AWS Organizations 시작하기

AWS Organizations 사용해 보기

AWS Organizations는 모든 AWS 고객이 추가 비용 없이 사용할 수 있습니다.

Q: AWS Organizations란 무엇입니까?

AWS Organizations는 여러 AWS 계정을 정책 기반으로 관리하는 기능을 제공합니다. Organizations에서는 계정 그룹을 생성한 후 해당 그룹에 정책을 연결할 수 있습니다. Organizations를 사용하면 사용자 지정 스크립트와 수동 프로세스 없이도 여러 계정의 정책을 중앙에서 관리할 수 있습니다.

Q: AWS Organizations에서 사용할 수 있는 관리 작업에는 어떤 것이 있습니까?

AWS Organizations에서는 다음 관리 작업을 수행할 수 있습니다.

  • AWS 계정을 생성하고 이를 조직에 추가하거나, 기존 AWS 계정을 조직에 추가합니다.
  • AWS 계정을 조직 단위(OU)라고 부르는 그룹으로 구성합니다.
  • OU를 회사 구조를 반영하는 계층 구조로 구성합니다.
  • 중앙에서 정책을 관리하고 전체 조직, OU 또는 개별 AWS 계정에 이를 연결합니다.

Q: 이번 릴리스에서 AWS Organizations가 사용할 수 있는 제어 기능은 무엇입니까?

이번 릴리스에서는 사용자가 조직 내의 다른 AWS 계정에서 사용할 수 있는 AWS 서비스 작업(예: Amazon EC2 RunInstances)을 정의하고 적용할 수 있습니다.

Q: 통합 결제 패밀리에서 AWS Organizations로 마이그레이션해야 합니까?

아니요. AWS에서는 통합 결제 패밀리를 통합 결제 기능만 활성화하여 자동으로 AWS Organizations로 마이그레이션했습니다.

Q: 시작하려면 어떻게 해야 합니까?

시작하려면 먼저 마스터 계정으로 사용할 AWS 계정을 결정해야 합니다. 통합 결제 패밀리를 사용하는 경우 AWS에서 이미 통합 결제 지급인 AWS 계정을 마스터 계정으로 전환했습니다. 통합 결제 패밀리를 사용하지 않는 경우, 새로운 AWS 계정을 생성하거나 기존 계정 중 하나는 선택할 수 있습니다.

통합 결제를 사용하는 고객용 단계

  1. 통합 결제 콘솔로 이동합니다. AWS에서 사용자를 새로운 AWS Organizations 콘솔로 리디렉션합니다.
  2. AWS에서 자동으로 사용자의 통합 결제 패밀리를 전환했으므로 새로운 조직 기능을 활용하기 시작할 수 있습니다.
통합 결제를 사용하지 않는 고객용 단계
 
다음 단계를 따라 새로운 조직을 생성해야 합니다.
 
  1. 조직을 관리하는 데 사용하려는 AWS 계정을 통해 관리자로서 AWS Management Console에 로그인합니다.
  2. AWS Organizations 콘솔로 이동합니다.
  3. Create Organization을 선택합니다.
  4. 조직에 대해 활성화하려는 기능을 consolidated billing only features 또는 all features 중에서 선택합니다.
  5. 다음 두 가지 방법 중 하나를 사용하여 조직에 AWS 계정을 추가합니다.
    1. AWS 계정 ID 또는 연결된 이메일 주소를 사용하여 조직에 가입하도록 기존 AWS 계정을 초대합니다.
    2. 새로운 AWS 계정을 생성합니다.
  6. AWS 계정을 OU로 그룹화하여 조직 계층 구조를 모델링합니다.
  7. 조직에 대한 모든 기능을 활성화하기로 선택했다면 제어 기능을 작성하고 이러한 OU에 할당할 수 있습니다.

또한, AWS CLI(명령줄 액세스용) 또는 SDK(프로그래밍 방식 액세스용)를 사용해서도 새로운 조직을 생성하는 동일한 단계를 수행할 수 있습니다.

참고: 다른 조직의 멤버가 아닌 AWS 계정에서만 새로운 계정을 생성하는 작업을 시작할 수 있습니다.
 
자세한 내용은 AWS Organizations 시작하기를 참조하십시오.

Q: 조직이란 무엇입니까?

조직이란 계층 구조로 구성하고 중앙에서 관리할 수 있는 AWS 계정 모음입니다.

Q: AWS 계정이란 무엇입니까?

AWS 계정은 AWS 리소스용 컨테이너입니다. AWS 계정 내에 AWS 리소스를 생성하고 관리할 수 있으며, AWS 계정은 액세스 및 결제에 대한 관리 기능을 제공합니다.

Q: 마스터 계정이란 무엇입니까?

