기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 서비스 제어 정책 및 VPC 엔드포인트 정책 구현
<a name="implementing-console-private-access-policies"></a>

프라이빗 액세스에 대한 AWS Management Console 서비스 제어 정책(SCPs) 및 VPC 엔드포인트 정책을 사용하여 VPC 및 연결된 온프레미스 네트워크 AWS Management Console 내에서를 사용할 수 있는 계정 세트를 제한할 수 있습니다.

**Topics**
+ [

# AWS Organizations 서비스 제어 정책과 함께 AWS Management Console 프라이빗 액세스 사용
](private-access-with-SCPs.md)
+ [

# 예상 계정 및 조직에 대해서만 AWS Management Console 사용 허용(신뢰할 수 있는 자격 증명)
](account-identity.md)

# AWS Organizations 서비스 제어 정책과 함께 AWS Management Console 프라이빗 액세스 사용
<a name="private-access-with-SCPs"></a>

 AWS 조직에서 특정 서비스를 허용하는 서비스 제어 정책(SCP)을 사용하는 경우 허용된 작업에 `signin:*`를 추가해야 합니다. 프라이빗 액세스 VPC 엔드포인트를 AWS Management Console 통해에 로그인하면 SCP가 권한 없이 차단하는 IAM 권한이 수행되므로이 권한이 필요합니다. 예를 들어 다음 서비스 제어 정책은 AWS Management Console 프라이빗 액세스 엔드포인트를 사용하여 액세스하는 경우를 포함하여 조직에서 Amazon EC2 및 CloudWatch 서비스를 사용하도록 허용합니다.

```
{
  "Effect": "Allow",
  "Action": [
    "signin:*",
    "ec2:*",
    "cloudwatch:*",
    ... Other services allowed
  },
  "Resource": "*"
}
```

SCP에 대한 자세한 내용은 *AWS Organizations 사용 설명서*에서 [서비스 제어 정책(SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)을 참조하세요.

# 예상 계정 및 조직에 대해서만 AWS Management Console 사용 허용(신뢰할 수 있는 자격 증명)
<a name="account-identity"></a>

AWS Management Console 및는 로그인한 계정의 자격 증명을 특별히 제어하는 VPC 엔드포인트 정책을 AWS Sign-In 지원합니다.

다른 VPC 엔드포인트 정책과 달리, 이 정책은 인증 전에 평가됩니다. 따라서 인증된 세션의 로그인 및 사용만 제어하고 세션이 수행하는 AWS 서비스별 작업은 제어하지 않습니다. 예를 들어 세션이 Amazon EC2 콘솔과 같은 AWS 서비스 콘솔에 액세스할 때 이러한 VPC 엔드포인트 정책은 해당 페이지를 표시하기 위해 수행된 Amazon EC2 작업에 대해 평가되지 않습니다. 대신 로그인한 IAM 보안 주체와 연결된 IAM 정책을 사용하여 AWS 서비스 작업에 대한 권한을 제어할 수 있습니다.

**참고**  
 AWS Management Console 및 SignIn VPC 엔드포인트에 대한 VPC 엔드포인트 정책은 제한된 정책 구성 하위 집합만 지원합니다. 모든 `Principal` 및 `Resource`는 `*`로 설정해야 하며 `Action`은 `*` 또는 `signin:*` 중 하나여야 합니다. `aws:PrincipalOrgId` 및 `aws:PrincipalAccount` 조건 키를 사용하여 VPC 엔드포인트에 대한 액세스를 제어할 수 있습니다.

콘솔 및 로그인 VPC 엔드포인트 양쪽 모두에 권장되는 정책은 다음과 같습니다.

이 VPC 엔드포인트 정책은 지정된 AWS 조직의 AWS 계정 에 대한 로그인을 허용하고 다른 계정에 대한 로그인을 차단합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}
```

------

이 VPC 엔드포인트 정책은 특정 목록으로 로그인을 제한 AWS 계정 하고 다른 계정에 대한 로그인을 차단합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "111122223333", "222233334444" ]
        }
      }
    }
  ]
}
```

------

 AWS Management Console 및 로그인 VPC 엔드포인트에서 AWS 계정 또는 조직을 제한하는 정책은 로그인 시 평가되며 기존 세션에 대해 주기적으로 재평가됩니다.