다른 AWS Organizations 와 함께 사용 AWS 서비스 - AWS Organizations
신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한신뢰할 수 있는 액세스를 활성화 또는 비활성화하는 방법AWS Organizations 및 서비스 연결 역할 AWSServiceRoleForDeclarativePoliciesEC2Report 서비스 연결 역할 사용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다른 AWS Organizations 와 함께 사용 AWS 서비스

신뢰할 수 있는 액세스를 사용하여 신뢰할 수 있는 AWS 서비스라고 하는 지정한 지원되는 서비스가 사용자 대신 조직 및 해당 계정에서 작업을 수행할 수 있도록 할 수 있습니다. 이 과정에는 신뢰할 수 있는 서비스에 대한 권한 부여가 포함되지만 사용자 또는 역할에 대한 권한에는 달리 영향을 미치지 않습니다. 액세스를 활성화하면 신뢰할 수 있는 서비스가 IAM 해당 역할이 필요할 때마다 조직의 모든 계정에 서비스 연결 역할이라는 역할을 생성할 수 있습니다. 이 역할에는 신뢰할 수 있는 서비스가 해당 서비스의 설명서에 명시된 작업을 수행할 수 있도록 활성화하는 권한 정책이 있습니다. 따라서 신뢰할 수 있는 서비스가 사용자를 대신하여 사용자의 조직 계정으로 관리할 설정 및 구성 세부 정보를 지정할 수 있습니다. 신뢰할 수 있는 서비스는 조직의 모든 계정이 아니라 계정에 대한 관리 작업을 수행해야 하는 경우에만 서비스 연결 역할을 생성합니다.

중요

옵션을 사용할 수 있는 경우 신뢰할 수 있는 서비스의 콘솔 또는 해당 AWS CLI 또는 API 작업과 동등한 것 사용하여 신뢰할 수 있는 액세스를 활성화 및 비활성화하는 것이 좋습니다. 이렇게 하면 신뢰할 수 있는 액세스를 활성화할 때 신뢰할 수 있는 서비스가 모든 필수 리소스를 생성하는 등의 필요한 모든 초기화를 수행할 수 있으며, 신뢰할 수 있는 서비스를 비활성화할 때 필요한 모든 리소스 정리 작업을 수행할 수 있습니다.

신뢰할 수 있는 서비스를 사용해 조직에 대한 신뢰할 수 있는 서비스 액세스를 활성화하거나 비활성화하는 방법은 AWS 서비스 에 사용할 수 있는 AWS Organizations신뢰할 수 있는 액세스 지원 열 아래에 있는 자세히 알아보기를 참조하세요.

Organizations 콘솔, CLI 명령 또는 API 작업을 사용하여 액세스를 비활성화하면 다음 작업이 발생합니다.

  • 조직 내 계정에서 더 이상 서비스 연결 역할을 만들 수 없습니다. 즉, 서비스가 사용자를 대신하여 조직의 새 계정에 대해 작업을 수행할 수 없습니다. 서비스는 서비스가 AWS Organizations의 정리를 완료할 때까지 이전 계정에서 작업을 계속 수행할 수 있습니다.

  • 이 서비스는 역할에 연결된 IAM 정책에서 명시적으로 허용하지 않는 한 조직의 멤버 계정에서 더 이상 작업을 수행할 수 없습니다. 이러한 작업으로는 멤버 계정에서부터 관리 계정 또는 위임된 관리자 계정(해당하는 경우)에 이르는 모든 데이터의 집계가 있습니다.

  • 일부 서비스는 이를 감지하고 통합과 관련된 나머지 데이터 또는 리소스를 정리하는 반면, 다른 서비스는 조직에 대한 액세스를 중지하되 통합의 재활성화를 지원하기 위해 기록 데이터 및 구성을 그대로 남겨둡니다.

그 대신 다른 서비스의 콘솔이나 명령을 사용하여 통합을 비활성화하면 다른 서비스가 통합에만 필요한 리소스를 정리할 수 있습니다. 서비스가 조직의 계정에서 리소스를 정리하는 방식은 해당 서비스에 따라 다릅니다. 자세한 내용은 다른 AWS 서비스의 설명서를 참조하세요.

