일반

AWS Organizations란 무엇입니까?

AWS Organizations는 AWS의 워크로드가 증가하고 확장됨에 따라 환경을 중앙에서 관리하는 데 도움이 됩니다. 성장하는 스타트업이든, 대기업이든 관계없이, Organizations를 활용하면 결제를 관리하고, 액세스, 규정 준수 및 보안을 제어하고, AWS 계정에서 리소스를 공유하는 일을 모두 중앙에서 손쉽게 처리할 수 있습니다.

AWS Organizations에서 수행할 수 있는 중앙 거버넌스 및 관리 기능은 무엇입니까?

AWS Organizations에서는 다음과 같은 기능을 수행할 수 있습니다.

  • 여러 AWS 계정의 결제 통합
  • AWS 계정 생성 및 관리 자동화
  • AWS 서비스, 리소스 및 리전 액세스 관리
  • 여러 AWS 계정에 대한 정책을 중앙에서 관리
  • 여러 계정에 걸쳐 AWS 서비스 구성

AWS Organizations를 사용할 수 있는 리전은 어디입니까?

AWS Organizations는 모든 AWS 상용 리전 및 AWS GovCloud(US)에서 사용할 수 있습니다. AWS Organizations용 서비스 엔드포인트는 상용 조직의 경우 미국 동부(버지니아 북부)에 있고 AWS GovCloud(US) 조직의 경우 AWS GovCloud(US-West)에 있습니다.

어떻게 시작할 수 있습니까?

시작하려면 먼저 마스터 계정으로 사용할 AWS 계정을 결정해야 합니다. 새 AWS 계정을 생성하거나 기존 계정을 선택할 수 있습니다.

  1. 조직을 관리하는 데 사용하려는 AWS 계정을 통해 관리자로 AWS Management Console에 로그인합니다.
  2. AWS Organizations 콘솔로 이동합니다.
  3. Create Organization(조직 생성)을 선택합니다.
  4. 조직에 대해 활성화하려는 기능을 consolidated billing only features(통합 결제 전용 기능) 또는 all features(모든 기능) 중에서 선택합니다.
  5. 다음 두 가지 방법 중 하나를 사용하여 조직에 AWS 계정을 추가합니다.
    1. AWS 계정 ID 또는 연결된 이메일 주소를 사용하여 조직에 가입하도록 기존 AWS 계정을 초대합니다.
    2. 새로운 AWS 계정을 생성합니다.
  6. AWS 계정을 OU로 그룹화하여 조직 계층 구조를 모델링합니다.
  7. 조직에 대한 모든 기능을 활성화하기로 선택했다면 제어 기능을 작성하고 이러한 OU에 할당할 수 있습니다.
 
또한, AWS CLI(명령줄 액세스용) 또는 SDK(프로그래밍 방식 액세스용)를 사용해서도 새로운 조직을 생성하는 동일한 단계를 수행할 수 있습니다.

참고: 다른 조직의 멤버가 아닌 AWS 계정에서만 새로운 계정을 생성하는 작업을 시작할 수 있습니다.

자세한 내용은 AWS Organizations시작하기를 참조하십시오.

AWS Control Tower와 AWS Organizations의 차이점은 무엇입니까?

AWS Control Tower는 여러 AWS 서비스(AWS Organizations 포함)를 추상화하여 안전한 Well-Architected 환경을 자동으로 설정합니다. AWS 베스트 프랙티스를 사용하여 다중 계정 환경을 자동으로 배포하고자 할 경우, AWS Control Tower가 가장 적합합니다. 고급 통제 및 관리 기능을 갖춘 고유한 사용자 지정 다중 계정 환경을 정의하고자 한다면 AWS Organizations을 추천합니다.

핵심 개념

조직이란 무엇입니까?

조직이란 계층 구조로 구성하고 중앙에서 관리할 수 있는 AWS 계정 모음입니다.

AWS 계정이란 무엇입니까?

AWS 계정은 AWS 리소스용 컨테이너입니다. AWS 계정 내에 AWS 리소스를 생성하고 관리할 수 있으며, AWS 계정은 액세스 및 결제에 대한 관리 기능을 제공합니다.

