AWS Organizations

AWS 리소스를 확장할 때 중앙 집중식으로 환경 관리 및 규제

AWS Organizations는 AWS 리소스가 늘어나고 확장됨에 따라 환경을 중앙 집중식으로 관리하고 규제하는 데 도움이 됩니다. AWS Organizations를 통해 프로그래밍 방식으로 새 AWS 계정을 생성하고 리소스를 할당하며, 계정을 그룹화하여 워크플로를 구성하고, 거버넌스를 위해 계정이나 그룹에 정책을 적용하며, 모든 계정에 대해 단일 결제 방법을 사용하여 청구를 간소화할 수 있습니다.

또한, AWS Organizations는 다른 AWS 서비스에 통합되므로 중앙 구성, 보안 메커니즘, 감사 요구 사항 및 조직 내 계정에 걸쳐 공유되는 리소스를 정의할 수 있습니다. 모든 AWS 고객은 AWS Organizations를 추가 비용 없이 사용할 수 있습니다.

AWS Organizations 소개(1:56)

이점

빠르게 워크로드 확장

AWS Organizations에서는 프로그래밍 방식으로 새 AWS 계정을 생성할 수 있으므로 환경을 빠르게 확장하는 데 도움이 됩니다. AWS 계정은 리소스용 컨테이너입니다. 여러 계정을 사용하면 내장된 보안 경계를 제공할 수 있습니다. 또한, 지정된 계정을 팀에 제공하여 팀 역량을 강화하고, AWS CloudFormation StackSets를 사용하여 리소스와 권한을 자동으로 프로비저닝할 수 있습니다.

서로 다른 워크로드에 대한 사용자 지정 환경 제공

Organizations를 사용하여 조직의 팀이 사용자가 설정한 안전한 경계 안에서 필요한 리소스를 자유롭게 사용해 구축할 수 있도록 하는 정책을 적용할 수 있습니다. 애플리케이션이나 서비스를 지원하는 계정 그룹인 OU(조직 단위)로 조직을 구성하면 SCP(서비스 제어 정책)를 적용하여 OU를 대상으로 하는 거버넌스 경계를 구축할 수 있습니다.

여러 계정에서 중앙 집중식으로 환경 보안 및 감사

AWS CloudTrail을 통해 대규모로 감사를 관리하여 계정의 모든 이벤트에 대한 변경 불가능한 로그를 생성합니다. AWS Backup을 통해 백업 요구 사항을 적용 및 모니터링하거나 AWS Config를 통해 여러 리소스, AWS 리전 및 계정에서 권장되는 구성 기준을 중앙 집중식으로 정의할 수 있습니다. 또한, AWS Control Tower를 사용하여 교차 계정 보안 감사를 설정하거나 여러 계정에 적용된 정책을 관리하고 볼 수 있습니다.

이외에도 Amazon GuardDuty를 통한 위협 탐지 또는 AWS IAM Access Analyzer를 통한 의도하지 않은 액세스 검토와 같은 보안 서비스를 중앙 집중식으로 관리하여 리소스를 보호할 수 있습니다.

권한 관리 및 액세스 제어 간소화

AWS Single Sign-On(SSO) 및 Active Directory를 통해 조직의 모든 사용자에 대한 사용자 기반 권한 관리를 간소화합니다. 작업 카테고리에 따라 사용자 지정 권한을 생성하여 최소 권한 사례를 적용할 수 있습니다. 또한, 사용자, 계정 또는 OU에 SCP(서비스 제어 정책)를 적용하여 AWS 서비스에 대한 액세스를 제어할 수도 있습니다.

여러 계정에서 효율적으로 리소스 프로비저닝

AWS Resource Access Manager(RAM)를 통해 조직 내에서 주요 리소스를 공유하여 리소스 중복을 줄일 수 있습니다. Organizations는 AWS License Manager를 통해 소프트웨어 라이선스 계약을 이행하고, AWS Service Catalog를 통해 IT 서비스 및 사용자 지정 제품의 카탈로그를 유지하는 데 도움이 되기도 합니다.