신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한

신뢰할 수 있는 액세스에는 두 서비스와 신뢰할 AWS Organizations 수 있는 서비스에 대한 권한이 필요합니다. 신뢰할 수 있는 액세스를 활성화하려면 다음 시나리오 중 하나를 선택합니다.

  • AWS Organizations 및 신뢰할 수 있는 서비스 모두에 권한이 있는 자격 증명이 있는 경우 신뢰할 수 있는 서비스에서 제공하는 도구(콘솔 또는 AWS CLI)를 사용하여 액세스를 활성화합니다. 이를 통해 서비스는 AWS Organizations 사용자를 대신하여에서 신뢰할 수 있는 액세스를 활성화하고 서비스가 조직에서 작동하는 데 필요한 리소스를 생성할 수 있습니다.

    이러한 자격 증명에 필요한 최소 권한은 다음과 같습니다.

    • organizations:EnableAWSServiceAccess. 이 작업에 organizations:ServicePrincipal 조건 키를 사용하여 승인된 서비스 보안 주체 이름의 목록에 대해 해당 작업이 수행하는 요청을 제한할 수 있습니다. 자세한 내용은 조건 키 단원을 참조하십시오.

    • organizations:ListAWSServiceAccessForOrganization - AWS Organizations 콘솔을 사용하는 경우 필요합니다.

    • 신뢰할 수 있는 서비스에서 필요한 최소 권한은 서비스에 따라 결정됩니다. 자세한 내용은 신뢰할 수 있는 서비스의 설명서를 참조하세요.

  • 한 사람이에 권한이 있는 자격 증명을 가지고 AWS Organizations 있지만 다른 사람이 신뢰할 수 있는 서비스에 권한이 있는 자격 증명을 가지고 있는 경우 다음 순서로 다음 단계를 수행합니다.

    1. 에 권한이 있는 자격 증명이 있는 사람은 AWS Organizations 콘솔, AWS CLI또는 AWS SDK를 사용하여 신뢰할 수 있는 서비스에 대한 신뢰할 수 있는 액세스를 활성화 AWS Organizations 해야 합니다. 이렇게 하면 다음 단계(2단계)를 수행할 때 다른 서비스가 조직에서 필요한 권한을 수행할 수 있는 권한이 부여됩니다.

      최소 AWS Organizations 권한은 다음과 같습니다.

      • organizations:EnableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization - AWS Organizations 콘솔을 사용하는 경우에만 필요합니다.

      에서 신뢰할 수 있는 액세스를 활성화하는 단계는 섹션을 AWS Organizations참조하세요신뢰할 수 있는 액세스를 활성화 또는 비활성화하는 방법.

    2. 신뢰할 수 있는 서비스의 권한이 있는 자격 증명이 있는 사람이 해당 서비스를 AWS Organizations로 작업할 수 있도록 합니다. 이것은 해당 서비스에게 신뢰할 수 있는 서비스가 조직에서 작업하는 데 필요한 리소스 생성 같은 필요한 초기화를 수행하도록 지시하는 것입니다. 자세한 내용은 AWS 서비스 에 사용할 수 있는 AWS Organizations에서 서비스별 지침을 참조하세요.

신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한

신뢰할 수 있는 서비스가 사용자의 조직이나 그 계정으로 작업하는 것을 중단하려면 다음 시나리오 중 하나를 선택하세요.

중요

신뢰할 수 있는 서비스 액세스를 비활성화한다고 해서 해당 권한이 있는 사용자와 역할이 해당 서비스를 사용하지 못하게 되는 것은 아닙니다. 사용자 및 역할이 AWS 서비스에 액세스하는 것을 완전히 차단하려면 해당 액세스 권한을 부여하는 IAM 권한을 제거하거나에서 서비스 제어 정책(SCPs)을 사용할 수 있습니다 AWS Organizations.

