기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
리소스 제어 정책 예제
이 주제에 나온 예제 리소스 제어 정책(RCP)은 정보 제공용입니다.
이 예제를 사용하기 전에
조직에서 이러한 예제 RCPs 사용하기 전에 다음 사항을 고려하세요.
-
리소스 제어 정책(RCPs)은 대략적인 예방 제어로 사용하기 위한 것이며 액세스 권한을 부여하지 않습니다. 실제로 권한을 부여하려면 계정의 IAM 보안 주체 또는 리소스에 ID 기반 또는 리소스 기반 정책을 연결해야 합니다. 유효 권한은 SCP/RCP와 자격 증명 정책 또는 SCP/RCP와 리소스 정책 간의 논리적 교집합입니다. RCP가 권한에 미치는 영향에 대한 자세한 내용은 여기에서 확인할 수 있습니다.
-
이 리포지토리의 리소스 제어 정책은 예제로 표시됩니다. 정책이 계정의 리소스에 미치는 영향을 철저히 테스트하지 않고 RCPs를 연결해서는 안 됩니다. 구현하려는 정책이 준비되면 프로덕션 환경을 나타낼 수 있는 별도의 조직 또는 OU에서 테스트하는 것이 좋습니다. 테스트가 완료되면 변경 사항을 배포하여 OUs를 테스트한 다음 시간이 지남에 따라 더 광범위한 OUs 집합에 변경 사항을 점진적으로 배포해야 합니다.
-
리소스 제어 정책(RCPs)을 활성화하면 RCPFullAWSAccess
정책이 조직 루트, 모든 OU 및 조직의 모든 계정에 자동으로 연결됩니다. 이 기본 RCP를 사용하면 모든 보안 주체 및 작업에 대한 액세스 권한이 RCP 평가를 통과할 수 있습니다. 거부 문을 사용하여 조직의 리소스에 대한 액세스를 제한할 수 있습니다. 또한 자격 증명 기반 또는 리소스 기반 정책을 사용하여 보안 주체에게 적절한 권한을 부여해야 합니다. -
리소스 제어 정책(RCP)은 조직 루트, 조직 단위 또는 계정에 연결된 경우 조직, 조직 단위 또는 계정의 리소스에 대해 사용 가능한 최대 권한을 중앙에서 제어합니다. 조직의 여러 수준에서 RCP를 적용할 수 있으므로 RCPs가 평가되는 방법을 이해하면 예상 결과를 산출하는 RCPs를 작성하는 데 도움이 될 수 있습니다.
이 단원의 정책 예제는 RCP의 구현과 사용을 보여줍니다. 그러나 제시된 그대로 실행할 수 있는 공식적인 AWS 권장 사항 또는 모범 사례로 해석해서는 안 됩니다. 고객은 자신의 환경이 가진 비즈니스 요구 사항을 해결하기 위해 모든 정책의 적합성을 신중하게 테스트할 책임이 있습니다. 거부 기반 리소스 제어 정책은 정책에 필요한 예외를 추가하지 않는 한 AWS서비스 사용을 의도하지 않게 제한하거나 차단할 수 있습니다.
작은 정보
RCPs 구현하기 전에 AWSCloudTrail 로그
GitHub 리포지토리
-
리소스 제어 정책 예제
-이 GitHub 리포지토리에는AWSRCPs 사용을 시작하거나 성숙화하기 위한 예제 정책이 포함되어 있습니다.
