AWS Organizations를 사용하여 조직 정책 연결

이 주제에서는 AWS Organizations를 사용하여 정책을 연결하는 방법을 설명합니다. 정책은 AWS 계정 그룹에 적용할 컨트롤을 정의합니다.

주제

정책 연결

AWS Organizations를 사용하여 정책 연결

최소 권한

정책을 연결하려면 다음 작업을 실행할 수 있는 권한이 있어야 합니다.

organizations:AttachPolicy

최소 권한

권한 부여 정책(SCP 또는 RCP)을 루트, OU 또는 계정에 연결하려면 다음 작업을 실행할 수 있는 권한이 필요합니다.

동일한 정책 명령문에서 지정된 정책의 Amazon 리소스 이름(ARN)(또는 "*"), 루트의 ARN, 또는 정책을 연결할 루트, OU, 계정의 ARN을 포함하는 Resource 요소를 가진 organizations:AttachPolicy

Service control policies (SCPs)

정책으로 이동하거나, 정책을 연결하려는 루트, OU 또는 계정으로 이동하여 SCP를 연결할 수 있습니다.

루트, OU 또는 계정으로 이동하여 SCP를 연결하려면

AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
AWS 계정 페이지에서 SCP를 연결할 루트, OU, 계정을 찾아서 그 옆에 있는 확인란을 선택합니다. 원하는 OU 또는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다( 선택).
정책 탭의 서비스 제어 정책에 대한 항목에서 연결을 선택합니다.
원하는 정책을 찾아서 정책 연결을 선택합니다.

정책 탭의 연결된 SCP 목록이 업데이트되어 새 추가 항목이 목록에 포함됩니다. 정책 변경은 즉시 적용되어 연결된 계정 또는 연결된 루트나 OU에 있는 모든 계정의 IAM 사용자와 역할이 가지는 권한에 영향을 줍니다.

정책으로 이동하여 SCP를 연결하려면

AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
서비스 제어 정책 페이지에서 연결할 정책의 이름을 선택합니다.
대상 탭에서 연결을 선택합니다.
정책을 연결할 루트, OU 또는 계정 옆에 있는 라디오 버튼을 선택합니다. 원하는 OU 또는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다( 선택).
정책 연결을 선택합니다.

대상 탭의 연결된 SCP 목록이 업데이트되어 새 추가 항목이 목록에 포함됩니다. 정책 변경은 즉시 적용되어 연결된 계정 또는 연결된 루트나 OU에 있는 모든 계정의 IAM 사용자와 역할이 가지는 권한에 영향을 줍니다.

Resource control policies (RCPs)

정책으로 이동하거나, 정책을 연결하려는 루트, OU 또는 계정으로 이동하여 RCP를 연결할 수 있습니다.

루트, OU 또는 계정으로 이동하여 RCP를 연결하려면

AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
AWS 계정 페이지에서 RCP를 연결할 루트, OU, 계정을 찾아서 그 옆에 있는 확인란을 선택합니다. 원하는 OU 또는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다( 선택).
정책 탭의 리소스 제어 정책에 대한 항목에서 연결을 선택합니다.
원하는 정책을 찾아서 정책 연결을 선택합니다.

정책 탭의 연결된 RCP 목록이 업데이트되어 새 추가 항목이 목록에 포함됩니다. 정책 변경은 즉시 적용되어 연결된 계정 또는 연결된 루트나 OU에 있는 모든 계정의 리소스가 가지는 권한에 영향을 줍니다.

정책으로 이동하여 RCP를 연결하려면

AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
리소스 제어 정책 페이지에서 연결할 정책의 이름을 선택합니다.
대상 탭에서 연결을 선택합니다.
정책을 연결할 루트, OU 또는 계정 옆에 있는 라디오 버튼을 선택합니다. 원하는 OU 또는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다( 선택).
정책 연결을 선택합니다.

대상 탭의 연결된 RCP 목록이 업데이트되어 새 추가 항목이 목록에 포함됩니다. 정책 변경은 즉시 적용되어 연결된 계정 또는 연결된 루트나 OU에 있는 모든 계정의 리소스가 가지는 권한에 영향을 줍니다.

Declarative policies

정책을 탐색하거나, 정책을 연결하려는 루트, OU 또는 계정으로 이동하여 선언적 정책을 연결할 수 있습니다.

루트, OU 또는 계정으로 이동하여 선언적 정책을 연결하려면

AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
AWS 계정 페이지에서 정책을 연결할 루트, OU나 계정의 이름을 찾고 선택합니다. 원하는 OU 또는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다( 선택).
정책 탭의 선언적 정책에 대한 항목에서 연결을 선택합니다.
원하는 정책을 찾아서 정책 연결을 선택합니다.

정책 탭의 연결된 선언적 정책 목록이 업데이트되어 새로운 정책 추가를 반영합니다. 정책 변경은 즉시 적용됩니다.

