 리소스가 인터넷 게이트웨이(IGW)를 통해 인터넷에 접근할 수 있는지 제어합니다. 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서인터넷 액세스 구성을 참조하세요.

정책 내용

{
  "ec2_attributes": {
    "vpc_block_public_access": {
      "internet_gateway_block": {
        "mode": {
          "@@assign": "block_ingress"
        },
        "exclusions_allowed": {
          "@@assign": "enabled"
        }
      }
    }
  }
}

다음은 이 속성에 사용할 수 있는 필드입니다.

  • "internet_gateway":

    • "mode":

      • "off": VPC BPA가 활성화되지 않았습니다.

      • "block_ingress": VPC에 대한 모든 인터넷 트래픽(제외된 VPC 또는 서브넷 제외)이 차단되었습니다. NAT 게이트웨이 및 송신 전용 인터넷 게이트웨이를 오가는 트래픽만 허용되는데, 이러한 게이트웨이는 아웃바운드 연결만 설정되도록 허용하기 때문입니다.

      • "block_bidirectional": 인터넷 게이트웨이 및 송신 전용 인터넷 게이트웨이(제외된 VPC 및 서브넷 제외)를 오가는 모든 트래픽이 차단되었습니다.

  • "exclusions_allowed": 제외 항목은 계정의 VPC BPA 모드에서는 제외하고 양방향 또는 송신 전용 액세스를 허용하는 단일 VPC 또는 서브넷에 적용할 수 있는 모드입니다.

    • "enabled": 계정에서 제외를 생성할 수 있습니다.

    • "disabled": 계정에서 제외를 생성할 수 없습니다.

    참고

    속성을 사용하여 제외가 허용되는지 여부를 구성할 수 있지만 이 속성 자체로는 제외를 생성할 수 없습니다. 제외를 생성하려면 VPC를 소유한 계정에서 해당 제외를 생성해야 합니다. VPC BPA 제외 생성에 대한 자세한 내용은 Amazon VPC 사용 설명서제외 생성 및 삭제 섹션을 참조하세요.

고려 사항

선언적 정책에서 이 속성을 사용하는 경우 다음 작업을 사용하여 범위 내 계정에 적용되는 구성을 수정할 수 없습니다. 단, 이 목록이 전부는 아닙니다.

  • ModifyVpcBlockPublicAccessOptions

  • CreateVpcBlockPublicAccessExclusion

  • ModifyVpcBlockPublicAccessExclusion

Serial Console Access

정책 효과

EC2 직렬 콘솔에 액세스할 수 있는지 여부를 제어합니다. EC2 직렬 콘솔에 대한 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서EC2 직렬 콘솔을 참조하세요.

정책 내용

{
  "ec2_attributes": {
    "serial_console_access": {
      "status": {
        "@@assign": "enabled"
      }
    }
  }
}

다음은 이 속성에 사용할 수 있는 필드입니다.

  • "status":

    • "enabled": EC2 직렬 콘솔 액세스가 허용됩니다.

    • "disabled": EC2 직렬 콘솔 액세스가 차단됩니다.

고려 사항

선언적 정책에서 이 속성을 사용하는 경우 다음 작업을 사용하여 범위 내 계정에 적용되는 구성을 수정할 수 없습니다. 단, 이 목록이 전부는 아닙니다.

  • EnableSerialConsoleAccess

  • DisableSerialConsoleAccess

Image Block Public Access

정책 효과

Amazon Machine Images(AMI)를 공개적으로 공유 가능한지 여부를 제어합니다. AMI에 대한 자세한 정보는 Amazon Elastic Compute Cloud 사용 설명서Amazon Machine Image(AMI) 섹션을 참조하세요.

정책 내용

{
  "ec2_attributes": {
    "image_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

다음은 이 속성에 사용할 수 있는 필드입니다.

  • "state":

    • "unblocked": AMI의 퍼블릭 공유에는 제한이 없습니다.

    • "block_new_sharing": AMI의 새 퍼블릭 공유를 차단합니다. 그러나 이미 공개적으로 공유된 AMI는 계속 공개적으로 사용할 수 있습니다.

고려 사항

선언적 정책에서 이 속성을 사용하는 경우 다음 작업을 사용하여 범위 내 계정에 적용되는 구성을 수정할 수 없습니다. 단, 이 목록이 전부는 아닙니다.

  • EnableImageBlockPublicAccess

  • DisableImageBlockPublicAccess

Allowed Images Settings

정책 효과

허용된 AMI를 통해 Amazon EC2에서 Amazon Machine Image(AMI)의 검색 및 사용을 제어합니다. AMI에 대한 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서허용된 AMI를 사용하여 Amazon EC2에서 AMI 검색 및 사용 제어를 참조하세요.

정책 내용

다음은 이 속성에 사용할 수 있는 필드입니다.

{
  "ec2_attributes": {
    "allowed_images_settings": {
      "state": {
        "@@assign": "enabled"
      },
      "image_criteria": {
        "criteria_1": {
          "allowed_image_providers": {
            "@@append": [
              "amazon"
            ]
          }
        }
      }
    }
  }
}

  • "state":

    • "enabled": 속성이 활성 상태이고 적용됩니다.

    • "disabled": 속성이 비활성 상태이며 적용되지 않습니다.

    • "audit_mode": 속성이 감사 모드입니다. 즉, 규정을 준수하지 않는 이미지를 식별하지만 사용을 차단하지는 않습니다.

  • "image_criteria": 기준 목록입니다. criteria_1에서 criteria_10까지의 이름으로 최대 10개의 기준 지원

    • "allowed_image_providers": amazon, aws_marketplace, aws_backup_vault의 12자리 계정 ID 또는 소유자 별칭으로 구성된 쉼표로 구분된 목록입니다.

