기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 리소스 제어 정책(RCP)
<a name="orgs_manage_policies_rcps"></a>

**참고**  
**서비스 제어 정책(SCP) 및 리소스 제어 정책(RCP)**  
조직의 멤버 계정 내에서 IAM 위탁자의 권한을 제한해야 하는 경우 SCP를 사용합니다.  
조직의 멤버 계정 내 리소스에 액세스하도록 요청하는 조직 계정 외부의 IAM 위탁자를 제한해야 하는 경우 RCP를 사용합니다.  
자세한 내용은 [SCP 및 RCP 이해](orgs_manage_policies_authorization_policies.md)를 참조하세요.

리소스 제어 정책(RCP)은 조직의 권한을 관리하는 데 사용할 수 있는 조직 정책 유형입니다. RCP는 조직의 모든 리소스에 사용 가능한 최대 권한을 중앙에서 제어합니다. RCP는 계정의 리소스가 조직의 액세스 제어 지침을 준수하도록 보장하는 데 도움을 줍니다. RCP는 [활성화된 모든 기능을 가진](orgs_manage_org_support-all-features.md) 조직에서만 사용할 수 있습니다. 조직이 통합 결제 기능만 지원한다면 RCP를 이용할 수 없습니다. RCP를 활성화하는 데 대한 지침은 [정책 유형 활성화](enable-policy-type.md) 섹션을 참조하세요.

RCP만으로는 조직 내 리소스에 권한을 부여하기에 충분하지 않습니다. RCP는 어떤 권한도 부여하지 않습니다. RCP는 자격 증명이 조직의 리소스에 대해 수행할 수 있는 작업에 대한 권한 가드레일을 정의하거나 제한을 설정합니다. 관리자는 실제로 권한을 부여하기 위해 여전히 자격 증명 기반 정책을 IAM 사용자 또는 역할에 연결하거나 리소스 기반 정책을 계정의 리소스에 연결해야 합니다. 자세한 내용은 IAM 사용 설명서에서 [자격 증명 기반 정책 및 리소스 기반 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)을 참조하세요.**

[유효 권한](#rcp-effects-on-permissions)은 RCP와 [서비스 제어 정책(SCP)](orgs_manage_policies_scps.md)이 허용하는 권한과 ID 및 리소스 기반 정책이 허용하는 권한 간의 논리적 교집합입니다.

**RCP는 관리 계정의 리소스에 영향을 주지 않습니다.**  
RCP는 관리 계정의 리소스에 영향을 주지 않습니다. 조직 내 멤버 계정의 리소스에만 영향을 줍니다. 이는 또한 RCP가 위임된 관리자로 지정된 멤버 계정에도 적용됨을 의미합니다.

****이 페이지의 주제****
+ [RCPs AWS 서비스 지원하는 목록](#rcp-supported-services)
+ [RCP의 효과 테스트](#rcp-warning-testing-effect)
+ [RCP의 최대 크기](#rcp-size-limit)
+ [조직 내 여러 수준에 RCP 연결하기](#rcp-about-inheritance)
+ [권한에 대한 RCP 효과](#rcp-effects-on-permissions)
+ [RCP로 제한받지 않는 리소스 및 엔터티](#actions-not-restricted-by-rcps)
+ [RCP 평가](orgs_manage_policies_rcps_evaluation.md)
+ [RCP 구문](orgs_manage_policies_rcps_syntax.md)
+ [리소스 제어 정책 예제](orgs_manage_policies_rcps_examples.md)

## RCPs AWS 서비스 지원하는 목록
<a name="rcp-supported-services"></a>

RCPs AWS 서비스다음에 대한 작업에 적용됩니다.
+ [Amazon S3](https://docs.aws.amazon.com/s3)
+ [AWS Security Token Service](https://docs.aws.amazon.com/iam)
+ [AWS Key Management Service](https://docs.aws.amazon.com/kms)
+ [ Amazon SQS](https://docs.aws.amazon.com/sqs)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager)
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito)
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/cloudwatch)
+ [Amazon DynamoDB](https://docs.aws.amazon.com/dynamodb)
+ [Amazon Elastic 컨테이너 레지스트리](https://docs.aws.amazon.com/ecr)
+ [Amazon OpenSearch Serverless](https://docs.aws.amazon.com/opensearch-service)

