AWS Organizations

AWS 리소스를 확장할 때 중앙 집중식으로 환경 관리 및 규제

AWS Organizations는 AWS 리소스가 늘어나고 확장됨에 따라 환경을 중앙 집중식으로 관리하고 규제하는 데 도움이 됩니다. AWS Organizations를 통해 프로그래밍 방식으로 새 AWS 계정을 생성하고 리소스를 할당하며, 계정을 그룹화하여 워크플로를 구성하고, 거버넌스를 위해 계정이나 그룹에 정책을 적용하며, 모든 계정에 대해 단일 결제 방법을 사용하여 청구를 간소화할 수 있습니다.

또한, AWS Organizations는 다른 AWS 서비스에 통합되므로 중앙 구성, 보안 메커니즘, 감사 요구 사항 및 조직 내 계정에 걸쳐 공유되는 리소스를 정의할 수 있습니다. 모든 AWS 고객은 AWS Organizations를 추가 비용 없이 사용할 수 있습니다.

환경 관리

- AWS 프리 티어 사용 혜택

장점

빠르게 워크로드 확장

AWS Organizations에서는 프로그래밍 방식으로 새 AWS 계정을 생성할 수 있으므로 환경을 빠르게 확장하는 데 도움이 됩니다. AWS 계정은 리소스용 컨테이너입니다. 여러 계정을 사용하면 내장된 보안 경계를 제공할 수 있습니다. 또한, 지정된 계정을 팀에 제공하여 팀 역량을 강화하고, AWS CloudFormation StackSets를 사용하여 리소스와 권한을 자동으로 프로비저닝할 수 있습니다.

서로 다른 워크로드에 대한 사용자 지정 환경 제공

Organizations를 사용하여 조직의 팀이 사용자가 설정한 안전한 경계 안에서 필요한 리소스를 자유롭게 사용해 구축할 수 있도록 하는 정책을 적용할 수 있습니다. 애플리케이션이나 서비스를 지원하는 계정 그룹인 OU(조직 단위)로 조직을 구성하면 SCP(서비스 제어 정책)를 적용하여 OU를 대상으로 하는 거버넌스 경계를 구축할 수 있습니다.

여러 계정에서 중앙 집중식으로 환경 보안 및 감사

AWS CloudTrail을 통해 대규모로 감사를 관리하여 계정의 모든 이벤트에 대한 변경 불가능한 로그를 생성합니다. AWS Backup을 통해 백업 요구 사항을 적용 및 모니터링하거나 AWS Config를 통해 여러 리소스, AWS 리전 및 계정에서 권장되는 구성 기준을 중앙 집중식으로 정의할 수 있습니다. 또한, AWS Control Tower를 사용하여 교차 계정 보안 감사를 설정하거나 여러 계정에 적용된 정책을 관리하고 볼 수 있습니다.

이외에도 Amazon GuardDuty를 통한 위협 탐지 또는 AWS IAM Access Analyzer를 통한 의도하지 않은 액세스 검토와 같은 보안 서비스를 중앙 집중식으로 관리하여 리소스를 보호할 수 있습니다.

권한 관리 및 액세스 제어 간소화

AWS Single Sign-On(SSO) 및 Active Directory를 통해 조직의 모든 사용자에 대한 사용자 기반 권한 관리를 간소화합니다. 작업 카테고리에 따라 사용자 지정 권한을 생성하여 최소 권한 사례를 적용할 수 있습니다. 또한, 사용자, 계정 또는 OU에 SCP(서비스 제어 정책)를 적용하여 AWS 서비스에 대한 액세스를 제어할 수도 있습니다.

여러 계정에서 효율적으로 리소스 프로비저닝

AWS Resource Access Manager(RAM)를 통해 조직 내에서 주요 리소스를 공유하여 리소스 중복을 줄일 수 있습니다. Organizations는 AWS License Manager를 통해 소프트웨어 라이선스 계약을 이행하고, AWS Service Catalog를 통해 IT 서비스 및 사용자 지정 제품의 카탈로그를 유지하는 데 도움이 되기도 합니다.

