기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# RCP 구문
<a name="orgs_manage_policies_rcps_syntax"></a>

리소스 제어 정책(RCP)은 [리소스 기반 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based)에서 사용하는 구문과 유사한 구문을 사용합니다. IAM 정책과 그 구문에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM 정책 개요](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)를 참조하세요.

RCP는 [JSON](http://json.org) 규칙에 따라 구성됩니다. SCP는 이번 주제에서 설명하는 요소를 사용합니다.

**참고**  
RCP 내 모든 문자는 [최대 크기](orgs_reference_limits.md#min-max-values)를 기준으로 계수됩니다. 이 설명서의 예제는 가독성을 높이기 위한 추가 공백으로 포맷된 RCP를 보여 줍니다. 하지만 정책 크기가 최대 크기에 근접한 경우 공백을 저장하려면 인용 부호 바깥에 있는 공백 문자(예: 공백 및 줄 바꿈)를 모두 삭제할 수 있습니다.

RCP에 대한 일반적인 정보는 [리소스 제어 정책(RCP)](orgs_manage_policies_rcps.md) 섹션을 참조하세요.

## 요소 요약
<a name="rcp-elements-table"></a>

다음 표에는 RCP에서 사용할 수 있는 정책 요소가 요약되어 있습니다.

**참고**  
**`Allow`의 효과는 `RCPFullAWSAccess` 정책에 대해서만 지원됩니다.**  
`Allow`의 효과는 `RCPFullAWSAccess` 정책에 대해서만 지원됩니다. 이 정책은 리소스 제어 정책(RCP)을 활성화하면 조직 루트, 모든 OU 및 조직의 모든 계정에 자동으로 연결됩니다. 이 정책은 분리할 수 없습니다. 이 기본 RCP를 사용하면 모든 위탁자와 작업이 RCP 평가를 통과할 수 있습니다. 즉, RCP를 생성하고 연결하기 시작할 때까지는 기존 IAM 권한이 모두 그대로 작동합니다. 이것이 액세스 권한을 부여하지는 않습니다.


| 요소 | 용도 | 
| --- | --- | 
| [버전](#rcp-syntax-version) | 정책을 처리하는 데 사용할 언어 구문 규칙을 지정합니다. | 
| [Statement](#rcp-syntax-statement) | 정책 요소 컨테이너의 역할을 합니다. RCP에 여러 문을 포함할 수 있습니다. | 
| [Statement ID(Sid)](#rcp-syntax-sid) | (선택 사항) 문의 표시 이름을 제공합니다. | 
| [효과](#rcp-syntax-effect) | RCP 문이 계정의 리소스에 대한 액세스를 거부할지 여부를 정의합니다. | 
| [보안 주체](#rcp-syntax-principal) | 계정 내 리소스에 대한 접근이 허용되거나 거부되는 위탁자를 지정합니다. | 
|  [작업](#rcp-syntax-action)  |  RCP가 허용하거나 거부하는 AWS 서비스 및 작업을 지정합니다.  | 
| [리소스](#rcp-syntax-resource) | RCP가 적용되는 AWS 리소스를 지정합니다. | 
| [NotResource](#rcp-syntax-resource) |  RCP에서 제외되는 AWS 리소스를 지정합니다. `Resource` 요소 대신 사용합니다.  | 
| [조건](#rcp-syntax-condition) | 문이 효력을 발휘하는 조건을 지정합니다. | 

**Topics**
+ [요소 요약](#rcp-elements-table)
+ [`Version` 요소](#rcp-syntax-version)
+ [`Statement` 요소](#rcp-syntax-statement)
+ [Statement ID(`Sid`) 요소](#rcp-syntax-sid)
+ [`Effect` 요소](#rcp-syntax-effect)
+ [`Principal` 요소](#rcp-syntax-principal)
+ [`Action` 요소](#rcp-syntax-action)
+ [`Resource` 및 `NotResource` 요소](#rcp-syntax-resource)
+ [`Condition` 요소](#rcp-syntax-condition)
+ [지원되지 않는 요소](#rcp-syntax-unsupported)

## `Version` 요소
<a name="rcp-syntax-version"></a>

모든 RCP에는 값이 **"2012-10-17"**인 `Version` 요소가 있어야 합니다. 이 버전 값은 IAM 권한 정책의 최신 버전과 같습니다.

자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 버전](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html)을 참조하세요.

## `Statement` 요소
<a name="rcp-syntax-statement"></a>

RCP는 하나 이상의 `Statement` 요소로 구성됩니다. 정책은 `Statement` 키워드 하나만 가질 수 있지만, 값은 ([ ] 문자로 구분한) JSON 문 어레이가 될 수 있습니다.

다음 예제는 하나의 `Effect`, `Principal`, `Action` 및 `Resource` 요소로 구성된 한 문을 보여줍니다.

```
 {
    "Statement": {
        "Effect": "Deny",
        "Principal": "*",
        "Action": "s3:PutBucketPublicAccessBlock",
        "Resource": "*"
    }
}
```

자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 문](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_statement.html)을 참조하세요.

