기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# RCP 평가
<a name="orgs_manage_policies_rcps_evaluation"></a>

**참고**  
이 섹션의 정보는 백업 정책, 태그 정책, 채팅 애플리케이션 정책 또는 AI 서비스 옵트아웃 정책을 포함한 선언적 정책 유형에는 적용되지 ***않습니다***. 자세한 내용은 [선언적 정책 상속 이해](orgs_manage_policies_inheritance_mgmt.md) 단원을 참조하십시오.

 AWS Organizations에서 여러 수준의 다양한 리소스 제어 정책(RCP)을 연결할 수 있으므로 RCP가 평가되는 방식을 이해하면 올바른 결과를 산출하는 RCP를 작성하는 데 도움이 될 수 있습니다.

## RCP 사용 전략
<a name="how_rcps_deny"></a>

`RCPFullAWSAccess` 정책은 AWS 관리형 정책입니다. 리소스 제어 정책(RCP)을 활성화하면 조직 루트, 모든 OU 및 조직의 모든 계정에 자동으로 연결됩니다. 이 정책은 분리할 수 없습니다. 이 기본 RCP를 사용하면 모든 위탁자와 작업이 RCP 평가를 통과할 수 있습니다. 즉, RCP를 생성하고 연결하기 시작할 때까지는 기존 IAM 권한이 모두 그대로 작동합니다. 이 AWS 관리형 정책은 액세스 권한을 부여하지 않습니다.

`Deny` 문을 사용하여 조직의 리소스에 대한 액세스를 차단할 수 있습니다. 특정 계정의 리소스에 대한 권한이 **거부**되는 경우, 루트에서 각 OU를 거쳐 계정의 직접 경로(대상 계정 자체 포함)에 있는 **모든 RCP**가 해당 권한을 거부할 수 있습니다.

`Deny` 문은 조직의 더 광범위한 부분에 적용되어야 하는 제한을 구현하는 강력한 방법입니다. 예를 들어, 조직 외부의 자격 증명이 리소스 루트 수준에 접근하는 것을 방지하는 정책을 적용할 수 있으며, 이는 조직 내 모든 계정에 효과적으로 적용됩니다. AWS 에서는 조직 루트에 RCP를 적용하기 전에 해당 정책이 계정 내 리소스에 미치는 영향을 철저히 테스트할 것을 강력히 권장합니다. 자세한 내용은 [RCP의 효과 테스트](orgs_manage_policies_rcps.md#rcp-warning-testing-effect) 단원을 참조하십시오.

그림 1에서는 프로덕션 OU에 연결된 RCP가 있으며, 특정 서비스에 대해 명시적 `Deny` 선언이 지정되어 있습니다. 따라서 조직의 모든 수준에 연결된 거부 정책을 모든 OU 및 해당 계정 아래에 있는 멤버 계정에서 평가하므로 계정 A와 계정 B 모두 서비스에 대한 액세스가 거부됩니다.

![프로덕션 OU에 연결된 거부 문이 포함된 조직 구조 예시 및 이것이 계정 A와 계정 B에 미치는 영향](http://docs.aws.amazon.com/ko_kr/organizations/latest/userguide/images/rcp_deny_1.png)


*그림 1: 프로덕션 OU에 `Deny` 문이 연결된 조직 구조 예시 및 이것이 계정 A와 계정 B에 미치는 영향*