## RCP의 효과 테스트
<a name="rcp-warning-testing-effect"></a>

AWS 에서는 정책이 계정의 리소스에 미치는 영향을 철저히 테스트하지 않고 RCPs를 조직의 루트에 연결하지 않을 것을 강력히 권장합니다. 먼저 개별 테스트 계정에 RCP를 연결하고 계층 구조에서 가장 낮은 OU로 이동시킨 다음 필요에 따라 조직 구조를 따라 작업할 수 있습니다. 영향을 확인하는 한 가지 방법은 액세스 거부 오류에 대한 AWS CloudTrail 로그를 검토하는 것입니다.

## RCP의 최대 크기
<a name="rcp-size-limit"></a>

RCP 내 모든 문자는 [최대 크기](orgs_reference_limits.md#min-max-values)를 기준으로 계수됩니다. 이 설명서의 예제는 가독성을 높이기 위한 추가 공백으로 포맷된 RCP를 보여 줍니다. 하지만 정책 크기가 최대 크기에 근접한 경우 공백을 저장하려면 인용 부호 바깥에 있는 공백 문자(예: 공백 및 줄 바꿈)를 모두 삭제할 수 있습니다.

**작은 정보**  
시각적 편집기를 사용하여 RCP를 작성합니다. 편집기가 자동으로 불필요한 공백을 제거합니다.

## 조직 내 여러 수준에 RCP 연결하기
<a name="rcp-about-inheritance"></a>

RCP를 개별 계정, OU 또는 조직 루트에 직접 연결할 수 있습니다. RCP가 작동하는 방식에 대한 자세한 설명은 [RCP 평가](orgs_manage_policies_rcps_evaluation.md) 섹션을 참조하세요.

## 권한에 대한 RCP 효과
<a name="rcp-effects-on-permissions"></a>

RCPs는 AWS Identity and Access Management (IAM) 정책의 한 유형입니다. [리소스 기반 정책과](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) 가장 밀접하게 관련이 있습니다. 그러나 RCP는 권한을 부여하지는 않습니다. 대신 RCP는 조직의 리소스에 대해 사용할 수 있는 최대 권한을 지정하는 액세스 제어입니다. 자세한 내용은 *IAM 사용자 안내서*의 [정책 평가 로직](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)을 참조하세요.
+ RCPs의 하위 집합에 대한 리소스에 적용됩니다 AWS 서비스. 자세한 내용은 [RCPs AWS 서비스 지원하는 목록](#rcp-supported-services) 단원을 참조하십시오.
+ RCP는 RCP를 연결한 조직에 속하는 계정에서 관리하는 ***리소스에만 영향을 미칩니다***. 조직 외부 계정의 리소스에는 영향을 주지 않습니다. 예를 들어 조직의 A 계정이 소유하는 Amazon S3 버킷을 가정해 보겠습니다. 버킷 정책(리소스 기반 정책)은 조직 외부의 B 계정에 속한 사용자에게 액세스 권한을 부여합니다. A 계정에는 RCP가 연결되어 있습니다. RCP는 계정 B의 사용자가 액세스한 경우에도 계정 A의 S3 버킷에 적용됩니다. 그러나 계정 A의 사용자가 액세스 시 계정 B의 리소스에는 해당 RCP가 적용되지 않습니다.
+ RCP는 멤버 계정의 리소스에 대한 권한을 제한합니다. 각 계정의 모든 리소스는 ***각*** 상위 계정이 허용하는 권한만 갖게 됩니다. 해당 계정 위의 어떤 수준에서든 권한이 차단된 경우 리소스 소유자가 사용자에게 전체 액세스를 허용하는 리소스 기반 정책을 연결하더라도 영향을 받는 계정의 리소스에는 해당 권한이 없습니다.
+ RCP는 작업 요청의 일부로 승인된 리소스에 적용됩니다. 이러한 리소스는 [서비스 권한 부여 참조](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html#actions_table) 내 작업 테이블의 '리소스 유형' 열에서 찾을 수 있습니다. '리소스 유형' 열에 리소스가 지정되면 직접적으로 호출하는 위탁자의 RCP가 적용됩니다. 예를 들어 `s3:GetObject`이 객체 리소스를 승인합니다. `GetObject` 요청이 이루어질 때마다 해당 RCP가 적용되어 요청 위탁자가 `GetObject` 작업을 간접적으로 호출할 수 있는지 여부를 결정합니다. *적용 가능한 RCP*는 계정, 조직 단위(OU) 또는 액세스 중인 리소스를 소유한 조직의 루트에 연결된 RCP입니다.
+ RCP는 조직의 ***멤버*** 계정에만 영향을 미칩니다. 관리 계정의 리소스에는 영향을 미치지 않습니다. 이는 또한 RCP가 위임된 관리자로 지정된 멤버 계정에도 적용됨을 의미합니다. 자세한 내용은 [관리 계정의 모범 사례](orgs_best-practices_mgmt-acct.md) 단원을 참조하십시오.
+ 위탁자가 RCP가 연결된 계정 내의 리소스(적용 가능한 RCP가 있는 리소스)에 접근 요청을 할 때, 해당 RCP는 정책 평가 논리에 포함되어 위탁자의 접근을 허용 또는 거부할지 결정하는 데 사용됩니다.
+ RCP는 위탁자가 동일한 조직에 속하는지 여부에 관계없이 적용 가능한 RCP를 사용하여 멤버 계정의 리소스에 액세스하려는 해당 위탁자의 유효 권한에 영향을 미칩니다. 여기에는 루트 사용자가 포함됩니다. RCP는 서비스 연결 역할이 수행한 호출에는 적용되지 않으므로 위탁자가 서비스 연결 역할인 경우는 예외입니다. 서비스 연결 역할을 사용하면 AWS 서비스 가 사용자를 대신하여 필요한 작업을 수행할 수 있으며 RCPs 의해 제한될 수 없습니다.
+ 사용자 및 역할에는 여전히 자격 증명 기반 정책 및 리소스 기반 정책을 포함해 적절한 IAM 권한 정책을 통해 권한이 부여되어야 합니다. IAM 권한 정책이 없는 사용자 또는 역할은 RCP가 모든 서비스, 모든 작업 및 모든 리소스를 허용하더라도 액세스할 수 없습니다.