멤버 계정에SCPs만 적용할 수 있습니다. 관리 계정에는 적용되지 SCPs 않습니다. 관리 계정에서 서비스를 실행하지 않는 것이 좋습니다. 대신를 사용하여 보안을 제어할 수 있는 멤버 계정에서 실행합니다SCPs.

  • AWS Organizations 및 신뢰할 수 있는 서비스 모두에 권한이 있는 자격 증명이 있는 경우 신뢰할 수 있는 서비스에 사용할 수 있는 도구(콘솔 또는 AWS CLI)를 사용하여 액세스를 비활성화합니다. 그러면 해당 서비스가 더 이상 필요하지 않는 리소스를 제거하고 사용자 대신 AWS Organizations 에서 서비스에 대한 신뢰할 수 있는 액세스를 비활성화하여 정리됩니다.

    이러한 자격 증명에 필요한 최소 권한은 다음과 같습니다.

    • organizations:DisableAWSServiceAccess. 이 작업에 organizations:ServicePrincipal 조건 키를 사용하여 승인된 서비스 보안 주체 이름의 목록에 대해 해당 작업이 수행하는 요청을 제한할 수 있습니다. 자세한 내용은 조건 키 단원을 참조하십시오.

    • organizations:ListAWSServiceAccessForOrganization - AWS Organizations 콘솔을 사용하는 경우 필요합니다.

    • 신뢰할 수 있는 서비스에서 필요한 최소 권한은 서비스에 따라 결정됩니다. 자세한 내용은 신뢰할 수 있는 서비스의 설명서를 참조하세요.

  • 의 권한이 있는 자격 증명 AWS Organizations 이 신뢰할 수 있는 서비스의 권한이 있는 자격 증명이 아닌 경우 다음 순서로 다음 단계를 수행합니다.

    1. 먼저 신뢰할 수 있는 서비스에 대한 권한이 있는 사람이 해당 서비스를 사용하여 액세스를 비활성화합니다. 이것은 신뢰할 수 있는 서비스에게 신뢰할 수 있는 액세스에 필요한 리소스를 삭제하여 정리하라고 지시하는 것입니다. 자세한 내용은 AWS 서비스 에 사용할 수 있는 AWS Organizations에서 서비스별 지침을 참조하세요.

    2. 그러면에 권한이 있는 사람이 콘솔 AWS CLI또는 AWS SDK를 AWS Organizations 사용하여 신뢰할 AWS Organizations 수 있는 서비스에 대한 액세스를 비활성화할 수 있습니다. 이제 신뢰할 수 있는 서비스에 대한 권한이 조직과 그 계정에서 삭제됩니다.

      최소 AWS Organizations 권한은 다음과 같습니다.

      • organizations:DisableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization - AWS Organizations 콘솔을 사용하는 경우에만 필요합니다.

      에서 신뢰할 수 있는 액세스를 비활성화하는 단계는 섹션을 AWS Organizations참조하세요신뢰할 수 있는 액세스를 활성화 또는 비활성화하는 방법.

신뢰할 수 있는 액세스를 활성화 또는 비활성화하는 방법

에 대한 권한만 AWS Organizations 있고 다른 AWS 서비스의 관리자를 대신하여 조직에 대한 신뢰할 수 있는 액세스를 활성화하거나 비활성화하려면 다음 절차를 사용합니다.

중요

옵션을 사용할 수 있는 경우 신뢰할 수 있는 서비스의 콘솔 또는 해당 AWS CLI 또는 API 작업과 동등한 것 사용하여 신뢰할 수 있는 액세스를 활성화 및 비활성화하는 것이 좋습니다. 이렇게 하면 신뢰할 수 있는 액세스를 활성화할 때 신뢰할 수 있는 서비스가 모든 필수 리소스를 생성하는 등의 필요한 모든 초기화를 수행할 수 있으며, 신뢰할 수 있는 서비스를 비활성화할 때 필요한 모든 리소스 정리 작업을 수행할 수 있습니다.

신뢰할 수 있는 서비스를 사용해 조직에 대한 신뢰할 수 있는 서비스 액세스를 활성화하거나 비활성화하는 방법은 AWS 서비스 에 사용할 수 있는 AWS Organizations신뢰할 수 있는 액세스 지원 열 아래에 있는 자세히 알아보기를 참조하세요.

