AWS Organizations란?
여러 aws 계정(루트, iam 포함)을 조직에 통합하고 중앙에서 관리할 수 있는 계정 관리 서비스. 계정 관리 및 통합 결제 기능을 지원하며, 기업의 예산, 보안 및 규정 준수 요구 사항 준수에 도움을 줄 수 있음. 조직 관리자로써 기존 계정 초대 또한 가능함.
모든 AWS 계정의 중앙 집중식 관리
- 기존 계정을 하나의 조직으로 결합해 중앙에서 계정을 관리할 수 있음.
모든 멤버 계정에 대한 통합 결제
- 통합 결제에서 관리 계정은 조직에 속한 멤버 계정의 결제 정보, 계정 정보 및 계정 활동에 엑세스할 수도 있으며 이를 통해 Cost Explorer와 같은 서비스를 활용할 수도 있음.
예산, 보안, 규정 준수 필요 충족을 위한 계정의 계층적 그룹화
- 계정을 조직 단위(OU)로 그룹화하고 OU마다 다른 액세스 정책을 연결하여 규제 요구 사항을 충족하지 않는 서비스에 대한 액세스를 차단할 수 있음.
- 최대 5개의 OU에 속할 수 있음.
각 계정이 액세스할 수 있는 AWS 서비스 및 API 작업의 제어를 중앙화하는 정책
- 서비스 제어 정책(SCP)을 사용하여 개별 멤버, 또는 OU에 속한 계정 그룹에 대해 최대 권한을 지정할 수 있음. 멤버 루트 계정의 사용자 및 역할이 액세스할 수 있는 AWS 서비스, 리소스 및 개별 API 작업을 제한할 수 있으며 이러한 제한은 해당 멤버의 루트 보다도 우선시함.
- 멤버 계정이 연결한 역할이 가지는 유효 권한은 SCP가 허용하는 권한과 IAM 및 리소스 기반 정책이 허용하는 권한 간의 교집합임.
- 서비스 “제어” 정책이므로 어떠한 권한이라도 부여할 수 없음.
조직 계정의 리소스에 대한 자동 백업 구성 정책
- 백업 정책을 사용하여 자동으로 AWS Backup 계획을 구성하고 모든 조직 계정의 리소스에 적용할 수 있음.
서비스 제어 정책(SCP)
조직의 권한을 관리하는 정책 유형. 오직 조직에 속한 계정이 관리하는 IAM 사용자 및 역할만 관리하며, 리소스 기반 정책에는 영향을 주지 않음.
- 사용자나 역할에 관련 SCP가 “허용하지 않거나”, “명시적으로 거부”한 작업의 액세스 권한을 부여한느 IAM 권한 정책은 수행할 수 없음.
- SCP는 루트 사용자를 포함하여 추가된 모든 계정에 영향을 미침.
SCP 사용 전략
다른 aws 서비스와의 통합
- AWS Account Management:
- 조직의 모든 AWS 계정의 세부 정보와 메타데이터를 관리합니다.
- organization과 함께 사용 시 조직의 모든 계정에 대한 대체 연락처 정보를 생성합니다.
- AWS Artifact
- ISO 및 PCI 보고서와 같은 AWS 보안 규정 준수 보고서를 다운로드합니다.
- organization과 함께 사용 시 조직 내 모든 계정을 대신하여 계약을 수락할 수 있습니다.
- AWS Audit Manager
- 지속적인 증서 수비을 자동화하여 클라우드 서비스 사용을 감시할 수 있습니다.
- organization과 함께 사용 시 조직의 여러 AWS 계정에서 사용을 지속적으로 감사하여 위험 및 규정 준수를 평가하는 방법을 단순화합니다.
- AWS Backup
- 조직의 모든 계정에서 백업을 관리하고 모니터링 합니다.
- organization과 함께 사용 시 전체 조직 또는 OU의 계정 그룹에 대한 백업 계획을 구성하고 관리할 수 있습니다. 모든 계정의 백업을 중앙에서 모니터링할 수 있습니다.
- AWS CloudTrail
- 계정의 거버넌스, 규정 준수, 운영 및 위험 감사를 활성화합니다.
- organization과 함께 사용 시 관리 계정 또는 위임된 관리자 계정의 사용자는 조직의 모든 계정에 대한 모든 이벤트를 로깅하는 조직 추적 또는 이벤트 데이터 스토어를 생성할 수 있습니다.
- AWS CloudWatcha Events
- AWS 리소스와 AWS에서 실시간으로 실행되는 애플리케이션을 모니터링합니다.
- organization과 함께 사용 시 조직 내 모든 계정에서 모든 CloudWatcha Events를 공유할 수 있도록 설정할 수 있습니다.
- AWS Config
- AWS 리소스의 구성을 액세스, 감사 및 평가합니다.
- organization과 함께 사용 시 규정 준수 상태를 조직 전체 수준에서 확인할 수 있습니다. AWS Config API 작업을 사용하여 조직의 모든 AWS 계정 전반에 걸쳐 AWS Config 규칙 및 접합성 팩을 관리할 ㅅ도 있습니다.