## Statement ID(`Sid`) 요소
<a name="rcp-syntax-sid"></a>

`Sid`는 정책 문에 입력되는 식별자(옵션)입니다. `Sid` 값은 문 배열에서 각 문에 할당할 수 있습니다. 다음 예제 RCP는 샘플 `Sid` 문을 보여줍니다.

```
{
    "Statement": {
        "Sid": "DenyBPAConfigurations",
        "Effect": "Deny",
        "Principal": "*",
        "Action": "s3:PutBucketPublicAccessBlock",
        "Resource": "*"
    }
}
```

자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html)를 참조하세요.

## `Effect` 요소
<a name="rcp-syntax-effect"></a>

각 문에는 `Effect` 요소 하나가 있어야 합니다. `Effect` 요소의 `Deny` 값을 사용하여 특정 리소스에 대한 액세스를 제한하거나 RCP가 효과를 발휘하는 조건을 정의할 수 있습니다. 생성하는 RCP의 경우 값은 `Deny`여야 합니다. 자세한 내용은 *IAM 사용 설명서*의 [RCP 평가](orgs_manage_policies_rcps_evaluation.md)과 [IAM JSON 정책 요소: Effect](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html)를 참조하세요.

## `Principal` 요소
<a name="rcp-syntax-principal"></a>

각 문에는 `Principal` 요소가 있어야 합니다. RCP의 `Principal` 요소에서만 ‘`*`’을 지정할 수 있습니다. `Conditions` 요소를 사용하여 특정 위탁자 제한합니다.

자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)를 참조하세요.

## `Action` 요소
<a name="rcp-syntax-action"></a>

각 문에는 `Action` 요소가 있어야 합니다.

`Action` 요소의 값은 문에 의해 허용되거나 거부되는 AWS 서비스 및 작업을 식별하는 문자열 또는 문자열 목록(JSON 배열)입니다.

각 문자열은 서비스의 소문자 약자(‘s3’, ‘sqs’ 또는 ‘sts’ 등) 뒤에 콜론이 오고 그 뒤에 해당 서비스의 작업이 붙는 형태로 구성됩니다. 일반적으로 각 단어는 첫 글자만 대문자로, 나머지는 소문자로 입력합니다. 예를 들어 `"s3:ListAllMyBuckets"`입니다.

RCP에서 다음과 같이 별표(\$1) 또는 물음표(?) 와 같은 와일드카드 문자를 사용할 수도 있습니다.
+ 이름의 일부를 공유하는 여러 작업을 일치시키려면 별표(\$1)를 와일드카드로 사용하세요. `"s3:*"` 값은 Amazon S3 서비스의 모든 작업을 의미합니다. 값은 "Get"으로 시작하는 AWS STS 작업과만 `"sts:Get*"` 일치합니다.
+ 단일 문자를 일치시키려면 물음표(?) 와일드카드를 사용하세요.

**참고**  
**와일드카드(\$1) 및 물음표(?)는 작업 이름의 어느 곳에서나 사용할 수 있습니다.**  
고객 관리형 RCP의 작업 요소에 ‘\$1’를 사용할 수 없으며 액세스를 제한하려는 서비스의 약어(예: ‘s3’, ‘sqs’ 또는 ‘sts’)를 지정해야 합니다.

RCP 지원 서비스 목록은 [RCPs AWS 서비스 지원하는 목록](orgs_manage_policies_rcps.md#rcp-supported-services) 단원을 참조하세요. 에서 AWS 서비스 지원하는 작업 목록은 *서비스 승인* 참조의 [AWS 서비스에 사용되는 작업, 리소스 및 조건 키를 참조하세요](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html.html).

자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: Action](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html)을 참조하세요.

## `Resource` 및 `NotResource` 요소
<a name="rcp-syntax-resource"></a>

각 문에는 `Resource` 또는 `NotResource` 요소가 있어야 합니다.

리소스 요소에서 별표(\$1) 또는 물음표(?)와 같은 와일드카드 문자를 사용할 수 있습니다.
+ 이름의 일부를 공유하는 여러 리소스를 일치시키려면 별표(\$1)를 와일드카드로 사용하십시오.
+ 단일 문자를 일치시키려면 물음표(?) 와일드카드를 사용하세요.

자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) 및 [IAM JSON 정책 요소: NotResource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notresource.html)를 참조하세요.

## `Condition` 요소
<a name="rcp-syntax-condition"></a>

 RCP에서 거부 문에 `Condition` 요소를 지정할 수 있습니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}
```

------

이 RCP는 요청이 보안 전송(TLS를 통해 전송된 요청)을 통해 이루어지지 않는 한 Amazon S3 작업 및 리소스에 대한 접근을 허용하지 않습니다.

자세한 정보는 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하세요.

## 지원되지 않는 요소
<a name="rcp-syntax-unsupported"></a>

다음 요소는 RCP에서 지원되지 않습니다.
+ `NotPrincipal`
+ `NotAction`