기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 에 대한 리소스 기반 정책 예제 AWS Organizations
다음 코드 예제는 리소스 기반 위임 정책을 사용하는 방법을 보여줍니다. 자세한 내용은 [에 대한 위임된 관리자 AWS Organizations](orgs_delegate_policies.md) 단원을 참조하십시오.
**Topics**
+ [조직, OU, 계정 및 정책 보기](#orgs_delegate_policies_example_view_accts_orgs)
+ [정책 생성, 읽기, 업데이트, 삭제](#orgs_delegate_policies_example_crud_policies)
+ [태그 지정 및 태그 해제 정책](#orgs_delegate_policies_example_tag_untag_policies)
+ [단일 OU 또는 계정에 정책 연결](#orgs_delegate_policies_example_attach_policies)
+ [조직의 백업 정책을 관리하기 위한 통합 권한](#orgs_delegate_policies_example_consolidate_permissions)
## 예: 조직, OU, 계정 및 정책 보기
정책 관리 작업을 위임하기 전에 먼저 조직 구조를 탐색하고, 조직 단위(OU)와 계정, 그리고 거기에 연결된 정책을 확인할 수 있는 권한을 위임해야 합니다.
이 예에서는 *AccountId*라는 멤버 계정에 대한 리소스 기반 위임 정책에 이 권한을 포함하는 방법을 보여줍니다.
**중요**
이 정책을 사용하면 어떠한 Organizations 읽기 전용 작업이든 위임할 수 있지만, 이 예에서 보듯이 최소한의 필수 작업에 대한 권한만 포함하는 것이 좋습니다.
이 위임 정책 예제는 AWS API 또는에서 프로그래밍 방식으로 작업을 완료하는 데 필요한 권한을 부여합니다 AWS CLI. 이 위임 정책을 사용하려면 *AccountId*의 AWS [자리 표시자 텍스트를](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) 자신의 정보로 바꿉니다. 그런 다음 [에 대한 위임된 관리자 AWS Organizations](orgs_delegate_policies.md)의 지침을 따릅니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy",
"organizations:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## 예: 정책 생성, 읽기, 업데이트, 삭제
관리 계정이 모든 정책 유형에 대한 `create`, `read`, `update`, `delete` 작업을 위임할 수 있도록 허용하는 리소스 기반 위임 정책을 생성할 수 있습니다. 이 예에서는 서비스 제어 정책에 대한 이러한 작업을 멤버 계정인 *MemberAccountId*에 위임하는 방법을 보여줍니다. 예제에 표시된 두 리소스는 각각 고객 관리형 및 AWS 관리형 서비스 제어 정책에 대한 액세스 권한을 부여합니다.
**중요**
위임된 관리자는 이 정책을 통해 관리 계정을 비롯하여 조직의 모든 계정에서 생성한 정책에 대해 지정된 작업을 수행할 수 있습니다.
이 정책에는 `organizations:AttachPolicy` 및 `organizations:DetachPolicy` 작업을 수행하는 데 필요한 권한이 포함되어 있지 않으므로 위임된 관리자는 정책을 연결하거나 분리할 수 없습니다.
이 위임 정책 예제는 AWS API 또는에서 프로그래밍 방식으로 작업을 완료하는 데 필요한 권한을 부여합니다 AWS CLI. *MemberAccountId*, *ManagementAccountId* 및 *OrganizationId*의 AWS 자리 표시자 텍스트를 자신의 정보로 바꿉니다. 그런 다음 [에 대한 위임된 관리자 AWS Organizations](orgs_delegate_policies.md)의 지침을 따릅니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingDescribeListActionsWithoutCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingPolicyActionsWithCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "SERVICE_CONTROL_POLICY"
}
}
},
{
"Sid": "DelegatingMinimalActionsForSCPs",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy"
],
"Resource": [
"arn:aws:organizations::111122223333:policy/o-OrganizationId/service_control_policy/*",
"arn:aws:organizations::aws:policy/service_control_policy/*"
]
}
]
}
```
------
## 예: 태그 지정 및 태그 해제 정책
이 예에서는 위임된 관리자가 백업 정책에 태그를 지정하거나 태그를 해제할 수 있도록 허용하는 리소스 기반 위임 정책을 생성하는 방법을 보여줍니다. API AWS 또는에서 프로그래밍 방식으로 작업을 완료하는 데 필요한 권한을 부여합니다 AWS CLI.
