AWS Organizations

AWS 리소스를 확장할 때 중앙 집중식으로 환경 관리 및 규제

AWS Organizations는 AWS 리소스가 늘어나고 확장됨에 따라 환경을 중앙 집중식으로 관리하고 규제하는 데 도움이 됩니다. AWS Organizations를 통해 프로그래밍 방식으로 새 AWS 계정을 생성하고 리소스를 할당하며, 계정을 그룹화하여 워크플로를 구성하고, 거버넌스를 위해 계정이나 그룹에 정책을 적용하며, 모든 계정에 대해 단일 결제 방법을 사용하여 청구를 간소화할 수 있습니다.

또한, AWS Organizations는 다른 AWS 서비스에 통합되므로 중앙 구성, 보안 메커니즘, 감사 요구 사항 및 조직 내 계정에 걸쳐 공유되는 리소스를 정의할 수 있습니다. 모든 AWS 고객은 AWS Organizations를 추가 비용 없이 사용할 수 있습니다.

AWS Organizations 소개(1:56)

이점

빠르게 워크로드 확장

AWS Organizations에서는 프로그래밍 방식으로 새 AWS 계정을 생성할 수 있으므로 환경을 빠르게 확장하는 데 도움이 됩니다. AWS 계정은 리소스용 컨테이너입니다. 여러 계정을 사용하면 내장된 보안 경계를 제공할 수 있습니다. 또한, 지정된 계정을 팀에 제공하여 팀 역량을 강화하고, AWS CloudFormation StackSets를 사용하여 리소스와 권한을 자동으로 프로비저닝할 수 있습니다.

서로 다른 워크로드에 대한 사용자 지정 환경 제공

Organizations를 사용하여 조직의 팀이 사용자가 설정한 안전한 경계 안에서 필요한 리소스를 자유롭게 사용해 구축할 수 있도록 하는 정책을 적용할 수 있습니다. 애플리케이션이나 서비스를 지원하는 계정 그룹인 OU(조직 단위)로 조직을 구성하면 SCP(서비스 제어 정책)를 적용하여 OU를 대상으로 하는 거버넌스 경계를 구축할 수 있습니다.

여러 계정에서 중앙 집중식으로 환경 보안 및 감사

AWS CloudTrail을 통해 대규모로 감사를 관리하여 계정의 모든 이벤트에 대한 변경 불가능한 로그를 생성합니다. AWS Backup을 통해 백업 요구 사항을 적용 및 모니터링하거나 AWS Config를 통해 여러 리소스, AWS 리전 및 계정에서 권장되는 구성 기준을 중앙 집중식으로 정의할 수 있습니다. 또한, AWS Control Tower를 사용하여 교차 계정 보안 감사를 설정하거나 여러 계정에 적용된 정책을 관리하고 볼 수 있습니다.

이외에도 Amazon GuardDuty를 통한 위협 탐지 또는 AWS IAM Access Analyzer를 통한 의도하지 않은 액세스 검토와 같은 보안 서비스를 중앙 집중식으로 관리하여 리소스를 보호할 수 있습니다.

권한 관리 및 액세스 제어 간소화

AWS Single Sign-On(SSO) 및 Active Directory를 통해 조직의 모든 사용자에 대한 사용자 기반 권한 관리를 간소화합니다. 작업 카테고리에 따라 사용자 지정 권한을 생성하여 최소 권한 사례를 적용합니다. 또한, 사용자, 계정 또는 OU에 SCP(서비스 제어 정책)를 적용하여 AWS 서비스에 대한 액세스를 제어할 수도 있습니다.

여러 계정에서 효율적으로 리소스 프로비저닝

AWS Resource Allocation Management(RAM)를 통해 조직 내에서 주요 리소스를 공유하여 리소스 중복을 줄입니다. Organizations는 AWS License Manager를 통해 소프트웨어 라이선스 계약을 이행하고, AWS Service Catalog를 통해 IT 서비스 및 사용자 지정 제품의 카탈로그를 유지하는 데 도움이 되기도 합니다.

