AWS Organizations

본 글의 내용은 AWS Cloud Practitioner Essentials (Korean)에서 발췌함

 

AWS Cloud를 처음 사용하면 대부분 AWS 계정 하나로 시작하며 계정에 모든 요소가 존재한다.

대부분의 사람은 이렇게 시작하지만 회사가 성장하거나 클라우드 여정을 시작한다면 업무를 분리하는 것이 좋다.

 

예를 들어 개발자는 개발 리소스에 액세스하고 회계 직원은 결제 정보에 액세스할 수 있게 하거나 심지어 사업 부문을 분리하여 서로에게 영향을 주지 않고 AWS 서비스를 실험하게 하는 식이다.

 

이렇게 하면 합류해야 하는 모든 사람에게 다른 선택지를 제공할 수 있다.

그러다보면 자신도 모르는 사이에 복잡하게 얽힌 AWS 계정 스파게티를 발견하게 될 것이다.

 

맛없는 스파게티다.

 

예를 들어 계정 A, F, G를 추적해야 하거나 계정 B에 잘못된 권한이 있거나 계정 C에 결제 및 규정 준수 정보가 있기도 하다.

순서를 정비하고 특정 계정에서 특정 기능을 수행할 수 있는 사람을 지정하는 방법 중 하나는 AWS Organizations라는 서비스를 사용하는 것이다.

 

 

 

AWS Organizations

 

회사에 여러 AWS 계정이 있다고 가정하자.

AWS Organizations를 사용하여 중앙 위치에서 여러 AWS 계정을 통합하고 관리할 수 있다.

 

조직을 생성하면 AWS Organizations가 조직의 모든 계정에 대한 상위 컨테이너 루트를 자동으로 생성한다.

 

 

Organizations를 통해 모든 AWS 계정의 중앙 집중식 관리를 수행할 수 있다.

AWS 계정이 A, B, C, F, G가 있다고 가정하자.

 

이제 이러한 계정을 하나의 조직으로 결합하여 계정을 중앙에서 관리할 수 있다.

이로써 계정 D와 E가 처리 중임을 알 수 있다.

 

다음 기능은 모든 멤버 계정에 대한 통합 결제이다.

이를 통해 조직의 기본 계정을 사용하여 모든 멤버 계정을 통합하고 비용을 지불할 수 있다.

 

통합결제의 또 다른 장점은 대량 할인이다.

실제적인 현금 할인을 의미한다.

 

 

AWS Organizations에서는 서비스 제어 정책(SCP)을 사용하여 조직의 계정에 대한 권한을 중앙에서 제어할 수 있다.

SCP를 사용하면 각 계정의 사용자 및 역할이 액세스할 수 있는 AWS 서비스, 리소스 및 개별 API 작업을 제한할 수 있다.

 

다음 기능은 보안, 규정 준수 or 예산 요구 사항에 맞게 계정의 계층적 그룹화를 구현할 수 있다는 점이다.

계정을 조직 단위인 OU나 비즈니스 단위인 BU로 그룹화할 수 있다는 것이다.

 

 

조직 단위

 

AWS Organizations에서는 계정을 조직 단위(OU)로 그룹화하여 비슷한 비즈니스 or 보안 요구 사항이 있는 계정을 손쉽게 관리할 수 있다.

OU에 정책을 적용하면 OU의 모든 계정이 정책에 지정된 권한을 자동으로 상속한다.

 

개별 계정을 OU로 구성하면 특정 보안 요구 사항이 있는 워크로드 or 애플리케이션을 보다 간편하게 격리할 수 있다.

 

예를 들어 회사에 특정 규정 요구 사항을 충족하는 AWS 서비스에만 액세스할 수 있는 계정이 있다면, 이러한 계정을 한 OU에 배치할 수 있다.

 

그런 다음, 규제 요구 사항을 충족하지 않는 다른 모든 AWS 서비스에 대한 액세스를 차단하는 정책을 해당 OU에 연결할 수 있다.

 

 

예: AWS Organizations

 

 

재무, 정보 기술(IT), 인사(HR) 및 법률 부서에 별도의 AWS 계정이 있다고 가정하자.

중앙 위치에서 관리할 수 있도록 이러한 계정을 단일 조직으로 통합하기로 결정한다.

조직을 만들면 루트가 설정된다.

 

조직을 설계할 때 각 부서의 비즈니스, 보안 및 규정 요구 사항을 고려한다.

이 정보를 사용하여 OU에서 함께 그룹화할 부서를 결정한다.

 

 

재무 부서와 IT 부서에는 다른 부서의 요구 사항과는 중복되지 않는 요구 사항이 있다.

통합 결제와 같은 혜택을 활용하려면 이러한 계정을 조직으로 가져오되 어떤 OU에도 배치하지 않는다.

 

 

※ 통합 결제는 AWS Organizations의 또 다른 기능이다. 이후의 게시물에서 설명하겠다.

 

 

HR 부서와 법률 부서는 동일한 AWS 서비스 및 리소스에 액세스해야 하므로 한 OU에 함께 배치할 수 있다.

한 OU에 배치한 후에는 HR 부서와 법무 부서 모두의 AWS 계정 모두에 적용되는 정책을 연결할 수 있다.

 

 

AWS Oraganizations와 IAM

 

AWS Organizations에서 서비스 제어 정책(SCP)을 조직 루트, 개별 멤버 계정 or OU에 적용할 수 있다.

SCP는 AWS 계정 루트 사용자를 포함하여 계정 내의 모든 IAM 사용자, 그룹 및 역할에 영향을 준다.

 

IAM 정책은 IAM 사용자, 그룹 or 역할에 적용할 수 있다.

AWS 계정 루트 사용자에게는 IAM 정책을 적용할 수 없다.