## RCP로 제한받지 않는 리소스 및 엔터티
<a name="actions-not-restricted-by-rcps"></a>

다음 작업은 RCP를 사용해 제한할 수 ***없습니다***.
+ 관리 계정의 리소스에 대한 모든 작업.
+ RCP는 어떤 서비스 연결 역할의 유효 권한에도 영향을 주지 않습니다. 서비스 연결 역할은 AWS 서비스에 직접 연결된 고유한 유형의 IAM 역할로, 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다. 서비스 연결 역할의 권한은 RCP로 제한할 수 없습니다. 또한 RCPs AWS 서비스 연결 역할을 수임하는 서비스의 기능에 영향을 주지 않습니다. 즉, 서비스 연결 역할의 신뢰 정책도 RCPs의 영향을 받지 않습니다.
+ RCPs [AWS 관리형 키 for AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk). AWS 관리형 키 are에서 사용자를 대신하여 생성, 관리 및 사용하는 에는 적용되지 않습니다 AWS 서비스. 이들의 권한은 변경하거나 관리할 수 없습니다.
+ RCP 다음의 권한에 영향을 주지 않습니다.  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/organizations/latest/userguide/orgs_manage_policies_rcps.html)

# RCP 평가
<a name="orgs_manage_policies_rcps_evaluation"></a>

**참고**  
이 섹션의 정보는 백업 정책, 태그 정책, 채팅 애플리케이션 정책 또는 AI 서비스 옵트아웃 정책을 비롯한 관리 정책 유형에 적용되지 ***않습니다***. 자세한 내용은 [관리 정책 상속에 대한 이해](orgs_manage_policies_inheritance_mgmt.md) 단원을 참조하십시오.

 AWS Organizations에서 여러 수준의 다양한 리소스 제어 정책(RCP)을 연결할 수 있으므로 RCP가 평가되는 방식을 이해하면 올바른 결과를 산출하는 RCP를 작성하는 데 도움이 될 수 있습니다.