이 위임 정책을 사용하려면 *MemberAccountId*, *ManagementAccountId*, *OrganizationId*의 AWS 자리 표시자 텍스트를 사용자의 실제 정보로 바꿉니다. 그런 다음 [에 대한 위임된 관리자 AWS Organizations](orgs_delegate_policies.md)의 지침을 따릅니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActionsWithoutCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingNecessaryDescribeListActionsWithCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
},
{
"Sid": "DelegatingTaggingBackupPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:TagResource",
"organizations:UntagResource"
],
"Resource": "arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
}
]
}
```
------
## 예: 단일 OU 또는 계정에 정책 연결
이 예에서는 위임된 관리자가 지정된 조직 단위(OU) 또는 지정된 계정에서 Organizations 정책을 `attach` 또는 `detach`할 수 있도록 허용하는 리소스 기반 위임 정책을 생성하는 방법을 보여줍니다. 이러한 작업을 위임하기 전에 조직의 구조를 탐색하고 조직에 있는 계정을 볼 수 있는 권한을 위임해야 합니다. 자세한 내용은 [예: 조직, OU, 계정 및 정책 보기](#orgs_delegate_policies_example_view_accts_orgs) 섹션을 참조하세요.
**중요**
이 정책은 지정된 OU 또는 계정에서 정책을 연결하거나 분리하도록 허용하지만 하위 OU 및 하위 OU에 있는 계정은 제외됩니다.
위임된 관리자는 이 정책을 통해, 관리 계정을 비롯하여 조직의 모든 계정에서 생성한 정책에 대해 지정된 작업을 수행할 수 있습니다.
이 위임 정책 예제는 AWS API 또는에서 프로그래밍 방식으로 작업을 완료하는 데 필요한 권한을 부여합니다 AWS CLI. 이 위임 정책을 사용하려면 *MemberAccountId*, *ManagementAccountId*, *OrganizationId* 및 *TargetAccountId*의 AWS 자리 표시자 텍스트를 사용자의 실제 정보로 바꿉니다. 그런 다음 [에 대한 위임된 관리자 AWS Organizations](orgs_delegate_policies.md)의 지침을 따릅니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "AttachDetachPoliciesSpecifiedAccountOU",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::111122223333:ou/o-OrganizationId/ou-OUId",
"arn:aws:organizations::111122223333:account/o-OrganizationId/TargetAccountId",
"arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
]
}
]
}
```
------
OU 또는 조직의 계정에 정책 연결 및 분리를 위임하려면 이전 예의 리소스를 다음 리소스로 바꿉니다.
```
"Resource": [
"arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/*",
"arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/*",
"arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
]
```
## 예: 조직의 백업 정책을 관리하기 위한 통합 권한
이 예에서는 `create`, `read`, `update`, `delete` 작업 권한 등 조직 내에서 백업 정책을 관리하는 데 필요한 모든 권한과 `attach` 및 `detach` 정책 작업 권한을 관리 계정에서 위임할 수 있도록 하는 리소스 기반 위임 정책을 생성하는 방법을 보여줍니다.
**중요**
위임된 관리자는 이 정책을 통해, 관리 계정을 비롯하여 조직의 모든 계정에서 생성한 정책에 대해 지정된 작업을 수행할 수 있습니다.
이 위임 정책 예제는 AWS API 또는에서 프로그래밍 방식으로 작업을 완료하는 데 필요한 권한을 부여합니다 AWS CLI. 이 위임 정책을 사용하려면 *MemberAccountId*, *ManagementAccountId*, *OrganizationId* 및 *RootId*의 AWS [자리 표시자 텍스트](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)를 사용자의 실제 정보로 바꿉니다. 그런 다음 [에 대한 위임된 관리자 AWS Organizations](orgs_delegate_policies.md)의 지침을 따릅니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingNecessaryDescribeListActionsForSpecificPolicyType",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
},
{
"Sid": "DelegatingAllActionsForBackupPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:CreatePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"organizations:EnablePolicyType",
"organizations:DisablePolicyType"
],
"Resource": [
"arn:aws:organizations::111122223333:root/o-OrganizationId/r-RootId",
"arn:aws:organizations::111122223333:ou/o-OrganizationId/*",
"arn:aws:organizations::111122223333:account/o-OrganizationId/*",
"arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
}
]
}
```
------