Organizations 콘솔, CLI 명령 또는 API 작업을 사용하여 액세스를 비활성화하면 다음 작업이 발생합니다.

  • 조직 내 계정에서 더 이상 서비스 연결 역할을 만들 수 없습니다. 즉, 서비스가 사용자를 대신하여 조직의 새 계정에 대해 작업을 수행할 수 없습니다. 서비스는 서비스가 AWS Organizations의 정리를 완료할 때까지 이전 계정에서 작업을 계속 수행할 수 있습니다.

  • 이 서비스는 역할에 연결된 IAM 정책에서 명시적으로 허용하지 않는 한 조직의 멤버 계정에서 더 이상 작업을 수행할 수 없습니다. 이러한 작업으로는 멤버 계정에서부터 관리 계정 또는 위임된 관리자 계정(해당하는 경우)에 이르는 모든 데이터의 집계가 있습니다.

  • 일부 서비스는 이를 감지하고 통합과 관련된 나머지 데이터 또는 리소스를 정리하는 반면, 다른 서비스는 조직에 대한 액세스를 중지하되 통합의 재활성화를 지원하기 위해 기록 데이터 및 구성을 그대로 남겨둡니다.

그 대신 다른 서비스의 콘솔이나 명령을 사용하여 통합을 비활성화하면 다른 서비스가 통합에만 필요한 리소스를 정리할 수 있습니다. 서비스가 조직의 계정에서 리소스를 정리하는 방식은 해당 서비스에 따라 다릅니다. 자세한 내용은 다른 AWS 서비스에 대한 설명서를 참조하세요.

AWS Management Console
신뢰할 수 있는 서비스 액세스를 활성화하려면

  1. AWS Organizations 콘솔에 로그인합니다. IAM 사용자로 로그인하거나, IAM 역할을 맡거나, 조직의 관리 계정에서 루트 사용자(권장되지 않음)로 로그인해야 합니다.

  2. 서비스(Services) 페이지에서 활성화하려는 서비스의 행을 찾고 그 이름을 선택합니다.

  3. 신뢰할 수 있는 액세스 활성화를 선택합니다.

  4. 확인 대화 상자에서 신뢰할 수 있는 액세스를 활성화는 옵션 표시(Show the option to enable trusted access)를 선택하고, 상자에 enable을 입력한 다음 신뢰할 수 있는 액세스 활성화(Enable trusted access)를 선택합니다.

  5. 액세스를 활성화하는 경우 다른 AWS 서비스의 관리자에게 이제 다른 서비스가 작동하도록 활성화할 수 있다고 알립니다 AWS Organizations.

신뢰할 수 있는 서비스를 비활성화하려면

  1. AWS Organizations 콘솔에 로그인합니다. IAM 사용자로 로그인하거나, IAM 역할을 맡거나, 조직의 관리 계정에서 루트 사용자(권장되지 않음)로 로그인해야 합니다.

  2. 서비스(Services) 페이지에서 비활성화하려는 서비스의 행을 찾고 그 이름을 선택합니다.

  3. 다른 서비스의 관리자가, 서비스가 비활성화되어 해당 리소스가 정리되었다고 알려줄 때까지 기다립니다.

  4. 확인 대화 상자에서 disable을 입력한 다음 신뢰할 수 있는 액세스 비활성화(Disable trusted access)를 선택합니다.

AWS CLI, AWS API
신뢰할 수 있는 서비스 액세스를 활성화 또는 비활성화하려면

다음 AWS CLI 명령 또는 API 작업을 사용하여 신뢰할 수 있는 서비스 액세스를 활성화하거나 비활성화할 수 있습니다.