## RCP 사용 전략
<a name="how_rcps_deny"></a>

`RCPFullAWSAccess` 정책은 AWS 관리형 정책입니다. 리소스 제어 정책(RCP)을 활성화하면 조직 루트, 모든 OU 및 조직의 모든 계정에 자동으로 연결됩니다. 이 정책은 분리할 수 없습니다. 이 기본 RCP를 사용하면 모든 위탁자와 작업이 RCP 평가를 통과할 수 있습니다. 즉, RCP를 생성하고 연결하기 시작할 때까지는 기존 IAM 권한이 모두 그대로 작동합니다. 이 AWS 관리형 정책은 액세스 권한을 부여하지 않습니다.

`Deny` 문을 사용하여 조직의 리소스에 대한 액세스를 차단할 수 있습니다. 특정 계정의 리소스에 대한 권한이 **거부**되는 경우, 루트에서 각 OU를 거쳐 계정의 직접 경로(대상 계정 자체 포함)에 있는 **모든 RCP**가 해당 권한을 거부할 수 있습니다.

`Deny` 문은 조직의 더 광범위한 부분에 적용되어야 하는 제한을 구현하는 강력한 방법입니다. 예를 들어, 조직 외부의 자격 증명이 리소스 루트 수준에 접근하는 것을 방지하는 정책을 적용할 수 있으며, 이는 조직 내 모든 계정에 효과적으로 적용됩니다. AWS 에서는 조직 루트에 RCP를 적용하기 전에 해당 정책이 계정 내 리소스에 미치는 영향을 철저히 테스트할 것을 강력히 권장합니다. 자세한 내용은 [RCP의 효과 테스트](orgs_manage_policies_rcps.md#rcp-warning-testing-effect) 단원을 참조하십시오.

그림 1에서는 프로덕션 OU에 연결된 RCP가 있으며, 특정 서비스에 대해 명시적 `Deny` 선언이 지정되어 있습니다. 따라서 조직의 모든 수준에 연결된 거부 정책을 모든 OU 및 해당 계정 아래에 있는 멤버 계정에서 평가하므로 계정 A와 계정 B 모두 서비스에 대한 액세스가 거부됩니다.

![\[프로덕션 OU에 연결된 거부 문이 포함된 조직 구조 예시 및 이것이 계정 A와 계정 B에 미치는 영향\]](http://docs.aws.amazon.com/ko_kr/organizations/latest/userguide/images/rcp_deny_1.png)


*그림 1: 프로덕션 OU에 `Deny` 문이 연결된 조직 구조 예시 및 이것이 계정 A와 계정 B에 미치는 영향*

# RCP 구문
<a name="orgs_manage_policies_rcps_syntax"></a>

리소스 제어 정책(RCP)은 [리소스 기반 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based)에서 사용하는 구문과 유사한 구문을 사용합니다. IAM 정책과 그 구문에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM 정책 개요](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)를 참조하세요.

RCP는 [JSON](http://json.org) 규칙에 따라 구성됩니다. SCP는 이번 주제에서 설명하는 요소를 사용합니다.

**참고**  
RCP 내 모든 문자는 [최대 크기](orgs_reference_limits.md#min-max-values)를 기준으로 계수됩니다. 이 설명서의 예제는 가독성을 높이기 위한 추가 공백으로 포맷된 RCP를 보여 줍니다. 하지만 정책 크기가 최대 크기에 근접한 경우 공백을 저장하려면 인용 부호 바깥에 있는 공백 문자(예: 공백 및 줄 바꿈)를 모두 삭제할 수 있습니다.

RCP에 대한 일반적인 정보는 [리소스 제어 정책(RCP)](orgs_manage_policies_rcps.md) 섹션을 참조하세요.

## 요소 요약
<a name="rcp-elements-table"></a>

다음 표에는 RCP에서 사용할 수 있는 정책 요소가 요약되어 있습니다.