비용 관리 및 사용 최적화

AWS Organizations를 사용하면 비용을 간소화하고 단일 청구를 통해 수량 할인 혜택 제공할 수 있습니다. 이외에도, AWS Compute OptimizerAWS Cost Explorer와 같은 서비스를 통해 조직에서 사용을 최적화할 수 있습니다. 

작동 방식

Diagram_AWS-Organizations_How-It_Works_v2

사용 사례

AWS 계정 생성 자동화 및 그룹을 사용하여 워크로드 분류

새 워크로드를 빠르게 시작해야 하는 경우 즉각적인 보안 정책 적용, 비접촉식 인프라 배포 및 감사를 위해 조직에서 사용자 정의 그룹을 추가하고 새 AWS 계정 생성을 자동화할 수 있습니다. 예를 들어, 별도의 그룹을 생성하여 개발 및 프로덕션 계정을 분류한 후, AWS CloudFormation StackSets를 사용하여 각 그룹에 서비스 및 권한을 프로비저닝할 수 있습니다.

감사 및 규정 준수 정책 구현 및 적용

SCP를 적용하여 계정의 사용자가 보안 및 규정 준수 요구 사항에 부합하는 작업만 수행하도록 보장할 수 있습니다. 또한, AWS CloudTrail을 통해 조직에서 수행된 모든 작업의 중앙 로그를 생성하고, AWS Config를 통해 여러 계정 및 AWS 리전에서 표준 리소스 구성을 보고 적용하며, AWS Backup을 통해 자동으로 정기 백업을 적용할 수 있습니다. AWS Control Tower을 통해 AWS 워크로드에 대해 진행 중인 거버넌스에 부합하도록 보안, 운영 및 규정 준수에 대한 사전 패키지된 거버넌스 규칙을 적용할 수도 있습니다.

개발을 촉진하는 동시에, 보안 팀에 필요한 도구 및 액세스 제공

AWS Organizations를 사용하면 보안 그룹을 생성한 후 보안 문제를 식별 및 완화하기 위해 모든 리소스에 대한 읽기 전용 액세스만 제공할 수 있습니다. 또한, 워크로드를 적극적으로 모니터링하고 워크로드에 대한 위협을 완화하기 위해 Amazon GuardDuty를 관리할 권한을 제공하여, 리소스에 대한 의도하지 않은 액세스를 빠르게 식별할 수 있도록 IAM Access Analyzer를 관리할 권한도 제공할 수 있습니다.

여러 계정에서 공통 리소스 공유

AWS Organizations를 사용하면 여러 계정에서 중요한 중앙 리소스를 손쉽게 공유할 수 있습니다. 예를 들어, 애플리케이션이 중앙 자격 증명 스토어에 액세스할 수 있도록 하기 위해 중앙 AWS Directory Service 관리형 Microsoft Active Directory를 공유할 수 있습니다. AWS Service Catalog를 사용하여 사용자가 승인된 서비스를 빠르게 검색하고 배포할 수 있도록 지정된 계정에 호스팅된 IT 서비스를 공유합니다. 또한, AWS Resource Access Manager를 사용하여 애플리케이션 리소스를 중앙에서 한 번 정의한 후 조직 전체에서 공유하는 방식으로, 이러한 리소스가 Amazon Virtual Private Cloud(VPC) 서브넷에서 생성되도록 할 수도 있습니다.

최근 서적 및 기사

날짜
  • 날짜
더 보기…

현재는 블로그 게시물을 찾을 수 없습니다. AWS 블로그에서 다른 리소스를 확인하십시오.

AWS 보안 블로그에서 자세히 알아보십시오.

AWS Organizations에 대해 자세히 알아보기

기능 페이지로 이동하기
구축할 준비가 되셨습니까?
AWS Organizations 시작하기
추가 질문이 있으십니까?
문의처