

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# API 작업 모드 이해
<a name="manage-acct-api-modes-of-operation"></a>

 AWS 계정의 속성으로 작업하는 API 작업은 항상 다음 두 가지 작업 모드 중 하나에서 작동합니다.
+ **독립 실행형 컨텍스트** - 이 모드는 계정의 사용자 또는 역할이 ***동일한 계정***의 계정 속성에 액세스하거나 변경할 때 사용됩니다. 독립형 컨텍스트 모드는 계정 관리 AWS CLI 또는 AWS SDK 작업 중 하나를 호출할 때 `AccountId` 파라미터를 포함하지 ***않을*** 때 자동으로 사용됩니다.
+ **조직 컨텍스트** - 이 모드는 조직의 한 계정에 있는 사용자 또는 역할이 동일한 조직의 다른 멤버 계정에 액세스하거나 계정 속성을 변경할 때 사용됩니다. 조직 컨텍스트 모드는 계정 관리 AWS CLI 또는 AWS SDK 작업 중 하나를 호출할 때 `AccountId` 파라미터를 ****** 포함하면 자동으로 사용됩니다. 조직의 관리 계정 또는 계정 관리의 위임된 관리자 계정에서만 이 모드의 작업을 호출할 수 있습니다.

 AWS CLI 및 AWS SDK 작업은 독립 실행형 또는 조직 컨텍스트에서 작동할 수 있습니다.
+  `AccountId` 파라미터를 포함하지 ***않으면*** 작업이 독립 실행형 컨텍스트에서 실행되고 요청을 수행하는 데 사용한 계정에 요청이 자동으로 적용됩니다. 이는 계정이 조직의 멤버인지 여부와 관계없이 적용됩니다.
+ `AccountId` 파라미터를 포함하면 조직 컨텍스트에서 작업이 실행되고 지정된 조직 계정에서 작업이 작동합니다.
  + 작업을 호출하는 계정이 계정 관리 서비스의 관리 계정 또는 위임된 관리자 계정인 경우 `AccountId` 파라미터에서 해당 조직의 멤버 계정을 지정하여 지정된 계정을 업데이트할 수 있습니다.
  + 대체 연락 작업 중 하나를 호출하고 `AccountId` 파라미터에 자체 계정 번호를 지정할 수 있는 조직의 유일한 계정은 계정 관리 서비스의 [위임된 관리자 계정](using-orgs-delegated-admin.md)으로 지정된 계정입니다. 관리 계정을 포함한 다른 모든 계정은 `AccessDenied` 예외를 받습니다.
+ 독립 실행형 모드에서 작업을 실행하는 경우 모든 리소스를 허용하는 `"*"`의 `Resource` 요소 또는 [독립 실행형 계정에 대한 구문을 사용하는 ARN](#account-arn-standalone)을 포함하는 IAM 정책을 사용하여 작업을 실행할 수 있어야 합니다.
+ 조직 모드에서 작업을 실행하는 경우 모든 리소스를 허용하는 `"*"`의 `Resource` 요소가 포함된 IAM 정책 또는 [조직의 멤버 계정에 대한 구문을 사용하는 ARN](#account-arn-organizations)을 사용하여 작업을 실행할 수 있어야 합니다.

## 계정 속성을 업데이트할 수 있는 권한 부여
<a name="manage-acct-update-contact-perms"></a>

대부분의 AWS 작업과 마찬가지로 IAM 권한 정책을 사용하여에 대한 계정 속성을 추가, 업데이트 또는 삭제할 수 AWS 계정 있는 권한을 부여합니다. [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) IAM 위탁자(사용자 또는 역할)에 IAM 권한 정책을 연결할 때 위탁자가 어떤 리소스에서 어떤 조건에서 수행할 수 있는지 지정합니다.

다음은 권한 정책을 생성하기 위한 계정 관리별 몇 가지 고려 사항입니다.