비용 관리 및 사용 최적화

AWS Organizations를 사용하면 비용을 간소화하고 단일 청구를 통해 수량 할인 혜택 제공할 수 있습니다. 이외에도, AWS Compute OptimizerAWS Cost Explorer와 같은 서비스를 통해 조직에서 사용을 최적화할 수 있습니다. 

작동 방식

Diagram_AWS-Organizations_How-It_Works_v2

사용 사례

AWS 계정 생성 자동화 및 그룹을 사용하여 워크로드 분류

새 워크로드를 빠르게 시작해야 하는 경우 즉각적인 보안 정책 적용, 비접촉식 인프라 배포 및 감사를 위해 조직에서 사용자 정의 그룹을 추가하고 새 AWS 계정 생성을 자동화할 수 있습니다. 예를 들어, 별도의 그룹을 생성하여 개발 및 프로덕션 계정을 분류한 후, AWS CloudFormation StackSets를 사용하여 각 그룹에 서비스 및 권한을 프로비저닝할 수 있습니다.

감사 및 규정 준수 정책 구현 및 적용

SCP를 적용하여 계정의 사용자가 보안 및 규정 준수 요구 사항에 부합하는 작업만 수행하도록 보장할 수 있습니다. 또한, AWS CloudTrail을 통해 조직에서 수행된 모든 작업의 중앙 로그를 생성하고, AWS Config를 통해 여러 계정 및 AWS 리전에서 표준 리소스 구성을 보고 적용하며, AWS Backup을 통해 자동으로 정기 백업을 적용할 수 있습니다. AWS Control Tower을 통해 AWS 워크로드에 대해 진행 중인 거버넌스에 부합하도록 보안, 운영 및 규정 준수에 대한 사전 패키지된 거버넌스 규칙을 적용할 수도 있습니다.

개발을 촉진하는 동시에, 보안 팀에 필요한 도구 및 액세스 제공

AWS Organizations를 사용하면 보안 그룹을 생성한 후 보안 문제를 식별 및 완화하기 위해 모든 리소스에 대한 읽기 전용 액세스만 제공할 수 있습니다. 또한, 워크로드를 적극적으로 모니터링하고 워크로드에 대한 위협을 완화하기 위해 Amazon GuardDuty를 관리할 권한을 제공하여, 리소스에 대한 의도하지 않은 액세스를 빠르게 식별할 수 있도록 IAM Access Analyzer를 관리할 권한도 제공할 수 있습니다.

여러 계정에서 공통 리소스 공유

AWS Organizations를 사용하면 여러 계정에서 중요한 중앙 리소스를 손쉽게 공유할 수 있습니다. 예를 들어, 애플리케이션이 중앙 자격 증명 스토어에 액세스할 수 있도록 하기 위해 중앙 AWS Directory Service 관리형 Microsoft Active Directory를 공유할 수 있습니다. AWS Service Catalog를 사용하여 사용자가 승인된 서비스를 빠르게 검색하고 배포할 수 있도록 지정된 계정에 호스팅된 IT 서비스를 공유합니다. 또한 AWS Resource Access Manager를 사용하여 애플리케이션 리소스를 중앙에서 한 번 정의한 후 조직 전체에서 공유하는 방식으로, 이러한 리소스가 Amazon Virtual Private Cloud(VPC) 서브넷에서 생성되도록 할 수도 있습니다.

고객

삼성

“AWS Organizations를 사용하면 개별 계정에 각 팀을 위한 자체 환경을 제공하고 다른 팀 또는 파이프라인에 미치는 영향 없이 동시에 작업을 진행하여 개발을 가속화할 수 있습니다. 조직 단위를 사용하여 사업부로 계정을 그룹화할 수 있고 애플리케이션 개발의 세 가지 공통 단계를 지원할 수 있습니다. 그 결과 클라우드에 온보딩하는 프로젝트 속도가 5배 빨라졌고 IAM 권한 티켓 수가 10배 줄었으며 안정성 문제는 3배 감소했습니다. 이 모든 것을 AWS Organizations의 단순 API를 사용하여 달성할 수 있습니다.” 

