기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
EC2 정책
EC2 정책을 사용하면 조직 전체에서 Amazon EC2, Amazon VPC 및 Amazon EBS에 대해 원하는 구성을 중앙에서 선언하고 적용할 수 있습니다. 연결되면 서비스가 새 기능 또는 API를 추가할 때 구성이 항상 유지됩니다.
EC2 정책에 대한 사용자 지정 오류 메시지
EC2 정책을 사용하면 사용자 지정 오류 메시지를 생성할 수 있습니다. 예를 들어 EC2 정책으로 인해 API 작업이 실패하는 경우 오류 메시지를 설정하거나 내부 Wiki에 대한 링크 또는 실패를 설명하는 메시지에 대한 링크와 같은 사용자 지정 URL을 제공할 수 있습니다. 사용자 지정 오류 메시지를 지정하지 않으면가 다음과 같은 기본 오류 메시지를 AWS Organizations 제공합니다Example: This action is denied due to an organizational policy in effect.
또한를 사용하여 EC2 정책을 생성하고, EC2 정책을 업데이트하고, EC2 정책을 삭제하는 프로세스를 감사할 수 있습니다 AWS CloudTrail. CloudTrail은 EC2 정책으로 인해 API 작업 실패에 플래그를 지정할 수 있습니다. 자세한 내용은 로깅 및 모니터링을 참조하세요.
중요
사용자 지정 오류 메시지에 개인 식별 정보(PII) 또는 기타 민감 정보를 포함하지 마세요. PII에는 개인을 식별하거나 찾는 데 사용할 수 있는 일반 정보가 포함됩니다. 재무, 의료, 교육 또는 고용과 같은 기록을 다룹니다. PII의 예로는 주소, 은행 계좌 번호, 전화번호 등이 있습니다.
EC2 정책에 대한 계정 상태 보고서
계정 상태 보고서를 사용하면 범위 내 계정에 대해 EC2 정책에서 지원하는 모든 속성의 현재 상태를 검토할 수 있습니다. 보고서 범위에 포함할 계정 및 조직 단위(OU)를 선택하거나 루트를 선택하여 전체 조직을 선택할 수 있습니다.
이 보고서는 리전 분석을 제공하고 속성의 현재 상태가 계정 전반에 걸쳐 균일한지(numberOfMatchedAccounts을 통해) 또는 불일치하는지(numberOfUnmatchedAccounts을 통해)를 확인함으로써 준비 상태를 평가하는 데 도움을 줍니다. 또한 가장 빈번한 값을 확인할 수 있는데, 이는 해당 속성에 대해 가장 자주 관찰되는 구성 값입니다.
그림 1에는 생성된 계정 상태 보고서가 있으며, 이는 VPC 퍼블릭 액세스 차단 및 이미지 퍼블릭 액세스 차단 속성에 대한 계정 간 균일성을 보여줍니다. 즉, 각 속성에 대해 범위 내 모든 계정은 해당 속성에 대한 동일한 구성을 갖습니다.
생성된 계정 상태 보고서에 따르면 허용된 이미지 설정, 인스턴스 메타데이터 기본값, 직렬 콘솔 액세스 및 스냅샷 퍼블릭 액세스 차단 속성에 대한 일관되지 않은 계정이 표시됩니다. 이 예제에서 계정 불일치가 있는 각 속성은 구성 값이 다른 계정이 하나 있기 때문입니다.
가장 빈도가 높은 값이 있다면, 해당 열에 표시됩니다. 각 속성이 제어하는 항목에 대한 자세한 내용은 EC2 정책 구문 및 예제 정책을 참조하세요.
속성을 확장하여 리전 분석을 볼 수도 있습니다. 이 예제에서는 이미지 퍼블릭 액세스 차단이 확장되어 있으며, 각 리전별로 계정 간에도 일관성이 유지되고 있음을 확인할 수 있습니다.
기준 구성을 적용하기 위한 EC2 정책을 연결하는 선택은 특정 사용 사례에 따라 다릅니다. 계정 상태 보고서를 사용하면 EC2 정책을 연결하기 전에 준비 상태를 평가하는 데 도움이 됩니다.
자세한 내용은 계정 상태 보고서 생성을 참조하세요.
그림 1: VPC 퍼블릭 액세스 차단 및 이미지 퍼블릭 액세스 차단에 대한 계정 간 균일성이 있는 계정 상태 보고서의 예.
EC2 정책에 지원되는 속성
다음 표에는 Amazon EC2 관련 서비스에 지원되는 속성이 나와 있습니다.
| AWS 서비스 | 속성 | 정책 효과 | 정책 내용 | 추가 정보 |
|---|---|---|---|---|
| Amazon VPC | VPC 퍼블릭 액세스 차단 | Amazon VPC 및 서브넷 내 리소스가 인터넷 게이트웨이(IGW)를 통해 인터넷에 접근할 수 있는지 제어합니다. | 정책 보기 | 자세한 내용은 Amazon VPC 사용 설명서의 VPC 및 서브넷에 대한 퍼블릭 액세스 차단을 참조하세요. |
| Amazon EC2 | 직렬 콘솔 액세스 | EC2 직렬 콘솔에 액세스할 수 있는지 여부를 제어합니다. | 정책 보기 | 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서의 EC2 직렬 콘솔에 대한 액세스 구성을 참조하세요. |
| 이미지 퍼블릭 액세스 차단 | Amazon Machine Images(AMI)를 공개적으로 공유 가능한지 여부를 제어합니다. | 정책 보기 | 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서의 AMI에 대한 퍼블릭 액세스 차단 이해를 참조하세요. | |
| 허용된 이미지 설정 | 허용된 AMI를 통해 Amazon EC2에서 Amazon Machine Image(AMI)의 검색 및 사용을 제어합니다. | 정책 보기 | 자세한 정보는 Amazon Elastic Compute Cloud 사용 설명서의 Amazon Machine Image(AMI) 섹션을 참조하세요. | |
| 인스턴스 메타데이터 기본값 | 모든 새 EC2 인스턴스 시작에 대한 IMDS 기본값을 제어합니다. | 정책 보기 | 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서의 새로운 인스턴스에 대한 인스턴스 메타데이터 옵션 구성을 참조하세요. | |
| Amazon EBS | 스냅샷 퍼블릭 액세스 차단 | Amazon EBS 스냅샷에 공개적으로 액세스할 수 있는지 여부를 제어합니다. | 정책 보기 | 자세한 내용은 Amazon Elastic Block Store 사용 설명서의 Amazon EBS 스냅샷에 대한 퍼블릭 액세스 차단을 참조하세요. |
