📌 AWS Organizaions를 사용하게 된 계기
현재 프로젝트에는 기획 및 디자인 및 마케팅 1명, 프론트엔드 1명, 백엔드 2명으로 구성되어 있습니다. 프론트엔드 개발자가 가끔 SpringBoot를 통해서 API 연결작업을 하는데, 직장인이다 보니, 여러 IP를 통하여 데이터베이스에 접근하게 됩니다.
현재 AWS RDS는 IP를 다 열어두지 않고 관리하기 때문에 AWS 관리하는 저에게 IP를 추가해 달라고 합니다.
최근 공부하면서 AWS 서비스의 권한을 줘서 사용할 수 있게 만드는 IAM을 공부하다 보니, 프로젝트다 보니 여러 방식을 사용해보고 싶어서 IAM을 관리하는 AWS Organizaions를 생성하게 되었습니다.AWS Organizations 란?
- 서비스 제어 정책(SCP)을 사용하여 조직의 계정에 대한 권한을
중앙에서 제어 - 모든 멤버 계정에 대한 통합 결제 → 대량 할인
- 계정의 계층적 그룹화 → 계층보안
- AWS 서비스 및 API 작업 액세스 제어 → 서비스 제어 정책 (SCP)
- 서비스 제어 정책(SCP)을 조직 루트, 개별 멤버 계정 또는 OU에 적용할 수 있습니다
한마디로 트리구조를 이용하여 대량으로 조직의 계정의 권한을 설정할 수 있습니다.
어떻게 사용하는데 ?
흐름은 조직생성 -> 권한세트, 그룹, 사용자 생성 -> 연결
우선 Organizaions를 생성합니다.AWS Organizations > AWS 계정 > AWS 계정 추가
- AWS 조직을 생성했다면, IAM 사용자를 생성하기 위해
IAM Identity Center로 갑니다.
AWS Organization에 줄 권한 세트를 생성합니다.
RDS에 접근할 수 있는 권한VPC에서 규칙을 수정할 수 있는 권한
- 권한을 줄 수 있는
최소한의 정책은 아니지만 아직 테스트 단계이기 때문에 이렇게 줍니다.ps. 권한 세트를 설정하지 않거나 잘못 설정하면 IAM 사용자로 접근했을 때 Authenticate 오류가 뜹니다 !!
사용자 생성
- 상대방의 이메일만 입력하면 IAM 사용자를 간단하게 만들 수 있습니다.
- 이메일로 비밀번호가 전송되게 설정해뒀기 때문에 비밀번호는 메일에서 확인할 수 있습니다.
그룹 생성
- 그룹을 생성해주고, 사용자를 추가해줍니다.
연결작업
지금 현재까지 AWS Organization, 권한 세트, 그룹, 사용자를 생성했습니다.
이제 연결작업을 진행해보겠습니다.
- 여기서 관리계정을 클릭해줍니다.
- 아래
사용자 또는 그룹 할당클릭 - 그룹 및 권한 세트를 할당해 줍니다.
- 아래 제출버튼을 누르게되면 끝이납니다.
- 아까 등록했던 이메일과 주황색 밑줄이 그어져 있는 조직 ID를 입력하면 로그인이 됩니다.
- 그럼 사용하려는 RDS에 접속이 가능하고, VPC에 접근하여 수정이 가능합니다.
이렇게 AWS 루트계정의 서비스에 접근하기 위한 AWS Organizations와 IAM을 사용해봤습니다. AWS DEP공부를 하면서 배포관련 내용을 공부하다보니, 권한에 대한 내용이 문제에 많이 나오더라구요. 그렇게해서 저희 프로젝트에 있는 문제점아닌 문제를 이렇게 실습을 해보면서 적용시켜봤습니다!
여러분들도 공부하시다가 다양한 방법으로 귀찮은 일을 자동화 시킨다던지, 부가적인 일을 떠넘긴다던지 해보세요 !! 개꿀입니다
고민이 많은 개발자