기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
RCP 구문
리소스 제어 정책(RCP)은 리소스 기반 정책에서 사용하는 구문과 유사한 구문을 사용합니다. IAM 정책과 그 구문에 대한 자세한 내용은 IAM 사용 설명서의 IAM 정책 개요를 참조하세요.
RCP는 JSON
참고
RCP 내 모든 문자는 최대 크기를 기준으로 계수됩니다. 이 설명서의 예제는 가독성을 높이기 위한 추가 공백으로 포맷된 RCP를 보여 줍니다. 하지만 정책 크기가 최대 크기에 근접한 경우 공백을 저장하려면 인용 부호 바깥에 있는 공백 문자(예: 공백 및 줄 바꿈)를 모두 삭제할 수 있습니다.
RCP에 대한 일반적인 정보는 리소스 제어 정책(RCP) 섹션을 참조하세요.
요소 요약
다음 표에는 RCP에서 사용할 수 있는 정책 요소가 요약되어 있습니다.
참고
Allow의 효과는 RCPFullAWSAccess 정책에 대해서만 지원됩니다.
Allow의 효과는 RCPFullAWSAccess 정책에 대해서만 지원됩니다. 이 정책은 리소스 제어 정책(RCP)을 활성화하면 조직 루트, 모든 OU 및 조직의 모든 계정에 자동으로 연결됩니다. 이 정책은 분리할 수 없습니다. 이 기본 RCP를 사용하면 모든 위탁자와 작업이 RCP 평가를 통과할 수 있습니다. 즉, RCP를 생성하고 연결하기 시작할 때까지는 기존 IAM 권한이 모두 그대로 작동합니다. 이것이 액세스 권한을 부여하지는 않습니다.
| 요소 | 용도 |
|---|---|
| 버전 | 정책을 처리하는 데 사용할 언어 구문 규칙을 지정합니다. |
| Statement | 정책 요소 컨테이너의 역할을 합니다. RCP에 여러 문을 포함할 수 있습니다. |
| Statement ID(Sid) | (선택 사항) 문의 표시 이름을 제공합니다. |
| 효과 | RCP 문이 계정의 리소스에 대한 액세스를 거부할지 여부를 정의합니다. |
| 보안 주체 | 계정 내 리소스에 대한 접근이 허용되거나 거부되는 위탁자를 지정합니다. |
|
RCP가 허용하거나 거부하는 AWS 서비스 및 작업을 지정합니다. |
|
| 리소스 | RCP가 적용되는 AWS 리소스를 지정합니다. |
| NotResource |
RCP에서 제외되는 AWS 리소스를 지정합니다. |
| Condition | 문이 효력을 발휘하는 조건을 지정합니다. |
주제
Version 요소
모든 RCP에는 값이 "2012-10-17"인 Version 요소가 있어야 합니다. 이 버전 값은 IAM 권한 정책의 최신 버전과 같습니다.
자세한 내용은 IAM 사용 설명서의 IAM JSON 정책 요소: 버전을 참조하세요.
Statement 요소
RCP는 하나 이상의 Statement 요소로 구성됩니다. 정책은 Statement 키워드 하나만 가질 수 있지만, 값은 ([ ] 문자로 구분한) JSON 문 어레이가 될 수 있습니다.
다음 예제는 하나의 Effect, Principal, Action 및 Resource 요소로 구성된 한 문을 보여줍니다.
{ "Statement": { "Effect": "Deny", "Principal": "*", "Action": "s3:PutBucketPublicAccessBlock", "Resource": "*" } }
자세한 내용은 IAM 사용 설명서의 IAM JSON 정책 요소: 문을 참조하세요.
Statement ID(Sid) 요소
Sid는 정책 문에 입력되는 식별자(옵션)입니다. Sid 값은 문 배열에서 각 문에 할당할 수 있습니다. 다음 예제 RCP는 샘플 Sid 문을 보여줍니다.
{ "Statement": { "Sid": "DenyBPAConfigurations", "Effect": "Deny", "Principal": "*", "Action": "s3:PutBucketPublicAccessBlock", "Resource": "*" } }
자세한 내용은 IAM 사용 설명서의 IAM JSON 정책 요소: Sid를 참조하세요.