**참고**  
**`Allow`의 효과는 `RCPFullAWSAccess` 정책에 대해서만 지원됩니다.**  
`Allow`의 효과는 `RCPFullAWSAccess` 정책에 대해서만 지원됩니다. 이 정책은 리소스 제어 정책(RCP)을 활성화하면 조직 루트, 모든 OU 및 조직의 모든 계정에 자동으로 연결됩니다. 이 정책은 분리할 수 없습니다. 이 기본 RCP를 사용하면 모든 위탁자와 작업이 RCP 평가를 통과할 수 있습니다. 즉, RCP를 생성하고 연결하기 시작할 때까지는 기존 IAM 권한이 모두 그대로 작동합니다. 이것이 액세스 권한을 부여하지는 않습니다.


| 요소 | 용도 | 
| --- | --- | 
| [버전](#rcp-syntax-version) | 정책을 처리하는 데 사용할 언어 구문 규칙을 지정합니다. | 
| [Statement](#rcp-syntax-statement) | 정책 요소 컨테이너의 역할을 합니다. RCP에 여러 문을 포함할 수 있습니다. | 
| [Statement ID(Sid)](#rcp-syntax-sid) | (선택 사항) 문의 표시 이름을 제공합니다. | 
| [효과](#rcp-syntax-effect) | RCP 문이 계정의 리소스에 대한 액세스를 거부할지 여부를 정의합니다. | 
| [보안 주체](#rcp-syntax-principal) | 계정 내 리소스에 대한 접근이 허용되거나 거부되는 위탁자를 지정합니다. | 
|  [작업](#rcp-syntax-action)  |  RCP가 허용하거나 거부하는 AWS 서비스 및 작업을 지정합니다.  | 
| [리소스](#rcp-syntax-resource) | RCP가 적용되는 AWS 리소스를 지정합니다. | 
| [NotResource](#rcp-syntax-resource) |  RCP에서 제외되는 AWS 리소스를 지정합니다. `Resource` 요소 대신 사용합니다.  | 
| [조건](#rcp-syntax-condition) | 문이 효력을 발휘하는 조건을 지정합니다. | 

**Topics**
+ [요소 요약](#rcp-elements-table)
+ [`Version` 요소](#rcp-syntax-version)
+ [`Statement` 요소](#rcp-syntax-statement)
+ [Statement ID(`Sid`) 요소](#rcp-syntax-sid)
+ [`Effect` 요소](#rcp-syntax-effect)
+ [`Principal` 요소](#rcp-syntax-principal)
+ [`Action` 요소](#rcp-syntax-action)
+ [`Resource` 및 `NotResource` 요소](#rcp-syntax-resource)
+ [`Condition` 요소](#rcp-syntax-condition)
+ [지원되지 않는 요소](#rcp-syntax-unsupported)

## `Version` 요소
<a name="rcp-syntax-version"></a>

모든 RCP에는 값이 **"2012-10-17"**인 `Version` 요소가 있어야 합니다. 이 버전 값은 IAM 권한 정책의 최신 버전과 같습니다.

자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 버전](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html)을 참조하세요.

## `Statement` 요소
<a name="rcp-syntax-statement"></a>

RCP는 하나 이상의 `Statement` 요소로 구성됩니다. 정책은 `Statement` 키워드 하나만 가질 수 있지만, 값은 ([ ] 문자로 구분한) JSON 문 어레이가 될 수 있습니다.

다음 예제는 하나의 `Effect`, `Principal`, `Action` 및 `Resource` 요소로 구성된 한 문을 보여줍니다.

```
 {
    "Statement": {
        "Effect": "Deny",
        "Principal": "*",
        "Action": "s3:PutBucketPublicAccessBlock",
        "Resource": "*"
    }
}
```

자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 문](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_statement.html)을 참조하세요.

## Statement ID(`Sid`) 요소
<a name="rcp-syntax-sid"></a>

`Sid`는 정책 문에 입력되는 식별자(옵션)입니다. `Sid` 값은 문 배열에서 각 문에 할당할 수 있습니다. 다음 예제 RCP는 샘플 `Sid` 문을 보여줍니다.

```
{
    "Statement": {
        "Sid": "DenyBPAConfigurations",
        "Effect": "Deny",
        "Principal": "*",
        "Action": "s3:PutBucketPublicAccessBlock",
        "Resource": "*"
    }
}
```

자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html)를 참조하세요.

