AWS Organizations는 여러 AWS 계정을 중앙에서 통합 관리하고, 비용 절감, 보안 제어, 정책 적용 등을 효율적으로 수행할 수 있는 서비스입니다.
1. AWS Organizations 핵심 내용
- 글로벌 서비스 : AWS Organizations는 여러 AWS 계정을 관리하는 서비스로, 글로벌 수준에서 동작
- 관리 계정(Management Account) : AWS Organizations의 주 계정으로, 다른 모든 계정을 관리하는 역할
- 회원 계정(Member Accounts) : AWS Organizations에 속한 다른 계정들이며, 하나의 조직에만 속할 수 있음
- 통합 청구(Consolidated Billing) : 여러 계정의 청구서를 하나의 계정으로 통합하여 처리할 수 있습니다. 이를 통해 단일 결제 방식으로 여러 계정의 요금을 관리 할 수 있음
- AWS 계정 생성 자동화 : API를 이용해 AWS 계정을 자동으로 생성할 수 있음
2. AWS Organizations Unit(OU)
정의
AWS Organizations에서 계정을 그룹화하여 계층적으로 구성하는 단위입니다.
역할
- 정책 관리 : 서비스 제어 정책(SCP)을 OU 단위로 적용하여 그룹 내 계정의 권한을 제어
- 조직 관리 : 계정을 논리적으로 분류(예 : 개발, 운영, 테스트 환경)하여 관리 용이
특징
- OU는 하위 OU를 가질 수 있어 계층 구조로 설정 가능
- 정책은 계층적 상속 방식으로 작동(부모 OU 정책은 자식 OU에 적용)
3. AWS Organizations 장점
1. 멀티 계정 환경 제공
- 계정을 분리하여 각 계정에 독립된 리소스와 청구를 관리 가능.
- 보안, 운영, 청구 측면에서 유리.
2. 통합 관리
- 통합 청구로 비용 최적화 및 단일 결제 방식 제공.
- 예약 인스턴스 및 Savings Plans 할인 공유.
3. 보안 강화
- SCP(Service Control Policies)를 통해 계정 또는 OU 단위에서 권한 제한.
- IAM 정책만으로 해결할 수 없는 전역적 제어 가능.
4. 로그 관리
- 모든 계정에서 CloudTrail 로그를 중앙 S3로 수집.
- CloudWatch Logs를 중앙 로깅 계정으로 전송하여 통합 분석 가능.
5. 관리 효율성
- 계정 생성 자동화 API 지원.
- Cross-Account Roles 설정으로 중앙 관리 계정에서 각 계정을 관리 가능.
4. 예제
클라우드 환경에서 계정을 효율적으로 관리하기 위해 계층적 구조로 계정을 그룹화하는 방법을 설명합니다.
그림은 세 가지 주요 OU 설계 방식(비즈니스 단위, 환경 수명 주기, 프로젝트 기반)을 나타냅니다.
Business Unit(비즈니스 단위)
Sales OU(영업 조직 단위)
Retail OU(소매 조직 단위)
Finance(재무 조직 단위)
Environmental Lifecycle(환경 수명 주기)
Prod(운영 환경)
Dev(개발환경)
Test OU(테스트 환경)
Project-Based(프로젝트 기반)
Project 1 OU
Project 2 OU
Project 3 OU
Management Account는 모든 OU와 계정을 관리하는 중앙 계정입니다.
OU (Organizational Unit) 는 계정 그룹화를 통해 관리 정책을 통일적으로 적용하고, 계정을 논리적으로 정리합니다.
이러한 구조는 보안, 비용 관리, 책임 분배를 용이하게 만듭니다.
아는 만큼 보인다