Gaurav Jain, FactSet 클라우드 플랫폼 부문 이사

삼성

"AWS Organizations를 통해 GoDaddy는 여러 계정에서 일관된 보안 가드레일을 구현하는 동시에, 애플리케이션 팀은 더욱 빠른 속도로 유연성을 구축할 수 있습니다. 예를 들어, 저희는 조직 수준에서 AWS Config를 활용하여 인프라 구성 세부 정보를 모니터링하고 수집합니다. 팀이 새 애플리케이션을 개발하면 비용을 보고 유지 관리하며, 샌드박스, 테스트 및 프로덕션 단계에 대한 계정을 팀에 제공하여 특정 개발 환경을 프로비저닝할 수 있습니다. 그리고 개발자가 안전하게 GoDaddy 규정 준수 표준에 리소스를 배포할 수 있게 지원하도록 구축한 사용자 지정 애플리케이션을 AWS Service Catalog integration를 통해 여러 계정에 쉽게 배포할 수 있습니다."

Ketan Patel, GoDaddy 소프트웨어 개발 부문 상무 이사

삼성

"GE는 AWS Identity Services를 사용하여 글로벌 기업을 지원하고 클라우드에서 비즈니스를 안전하게 운영하도록 도와줍니다. AWS Organizations 및 서비스 제어 정책(SCP)은 하향식 거버넌스를 제공하며, 각 비즈니스 단위로 자격 증명 기반 및 리소스 기반 정책 관리의 위임을 허용합니다. 이 모델에서는 비즈니스가 독립적으로 이전 가능하며, 오늘날 산업 과제를 해결하기 위해 대규모 기반에서 운영이 가능합니다."

Matthew Green, GE 클라우드 아키텍처 담당 선임 이사

삼성

“AWS Organizations는 재무 부서에서 클라우드 비용을 손쉽게 추적하는 데 도움이 되었습니다. 단일 청구서를 제공하고 AWS Savings Plans의 볼륨 할인 및 저렴한 요금을 사용할 수 있게 되었기 때문입니다. 또한, AWS SSO를 AWS Organizations와 함께 사용하여 자격 증명 공급자(IdP) 인증을 중앙 집중화했으며, 직원은 서로 다른 자격 증명 세트 없이 여러 AWS 계정에 액세스할 수 있게 되면서 일일 생산성이 크게 개선되었습니다. 인프라 보안 팀은 액세스 관리를 중앙 집중화하여 플랫폼 보안을 개선하고 운영 비용을 절감할 수 있었습니다."

Rocco Zanni, Spreaker CTO

삼성

"다중 계정 환경에 대한 계정을 관리하고 청구를 간소화하기 위해 AWS Organizations를 사용하기 시작했습니다. 또한, AWS SSO 통합을 통해 액세스 관리도 크게 간소화했습니다. AWS Organizations는 자체 계정 내에서 유사한 위험 프로파일을 격리하고, 계정 태그를 통해 계정 소유권을 식별하며, 멤버 계정의 관리자가 재정의할 수 없는 서비스 제어 정책으로 제어를 시행하도록 지원해줍니다. 이제 빠르고 안전하게 새 계정을 제공할 수 있어서 개발자는 비즈니스 솔루션에 집중할 수 있습니다."

Jaime Villegas, Bancolombia 기업 서비스 부문 책임자

최근 서적 및 기사

날짜
  • 날짜
더 보기…

현재는 블로그 게시물을 찾을 수 없습니다. AWS 블로그에서 다른 리소스를 확인하십시오.

AWS 보안 블로그에서 자세히 알아보십시오.

AWS Organizations에 대해 자세히 알아보기

기능 페이지로 이동하기
구축할 준비가 되셨습니까?
AWS Organizations 시작하기
추가 질문이 있으십니까?
AWS에 문의