    • "image_names": 허용되는 이미지의 이름입니다. 이름에는 와일드카드(? 및 *)가 포함될 수 있습니다. 길이는 1~128자입니다. ?를 사용할 경우, 최소 3자 이상 입력해야 합니다.

    • "marketplace_product_codes": 허용된 이미지에 대한 AWS Marketplace 제품 코드입니다. 길이: 1~25자 유효한 문자: 문자(A~Z, a~z) 및 숫자(0~9)

    • "creation_date_condition": 허용되는 이미지의 최대 경과 기간입니다.

      • "maximum_days_since_created": 이미지가 생성된 이후 경과한 최대 일수입니다. 유효 범위: 최소값은 0입니다. 최대값은 2147483647입니다.

    • "deprecation_time_condition": 허용되는 이미지의 사용 중단 이후 최대 경과 기간입니다.

      • "maximum_days_since_deprecated": 이미지의 사용 중단 이후 경과한 최대 일수입니다. 유효 범위: 최소값은 0입니다. 최대값은 2147483647입니다.

고려 사항

선언적 정책에서 이 속성을 사용하는 경우 다음 작업을 사용하여 범위 내 계정에 적용되는 구성을 수정할 수 없습니다. 단, 이 목록이 전부는 아닙니다.

  • EnableAllowedImagesSettings

  • ReplaceImageCriteriaInAllowedImagesSettings

  • DisableAllowedImagesSettings

Instance Metadata Defaults

정책 효과

모든 새 EC2 인스턴스 시작에 대한 IMDS 기본값을 제어합니다. 이 구성 세트는 기본값만 설정하며 IMDS 버전 설정을 적용하지 않습니다. IMDS 기본값에 대한 자세한 내용을 알아보려면 Amazon Elastic Compute Cloud 사용 설명서IMDS를 참조하세요.

정책 내용

다음은 이 속성에 사용할 수 있는 필드입니다.

{
  "ec2_attributes": {
    "instance_metadata_defaults": {
      "http_tokens": {
        "@@assign": "required"
      },
      "http_put_response_hop_limit": {
        "@@assign": "4"
      },
      "http_endpoint": {
        "@@assign": "enabled"
      },
      "instance_metadata_tags": {
        "@@assign": "enabled"
      }
    }
  }
}

  • "http_tokens":

    • "no_preference": 다른 기본값이 적용됩니다. 예를 들어, 해당되는 경우 AMI가 기본값으로 설정됩니다.

    • "required": IMDSv2를 사용해야 합니다. IMDSv1은 허용되지 않습니다.

    • "optional": IMDSv1과 IMDSv2가 모두 허용됩니다.

    참고

    메타데이터 버전

    http_tokens을(를) required(IMDSv2를 사용해야 함)로 설정하기 전에 IMDSv1 호출을 수행하는 인스턴스가 없는지 확인합니다.

  • "http_put_response_hop_limit":

    • "Integer": -1부터 64까지의 정수 값으로, 메타데이터 토큰이 이동할 수 있는 최대 홉 수를 나타냅니다. 기본 설정이 없음을 표시하려면 -1을 지정하십시오.

      참고

      홉 제한

      http_tokens이(가) required로 설정된 경우 http_put_response_hop_limit를 최소 2로 설정하는 것이 좋습니다. 자세한 내용을 알아보려면 Amazon Elastic Compute Cloud 사용 설명서인스턴스 메타데이터 액세스 고려 사항을 참조하세요.

  • "http_endpoint":

    • "no_preference": 다른 기본값이 적용됩니다. 예를 들어, 해당되는 경우 AMI가 기본값으로 설정됩니다.

    • "enabled": 인스턴스 메타데이터 서비스의 엔드포인트에 액세스할 수 있습니다.

    • "disabled": 인스턴스 메타데이터 서비스의 엔드포인트에 액세스할 수 없습니다.

  • "instance_metadata_tags":

    • "no_preference": 다른 기본값이 적용됩니다. 예를 들어, 해당되는 경우 AMI가 기본값으로 설정됩니다.

    • "enabled": 인스턴스 메타데이터에서 인스턴스 태그에 액세스할 수 있습니다.

    • "disabled": 인스턴스 메타데이터에서 인스턴스 태그에 액세스할 수 없습니다.

Snapshot Block Public Access

정책 효과

Amazon EBS 스냅샷에 공개적으로 액세스할 수 있는지 여부를 제어합니다. 스냅샷 아카이브에 대한 자세한 내용은 Amazon Elastic Block Store 사용 설명서Amazon EBS 스냅샷을 참조하세요.

정책 내용

{
  "ec2_attributes": {
    "snapshot_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

다음은 이 속성에 사용할 수 있는 필드입니다.

  • "state":

    • "block_all_sharing": 스냅샷의 모든 퍼블릭 공유를 차단합니다. 이미 공개적으로 공유된 스냅샷은 비공개로 취급되어 더 이상 공개적으로 사용할 수 없습니다.

    • "block_new_sharing": 스냅샷의 새 퍼블릭 공유를 차단합니다. 그러나 이미 공개적으로 공유된 스냅샷은 계속 공개적으로 사용할 수 있습니다.

    • "unblocked": 스냅샷의 공개 공유에는 제한이 없습니다.

고려 사항

선언적 정책에서 이 속성을 사용하는 경우 다음 작업을 사용하여 범위 내 계정에 적용되는 구성을 수정할 수 없습니다. 단, 이 목록이 전부는 아닙니다.

  • EnableSnapshotBlockPublicAccess

  • DisableSnapshotBlockPublicAccess