마스터 계정이란 무엇입니까?

마스터 계정은 조직을 생성하는 데 사용하는 AWS 계정입니다. 마스터 계정에서 조직 내 다른 계정을 생성하고, 다른 계정이 조직에 가입하도록 초대하고 초대를 관리하며, 조직에서 계정을 제거할 수 있습니다. 또한, 조직 내 관리 루트, 조직 단위(OU) 또는 계정과 같은 엔터티에 정책을 연결할 수 있습니다. 마스터 계정은 지급 계정 역할을 가지며 조직의 계정에 의해 발생하는 모든 요금의 지급을 담당합니다. 조직의 어느 계정을 마스터 계정으로 할지는 변경할 수 없습니다.

멤버 계정이란 무엇입니까?

멤버 계정은 마스터 계정이 아니면서 조직의 일부인 AWS 계정을 말합니다. 조직의 관리자인 경우 조직에 멤버 계정을 만들고, 조직에 가입하도록 기존 계정을 초대할 수 있습니다. 또한, 멤버 계정에 정책을 적용할 수도 있습니다. 멤버 계정은 한 번에 하나의 조직에만 속할 수 있습니다.

관리 루트란 무엇입니까?

관리 루트란 AWS 계정을 구성하는 시작점입니다. 관리 루트는 조직의 계층 구조 중 가장 상위에 있는 컨테이너입니다. 이 루트 아래에 OU를 생성하여 논리적으로 계정을 그룹화하고 이러한 OU를 비즈니스 요구 사항에 가장 잘 맞는 계층 구조로 구성할 수 있습니다.

조직 단위(OU)란 무엇입니까?

조직 단위(OU)는 조직 내 AWS 계정 그룹입니다. 또한, OU는 다른 OU를 포함할 수 있으므로 사용자가 계층 구조를 생성할 수 있습니다. 예를 들어, 동일한 부서에 속하는 모든 계정을 부서별 OU로 그룹화할 수 있습니다. 마찬가지로, 프로덕션 서비스를 실행하는 모든 계정을 프로덕션 OU로 그룹화할 수 있습니다. OU는 조직의 계정 하위 집합에 동일한 제어 항목을 적용해야 하는 경우 유용합니다. 중첩 OU를 사용하면 더 작은 관리 단위를 만들 수 있습니다. 예를 들어, 부서별 OU에서, 개별 팀에 속하는 계정을 팀 수준 OU로 그룹화할 수 있습니다. 이러한 OU는 팀 수준 OU에 직접 지정된 제어 항목뿐만 아니라 상위 OU로부터 정책을 상속받습니다.

정책이란 무엇입니까?

정책은 AWS 계정 그룹에 적용하려는 제어 항목을 정의하는 하나 이상의 문으로 된 '문서'입니다. 이번 릴리스에서는, AWS Organizations가 서비스 제어 정책(SCP)이라는 특정 유형의 정책을 지원합니다. SCP는 조직 내 다른 계정에서 사용할 수 있는 AWS 서비스 작업(예: Amazon EC2 RunInstances)을 정의합니다.

AWS 계정 구성

내 조직을 지역적으로 정의하고 관리할 수 있습니까?

아니요. 모든 조직 엔터티는 전 세계에서 액세스할 수 있습니다. 이는 현재 AWS Identity and Access Management(IAM)가 작동하는 방식과 유사합니다. 조직을 생성하고 관리할 때 리전은 지정하지 않아도 됩니다. AWS 계정의 사용자는 해당 서비스가 제공되는 모든 지리적 리전에서 AWS 서비스를 사용할 수 있습니다.

마스터 계정을 다른 AWS 계정으로 변경할 수 있습니까?

아니요. 마스터 계정을 다른 AWS 계정으로 변경할 수는 없습니다. 따라서 마스터 계정은 주의해서 선택해야 합니다.

내 조직에 AWS 계정을 추가하는 방법은 무엇입니까?

다음 두 가지 방법 중 하나를 사용하여 AWS 계정을 조직에 추가할 수 있습니다.

