AWS Organizations

여기에서는 AWS Organizations에 대해 다룰 것이다.

비즈니스 규모에 따라 각 부서 또는 팀에 별도의 AWS 계정을 할당하는 것이 더 쉬울 수 있다. 이렇게 하면 각 그룹의 지출과 관련해 사용 및 비용에 대한 명확하고 정의된 보고서를 가질 수 있다. 이러한 경우 개별 계정을 모두 연결하는 서비스가 필요하다.

여러 계정의 통합 결제에 AWS에서는 AWS Organizations를 사용하면 편리하게 이용할 수 있다.

AWS Organizations 소개

AWS Organizations는 단일 조직을 생성하고 여러 AWS 계정을 이 조직으로 통합하여 중아에서 관리할 수 있는 무료 계정 관리 서비스이다. AWS Organizations에는 비즈니스에 필요한 예산, 보안과 규정 준수를 충족하는 데 도움이 되는 통합 결제 및 계정 관리 기능이 포함되어 있다.

AWS Organizations의 주요 이점은 다음과 같다.

• 여러 AWS 계정에 대한 액세스 정책을 중앙에서 관리
• AWS 서비스에 대한 액세스 제어
• AWS 계정 생성 및 관리 자동화
• 여러 AWS 계정의 통합 결제

AWS Organizations 용어

위 그림은 4개의 OU(조직단위)로 구분되는 계정 7개로 구성된 기본 조직 또는 루트를 보여준다. OU는 루트 내의 계정을 위한 컨테이너다. OU에는 다른 OU도 포함될 수 있다. 분기는 하위 OU로 구성되며 아래쪽으로 이어지다가 계정에서 끝난다.

계층 구조의 노드 중 하나에 정책을 연결하면 흐름이 중단되고 모든 조직와 계정에 영향을 준다.

OU에는 상위 항목이 하나만 있을 수 있으며 현재 각 계정은 정확히 하나의 OU에 속할 수 있다. 계정은 AWS 리소스가 포함된 표준 AWS 계정이다. 단일 계정에 정책을 연결하여 해당 계정에만 제어를 적용할 수도 있다.

주요 기능 및 이점

AWS Organizations를 사용하면 다음과 같은 주요 기능을 수행하고 이점을 얻을 수 있다.

• 여러 AWS 계정에 걸쳐 중앙에서 AWS 서비스를 제어하는 SCP(서비스 제어 정책) 생성
• 계정 그룹을 생성한 다음 그룹에 정책을 연결하여 계정 전체에 올바른 정책 적용
• API(애플리케이션 프로그래밍 인터페이스)를 사용하여 새로운 AWS 계정의 생성 및 관리를 자동화함으로써 계정 관리 간소화
• 조직의 모든 AWS 계정에 대해 단일 결제 방법을 설정하여 결제 프로세스를 간소화
• 통합 결제를 사용하면 모든 계정에서 발생한 요금을 통합하여 보고, 사용량을 집계하여 요금 혜택을 받을 수 있다. 통합 결제는 모든 AWS 계정에 대한 결제를 관리하고 대량 구매 할인 혜택을 받을 수 있는 중앙 위치를 제공한다.

AWS Organizations 보안

AWS Organizations는 다음과 같은 기능을 사용해 보안에 활용할 수 있다.

1. AWS Identity and Access Management(IAM)를 사용해 액세스 제어한다. IAM 정책을 사용하면 AWS 서비스에 대한 사용자, 그룹 및 역할의 액세스 허용 및 거부할 수 있다.
2. Organizations에서는 SCP(서비스 제어 정책)를 사용해 특정 AWS 서비스에 대한 OU(조직 단위) 내 개인 또는 그룹 계정의 액세서를 허용하거나 거부할 수 있다. 연결된 SCP에서 지정된 작업은 AWS 계정 루트 사용자를 포함해 계정의 모든 IAM 사용자, 그룹 및 역할에 영향을 준다.

AWS Organizations 조직 설정

아래는 기존 AWS 계정에 2개에 대한 액세스 권한이 있고 각 계정에 관리자로 로그인할 수 있다고 가정할 때, AWS Organizations를 설정하는 과정이다.

1. 현재 AWS 계정을 마스터 계정으로 사용해 조직을 생성한다. 또한 하나의 AWS 계정을 초대해 조직에 가입하고 다른 계정을 멤버 계정으로 생성한다.
2. 새 조식에 2개의 조직 단위(OU)를 생성해고 이러한 OU에 멤버 계정을 배치한다.
3. 멤버 계정의 사용자 및 역할에 위임할 수 있는 작업에 대한 제한을 적용하는 데 사용할 서비스 제어 정책(SCP)을 생성한다. SCP는 조직 제어 정책의 한 유형이다.
4. 조직의 정책을 테스트한다. 각 역할에 대한 사용자로 로그인하고 서비스 제어 정책이 계정 액세스에 미치는 영향을 확인한다. 또는 IAM 정책 시뮬레이터를 사용해 AWS 계정의 IAM 사용자, 그룹 또는 역할에 연결된 리소스 기반 정책과 IAM을 테스트하고 문제를 해결할 수 있다.

AWS Organizations 제한

AWS Organizations에는 위 그림과 같은 제한 사항이 존재한다.

AWS Organizations 액세스

AWS Organizations는 다양한 인터페이스를 통해 관리할 수 있다.

• AWS Management Console: 조직 및 AWS 리소스를 관리하는 데 사용할 수 있는 브라우저 기반 인터페이스이다. 콘솔을 이용해 조직의 모든 작업을 수행할 수 있다.
• AWS 명령줄 인터페이스(AWS CLI): 시스템의 명령줄에서 명령을 실행해 AWS Organizations 작업과 AWS 작업을 수행할 수 있다. 이 방법은 콘솔을 사용하는 것보다 더 빠르고 편리할 수 있다.
• AWS SDK(소프트웨어 개발 키트): 요청에 암호화 방식으로 서명하고 오류를 관리하고 자동으로 요청을 재시도하는 등의 작업을 처리할 수 있다. AWS SDK는 Java, Python, Ruby, .NET, iOS 및 Android와 같은 다양한 프로그래밍 언어 및 플랫폼에 대한 라이브러리와 샘플 코드로 구성되어 있다.
• AWS Organizations HTTPS 쿼리 API: AWS Organizations 및 AWS에 프로그래밍 방식으로 액세스할 수 있다. API를 사용해 HTTPS 요청을 서비스에서 직접 실행할 수 있다. HTTPS API를 사용할 때는 자격 증명을 사용해 요청에 디지털 방식으로 서명하는 코드를 포함해야 한다.