

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 의 선언적 정책 AWS Organizations
<a name="orgs_manage_policies_declarative_policies"></a>

선언적 정책을 사용하면 AWS 서비스 및 해당 기능을 중앙에서 구성하고 관리할 수 있습니다. 이러한 정책이 정책을 상속하는 OUs 및 계정에 미치는 영향은 적용하는 선언적 정책의 유형에 따라 달라집니다 AWS Organizations. 이 섹션의 주제를 검토하여 선언적 정책에 대한 관련 용어와 개념을 이해합니다.

선언적 정책을 사용하면 조직 전체에서 지정된에 대해 원하는 구성을 중앙 AWS 서비스 에서 선언하고 적용할 수 있습니다. 연결되면 서비스가 새 기능 또는 API를 추가할 때 구성이 항상 유지됩니다. 선언적 정책을 사용하여 규정 미준수 작업을 방지합니다. 예를 들어 조직 전체에서 Amazon VPC 리소스에 대한 퍼블릭 인터넷 액세스를 차단할 수 있습니다.

선언적 정책 사용의 주요 이점은 다음과 같습니다.
+ **사용 편의성**: AWS Organizations 및 AWS Control Tower 콘솔에서 AWS 서비스 몇 가지를 선택하거나 AWS CLI & AWS SDKs.
+ 한 **번 설정하고 잊어버림**: 서비스에 새 기능 또는 APIs가 도입되더라도의 기준 구성 AWS 서비스 은 항상 유지됩니다. 새 계정이 조직에 추가되거나 새 위탁자 및 리소스가 생성될 때도 기준 구성이 유지됩니다.
+ **투명성**: 계정 상태 보고서를 사용하여 범위 내 계정에 대한 선언적 정책에서 지원하는 모든 속성의 현재 상태를 평가할 수 있습니다. 또한 사용자 지정 가능한 오류 메시지를 생성하여 관리자가 최종 사용자를 내부 Wiki 페이지로 리디렉션하거나 최종 사용자에게 작업이 실패한 이유를 이해하는 데 도움이 되는 설명 메시지를 제공할 수 있습니다.

## 선언적 정책 작동 방식
<a name="orgs_manage_policies_declarative_policies-how-work"></a>

선언적 정책은 서비스의 컨트롤 플레인에서 적용되며, 이는 [서비스 제어 정책(SCP) 및 리소스 제어 정책(RCP)과 같은 권한 부여 정책과 중요한 차이점입니다](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_authorization_policies.html). 권한 부여 정책은 API에 대한 액세스를 규제하지만 선언적 정책은 서비스 수준에서 직접 적용되어 지속적인 의도를 강제합니다. 이렇게 하면 서비스에 새 기능 또는 API가 도입되더라도 기준 구성이 항상 적용됩니다.

다음 표는 이러한 차이를 설명하고 몇 가지 사용 사례를 제공합니다.


****  

|  | 서비스 제어 정책 | 리소스 제어 정책 | 선언적 정책 | 
| --- | --- | --- | --- | 
| 이유? | 위탁자(예: IAM 사용자 및 IAM 역할)에 대한 일관된 액세스 제어를 대규모로 중앙에서 정의하고 적용합니다. | 대규모 리소스에 대한 일관된 액세스 제어를 중앙에서 정의하고 적용하는 방법 | 대규모 AWS 서비스에 대한 기준 구성을 중앙에서 정의하고 적용합니다. | 
| 방법? | API 수준에서 위탁자의 사용 가능한 최대 액세스 권한을 제어합니다. | API 수준에서 리소스의 사용 가능한 최대 액세스 권한을 제어합니다. | API 작업을 사용하지 AWS 서비스 않고의 원하는 구성을 적용합니다. | 
| 서비스 연결 역할을 관리하나요? | 아니요 | 아니요 | 예 | 
| 예제 정책 | [멤버 계정의 조직 탈퇴 거부](https://github.com/aws-samples/service-control-policy-examples/blob/main/Privileged-access-controls/Deny-member-accounts-from-leaving-your-AWS-organization.json) | [리소스에 대한 HTTPS 연결에만 대한 액세스 제한](https://github.com/aws-samples/resource-control-policy-examples/blob/main/Restrict-resource-access-patterns/Restrict-access-to-only-HTTPS-connections-to-your-resources.json) | [허용된 이미지 설정](orgs_manage_policies_ec2_syntax.md#ec2-policy-ec2-ami-allowed-images) | 

선언적 정책을 [생성하고](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-declarative-policy-procedure) [연결](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html)하면 조직 전체에 적용되고 구현됩니다. 선언적 정책은 전체 조직, 조직 단위(OU) 또는 계정에 적용될 수 있습니다. 조직에 가입하는 계정은 조직의 선언적 정책을 자동으로 상속합니다. 자세한 내용은 [선언적 정책 상속 이해](orgs_manage_policies_inheritance_mgmt.md) 단원을 참조하십시오.

*유효 정책*은 조직 루트 및 OU에서 상속되는 규칙과 계정에 직접 연결된 규칙의 집합입니다. 유효 정책은 계정에 적용되는 최종 규칙 집합을 지정합니다. 자세한 내용은 [효과적인 선언적 정책 보기](orgs_manage_policies_effective.md) 단원을 참조하십시오.

선언적 정책이 [분리](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html)되면 속성 상태가 선언적 정책이 연결되기 전인 이전 상태로 롤백됩니다.

**Topics**
+ [선언적 정책 작동 방식](#orgs_manage_policies_declarative_policies-how-work)
+ [사전 조건 및 권한](orgs_manage_policies_prereqs.md)
+ [정책 상속 이해](orgs_manage_policies_inheritance_mgmt.md)
+ [유효 정책 보기](orgs_manage_policies_effective.md)
+ [잘못된 정책 알림](invalid-policy-alerts.md)
+ [EC2 정책](orgs_manage_policies_ec2.md)
+ [백업 정책](orgs_manage_policies_backup.md)
+ [– 태그 정책](orgs_manage_policies_tag-policies.md)
+ [채팅 애플리케이션 정책](orgs_manage_policies_chatbot.md)
+ [AI 서비스 옵트아웃 정책](orgs_manage_policies_ai-opt-out.md)
+ [Security Hub 정책](orgs_manage_policies_security_hub.md)
+ [Amazon Bedrock 정책](orgs_manage_policies_bedrock.md)
+ [Amazon Inspector 정책](orgs_manage_policies_inspector.md)
+ [롤아웃 정책 업그레이드](orgs_manage_policies_upgrade_rollout.md)
+ [Amazon S3 정책](orgs_manage_policies_s3.md)
+ [AWS Shield Network Security Director 정책](orgs_manage_policies_network_security_director.md)