방법 1: 조직에 가입하도록 기존 계정 초대

  1. 마스터 계정의 관리자로 로그인하고 AWS Organizations 콘솔로 이동합니다.
  2. Accounts 탭을 선택합니다.
  3. Add account를 선택한 다음, Invite account를 선택합니다.
  4. 초대하려는 계정의 이메일 주소 또는 계정의 AWS 계정 ID를 입력합니다.

참고: 이메일 주소 또는 AWS 계정 ID 목록을 쉼표로 구분하여 입력하면 두 개 이상의 AWS 계정을 초대할 수 있습니다.

지정한 AWS 계정으로 조직에 가입하도록 초대하는 이메일이 전송됩니다. 초대를 받은 AWS 계정의 관리자는 AWS Organizations 콘솔, AWS CLI 또는 Organizations API를 사용하여 요청을 수락하거나 거절해야 합니다. 관리자가 초대를 수락하면, 조직의 멤버 계정 목록에 해당 계정이 표시됩니다. SCP 등 적용 가능한 정책이 새로 추가된 계정에 자동으로 적용됩니다. 예를 들어 조직의 루트에 SCP가 연결되어 있다면, 새로 생성된 계정에 해당 SCP가 바로 적용됩니다.

방법 2: 조직에 AWS 계정 생성

  1. 마스터 계정의 관리자로 로그인하고 AWS Organizations 콘솔로 이동합니다.
  2. Accounts 탭을 선택합니다.
  3. Add account를 선택한 다음 Create account를 선택합니다.
  4. 계정의 이름 및 계정의 이메일 주소를 입력합니다.
AWS SDK나 AWS CLI를 사용하여 계정을 생성할 수도 있습니다. 두 가지 방법 모두, 새 계정을 추가한 후에 이를 조직 단위(OU)로 이동할 수 있습니다. 새 계정은 해당 OU에 연결된 정책을 자동으로 상속받습니다.

하나의 AWS 계정이 두 개 이상의 조직 멤버가 될 수 있습니까?

아니요. 하나의 AWS 계정은 한 번에 하나의 조직 멤버만 될 수 있습니다.

내 조직 내에 생성된 AWS 계정에 액세스하려면 어떻게 해야 합니까?

AWS 계정을 생성하는 과정에서 AWS Organizations는 새 계정에 대한 전체 관리 권한이 있는 IAM 역할을 생성합니다. 적절한 권한이 있는 마스터 계정의 IAM 사용자 및 IAM 역할은 이 역할을 맡아 새로 생성된 계정에 액세스할 수 있습니다.

내 조직 내에 생성된 AWS 계정에 대해 프로그래밍 방식으로 멀티 팩터 인증(MFA)을 설정할 수 있습니까?

아니요. 이 작업은 현재 지원되지 않습니다.

AWS Organizations를 사용하여 생성한 AWS 계정을 다른 조직으로 이동할 수 있습니까?

예. 하지만 먼저 조직에서 해당 계정을 제거하여 독립형 계정으로 만들어야 합니다(아래 참조). 해당 계정을 독립형으로 만든 후에 다른 조직에 합류하도록 초대할 수 있습니다.

Organizations를 사용해 생성한 AWS 계정을 제거하고 이를 독립형 계정으로 만들 수 있습니까?

예. AWS Organizations 콘솔, API 또는 CLI 명령을 사용하여 조직에 계정을 생성하면, AWS에서 독립형 계정에 필요한 정보를 전혀 수집하지 않습니다. 독립형으로 만들려는 각 계정에 이러한 정보를 업데이트해야 합니다. 필요한 정보에는 계약 정보 제공, AWS 고객 계약에 동의, 유효한 결제 수단 제공, Support 플랜 옵션 선택이 포함됩니다. AWS에서는 이 결제 수단을 사용해 해당 계정이 조직에 연결되어 있지 않을 때 발생하는 모든 청구 가능한 AWS 활동(AWS 프리 티어 이외)에 대해 비용을 청구합니다. 자세한 내용은 조직에서 멤버 계정 제거를 참조하십시오.

내 조직에서 내가 관리할 수 있는 AWS 계정 수는 몇 개입니까?

이는 경우에 따라 다릅니다. 계정을 추가해야 하는 경우 AWS 지원 센터로 이동하고 지원 케이스를 열어 증가를 요청하십시오.

