AWS Organizations

안녕하세요, BTC 베짱이 팀입니다!

 

이번에는 'AWS Organizations' 에 대해 소개하도록 하겠습니다.

 

---

AWS Organizations 란

AWS Organizations은 생성한 여러 AWS 계정을 조직에 통합하기 위한 중앙에서 관리할 수 있는 계정 관리 서비스입니다.

 

IAM 계정이 개별 계정에서 여러 사용자로 나눈다고 하면, Organizations는 각 계정 수준에서 관리하는 서비스입니다.

 

AWS Organizations의 계정 관리 및 통합 결제 기능을 활용하면 기업의 예산, 보안 및 규정 준수 요구 사항을 보다 잘 충족할 수 있습니다.

 

조직의 관리자로서 조직에서 계정을 생성하고 기존 계정을 조직에 초대할 수 있습니다.

 

---

AWS Organizations 의 기능

• 모든 AWS 계정의 중앙 집중식 관리
  • 기존 계정을 하나의 조직으로 결합해 중앙에서 계정을 관리할 수 있습니다. 자동으로 조직의 일부가 되는 계정을 만들고, 다른 계정을 조직에 초대할 수 있습니다. 또 계정 일부나 전체에 영향을 주는 정책을 연결할 수도 있습니다.

 

• 모든 멤버 계정에 대한 통합 결제
  • 통합 결제는 AWS Organizations의 기능입니다. 조직의 관리 계정을 사용하여 모든 멤버 계정을 통합하고 요금을 지불할 수 있습니다. 통합 결제에서 관리 계정은 조직에 속한 멤버 계정의 결제 정보, 계정 정보 및 계정 활동에 액세스할 수도 있습니다. 이 정보는 관리 계정이 조직의 비용 성과를 향상시키는 데 도움이 되는 Cost Explorer와 같은 서비스에서 활용할 수 있습니다.

 

• 예산, 보안, 규정 준수 필요 충족을 위한 계정의 계층적 그룹화
  • 계정을 조직 단위(OU)로 그룹화하고 OU마다 다른 액세스 정책을 연결할 수 있습니다. 예를 들어 특정 규제 요구 사항을 충족하는 AWS 서비스에만 액세스해야 하는 계정이 있는 경우 이러한 계정을 하나의 OU에 넣을 수 있습니다. 그런 다음 해당 OU에 정책을 연결해 규제 요구 사항을 충족하지 않는 서비스에 대한 액세스를 차단합니다. OU는 5층으로 다른 OU에 중첩할 수 있어, 계정 그룹을 유연하게 구성할 수 있습니다.

 

• 각 계정이 액세스할 수 있는 AWS 서비스 및 API 작업의 제어를 중앙화하는 정책
  • 조직 관리 계정의 관리자는 서비스 제어 정책(SCP)을 사용하여 조직의 멤버 계정에 대한 최대 권한을 지정할 수 있습니다. SCP에서 각 멤버 계정의 사용자 및 역할이 액세스할 수 있는 AWS 서비스, 리소스 및 개별 API 작업을 제한할 수 있습니다. 또한 AWS 서비스, 리소스 및 API 작업에 대한 액세스를 제한할 조건을 정의할 수도 있습니다. 이러한 제한은 조직의 멤버 계정 관리자보다도 우선합니다. AWS Organizations에서 멤버 계정의 서비스, 리소스 또는 API 작업에 대한 액세스를 차단하면 해당 계정의 사용자나 역할은 이러한 서비스, 리소스 또는 API 작업에 액세스할 수 없습니다. 이 차단은 멤버 계정의 관리자가 IAM 정책에서 이러한 권한을 명시적으로 부여하더라도 여전히 적용됩니다.

 

• 조직 계정의 리소스 전반에서 태그를 표준화하는 정책
  • 태그 정책을 사용하여 태그 키와 태그 값의 기본 대소문자 처리를 포함한 태그를 일관적으로 유지 관리할 수 있습니다.

 

• AWS 인공 지능(AI) 및 기계 학습 서비스가 데이터를 수집하고 저장하는 방식을 제어하는 정책
  • AI 서비스 옵트아웃 정책을 사용하면 사용하지 않으려는 AWS AI 서비스에 대한 데이터 수집 및 저장을 옵트아웃할 수 있습니다.

 

• 조직 계정의 리소스에 대해 자동 백업을 구성하는 정책
  • 백업 정책을 사용하여 자동으로 AWS Backup 계획을 구성하고 모든 조직 계정의 리소스에 적용할 수 있습니다.

 

• AWS Identity and Access Management(IAM)에 대한 통합 및 지원
  • IAM은 개별 계정에서 사용자와 역할에 대한 세분화된 제어를 제공합니다. AWS Organizations는 사용자가 계정이나 계정 그룹에서 사용자와 역할이 할 수 있는 일을 제어하게 함으로써 이러한 제어력을 계정 수준으로까지 확장합니다. 결국 계정 수준에서 AWS Organizations가 허용하는 권한과 해당 계정 내 사용자 또는 역할 수준에서 IAM이 명시적으로 부여하는 권한이 논리적으로 교차된 권한이 생성됩니다. 다시 말해 사용자는 AWS Organizations 정책과 IAM 정책 모두가 허용하는 것에만 액세스할 수 있습니다. 둘 중 하나가 작업을 차단한다면, 사용자는 해당 작업에 액세스할 수 없습니다.

 

• 다른 AWS 서비스와의 통합
  • AWS Organizations에서 사용 가능한 다중 계정 관리 서비스를 일부 AWS 서비스와 함께 사용하면 조직의 멤버인 모든 계정에서 작업을 수행할 수 있습니다.
  • AWS 서비스가 조직의 멤버 계정 내에서 사용자를 대신하여 작업을 수행하도록 활성화하면 AWS Organizations는 각 멤버 계정에 해당 서비스용 IAM 서비스 연결 역할을 생성합니다. 서비스 연결 역할에는 다른 AWS 서비스가 조직과 해당 계정에서 특정 작업을 수행하도록 허용하는 사전 정의된 IAM 권한이 있습니다. 이렇게 하기 위해 조직의 모든 계정은 자동으로 서비스 연결 역할을 갖습니다. 이 역할을 통해 AWS Organizations 서비스는 AWS 서비스에서 신뢰할 수 있는 액세스를 활성화하는 데 필요한 서비스 연결 역할을 생성할 수 있습니다. 이러한 추가적인 서비스 연결 역할은 특정 서비스를 활성화하여 구성 선택에 필요한 작업만을 수행하도록 하는 IAM 권한 정책에 연결됩니다.

 

• 전역 액세스
  • AWS Organizations는 모든 AWS 리전에서 작동하는 하나의 엔드포인트를 가진 글로벌 서비스입니다. 작동할 리전을 명시적으로 선택할 필요가 없습니다.

 

• 최종 일관 데이터 복제
  • AWS Organizations는 다른 많은 AWS 서비스와 마찬가지로 최종 일관성이 있습니다. AWS Organizations에서는 리전 내에 있는 AWS 데이터 센터의 여러 서버 간에 데이터를 복제하여 고가용성을 구현합니다. 일부 데이터를 변경하겠다는 요청이 성공하면 변경이 실행되고 그 결과는 안전하게 저장됩니다. 그러나 변경 사항은 여러 서버에 걸쳐 복제되어야 합니다.

 

• 무료 사용
  • AWS Organizations는 추가 비용 없이 AWS 계정에 제공되는 기능입니다. 조직의 계정에서 다른 AWS 서비스에 액세스할 때만 요금이 부과됩니다.

---