정책으로 이동하여 선언적 정책을 연결하려면

AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
선언적 정책 페이지에서 연결할 정책의 이름을 선택합니다.
대상 탭에서 연결을 선택합니다.
정책을 연결할 루트, OU 또는 계정 옆에 있는 라디오 버튼을 선택합니다. 원하는 OU 또는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다( 선택).
정책 연결을 선택합니다.

대상 탭의 연결된 선언적 정책 목록이 업데이트되어 새 추가 기능이 목록에 포함됩니다. 정책 변경은 즉시 적용됩니다.

Backup policies

정책을 탐색하거나, 정책을 연결하려는 루트, OU 또는 계정으로 이동하여 백업 정책을 연결할 수 있습니다.

루트, OU 또는 계정으로 이동하여 백업 정책을 연결하려면

AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
AWS 계정 페이지에서 정책을 연결할 루트, OU나 계정의 이름을 찾고 선택합니다. 원하는 OU 또는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다( 선택).
정책 탭의 백업 정책에 대한 항목에서 연결을 선택합니다.
원하는 정책을 찾아서 정책 연결을 선택합니다.

정책 탭의 연결된 백업 정책 목록이 업데이트되어 새로운 정책 추가를 반영합니다. 정책 변경은 즉시 적용됩니다.

정책으로 이동하여 백업 정책을 연결하려면

AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
백업 정책 페이지에서 연결할 정책의 이름을 선택합니다.
대상 탭에서 연결을 선택합니다.
정책을 연결할 루트, OU 또는 계정 옆에 있는 라디오 버튼을 선택합니다. 원하는 OU 또는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다( 선택).
정책 연결을 선택합니다.

대상 탭의 연결된 백업 정책 목록이 업데이트되어 새로운 정책 추가를 반영합니다. 정책 변경은 즉시 적용됩니다.

Tag policies

정책을 탐색하거나, 정책을 연결하려는 루트, OU 또는 계정으로 이동하여 태그 정책을 연결할 수 있습니다.

루트, OU 또는 계정으로 이동하여 태그 정책을 연결하려면

AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
AWS 계정 페이지에서 정책을 연결할 루트, OU나 계정의 이름을 찾고 선택합니다. 원하는 OU 또는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다( 선택).
정책 탭의 태그 정책에 대한 항목에서 연결을 선택합니다.
원하는 정책을 찾아서 정책 연결을 선택합니다.

정책 탭의 연결된 태그 정책 목록이 업데이트되어 새로운 정책 추가를 반영합니다. 정책 변경은 즉시 적용됩니다.

정책으로 이동하여 태그 정책을 연결하려면

AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
태그 정책 페이지에서 연결할 정책의 이름을 선택합니다.
대상 탭에서 연결을 선택합니다.
정책을 연결할 루트, OU 또는 계정 옆에 있는 라디오 버튼을 선택합니다. 원하는 OU 또는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다( 선택).
정책 연결을 선택합니다.

대상 탭의 연결된 태그 정책 목록이 업데이트되어 새 추가 기능이 목록에 포함됩니다. 정책 변경은 즉시 적용됩니다.

Chat applications policies

정책으로 이동하거나 정책을 연결하려는 루트, OU 또는 계정으로 이동하여 채팅 애플리케이션 정책을 연결할 수 있습니다.

루트, OU 또는 계정으로 이동하여 채팅 애플리케이션 정책을 연결하려면

AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
AWS 계정 페이지에서 정책을 연결할 루트, OU나 계정의 이름을 찾고 선택합니다. 원하는 OU 또는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다( 선택).
정책 탭의 채팅 애플리케이션 정책에 대한 항목에서 연결을 선택합니다.
원하는 정책을 찾아서 정책 연결을 선택합니다.

정책 탭의 연결된 채팅 애플리케이션 정책 목록이 업데이트되어 새로운 정책 추가를 반영합니다. 정책 변경은 즉시 적용됩니다.

정책으로 이동하여 채팅 애플리케이션 정책을 연결하려면

AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
챗봇 정책 페이지에서 연결할 정책의 이름을 선택합니다.
대상 탭에서 연결을 선택합니다.
정책을 연결할 루트, OU 또는 계정 옆에 있는 라디오 버튼을 선택합니다. 원하는 OU 또는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다( 선택).
정책 연결을 선택합니다.

대상 탭의 연결된 채팅 애플리케이션 정책 목록이 업데이트되어 새로운 정책 추가를 반영합니다. 정책 변경은 즉시 적용됩니다.

AI services opt-out policies

정책을 탐색하거나, 정책을 연결하려는 루트, OU 또는 계정으로 이동하여 AI 서비스 옵트아웃 정책을 연결할 수 있습니다.

