기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
에 대한 리소스 기반 정책 예제 AWS Organizations
다음 코드 예제는 리소스 기반 위임 정책을 사용하는 방법을 보여줍니다. 자세한 내용은 에 대한 위임된 관리자 AWS Organizations 단원을 참조하십시오.
예: 조직, OU, 계정 및 정책 보기
정책 관리 작업을 위임하기 전에 먼저 조직 구조를 탐색하고, 조직 단위(OU)와 계정, 그리고 거기에 연결된 정책을 확인할 수 있는 권한을 위임해야 합니다.
이 예에서는 AccountId라는 멤버 계정에 대한 리소스 기반 위임 정책에 이 권한을 포함하는 방법을 보여줍니다.
이 정책을 사용하면 어떠한 Organizations 읽기 전용 작업이든 위임할 수 있지만, 이 예에서 보듯이 최소한의 필수 작업에 대한 권한만 포함하는 것이 좋습니다.
이 위임 정책 예제는 AWS API 또는에서 프로그래밍 방식으로 작업을 완료하는 데 필요한 권한을 부여합니다 AWS CLI. 이 위임 정책을 사용하려면 AccountId의 AWS 자리 표시자 텍스트를 자신의 정보로 바꿉니다. 그런 다음 에 대한 위임된 관리자 AWS Organizations의 지침을 따릅니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy",
"organizations:ListTagsForResource"
],
"Resource": "*"
}
]
}
예: 정책 생성, 읽기, 업데이트, 삭제
관리 계정이 모든 정책 유형에 대한 create, read, update, delete 작업을 위임할 수 있도록 허용하는 리소스 기반 위임 정책을 생성할 수 있습니다. 이 예에서는 서비스 제어 정책에 대한 이러한 작업을 멤버 계정인 MemberAccountId에 위임하는 방법을 보여줍니다. 예제에 표시된 두 리소스는 각각 고객 관리형 및 AWS 관리형 서비스 제어 정책에 대한 액세스 권한을 부여합니다.
위임된 관리자는 이 정책을 통해 관리 계정을 비롯하여 조직의 모든 계정에서 생성한 정책에 대해 지정된 작업을 수행할 수 있습니다.
이 정책에는 organizations:AttachPolicy 및 organizations:DetachPolicy 작업을 수행하는 데 필요한 권한이 포함되어 있지 않으므로 위임된 관리자는 정책을 연결하거나 분리할 수 없습니다.
이 위임 정책 예제는 AWS API 또는에서 프로그래밍 방식으로 작업을 완료하는 데 필요한 권한을 부여합니다 AWS CLI. MemberAccountId, ManagementAccountId 및 OrganizationId의 AWS 자리 표시자 텍스트를 자신의 정보로 바꿉니다. 그런 다음 에 대한 위임된 관리자 AWS Organizations의 지침을 따릅니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingDescribeListActionsWithoutCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingPolicyActionsWithCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "SERVICE_CONTROL_POLICY"
}
}
},
{
"Sid": "DelegatingMinimalActionsForSCPs",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy"
],
"Resource": [
"arn:aws:organizations::111122223333:policy/o-OrganizationId/service_control_policy/*",
"arn:aws:organizations::aws:policy/service_control_policy/*"
]
}
]
}
예: 태그 지정 및 태그 해제 정책
이 예에서는 위임된 관리자가 백업 정책에 태그를 지정하거나 태그를 해제할 수 있도록 허용하는 리소스 기반 위임 정책을 생성하는 방법을 보여줍니다. API AWS 또는에서 프로그래밍 방식으로 작업을 완료하는 데 필요한 권한을 부여합니다 AWS CLI.
이 위임 정책을 사용하려면 MemberAccountId, ManagementAccountId, OrganizationId의 AWS 자리 표시자 텍스트를 사용자의 실제 정보로 바꿉니다. 그런 다음 에 대한 위임된 관리자 AWS Organizations의 지침을 따릅니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActionsWithoutCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingNecessaryDescribeListActionsWithCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
},
{
"Sid": "DelegatingTaggingBackupPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:TagResource",
"organizations:UntagResource"
],
"Resource": "arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
}
]
}
예: 단일 OU 또는 계정에 정책 연결
이 예에서는 위임된 관리자가 지정된 조직 단위(OU) 또는 지정된 계정에서 Organizations 정책을 attach 또는 detach할 수 있도록 허용하는 리소스 기반 위임 정책을 생성하는 방법을 보여줍니다. 이러한 작업을 위임하기 전에 조직의 구조를 탐색하고 조직에 있는 계정을 볼 수 있는 권한을 위임해야 합니다. 자세한 내용은 예: 조직, OU, 계정 및 정책 보기을 참조하세요.
-
이 정책은 지정된 OU 또는 계정에서 정책을 연결하거나 분리하도록 허용하지만 하위 OU 및 하위 OU에 있는 계정은 제외됩니다.
-
위임된 관리자는 이 정책을 통해, 관리 계정을 비롯하여 조직의 모든 계정에서 생성한 정책에 대해 지정된 작업을 수행할 수 있습니다.
이 위임 정책 예제는 AWS API 또는에서 프로그래밍 방식으로 작업을 완료하는 데 필요한 권한을 부여합니다 AWS CLI. 이 위임 정책을 사용하려면 MemberAccountId, ManagementAccountId, OrganizationId, TargetAccountId 의 AWS 자리 표시자 텍스트를 사용자의 실제 정보로 바꿉니다. 그런 다음 에 대한 위임된 관리자 AWS Organizations의 지침을 따릅니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "AttachDetachPoliciesSpecifiedAccountOU",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::111122223333:ou/o-OrganizationId/ou-OUId",
"arn:aws:organizations::111122223333:account/o-OrganizationId/TargetAccountId",
"arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
]
}
]
}
OU 또는 조직의 계정에 정책 연결 및 분리를 위임하려면 이전 예의 리소스를 다음 리소스로 바꿉니다.
"Resource": [
"arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/*",
"arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/*",
"arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
]
예: 조직의 백업 정책을 관리하기 위한 통합 권한
이 예에서는 create, read, update, delete 작업 권한 등 조직 내에서 백업 정책을 관리하는 데 필요한 모든 권한과 attach 및 detach 정책 작업 권한을 관리 계정에서 위임할 수 있도록 하는 리소스 기반 위임 정책을 생성하는 방법을 보여줍니다.
위임된 관리자는 이 정책을 통해, 관리 계정을 비롯하여 조직의 모든 계정에서 생성한 정책에 대해 지정된 작업을 수행할 수 있습니다.
이 위임 정책 예제는 AWS API 또는에서 프로그래밍 방식으로 작업을 완료하는 데 필요한 권한을 부여합니다 AWS CLI. 이 위임 정책을 사용하려면 MemberAccountId, ManagementAccountId, OrganizationId 및 RootId의 AWS
자리 표시자 텍스트를 사용자의 실제 정보로 바꿉니다. 그런 다음 에 대한 위임된 관리자 AWS Organizations의 지침을 따릅니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingNecessaryDescribeListActionsForSpecificPolicyType",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
},
{
"Sid": "DelegatingAllActionsForBackupPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:CreatePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"organizations:EnablePolicyType",
"organizations:DisablePolicyType"
],
"Resource": [
"arn:aws:organizations::111122223333:root/o-OrganizationId/r-RootId",
"arn:aws:organizations::111122223333:ou/o-OrganizationId/*",
"arn:aws:organizations::111122223333:account/o-OrganizationId/*",
"arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
}
]
}
