한 회사에서 AWS Organizations를 사용하여 여러 부서의 여러 AWS 계정을 관리합니다. 관리 계정에는 프로젝트 보고서를 포함하는 Amazon S3 버킷이 있습니다. 회사는 이 S3 버킷에 대한 액세스를 AWS Organizations의 조직 내 계정 사용자로만 제한하고자 합니다.
최소한의 운영 오버헤드로 이러한 요구사항을 충족하는 솔루션은 무엇입니까?
A. 조직 ID를 참조하여 aws PrincipalOrgID 글로벌 조건 키를 S3 버킷 정책에 추가합니다.
B. 각 부서의 OU(Organization Unit)를 생성합니다. AWS:PrincipalOrgPaths 글로벌 조건 키를 S3 버킷 정책에 추가합니다.
C. AWS CloudTrail을 사용하여 CreateAccount, InviteAccountToOrganization, LeaveOrganization, RemoveAccountFromOrganization 이벤트를 모니터링하고 이에 따라 S3 버킷 정책을 업데이트합니다.
D. S3 버킷에 대한 액세스가 필요한 각 사용자에게 태그를 지정하고 aWS:PrincipalTag 글로벌 조건 키를 S3 버킷 정책에 추가합니다.
유데미 강의에는 AWS Oranizations 가 없었는데 쩝..
AWS Organizations 를 사용하면 조직 내의 계정이 속한 조직 ID를 사용하여 리소스 액세스를 제한할 수 있습니다. aws:PrincipalOrgID 조건 키를 사용하여 S3 버킷 정책에 조건을 추가하면, 해당 조건은 AWS Organizations 내의 특정 조직 ID로부터의 요청만 버킷에 액세스하도록 허용합니다. 따라서 조직 내의 모든 계정 사용자만 버킷에 액세스할 수 있습니다.
근데 뭔가 나는 보면서 IAM과 비스무리한거 아닌가? 왜 나뉘어있는거지 하는 생각이 들었다.
찾아보니, 조직단위 계정에 일종의 가이드를 적용하고자 한다면 Organization, 각 사용자별 세부 권한 조정을 하고자 할때는 IAM을 사용하면 된다고 한다.
그리고 계정/조직 레벨에서 각종 정책(백업, 리소스, 보안 등)이나 비용 등을 관리하고자 할때도 Organizations를 사용한다.
기능 범위: IAM은 AWS 리소스에 대한 액세스 제어에 중점을 둔다면, AWS Organizations는 계정 관리 및 조직 전체 정책 설정에 중점을 둡니다.
활용 사례: IAM은 특정 AWS 서비스나 리소스에 대한 사용자의 액세스를 제어하는 데 사용되는 반면, AWS Organizations는 여러 AWS 계정을 중앙에서 효율적으로 관리하고 정책을 설정하는 데 사용됩니다.
즉, AWS Organizations는 여러 AWS 관리하는 서비스이다. 따라서 AWS 계정을 관리하고자 하는 목적엔 A 답안이 가장 적합하다.
