AWS Organizations, IAM(AWS Identity and Access Management), AWS Control Tower

이eun·2025년 1월 14일

AWS Organizations, IAM(AWS Identity and Access Management), 그리고 AWS Control Tower는 모두 AWS 클라우드 환경에서 계정과 리소스를 관리하고 보안을 강화하는 데 사용됩니다. 이들의 목적과 기능을 분석하면 다음과 같습니다:

1. AWS Organizations

목적

AWS 계정을 그룹화하고 중앙에서 관리할 수 있도록 도와주는 서비스. 여러 AWS 계정에서 통합 관리를 지원하여 리소스 및 비용 관리, 정책 적용을 단순화합니다.

주요 기능

  1. 조직 계층 구조 관리:

    • 계정을 논리적으로 그룹화(Organizational Unit, OU)하여 계층 구조 생성.
    • OU에 따라 정책을 계층적으로 적용 가능.

  2. 서비스 제어 정책(SCP):

    • 특정 AWS 계정 또는 OU에 허용 또는 금지되는 작업을 제어.
    • IAM 권한과 결합하여 세밀한 액세스 관리.

  3. 통합 결제(Consolidated Billing):

    • 모든 계정의 비용을 하나의 청구서로 통합.
    • 대량 구매 할인을 받을 수 있는 비용 절감 효과.

  4. 계정 생성 및 초대:

    • 새 계정을 생성하거나 기존 계정을 조직에 초대 가능.

  5. 서비스 통합:

    • AWS Control Tower, Service Catalog 등과 통합하여 더욱 효율적인 관리 가능.

사용 예시

  • 여러 팀(예: 개발, 테스트, 운영) 또는 비즈니스 단위(예: 국내, 해외)별 계정을 그룹화하고 관리.
  • 특정 리전에서만 리소스 사용을 허용하거나 특정 서비스 사용을 금지.

2. AWS Identity and Access Management (IAM)

목적

AWS 리소스에 대한 세부적인 사용자 액세스 권한을 관리하는 서비스.

주요 기능

  1. 사용자 및 그룹 관리:

    • AWS 리소스에 접근할 수 있는 사용자 계정을 생성하고 그룹화.
    • 사용자별 고유한 로그인 자격 증명 제공.

  2. 정책(Policy) 관리:

    • JSON 형식의 정책 문서를 작성하여 권한을 정의.
    • 정책 유형: 관리형(Managed) 및 커스텀 정책.

  3. 역할(Role) 설정:

    • 특정 작업을 수행하기 위해 임시로 권한을 부여.
    • AWS 서비스 간의 권한 위임 또는 교차 계정 액세스에 사용.

  4. 멀티팩터 인증(MFA):

    • 추가 보안 계층을 제공하여 계정 보호 강화.

  5. Fine-Grained Access Control:

    • 특정 리소스나 작업에 대한 세부적인 권한 제어 가능.
    • 예: S3 버킷에 대한 읽기 전용 액세스.

사용 예시

  • 개발자에게 EC2 시작 권한을 부여하고, 데이터 분석가에게 S3 버킷 읽기 권한만 제공.
  • 타사 애플리케이션이 AWS 리소스에 접근할 수 있도록 역할(Role) 설정.

3. AWS Control Tower

목적

AWS Organizations 및 기타 AWS 서비스를 활용하여 멀티 계정 환경을 자동 설정하고 거버넌스를 적용하는 관리 도구.

주요 기능

  1. Landing Zone 설정:

    • 멀티 계정 환경을 자동 구성.
    • 중앙 관리 계정, 로그 계정, 보안 계정을 포함.

  2. 거버넌스 및 Guardrails:

    • AWS 환경에서 준수해야 할 정책(Guardrails)을 미리 정의.
    • 예: 데이터 암호화 필수, 특정 리전 사용 금지.

  3. AWS 계정 팩토리(Account Factory):

    • 조직 내에서 새로운 계정을 쉽게 생성 및 프로비저닝.
    • 기본 보안 및 네트워크 구성이 포함된 계정 생성.

  4. 모니터링 및 알림:

    • AWS Control Tower Dashboard에서 상태 모니터링.
    • Guardrails 위반 또는 변경 사항 알림.

  5. 서비스 통합:

    • AWS Organizations, IAM, CloudTrail, Config, Service Catalog 등과 원활하게 작동.

사용 예시

  • 다국적 회사가 각 지역별 AWS 계정을 생성하고, 공통 보안 및 규정 준수 정책을 적용.
  • 새로운 AWS 계정을 생성할 때마다 자동으로 Guardrails를 설정.

비교 분석

특징AWS OrganizationsAWS IAMAWS Control Tower
주요 목적계정 그룹화 및 통합 관리리소스별 세부 권한 제어멀티 계정 환경의 자동 설정 및 거버넌스 적용
관리 단위계정 및 조직 단위사용자, 그룹, 역할 단위계정 및 Guardrails
주요 정책SCP(Service Control Policy)IAM 정책Guardrails
보안 관리서비스 사용 제한 및 계정 그룹화사용자 인증 및 리소스 권한 관리자동화된 보안 및 규정 준수 관리
통합 서비스Control Tower, Service Catalog 등과 통합S3, EC2 등 모든 AWS 리소스와 통합Organizations 및 IAM과 깊이 통합
적용 대상조직 전체의 계정사용자 및 역할멀티 계정 환경
주요 사용자클라우드 관리자 및 IT 팀개발자, 운영자, 보안 관리자클라우드 관리자 및 규정 준수 담당자

결론

  • AWS Organizations: 계정 및 정책을 중앙에서 관리하고 통합 결제를 통해 비용 최적화.
  • AWS IAM: 리소스 접근 권한을 세부적으로 설정하고 제어.
  • AWS Control Tower: 멀티 계정 환경을 쉽게 구성하고, 규정 준수와 보안을 자동화.

이 세 서비스를 함께 사용하면 AWS 클라우드 환경에서 계정, 리소스, 보안을 체계적으로 관리할 수 있습니다. 추가적으로 깊이 있는 설정 방법이나 사례가 필요하면 말씀해주세요!

profile
이eun
이전 포스트

AWS의 CloudTrail과 Config 차이점

다음 포스트

Guardrail 설정 방안

0개의 댓글