## `Effect` 요소
<a name="rcp-syntax-effect"></a>

각 문에는 `Effect` 요소 하나가 있어야 합니다. `Effect` 요소의 `Deny` 값을 사용하여 특정 리소스에 대한 액세스를 제한하거나 RCP가 효과를 발휘하는 조건을 정의할 수 있습니다. 생성하는 RCP의 경우 값은 `Deny`여야 합니다. 자세한 내용은 *IAM 사용 설명서*의 [RCP 평가](orgs_manage_policies_rcps_evaluation.md)과 [IAM JSON 정책 요소: Effect](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html)를 참조하세요.

## `Principal` 요소
<a name="rcp-syntax-principal"></a>

각 문에는 `Principal` 요소가 있어야 합니다. RCP의 `Principal` 요소에서만 ‘`*`’을 지정할 수 있습니다. `Conditions` 요소를 사용하여 특정 위탁자 제한합니다.

자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)를 참조하세요.

## `Action` 요소
<a name="rcp-syntax-action"></a>

각 문에는 `Action` 요소가 있어야 합니다.

`Action` 요소의 값은 문에 의해 허용되거나 거부되는 AWS 서비스 및 작업을 식별하는 문자열 또는 문자열 목록(JSON 배열)입니다.

각 문자열은 서비스의 소문자 약자(‘s3’, ‘sqs’ 또는 ‘sts’ 등) 뒤에 콜론이 오고 그 뒤에 해당 서비스의 작업이 붙는 형태로 구성됩니다. 일반적으로 각 단어는 첫 글자만 대문자로, 나머지는 소문자로 입력합니다. 예를 들어 `"s3:ListAllMyBuckets"`입니다.

RCP에서 다음과 같이 별표(\$1) 또는 물음표(?) 와 같은 와일드카드 문자를 사용할 수도 있습니다.
+ 이름의 일부를 공유하는 여러 작업을 일치시키려면 별표(\$1)를 와일드카드로 사용하세요. `"s3:*"` 값은 Amazon S3 서비스의 모든 작업을 의미합니다. 값은 "Get"으로 시작하는 AWS STS 작업과만 `"sts:Get*"` 일치합니다.
+ 단일 문자를 일치시키려면 물음표(?) 와일드카드를 사용하세요.

**참고**  
**와일드카드(\$1) 및 물음표(?)는 작업 이름의 어느 곳에서나 사용할 수 있습니다.**  
고객 관리형 RCP의 작업 요소에 ‘\$1’를 사용할 수 없으며 액세스를 제한하려는 서비스의 약어(예: ‘s3’, ‘sqs’ 또는 ‘sts’)를 지정해야 합니다.

RCP 지원 서비스 목록은 [RCPs AWS 서비스 지원하는 목록](orgs_manage_policies_rcps.md#rcp-supported-services) 단원을 참조하세요. 에서 AWS 서비스 지원하는 작업 목록은 *서비스 승인* 참조의 [AWS 서비스에 사용되는 작업, 리소스 및 조건 키를 참조하세요](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html.html).

자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: Action](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html)을 참조하세요.

## `Resource` 및 `NotResource` 요소
<a name="rcp-syntax-resource"></a>

각 문에는 `Resource` 또는 `NotResource` 요소가 있어야 합니다.

리소스 요소에서 별표(\$1) 또는 물음표(?)와 같은 와일드카드 문자를 사용할 수 있습니다.
+ 이름의 일부를 공유하는 여러 리소스를 일치시키려면 별표(\$1)를 와일드카드로 사용하십시오.
+ 단일 문자를 일치시키려면 물음표(?) 와일드카드를 사용하세요.

자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) 및 [IAM JSON 정책 요소: NotResource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notresource.html)를 참조하세요.

