기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 의 리소스 제어 정책 AWS KMS 리소스 제어 정책(RCPs)은 조직의 AWS 리소스에 대한 예방 제어를 적용하는 데 사용할 수 있는 조직 정책의 한 유형입니다. RCPs 사용하면 AWS 리소스에 대한 외부 액세스를 대규모로 중앙에서 제한할 수 있습니다. RCP는 서비스 제어 정책(SCP)을 보완합니다. SCPs를 사용하여 조직의 IAM 역할 및 사용자에 대한 최대 권한을 중앙에서 설정할 수 있지만, RCPs를 사용하여 조직의 AWS 리소스에 대한 최대 권한을 중앙에서 설정할 수 있습니다. 조직의 고객 관리형 KMS 키에 대한 권한을 관리하기 위해 RCP를 사용할 수 있습니다. RCP만으로는 고객 관리형 KMS 키에 대한 권한을 부여하기에 충분하지 않습니다. RCP는 어떤 권한도 부여하지 않습니다. RCP는 권한 가드레일을 정의하거나 영향을 받는 계정의 리소스에 대해 주체가 수행할 수 있는 작업에 제한을 설정합니다. 관리자는 실제로 권한을 부여하기 위해 IAM 역할 또는 사용자에게 자격 증명 기반 정책을 연결하거나 키 정책을 연결해야 합니다. **참고** 조직의 리소스 제어 정책은 [AWS 관리형 키](concepts.md#aws-managed-key)에 적용되지 않습니다. AWS 관리형 키 는 AWS 서비스에서 사용자를 대신하여 생성, 관리 및 사용되므로 해당 권한을 변경하거나 관리할 수 없습니다. **자세히 알아보기** + RCP에 대한 일반적인 정보를 더 알아보려면 *AWS Organizations 사용 설명서*의 [리소스 제어 정책](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)을 참조하세요. + RCP를 정의하는 방법(예제 포함)에 대한 자세한 내용은 *AWS Organizations 사용 설명서*의 [RCP 구문](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)을 참조하세요. 다음 예시는 조직 내에서 고객 관리형 키에 대한 외부 위탁자의 액세스를 방지하기 위해 RCP를 사용하는 방법을 보여줍니다. 이 정책은 예시일 뿐이며 고유한 비즈니스 및 보안 요구 사항에 맞게 조정해야 합니다. 예를 들어 비즈니스 파트너의 액세스를 허용하도록 정책을 사용자 지정해야 할 수 있습니다. 자세한 내용은 [데이터 경계 정책 예제 리포지토리](https://github.com/aws-samples/data-perimeter-policy-examples/tree/main/resource_control_policies)를 참조하세요. **참고** `Action` 권한은 `kms:RetireGrant` 요소가 와일드카드(\*)로 지정된 경우에도 RCP에서 유효하지 않습니다. `kms:RetireGrant` 권한을 결정하는 방법에 대한 자세한 내용은 [권한 부여 사용 중지 및 취소](grant-delete.md) 페이지를 참조하세요. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "RCPEnforceIdentityPerimeter", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:PrincipalOrgID": "{{my-org-id}}" }, "Bool": { "aws:PrincipalIsAWSService": "false" } } } ] } ``` ------ 다음 예제 RCP에서는 요청이 조직에서 시작된 경우에만 AWS 서비스 보안 주체가 고객 관리형 KMS 키에 액세스할 수 있도록 요구합니다. 이 정책은 `aws:SourceAccount`이 있는 요청에만 해당 통제를 적용합니다. 이렇게 하면 `aws:SourceAccount`를 사용할 필요가 없는 서비스 통합이 영향을 받지 않습니다. 요청 컨텍스트에 `aws:SourceAccount`가 있는 경우 `Null` 조건이 `true`로 평가되어 `aws:SourceOrgID` 키가 적용됩니다. 혼동된 대리자 문제에 관한 자세한 내용은 *IAM 사용 설명서*의 [혼동된 대리자 문제](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)를 참조하세요. ``` ``` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "RCPEnforceConfusedDeputyProtection", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:SourceOrgID": "{{my-org-id}}" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "Null": { "aws:SourceAccount": "false" } } } ] } ``` ------