### 에 대한 Amazon 리소스 이름 형식 AWS 계정
<a name="manage-acct-update-contact-perms-arn-format"></a>
+ 정책 설명의 `resource` 요소에 포함할 수 AWS 계정 있는의 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)은 참조하려는 계정이 독립 실행형 계정인지 아니면 조직에 있는 계정인지에 따라 다르게 구성됩니다. [API 작업 모드 이해](#manage-acct-api-modes-of-operation)의 이전 섹션을 참조하세요.
  + <a name="account-arn-standalone"></a>독립 실행형 계정의 계정 ARN:

    ```
    arn:aws:account::{AccountId}:account
    ```

    `AccountID` 파라미터를 포함하지 않고 독립 실행형 모드에서 계정 속성 작업을 실행할 때 이 형식을 사용해야 합니다.
  + <a name="account-arn-organizations"></a>조직의 멤버 계정에 대한 계정 ARN는 다음과 같습니다.

    ```
    arn:aws:account::{ManagementAccountId}:account/o-{OrganizationId}/{AccountId}
    ```

    `AccountID` 파라미터를 포함하여 조직 모드에서 계정 속성 작업을 실행할 때 이 형식을 사용해야 합니다.

### IAM 정책의 컨텍스트 키
<a name="manage-acct-update-contact-perms-context-keys"></a>

또한 계정 관리 서비스는 부여한 권한에 대한 세분화된 제어를 제공하는 여러 [계정 관리 서비스별 조건 키](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys)를 제공합니다.

#### `account:AccountResourceOrgPaths`
<a name="context-keys-AccountResourceOrgPaths"></a>

`account:AccountResourceOrgPaths` 컨텍스트 키를 사용하면 조직의 계층 구조를 통해 특정 조직 단위(OU)로 가는 경로를 지정할 수 있습니다. 해당 OU에 포함된 멤버 계정만 조건과 일치합니다. 다음 예시 코드 조각은 지정된 두 OU에 있는 계정에만 적용할 수 있는 정책을 제한합니다.

`account:AccountResourceOrgPaths`는 다중 값 문자열 유형이므로 [`ForAnyValue` 또는 `ForAllValues` 다중 값 문자열 연산자 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions)를 사용해야 합니다. 또한 조직의 OU에 대한 경로를 참조하더라도 조건 키의 접두사는 `account`입니다.

```
"Condition": {
    "ForAnyValue:StringLike": {
        "account:AccountResourceOrgPaths": [
            "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h111/*", 
            "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h222/*"
        ]
    }
}
```

#### `account:AccountResourceOrgTags`
<a name="context-keys-AccountResourceOrgTags"></a>

`account:AccountResourceOrgTags` 컨텍스트 키를 사용하면 조직의 계정에 연결할 수 있는 태그를 참조할 수 있습니다. 태그는 계정의 리소스를 분류하고 레이블을 지정하는 데 사용할 수 있는 키/값 문자열 페어입니다. 태그 지정에 대한 자세한 내용은 *AWS Resource Groups 사용 설명서*의 [Tag Editor](https://docs.aws.amazon.com/ARG/latest/userguide/tag-editor.html)를 참조하세요. 속성 기반 액세스 제어 전략의 일부로 태그를 사용하는 방법에 대한 자세한 내용은 *IAM User Guide*의 [AWS용 ABAC란 무엇입니까?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)를 참조하세요. 다음 예시 코드 조각은 `project` 키와 값이 `blue` 또는 `red`인 태그가 있는 조직의 계정에만 적용되도록 정책을 제한합니다.

`account:AccountResourceOrgTags`는 다중 값 문자열 유형이므로 [`ForAnyValue` 또는 `ForAllValues` 다중 값 문자열 연산자 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions)를 사용해야 합니다. 또한 조직의 멤버 계정에서 태그를 참조하더라도 조건 키의 접두사는 `account`입니다.

```
"Condition": {
    "ForAnyValue:StringLike": {
        "account:AccountResourceOrgTags/project": [
            "blue", 
            "red"
        ]
    }
}
```

**참고**  
조직의 계정에만 태그를 연결할 수 있습니다. 독립 실행형 에는 태그를 연결할 수 없습니다 AWS 계정.