기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Organizations 태그 정책
[https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies.html](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies.html)은 사용자가 AWS Organizations에서 생성하는 정책 유형입니다. 태그 정책을 사용하여 조직의 계정에 있는 리소스 전체에서 태그를 표준화할 수 있습니다. 태그 정책을 사용하려면 *AWS Organizations 사용 설명서*의 [태그 정책 시작하기](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)에 설명된 워크플로우를 따르는 것이 좋습니다. 해당 페이지에 나와 있듯이 권장 워크플로우에는 규정을 준수하지 않는 태그를 찾아 수정하는 작업도 포함됩니다. 이러한 작업은 태그 편집기 콘솔을 사용하여 수행합니다.
## 사전 조건 및 권한
Tag Editor에서 태그 정책의 규정 준수를 평가하려면 먼저 요구 사항을 충족하고 필요한 권한을 설정해야 합니다.
**Topics**
+ [태그 정책 준수 여부를 평가하기 위한 사전 조건](#tag-policies-prereqs-overview)
+ [계정에 대한 규정 준수 평가 권한](#tag-policies-permissions-account)
+ [조직 전체에 대한 규정 준수 평가 권한](#tag-policies-permissions-org)
+ [보고서 저장에 대한 Amazon S3 버킷 정책](#bucket-policy)
### 태그 정책 준수 여부를 평가하기 위한 사전 조건
태그 정책 준수 여부를 평가하려면 다음이 필요합니다.
+ 먼저에서 기능을 활성화 AWS Organizations하고 태그 정책을 생성 및 연결해야 합니다. 자세한 정보는 *AWS Organizations 사용 설명서*에서 다음 페이지를 참조하세요.
+ [태그 정책 관리를 위한 사전 조건 및 권한](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-prereqs.html)
+ [태그 정책 활성화](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_enable-disable.html)
+ [태그 정책 시작하기](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)
+ [**계정 리소스에서 규정을 준수하지 않는 태그를 찾으려면**](tag-policies-orgs-finding-noncompliant-tags.md) 해당 계정의 로그인 보안 인증 정보와[계정에 대한 규정 준수 평가 권한](#tag-policies-permissions-account)에 나와 있는 권한이 필요합니다.
+ [**조직 전체의 규정 준수 여부를 평가하려면**](tag-policies-orgs-evaluating-org-wide-compliance.md) 조직 관리 계정의 로그인 보안 인증 정보와 [조직 전체에 대한 규정 준수 평가 권한](#tag-policies-permissions-org)에 나와 있는 권한이 필요합니다. AWS 리전 미국 동부(버지니아 북부) 에서만 규정 준수 보고서를 요청할 수 있습니다.
### 계정에 대한 규정 준수 평가 권한
계정 리소스에서 규정을 준수하지 않는 태그를 찾으려면 다음 권한이 필요합니다.
+ `organizations:DescribeEffectivePolicy` - 계정에 대한 유효 태그 정책의 내용을 가져옵니다.
+ `tag:GetResources` - 첨부된 태그 정책을 준수하지 않는 리소스 목록을 가져옵니다.
+ `tag:TagResources` – 태그를 추가하거나 업데이트합니다. 또한 태그를 만들려면 서비스별 권한이 필요합니다. 예를 들어, Amazon Elastic Compute Cloud (Amazon EC2)의 리소스에 태그를 지정하려면 `ec2:CreateTags`에 대한 권한이 필요합니다.
+ `tag:UnTagResources` – 태그를 제거합니다. 또한 태그를 제거하려면 서비스별 권한이 필요합니다. 예를 들어, Amazon EC2에서 리소스의 태그를 해제하려면 `ec2:DeleteTags`에 대한 권한이 필요합니다.
다음 예제 AWS Identity and Access Management (IAM) 정책은 계정의 태그 규정 준수를 평가할 수 있는 권한을 제공합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EvaluateAccountCompliance",
"Effect": "Allow",
"Action": [
"organizations:DescribeEffectivePolicy",
"tag:GetResources",
"tag:TagResources",
"tag:UnTagResources"
],
"Resource": "*"
}
]
}
```
------
IAM 정책 및 권한에 대한 자세한 내용은 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/)를 참조하세요.
### 조직 전체에 대한 규정 준수 평가 권한
조직 전체에서 태그 정책 준수 여부를 평가하려면 다음 권한이 필요합니다.