## `Condition` 요소
<a name="rcp-syntax-condition"></a>

 RCP에서 거부 문에 `Condition` 요소를 지정할 수 있습니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}
```

------

이 RCP는 요청이 보안 전송(TLS를 통해 전송된 요청)을 통해 이루어지지 않는 한 Amazon S3 작업 및 리소스에 대한 접근을 허용하지 않습니다.

자세한 정보는 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하세요.

## 지원되지 않는 요소
<a name="rcp-syntax-unsupported"></a>

다음 요소는 RCP에서 지원되지 않습니다.
+ `NotPrincipal`
+ `NotAction`

# 리소스 제어 정책 예제
<a name="orgs_manage_policies_rcps_examples"></a>

이 주제에 나온 예제 [리소스 제어 정책(RCP)](orgs_manage_policies_rcps.md)은 정보 제공용입니다.

**이 예제를 사용하기 전에**  
조직에서 이러한 예제 RCPs 사용하기 전에 다음 사항을 고려하세요.  
[리소스 제어 정책(RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)은 대략적인 예방 제어로 사용하기 위한 것이며 액세스 권한을 부여하지 않습니다. 실제로 권한을 부여하려면 계정의 IAM 보안 주체 또는 리소스에 [ID 기반 또는 리소스 기반 정책을](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) 연결해야 합니다. 유효 권한은 SCP/RCP와 자격 증명 정책 또는 SCP/RCP와 리소스 정책 간의 논리적 교집합입니다. RCP가 권한에 미치는 영향에 대한 자세한 내용은 여기에서 확인할 수 [있습니다](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html#rcp-effects-on-permissions).
이 리포지토리의 리소스 제어 정책은 예제로 표시됩니다. 정책이 계정의 리소스에 미치는 영향을 철저히 테스트하지 않고 RCPs를 연결해서는 안 됩니다. 구현하려는 정책이 준비되면 프로덕션 환경을 나타낼 수 있는 별도의 조직 또는 OU에서 테스트하는 것이 좋습니다. 테스트가 완료되면 변경 사항을 배포하여 OUs를 테스트한 다음 시간이 지남에 따라 변경 사항을 더 광범위한 OUs 집합에 점진적으로 배포해야 합니다.
리소스 제어 정책(RCPs)을 활성화하면 [RCPFullAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/resource-control-policy/p-RCPFullAWSAccess) 정책이 조직 루트, 모든 OU 및 조직의 모든 계정에 자동으로 연결됩니다. 이 기본 RCP를 사용하면 모든 보안 주체 및 작업에 대한 액세스 권한이 RCP 평가를 통과할 수 있습니다. 거부 문을 사용하여 조직의 리소스에 대한 액세스를 제한할 수 있습니다. 또한 자격 증명 기반 또는 리소스 기반 정책을 사용하여 보안 주체에게 적절한 권한을 부여해야 합니다.
[리소스 제어 정책(RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)은 조직 루트, 조직 단위 또는 계정에 연결된 경우 조직, 조직 단위 또는 계정의 리소스에 대해 사용 가능한 최대 권한을 중앙에서 제어합니다. 조직의 여러 수준에서 RCP를 적용할 수 있으므로 [RCPs가 평가되는](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_evaluation.html) 방법을 이해하면 예상 결과를 산출하는 RCPs를 작성하는 데 도움이 될 수 있습니다.
이 단원의 정책 예제는 RCP의 구현과 사용을 보여줍니다. 그러나 제시된 그대로 실행할 수 있는 공식적인 AWS 권장 사항 또는 모범 사례로 해석해서는 ***안 됩니다***. 고객은 자신의 환경이 가진 비즈니스 요구 사항을 해결하기 위해 모든 정책의 적합성을 신중하게 테스트할 책임이 있습니다. 거부 기반 리소스 제어 정책은 정책에 필요한 예외를 추가하지 않는 한 AWS 서비스 사용을 의도하지 않게 제한하거나 차단할 수 있습니다.

**작은 정보**  
RCPs 구현하기 전에 [AWS CloudTrail 로그](https://aws.amazon.com/cloudtrail/)를 검토하는 것 외에도 [IAM Access Analyzer 외부 액세스 조사 결과를](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings-view.html#access-analyzer-findings-view-external) 평가하면 현재 퍼블릭이거나 외부에서 공유되는 리소스를 이해하는 데 도움이 될 수 있습니다.

## GitHub 리포지토리
<a name="rcp-github-repositories"></a>
+ [리소스 제어 정책 예제](https://github.com/aws-samples/resource-control-policy-examples) -이 GitHub 리포지토리에는 AWS RCPs 사용을 시작하거나 성숙시키기 위한 예제 정책이 포함되어 있습니다.