AWS 멤버 계정을 조직에서 제거하려면 어떻게 해야 합니까?

다음 두 가지 방법 중 하나로 멤버 계정을 제거할 수 있습니다. Organizations를 사용해 생성한 계정을 제거하기 위해서는 추가 정보를 제공해야 할 수도 있습니다. 계정 제거를 시도하였지만 실패하는 경우, AWS 지원 센터로 이동하여 계정 제거에 대한 지원을 요청하십시오.

방법 1: 마스터 계정으로 로그인하여 초대된 멤버 계정 제거

  1. 마스터 계정의 관리자로 로그인하고 AWS Organizations 콘솔로 이동합니다.
  2. 왼쪽 창에서 Accounts를 선택합니다.
  3. 제거하려는 계정을 선택한 다음 Remove account를 선택합니다.
  4. 계정에 유효한 결제 방법이 없다면 이를 제공해야 합니다.
 
방법 2: 멤버 계정으로 로그인하여 초대된 멤버 계정 제거
 
  1. 조직에서 제거하려는 멤버 계정의 관리자로 로그인합니다.
  2. AWS Organizations 콘솔로 이동합니다.
  3. Leave organization을 선택합니다.
  4. 계정에 결제 방법이 없다면 이를 제공해야 합니다.

조직 단위(OU)를 생성하는 방법은 무엇입니까?

OU를 생성하려면 다음 단계를 따르십시오.

  1. 마스터 계정의 관리자로 로그인하고 AWS Organizations 콘솔로 이동합니다.
  2. [Organize accounts] 탭을 선택합니다.
  3. OU를 생성하려는 계층 구조로 이동합니다. 루트 바로 아래에 OU를 생성하거나 다른 OU 내에 OU를 생성할 수 있습니다.
  4. Create organizational unit(조직 단위 생성)을 선택하고 OU 이름을 입력합니다. 이 이름은 조직 내에서 고유해야 합니다.

참고: OU 이름은 나중에 바꿀 수 있습니다.

이제 OU에 AWS 계정을 추가할 수 있습니다. AWS CLI 및 AWS API를 사용하여 OU를 생성하고 관리할 수도 있습니다.

OU에 AWS 멤버 계정을 추가하려면 어떻게 해야 합니까?

다음 단계를 따라 OU에 멤버 계정을 추가합니다.

  1. AWS Organizations 콘솔에서 Organize accounts 탭을 선택합니다.
  2. AWS 계정을 선택한 다음, Move account를 선택합니다.
  3. 대화 상자에서 AWS 계정을 이동하려는 대상 OU를 선택합니다.

아니면 AWS CLI와 AWS API를 사용하여 AWS 계정을 OU에 추가할 수도 있습니다.

하나의 AWS 계정이 여러 OU의 멤버가 될 수 있습니까?

아니요. 하나의 AWS 계정은 한 번에 하나의 OU 멤버만 될 수 있습니다.

OU가 여러 OU의 멤버가 될 수 있습니까?

아니요. OU는 한 번에 하나의 OU 멤버만 될 수 있습니다.

내 OU 계층 구조에서 레벨을 몇 개 구성할 수 있습니까?

OU를 5개 레벨까지 중첩할 수 있습니다. 계층 구조는 루트와 가장 낮은 OUT에 생성된 AWS 계정을 포함하여 5개의 레벨로 구성될 수 있습니다.

제어 관리

내 조직의 어느 수준에 정책을 적용할 수 있습니까?

조직의 루트(조직의 모든 계정에 적용), 중첩된 OU를 포함하여 OU의 모든 계정에 적용되는 개별 조직 단위(OU) 또는 개별 계정에 정책을 연결할 수 있습니다.

정책을 연결하려면 어떻게 해야 합니까?

다음 두 가지 방법 중 하나로 정책을 연결할 수 있습니다.