비용 관리 및 사용 최적화

비용 간소화 및 단일 청구로 수량 할인 혜택 제공 이외에도, AWS Compute OptimizerAWS Cost Explorer와 같은 서비스를 통해 조직에서 사용을 최적화할 수 있습니다. 

작동 방식

Diagram_AWS-Organizations_How-It_Works_v2

사용 사례

AWS 계정 생성 자동화 및 그룹을 사용하여 워크로드 분류

새 워크로드를 빠르게 시작해야 하는 경우 즉각적인 보안 정책 적용, 비접촉식 인프라 배포 및 감사를 위해 조직에서 사용자 정의 그룹을 추가하고 새 AWS 계정 생성을 자동화할 수 있습니다. 예를 들어, 별도의 그룹을 생성하여 개발 및 프로덕션 계정을 분류한 후, AWS CloudFormation StackSets를 사용하여 각 그룹에 서비스 및 권한을 프로비저닝할 수 있습니다.

감사 및 규정 준수 정책 구현 및 적용

SCP를 적용하여 계정의 사용자가 보안 및 규정 준수 요구 사항에 부합하는 작업만 수행하도록 보장할 수 있습니다. 또한, AWS CloudTrail을 통해 조직에서 수행된 모든 작업의 중앙 로그를 생성하고, AWS Config를 통해 여러 계정 및 AWS 리전에서 표준 리소스 구성을 보고 적용하며, AWS Backup을 통해 자동으로 정기 백업을 적용할 수 있습니다. AWS Control Tower을 통해 AWS 워크로드에 대해 진행 중인 거버넌스에 부합하도록 보안, 운영 및 규정 준수에 대한 사전 패키지된 거버넌스 규칙을 적용할 수도 있습니다.

개발을 촉진하는 동시에, 보안 팀에 필요한 도구 및 액세스 제공

AWS Organizations를 사용하면 보안 그룹을 생성한 후 보안 문제를 식별 및 완화하기 위해 모든 리소스에 대한 읽기 전용 액세스만 제공할 수 있습니다. 또한, 워크로드를 적극적으로 모니터링하고 워크로드에 대한 위협을 완화하기 위해 Amazon GuardDuty를 관리할 권한을 제공하여, 리소스에 대한 의도하지 않은 액세스를 빠르게 식별할 수 있도록 IAM Access Analyzer를 관리할 권한도 제공할 수 있습니다.

여러 계정에서 공통 리소스 공유

AWS Organizations를 사용하면 여러 계정에서 중요한 중앙 리소스를 손쉽게 공유할 수 있습니다. 예를 들어, 애플리케이션이 중앙 자격 증명 스토어에 액세스할 수 있도록 하기 위해 중앙 AWS Directory Service 관리형 Active Directory를 공유할 수 있습니다. AWS Service Catalog를 사용하여 사용자가 승인된 서비스를 빠르게 검색하고 배포할 수 있도록 지정된 계정에 호스팅된 IT 서비스를 공유합니다. 또한, AWS Resource Access Manager를 사용하여 애플리케이션 리소스를 중앙에서 한 번 정의한 후 조직 전체에서 공유하는 방식으로, 이러한 리소스가 AWS Virtual Private Cloud(VPC) 서브넷에서 생성되도록 할 수도 있습니다.

최근 서적 및 기사

날짜
  • 날짜
더 보기…

현재는 블로그 게시물을 찾을 수 없습니다. AWS 블로그에서 다른 리소스를 확인하십시오.

AWS 보안 블로그에서 자세히 알아보십시오.

AWS Organizations에 대해 자세히 알아보기

기능 페이지로 이동하기
구축할 준비가 되셨습니까?
AWS Organizations 시작하기
추가 질문이 있으십니까?
문의처