본문 바로가기
AWS/Study

[AWS] Organizations

by okms1017 2023. 4. 10.
728x90

1. 개념

여러 AWS 계정을 조직으로 통합하고 중앙에서 한 번에 관리할 수 있는 계정 관리 서비스 

 
 

2. 구성
 

AWS Organizations

1) 최상단에 Root Organizational Units(OU)가 존재하고, 관리용 계정(Management account)을 가지고 있다. 
2) 하위 조직단위(OU)들을 소유할 수 있으며,  각 조직단위(OU)는 여러 멤버 계정(Member account) 또는 또다른 하위 OU(Nested OU)로 구성될 수 있다. 

 
 

3. OragnizationAccountAccessRole

 

1) API를 이용하여 OU에서 멤버 계정을 생성하면 OrganizationAccountAccessRole 이라는 IAM 역할을 자동으로 생성한다. 
2) 관리용 계정은 AssumeRole API를 이용하여 멤버 계정에 해당 IAM 역할을 부여할 수 있다.
3) 해당 IAM 역할은 멤버 계정에게  모든 관리자 권한을 부여하여 관리용 계정에 접근할 수 있도록 한다. 
4) 만약 이미 외부에 존재하는 계정을 조직에 초대하는 경우에는 수동으로 해당 IAM 역할을 생성해주어야 한다.   
 
ex) 사용예시 
관리용 계정에서 OrganizationAccountAccessRole을 사용하여 멤버 계정에서 IAM 사용자를 생성하는 등 관리자 권한이 필요한 업무를 수행할 수 있다. 

 
 

4. Multiple Account Strategy

 
- OU 별로 계정들을 생성하고 SCP(Service Control Policy)를 이용하여 리소스를 제한할 수 있다. ex) 비용/개발/테스트/운영 
- VPC 마다 하나의 계정을 만들지 않아도 되고, 계정마다 서비스 제한을 별도로 둘 수 있다. 
- 멀티 계정을 사용할 때 비용을 통합 청구하기 위한 태깅 표준이 필요하다. 
- 모든 계정에서 CloudTrail 서비스를 활성화하고 발생하는 모든 로그를 중앙 관리 계정의 S3 버킷으로 보낼 수 있다.
- 모든 계정에서 CloudWatch 서비스로부터 발생하는 로그를 하나의 로그용 계정에 모을 수 있다.
- 보안을 위한 계정을 별도로 생성할 수 있다. 

 
 

5. 기능

 

1) 통합 결제

- 모든 계정의 비용을 통합하여 관리용 계정에서 단일 청구할 수 있다. 
- 통합 청구 시 EC2, S3 등 할인 혜택을 적용받을 수 있다. 

 

2) 모든 기능(디폴트)

- 통합 결제 기능, SCP 기능을 포함한다. 
- 초대받은 계정은 조직 내 모든 기능 활성화(Enable all features)가 승인되어야 한다. 
- 모든 기능이 활성화되면 SCP를 사용할 수 있고, 멤버 계정이 조직을 떠나는 것을 방지할 수 있다.
- 한 번 모든 기능을 활성화하면 통합 결제 모드로 변경할 수 없다. 
 
 

6. 예약 인스턴스 공유
 

- 조직 내 예약 인스턴스를 가지고 있는 경우, 하위 모든 계정은 매시간마다 예약 인스턴스의 비용 절감 혜택을 누릴 수 있다.
- 특정 계정에서 예약 인스턴스를 구매한 이후 사용하지 않을지라도 다른 계정에서 사용할 수 있으므로 최대 비용 절감의 효과를 얻을 수 있다. 
- 관리용(청구) 계정은 예약 인스턴스 공유 또는 비용 절감을 끄고, 특정 계정에만 적용되도록 할 수 있다. 
 
 

7. 조직 간 계정 이동 

 
0) 기존 조직에서 새로운 조직으로 멤버 계정을 이동하려는 경우, 
1) Organization A(Old)에서 멤버 계정을 제거한다. 
2) Organization B(New)에서 독립 상태의 멤버 계정에 초대를 보낸다. 
3) 멤버 계정에서 초대를 수락하면 Organization B에 소속된다. 

 
 
 

[출처]
1) Udemy 강의, "Ultimate AWS Certified Solutions Architect Professional 2023", https://www.udemy.com/course/aws-solutions-architect-professional

2) https://docs.aws.amazon.com/ko_kr/organizations/latest/userguide/orgs_getting-started.html

 

AWS Organizations 시작하기 - AWS Organizations

이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.

docs.aws.amazon.com

728x90

'AWS > Study' 카테고리의 다른 글

[AWS] Control Tower  (0) 2023.04.25
[AWS] IAM Identity Center  (0) 2023.04.14
[AWS] Service Control Policies  (0) 2023.04.12
[AWS] Directory Service  (0) 2023.04.07
[AWS] Identity Federation  (0) 2023.04.05

관련글

티스토리툴바