AWS Organizations 및 서비스 연결 역할

AWS Organizations 는 IAM 서비스 연결 역할을 사용하여 신뢰할 수 있는 서비스가 조직의 멤버 계정에서 사용자를 대신하여 작업을 수행할 수 있도록 합니다. 신뢰할 수 있는 서비스를 구성하고 이를 조직에 통합하도록 승인하면 이 서비스에서 AWS Organizations 가 해당 멤버 계정으로 서비스 연결 역할을 생성하도록 요청할 수 있습니다. 신뢰할 수 있는 서비스가 동시에 조직 내 모든 계정에 필수적으로 진행하지 않고 필요할 때 이를 비동기적으로 진행합니다. 서비스 연결 역할에는 신뢰할 수 있는 서비스가 해당 계정 내에서 특정 작업만 수행하도록 허용하는 사전 정의된 IAM 권한이 있습니다. 일반적으로 AWS 에서 모든 서비스 연결 역할을 관리합니다. 따라서 사용자는 일반적으로 역할 또는 연결된 정책을 변경할 수 없습니다.

이 모든 것이 가능하도록 하려면 조직 내에 계정을 생성하거나 조직에 대한 기존 계정의 초대를 허용할 때 AWS Organizations 가 멤버 계정에 AWSServiceRoleForOrganizations라는 서비스 연결 역할을 프로비저닝합니다. AWS Organizations 서비스 자체만이 역할을 수임할 수 있습니다. 역할에는가 다른 AWS Organizations 에 대한 서비스 연결 역할을 생성할 수 있는 권한이 있습니다 AWS 서비스. 이 서비스 연결 역할은 모든 조직에 존재합니다.

권장하는 방법은 아니지만 조직에서 통합 결제 기능만 활성화된 경우, AWSServiceRoleForOrganizations라는 이름의 서비스 연결 역할이 절대 사용되지 않으며, 이를 삭제할 수 있습니다. 이후에 조직 내 모든 기능을 활성화려면 이 역할이 필요하므로, 복원해야 합니다. 다음 상태 확인은 모든 기능을 활성화하는 절차를 시작할 때 발생합니다.

  • 조직에 가입하도록 초대된 각 멤버 계정 – 계정 관리자가 모든 기능 활성화에 동의하는 요청을 수신합니다. 요청에 동의하려면 관리자가 organizations:AcceptHandshake 권한과 iam:CreateServiceLinkedRole 권한(서비스 연결 역할(AWSServiceRoleForOrganizations)이 아직 없는 경우)이 모두 있어야 합니다. AWSServiceRoleForOrganizations 역할이 이미 존재하는 경우 관리자는 요청 허용에 organizations:AcceptHandshake 권한만이 필요합니다. 관리자가 요청에 동의하면는 서비스 연결 역할이 아직 존재하지 않는 경우 해당 역할을 AWS Organizations 생성합니다.

  • 조직에 생성된 각 멤버 계정 – 계정 관리자가 서비스 연결 역할을 다시 생성하는 요청을 수신합니다. (멤버 계정의 관리자는 모든 기능을 활성화하는 요청을 수신하지 않습니다. 관리 계정(이전의 “마스터 계정”)의 관리자가 생성된 멤버 계정의 소유자로 간주되기 때문입니다.) 멤버 계정 관리자가 요청을 허용할 때 AWS Organizations 는 서비스 연결 역할을 생성합니다. 성공적으로 핸드셰이크를 수락하려면 관리자는 organizations:AcceptHandshake iam:CreateServiceLinkedRole 권한을 보유해야 합니다.

조직에서 모든 기능을 활성화한 이후에는 더 이상 모든 계정에서 AWSServiceRoleForOrganizations 서비스 연결 역할을 삭제할 수 없습니다.

중요

AWS Organizations SCPs는 서비스 연결 역할에 영향을 주지 않습니다. 이러한 역할은 SCP 제한 사항에서 제외됩니다.

AWSServiceRoleForDeclarativePoliciesEC2Report 서비스 연결 역할 사용

AWSServiceRoleForDeclarativePoliciesEC2Report 서비스 연결 역할은 Organizations에서 선언적 정책 보고서를 생성할 멤버 계정의 계정 속성 상태를 설명하는 데 사용됩니다. 역할의 권한은에 정의되어 있습니다AWS 관리형 정책: DeclarativePoliciesEC2Report.