Effect 요소
각 문에는 Effect 요소 하나가 있어야 합니다. Effect 요소의 Deny 값을 사용하여 특정 리소스에 대한 액세스를 제한하거나 RCP가 효과를 발휘하는 조건을 정의할 수 있습니다. 생성하는 RCP의 경우 값은 Deny여야 합니다. 자세한 내용은 IAM 사용 설명서의 RCP 평가과 IAM JSON 정책 요소: Effect를 참조하세요.
Principal 요소
각 문에는 Principal 요소가 있어야 합니다. RCP의 Principal 요소에서만 ‘*’을(를) 지정할 수 있습니다. Conditions 요소를 사용하여 특정 위탁자 제한합니다.
자세한 내용은 IAM 사용 설명서의 IAM JSON 정책 요소: Principal를 참조하세요.
Action 요소
각 문에는 Action 요소가 있어야 합니다.
Action 요소의 값은 문에 의해 허용되거나 거부되는 AWS 서비스 및 작업을 식별하는 문자열 또는 문자열 목록(JSON 배열)입니다.
각 문자열은 서비스의 소문자 약자(‘s3’, ‘sqs’ 또는 ‘sts’ 등) 뒤에 콜론이 오고 그 뒤에 해당 서비스의 작업이 붙는 형태로 구성됩니다. 일반적으로 각 단어는 첫 글자만 대문자로, 나머지는 소문자로 입력합니다. 예를 들어 "s3:ListAllMyBuckets"입니다.
RCP에서 다음과 같이 별표(*) 또는 물음표(?) 와 같은 와일드카드 문자를 사용할 수도 있습니다.
-
이름의 일부를 공유하는 여러 작업을 일치시키려면 별표(*)를 와일드카드로 사용하세요.
"s3:*"값은 Amazon S3 서비스의 모든 작업을 의미합니다. 값은 "Get"으로 시작하는 AWS STS 작업과만"sts:Get*"일치합니다. -
단일 문자를 일치시키려면 물음표(?) 와일드카드를 사용하세요.
참고
와일드카드(*) 및 물음표(?)는 작업 이름의 어느 곳에서나 사용할 수 있습니다.
고객 관리형 RCP의 작업 요소에 ‘*’를 사용할 수 없으며 액세스를 제한하려는 서비스의 약어(예: ‘s3’, ‘sqs’ 또는 ‘sts’)를 지정해야 합니다.
RCP 지원 서비스 목록은 RCPs AWS 서비스 지원하는 목록 단원을 참조하세요. 에서 AWS 서비스 지원하는 작업 목록은 서비스 승인 참조의 AWS 서비스에 사용되는 작업, 리소스 및 조건 키를 참조하세요.
자세한 내용은 IAM 사용 설명서의 IAM JSON 정책 요소: Action을 참조하세요.
Resource 및 NotResource 요소
각 문에는 Resource 또는 NotResource 요소가 있어야 합니다.
리소스 요소에서 별표(*) 또는 물음표(?)와 같은 와일드카드 문자를 사용할 수 있습니다.
-
이름의 일부를 공유하는 여러 리소스를 일치시키려면 별표(*)를 와일드카드로 사용하십시오.
-
단일 문자를 일치시키려면 물음표(?) 와일드카드를 사용하세요.
자세한 내용은 IAM 사용 설명서의 IAM JSON 정책 요소: Resource 및 IAM JSON 정책 요소: NotResource를 참조하세요.
Condition 요소
RCP에서 거부 문에 Condition 요소를 지정할 수 있습니다.
이 RCP는 요청이 보안 전송(TLS를 통해 전송된 요청)을 통해 이루어지지 않는 한 Amazon S3 작업 및 리소스에 대한 접근을 허용하지 않습니다.
자세한 정보는 IAM 사용 설명서의 IAM JSON 정책 요소: 조건을 참조하세요.
지원되지 않는 요소
다음 요소는 RCP에서 지원되지 않습니다.
-
NotPrincipal -
NotAction