  • AWS Organizations 콘솔에서, 정책을 지정하려는 위치(루트, OU 또는 계정)로 이동한 다음, Attach Policy를 선택합니다.
  • Organizations 콘솔에서 Policies(정책) 탭을 선택하고 다음 중 하나를 수행합니다.
    • 기존 정책을 선택하고 Actions(작업) 드롭다운 목록에서 Attach Policy(정책 연결)를 선택한 다음, 정책을 연결하려는 루트, OU 또는 계정을 선택합니다.
    • Create Policy(정책 생성)를 선택한 다음, 정책 생성 워크플로우의 한 부분으로 새로운 정책을 연결하려는 루트, OU 또는 계정을 선택합니다.

자세한 내용은 정책 관리 섹션을 참조하십시오.

정책은 내 조직의 계층적 연결을 통해 상속됩니까?

예. 예를 들어, 애플리케이션 개발 단계(DEV, TEST 및 PROD)에 따라 AWS 계정을 OU에 구성했다고 가정합니다. 정책 P1은 조직의 루트에 연결되고, 정책 P2는 DEV OU에 연결되고, 정책 P3은 DEV OU의 AWS 계정 A1에 연결됩니다. 이러한 설정에서 P1+P2+P3은 모두 계정 A1에 연결됩니다.

자세한 내용은 About Service Control Policies(서비스 제어 정책 정보) 섹션을 참조하십시오.

AWS Organizations에서 지원하는 정책 유형은 무엇입니까?

현재, AWS Organizations는 SCP(서비스 제어 정책)를 지원합니다. SCP를 사용하면 SCP가 적용되는 계정의 IAM 사용자, 그룹 및 역할이 수행할 수 있는 작업을 정의하고 적용할 수 있습니다.

SCP(서비스 제어 정책)란 무엇입니까?

SCP(서비스 제어 정책)를 사용하면 어떤 AWS 서비스 작업이 조직의 계정 내 보안 주체(계정 루트, IAM 사용자 및 IAM 역할)에 액세스할 수 있는지 제어할 수 있습니다. 계정의 보안 주체에 리소스에 대한 액세스 권한을 부여하기 위해서는 SCP가 필요하긴 하지만, 리소스에 액세스할 수 있는 계정의 보안 주체를 결정하는 유일한 제어 항목은 아닙니다. SCP가 연결되어 있는 계정 내 보안 주체의 실질적인 권한은 SCP에서 명시적으로 허용하는 권한과 해당 보안 주체에 연결된 권한에서 명시적으로 허용하는 권한의 교집합입니다. 예를 들어, 계정에 적용된 SCP에서 허용하는 유일한 작업이 Amazon EC2 작업이고, 동일한 AWS 계정 내 보안 주체의 권한이 EC2 작업 및 Amazon S3 작업을 모두 허용하는 경우, 보안 주체는 EC2 작업에만 액세스할 수 있습니다.

멤버 계정의 보안 주체(멤버 계정의 루트 사용자 포함)는 해당 계정에 적용된 SCP를 제거하거나 변경할 수 없습니다.

SCP는 어떤 형태입니까?

SCP는 IAM 정책과 동일한 규칙과 문법을 따릅니다. SCP 구문에 대한 자세한 내용은 SCP 구문을 참조하십시오. SCP 예제는 예제 서비스 제어 정책을 참조하십시오.


{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"작업":["EC2:*","S3:*"],
"리소스":"*"
}
]
}

블랙리스트 예제

다음은 S3 작업인 PutObject를 제외한 모든 AWS 서비스 작업에 대한 액세스를 허용하는 SCP입니다. 이 SCP가 적용된 계정에서 적절한 권한이 직접 지정된 모든 보안 주체(계정 루트, IAM 사용자 및 IAM 역할)는 S3 PutObject 작업을 제외한 모든 작업에 액세스할 수 있습니다.

{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"작업": "*:*",
"리소스":"*"
},
{
"Effect":"Deny",
"Action":"S3:PutObject",
"리소스":"*"
}
]
}

자세한 내용은 SCP 사용 전략을 참조하십시오.

빈 SCP를 AWS 계정에 연결하는 경우 해당 AWS 계정의 모든 AWS 서비스 작업을 허용하게 됩니까?

아니요. SCP는 IAM 정책과 같은 방식으로 작동합니다. 빈 IAM 정책은 기본 거부에 해당합니다. 빈 SCP를 계정에 연결하는 것은 모든 작업을 명시적으로 거부하는 정책을 연결하는 것과 같습니다.