루트, OU 또는 계정으로 이동하여 AI 서비스 옵트아웃 정책을 연결하려면

AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
AWS 계정 페이지에서 정책을 연결할 루트, OU나 계정의 이름을 찾고 선택합니다. 원하는 OU 또는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다( 선택).
정책 탭의 AI 서비스 옵트아웃 정책에 대한 항목에서 연결을 선택합니다.
원하는 정책을 찾아서 정책 연결을 선택합니다.

정책 탭의 연결된 AI 서비스 옵트아웃 정책 목록이 업데이트되어 새로운 정책 추가를 반영합니다. 정책 변경은 즉시 적용됩니다.

정책으로 이동하여 AI 서비스 옵트아웃 정책을 연결하려면

AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
AI 서비스 옵트아웃 정책 페이지에서 연결할 정책의 이름을 선택합니다.
대상 탭에서 연결을 선택합니다.
정책을 연결할 루트, OU 또는 계정 옆에 있는 라디오 버튼을 선택합니다. 원하는 OU 또는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다( 선택).
정책 연결을 선택합니다.

대상 탭의 연결된 AI 서비스 옵트아웃 정책 목록이 업데이트되어 새로운 정책 추가를 반영합니다. 정책 변경은 즉시 적용됩니다.

Security Hub policies

정책을 탐색하거나, 정책을 연결하려는 루트, OU 또는 계정으로 이동하여 Security Hub 정책을 연결할 수 있습니다.

루트, OU 또는 계정으로 이동하여 Security Hub 정책을 연결하려면

AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
AWS 계정 페이지에서 정책을 연결할 루트, OU나 계정의 이름을 찾고 선택합니다. 원하는 OU 또는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다( 선택).
정책 탭의 Security Hub 정책에 대한 항목에서 연결을 선택합니다.
원하는 정책을 찾아서 정책 연결을 선택합니다.

정책 탭의 연결된 Security Hub 정책 목록이 업데이트되어 새로운 정책 추가를 반영합니다. 정책 변경은 즉시 적용됩니다.

정책으로 이동하여 Security Hub 정책을 연결하려면

AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
Security Hub 정책 페이지에서 연결할 정책의 이름을 선택합니다.
대상 탭에서 연결을 선택합니다.
정책을 연결할 루트, OU 또는 계정 옆에 있는 라디오 버튼을 선택합니다. 원하는 OU 또는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다( 선택).
정책 연결을 선택합니다.

대상 탭의 연결된 Security Hub 정책 목록이 업데이트되어 새 추가 기능이 목록에 포함됩니다. 정책 변경은 즉시 적용됩니다.

정책을 연결하려면

다음 코드 예시는 AttachPolicy의 사용 방법을 보여 줍니다.

.NET

SDK for .NET

참고

GitHub에 더 많은 내용이 있습니다. AWS 코드 예제 리포지토리에서 전체 예제를 찾고 설정 및 실행하는 방법을 배워보세요.


    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to attach an AWS Organizations policy to an organization,
    /// an organizational unit, or an account.
    /// </summary>
    public class AttachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then calls the
        /// AttachPolicyAsync method to attach the policy to the root
        /// organization.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new AttachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.AttachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully attached Policy ID {policyId} to Target ID: {targetId}.");
            }
            else
            {
                Console.WriteLine("Was not successful in attaching the policy.");
            }
        }
    }

API 세부 정보는 AWS SDK for .NET API 참조의 AttachPolicy를 참조하세요.

CLI

AWS CLI

정책을 루트, OU 또는 계정에 연결하는 방법

예시 1

다음 예시에서는 서비스 제어 정책(SCP)을 OU에 연결하는 방법을 보여줍니다.


aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id ou-examplerootid111-exampleouid111

예시 2

다음 예시에서는 계정에 서비스 제어 정책을 직접 연결하는 방법을 보여줍니다.


aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id 333333333333

API 세부 정보는 AWS CLI 명령 참조의 AttachPolicy를 참조하세요.

Python

SDK for Python (Boto3)

참고

GitHub에 더 많은 내용이 있습니다. AWS 코드 예제 리포지토리에서 전체 예제를 찾고 설정 및 실행하는 방법을 배워보세요.


def attach_policy(policy_id, target_id, orgs_client):
    """
    Attaches a policy to a target. The target is an organization root, account, or
    organizational unit.

    :param policy_id: The ID of the policy to attach.
    :param target_id: The ID of the resources to attach the policy to.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.attach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Attached policy %s to target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't attach policy %s to target %s.", policy_id, target_id
        )
        raise

API 세부 정보는 AWSSDK for Python (Boto3) API 참조의 AttachPolicy를 참조하십시오.

정책 변경은 즉시 적용되어 연결된 계정 또는 연결된 루트나 OU에 있는 모든 계정의 IAM 사용자와 역할이 가지는 권한에 영향을 줍니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

정책에 연결된 태그 편집

정책 분리