- AWS Control Tower
- 안전하고 규정을 준수하는 다중 계정 AWS 환경을 설정하고 관리합니다.
- organization과 함께 사용 시 모든 AWS 리소스에 대한 다중 계정 환경 랜딩 영역을 설정할 수 있습니다. 또한 이 환경을 사용하여 모든 AWS 계정에 대해 규정 준수 규칙을 적용할 수 있습니다.
- Amazon Detective
- 로그 데이터에서 보안 결과 또는 의심스러운 활동의 근본 원인을 분석하고, 조사하고, 빠르게 식별하기 위한 시각화를 생성합니다.
- Organization과 함께 사용 시 Detective 동작 그래프가 모든 조직 계정의 활동에 대한 가시성을 제공하게 할 수 있습니다.
- AWS Directory Service
- AWS 클라우드에서 디렉터리를 설정하고 실행하거나 AWS 리소스를 기존의 온프레미스 Microsoft Active Directory와 연결합니다.
- AWS Directory Service를 AWS Organizations와 통합하여 여러 계정과 한 리전의 모든 VPC 간에 원활하게 디렉터리를 공유할 수 있습니다.
- AWS Firewall Manager
- 사용자의 계정과 애플리케이션 전체에서 웹 어플리케이션에 대한 방화벽 규칙을 중앙에서 구성하고 관리합니다.
- 조직 내 전체 계정에서 AWS WAF 규칙을 중앙에서 구성 및 관리할 수 있습니다.
- AWS GuardDuty
- 다양한 데이터 원본의 정보를 분석하고 처리하는 지속적 보안 모니터링 서비스입니다. 기계 학습을 바탕으로 Machine Learning을 적용하여 AWS 환경에서 예기치 않게 발생하는 잠재적 무단 활동과 악의적 활동을 찾아냅니다.
- 멤버 계정을 지정하여 조직의 모든 계정에 대해 GuardDuty를 확인하고 관리할 수 있습니다.
- AWS IAM
- AWS 리소스에 대한 액세스를 안전하게 제어합니다.
- organizations와 함께 사용 시 IAM에서 서비스가 마지막으로 액세스한 데이터를 사용하여 조직 전반의 AWS 활동을 더욱 잘 파악할 수 있고 이 데이터를 활용하여 SCP를 구성할 수 있습니다.
- IAM 액세스 분석기
- AWS 환경의 리소스 기반 정책을 분석하여 신뢰 영역 외부의 보안 주체에 액세스 권한을 부여하는 정책을 식별합니다.
- 멤버 계정을 IAM 액세스 분석기의 관리자로 지정할 수 있습니다.
- Amazon Inspector
- 자동으로 AWS 워크로드에서 취약성을 스캔하여 Amazon ECR에 상주하는 EC2 인스턴스 및 컨테이너 이미지에서 소프트웨어 취약성 및 의도하지 않은 네트워크 노출을 검색합니다.
- organization과 함께 사용 시 관리자에게 멤버 계정의 스캔을 활성화하거나 비활성화하고, 전체 조직에서 집계된결과 데이터를 보고, 억제 규칙을 생성하고 관리할 수 있는 권한을 위임합니다.
- Amazon Macie
- 데이터 보안 및 개인 정보 보호 요구사항 충족을 위한 기계 학습 기반 서비스. S3에 저장된 컨텐츠를 지속적으로 평가하고 잠재적인 문제를 알려줌.
- organization과 함께 사용 시 조직의 모든 계정에 대해 Amazon Macieㅡㄹ ㄹ구서앟여 지정된 Macie 관리자 계정의 모든 계정에 대한 모든 데이터의 통합 보기를 S3로 가져올 수 있음.
- AWS IAM Identity Ccenter(successor to AWS Single Sign-On)
- 모든 계정 및 클라우드 애플리케이션에 대한 SSO 액세스 제공
- organization을 함께 사용 시 사용자는 회사 자격 증명으로 AWS 액세스 포털에 로그인한 후, 자신에게 할당된 관리 계정 또는 멤버 계정에 있는 리소스에 액세스할 수 있음.
- AWS System Manager
- AWS 리소스의 가시성과 제어를 활성화
- organization과 함께 사용 시 Systems Manager Explorer를 사용해 조직의 모든 AWS 계정 간에 작업 데이터를 동기화할 수 있음.
- AWS Trusted Advisor
- Trsuted Advisor는 고객의 AWS 환경을 검사하여 비용 절감, 시스템 가용성 및 성능 개선 또는 보안 격차를 해결할 기회가 있으면 이를 권장함.
- organization과 함꼐 사용 시 조직의 모든 AWS 계정에 대해 위 작업을 수행함.
그 외에도 AWS Compute Optimizer, Amazon DevOps Guru, AWS Health, Amazon License Manager, AWS Marketplace, AWS Network Manager, AWS Resource Access Manager, AWS Security Hub, Amazon S3 Storage Lens, Service Quotas, 태그 정책, AWS Well-Architected Tool, Amazon VPC IP 주소 관리자(IPAM), Reachability Analyzer 등의 서비스와 함께 사용할 수 있습니다.