+ `organizations:DescribeEffectivePolicy` – 조직, OU(조직 단위) 또는 계정에 연결된 태그 정책의 내용을 가져옵니다.
+ `tag:GetComplianceSummary` – 조직 내 모든 계정에서 규정을 준수하지 않는 리소스 요약을 가져옵니다.
+ `tag:StartReportCreation` – 가장 최근의 규정 준수 평가 결과를 파일로 내보냅니다. 조직 전체의 규정 준수는 48시간마다 평가됩니다.
+ `tag:DescribeReportCreation` – 보고서 작성 상태를 확인합니다.
+ `s3:ListAllMyBuckets` - 조직 전체의 규정 준수 보고서에 액세스하도록 지원합니다.
+ `s3:GetBucketAcl` – 규정 준수 보고서를 수신하는 Amazon S3 버킷의 액세스 제어 목록(ACL)을 검사합니다.
+ `s3:GetObject` - 서비스 소유 Amazon S3 버킷에서 규정 준수 보고서를 가져옵니다.
+ `s3:PutObject` - 지정된 Amazon S3 버킷에 규정 준수 보고서를 배치합니다.
보고서가 전달되는 Amazon S3 버킷이 SSE-KMS를 통해 암호화된 경우 해당 버킷에 대한 `kms:GenerateDataKey` 권한도 있어야 합니다.
다음 예제 IAM 정책은 조직 전체의 규정 준수 여부를 평가할 수 있는 권한을 제공합니다. 각 {{자리 표시자}}를 사용자의 정보로 바꿉니다.
+ {{`bucket_name`}} - Amazon S3 버킷 이름
+ {{`organization_id`}} - 조직의 ID
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EvaluateAccountCompliance",
"Effect": "Allow",
"Action": [
"organizations:DescribeEffectivePolicy",
"tag:StartReportCreation",
"tag:DescribeReportCreation",
"tag:GetComplianceSummary",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "GetBucketAclForReportDelivery",
"Effect": "Allow",
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::{{bucket_name}}",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
}
}
},
{
"Sid": "GetObjectForReportDelivery",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*/tag-policy-compliance-reports/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
}
}
},
{
"Sid": "PutObjectForReportDelivery",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{bucket_name}}/AwsTagPolicies/{{organization_id}}/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
},
"StringLike": {
"s3:x-amz-copy-source": "*/tag-policy-compliance-reports/*"
}
}
},
{
"Sid": "PutObjectCreateMultipartUpload",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{bucket_name}}/AwsTagPolicies/{{organization_id}}/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
},
"Null": {
"s3:x-amz-copy-source": "true"
}
}
}
]
}
```
------
IAM 정책 및 권한에 대한 자세한 내용은 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/)를 참조하세요.
### 보고서 저장에 대한 Amazon S3 버킷 정책
조직 전체의 규정 준수 보고서를 생성하려면 `StartReportCreation` API를 직접적으로 호출하는 데 사용하는 ID에서 미국 동부(버지니아 북부) 리전의 Amazon Simple Storage Service(Amazon S3) 버킷에 액세스하여 보고서를 저장해야 합니다. 태그 정책은 직접 호출 ID의 자격 증명을 사용하여 규정 준수 보고서를 지정된 버킷에 전달합니다.
`StartReportCreation` API를 직접적으로 호출하는 데 사용되는 버킷과 ID가 *동일한 계정에 속하는* 경우 이 사용 사례에 추가 Amazon S3 버킷 정책이 필요하지 않습니다.
`StartReportCreation` API를 직접적으로 호출하는 데 사용되는 ID와 연결된 계정이 Amazon S3 버킷을 소유한 계정과 *다른* 경우 다음 버킷 정책을 버킷에 연결해야 합니다. 각 {{자리 표시자}}를 사용자의 정보로 바꿉니다.
+ {{`bucket_name`}} - Amazon S3 버킷 이름
+ {{`organization_id`}} - 조직의 ID
+ {{`identity_ARN`}} – `StartReportCreation` API를 직접적으로 호출하는 데 사용되는 IAM ID의 ARN
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountTagPolicyACL",
"Effect": "Allow",
"Principal": {
"AWS": "{{identity_ARN}}"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::{{bucket_name}}"
},
{
"Sid": "CrossAccountTagPolicyBucketDelivery",
"Effect": "Allow",
"Principal": {
"AWS": "{{identity_ARN}}"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{bucket_name}}/AwsTagPolicies/{{organization_id}}/*"
}
]
}
```
------