SCP를 내 조직에 적용하고 내 보안 주체에도 IAM 정책이 있는 경우 어떤 것이 실질적인 권한이 됩니까?

SCP가 적용된 AWS 계정 내 보안 주체(계정 루트, IAM 사용자 및 IAM 역할)에 부여된 실질적인 권한은 SCP에서 허용한 권한과 IAM 권한 정책에서 보안 주체에 부여한 권한의 교집합입니다. 예를 들어 IAM 사용자가 "Allow": "ec2:* " 및 "Allow": "sqs:* " 권한을 가지고 있고 계정에 연결된 SCP가 "Allow": "ec2:* " and "Allow": "s3:* "인 경우, IAM 사용자의 최종 권한은 "Allow": "ec2:* "입니다. 이 보안 주체는 Amazon SQS 작업도 수행할 수 없고(SCP에서 허용하지 않음) S3 작업도 수행할 수 없습니다(IAM 정책에서 허용하지 않음).

SCP가 AWS 계정에 어떤 영향을 주는지 시뮬레이션할 수 있습니까?

예. IAM 정책 시뮬레이터에 SCP의 영향을 포함할 수 있습니다. 조직의 멤버 계정으로 정책 시뮬레이터를 사용하여 해당 계정의 개별 보안 주체에 대한 영향을 파악할 수 있습니다. 적절한 AWS Organizations 권한이 있는 멤버 계정의 관리자는 SCP가 멤버 계정 내 보안 주체(계정 루트, IAM 사용자 및 IAM 역할)의 액세스 권한에 영향을 주는지 확인할 수 있습니다.

자세한 내용은 Service Control Policies(서비스 제어 정책) 섹션을 참조하십시오.

SCP를 적용하지 않고도 조직을 생성하고 관리할 수 있습니까?

예. 적용하려는 정책을 결정하면 됩니다. 예를 들어, 통합 결제 기능의 장점만 활용하는 조직을 생성할 수 있습니다. 즉, 조직의 모든 계정에 대해 단일 지급 계정을 사용함으로써, 기본적인 차등가격제 혜택을 자동으로 받을 수 있습니다.

결제

AWS Organizations 비용은 어떻게 됩니까?

AWS Organizations는 추가 비용 없이 제공됩니다.

내 조직의 AWS 멤버 계정 사용자에 의해 발생한 사용량은 누가 비용을 지불합니까?

마스터 계정의 소유자가 조직의 계정에서 사용하는 모든 사용량, 데이터 및 리소스에 대한 비용을 지불해야 합니다.

비용 청구서에 내 조직에 생성한 조직 단위 구조가 반영됩니까?

아니요. 현재는 조직에 정의한 구조가 비용 청구서에 반영되지 않습니다. 개별 AWS 계정에 비용 할당 태그를 사용하면 AWS 비용을 분류하고 추적할 수 있으며, 조직의 통합 결제에 이러한 할당 내용이 표시됩니다.

통합된 AWS 서비스

AWS Organizations에 통합된 AWS 서비스를 활성화하려면 어떻게 해야 합니까?

AWS 서비스는 AWS Organizations에 통합되어 고객에게 조직의 여러 계정에 걸쳐 중앙화된 관리 및 구성을 제공합니다. 이를 통해 하나의 위치에서 여러 계정에 걸쳐 서비스를 관리할 수 있으므로 배포와 구성을 단순화합니다.

현재 AWS Organizations에 통합된 AWS 서비스는 무엇입니까?

AWS Organizations에 통합된 AWS 서비스 목록은 AWS Organizations와 함께 사용할 수 있는​ AWS 서비스를 참조하십시오.

AWS 서비스 통합을 활성화하려면 어떻게 해야 합니까?

AWS Organizations에 통합된 AWS 서비스의 사용을 시작하려면 해당 서비스로 이동하고 통합을 활성화합니다.

AWS Organizations에 대해 자세히 알아보기

기능 페이지로 이동하기
구축할 준비가 되셨습니까?
AWS Organizations 시작하기
추가 질문이 있으십니까?
AWS에 문의