마스터 계정은 조직을 생성하는 데 사용하는 AWS 계정입니다. 마스터 계정에서 조직 내 다른 계정을 생성하고, 다른 계정이 조직에 가입하도록 초대하고 초대를 관리하며, 조직에서 계정을 제거할 수 있습니다. 또한, 조직 내 관리 루트, 조직 단위(OU) 또는 계정과 같은 엔터티에 정책을 연결할 수 있습니다. 마스터 계정은 지급 계정 역할을 가지며 조직의 계정에 의해 발생하는 모든 요금의 지급을 담당합니다. 조직의 어느 계정을 마스터 계정으로 할지는 변경할 수 없습니다.

Q: 멤버 계정이란 무엇입니까?

멤버 계정은 마스터 계정이 아니면서 조직의 일부인 AWS 계정을 말합니다. 조직의 관리자인 경우 조직에 멤버 계정을 만들고, 조직에 가입하도록 기존 계정을 초대할 수 있습니다. 또한, 멤버 계정에 정책을 적용할 수도 있습니다. 멤버 계정은 한 번에 하나의 조직에만 속할 수 있습니다.

Q: 관리 루트란 무엇입니까?

관리 루트란 AWS 계정을 구성하는 시작점입니다. 관리 루트는 조직의 계층 구조 중 가장 상위에 있는 컨테이너입니다. 이 루트 아래에 OU를 생성하여 논리적으로 계정을 그룹화하고 이러한 OU를 비즈니스 요구 사항에 가장 잘 맞는 계층 구조로 구성할 수 있습니다.

Q: 조직 단위(OU)란 무엇입니까?

조직 단위(OU)는 조직 내 AWS 계정 그룹입니다. 또한, OU는 다른 OU를 포함할 수 있으므로 사용자가 계층 구조를 생성할 수 있습니다. 예를 들어, 동일한 부서에 속하는 모든 계정을 부서별 OU로 그룹화할 수 있습니다. 마찬가지로, 프로덕션 서비스를 실행하는 모든 계정을 프로덕션 OU로 그룹화할 수 있습니다. OU는 조직의 계정 하위 집합에 동일한 제어 항목을 적용해야 하는 경우 유용합니다. 중첩 OU를 사용하면 더 작은 관리 단위를 만들 수 있습니다. 예를 들어, 부서별 OU에서, 개별 팀에 속하는 계정을 팀 수준 OU로 그룹화할 수 있습니다. 이러한 OU는 팀 수준 OU에 직접 지정된 제어 항목뿐만 아니라 상위 OU로부터 정책을 상속받습니다.

Q: 정책이란 무엇입니까?

정책은 AWS 계정 그룹에 적용하려는 제어 항목을 정의하는 하나 이상의 문으로 된 "문서"입니다. 이번 릴리스에서는, AWS Organizations가 서비스 제어 정책(SCP)이라고 하는 특정 유형의 정책을 지원합니다. SCP는 조직 내 다른 계정에서 사용할 수 있는 AWS 서비스 작업(예: Amazon EC2 RunInstances)을 정의합니다.


Q: 내 조직을 지역적으로 정의하고 관리할 수 있습니까?

아니요. 모든 조직 엔터티는 전 세계에서 액세스할 수 있습니다. 이는 현재 AWS Identity and Access Management(IAM)가 작동하는 방식과 유사합니다. 조직을 생성하고 관리할 때 리전은 지정하지 않아도 됩니다. AWS 계정의 사용자는 해당 서비스가 제공되는 모든 지리적 리전에서 AWS 서비스를 사용할 수 있습니다.

Q: 마스터 계정을 다른 AWS 계정으로 변경할 수 있습니까?

아니요. 마스터 계정을 다른 AWS 계정으로 변경할 수는 없습니다. 따라서 마스터 계정은 주의해서 선택해야 합니다.

Q: 내 조직에 AWS 계정을 추가하는 방법은 무엇입니까?

다음 두 가지 방법 중 하나를 사용하여 AWS 계정을 조직에 추가할 수 있습니다.

방법 1: 조직에 가입하도록 기존 계정 초대

  1. 마스터 계정의 관리자로 로그인하고 AWS Organizations 콘솔로 이동합니다.
  2. Accounts 탭을 선택합니다.
  3. Add account를 선택한 다음, Invite account를 선택합니다.
  4. 초대하려는 계정의 이메일 주소 또는 계정의 AWS 계정 ID를 입력합니다.

참고: 이메일 주소 또는 AWS 계정 ID 목록을 쉼표로 구분하여 입력하면 두 개 이상의 AWS 계정을 초대할 수 있습니다.

지정한 AWS 계정으로 조직에 가입하도록 초대하는 이메일이 전송됩니다. 초대를 받은 AWS 계정의 관리자는 AWS Organizations 콘솔, AWS CLI 또는 Organizations API를 사용하여 요청을 수락하거나 거절해야 합니다. 관리자가 초대를 수락하면, 조직의 멤버 계정 목록에 해당 계정이 표시됩니다. SCP 등 적용 가능한 정책이 새로 추가된 계정에 자동으로 적용됩니다. 예를 들어 조직의 루트에 SCP가 연결되어 있다면, 새로 생성된 계정에 해당 SCP가 바로 적용됩니다.

방법 2: 조직에 AWS 계정 생성

  1. 마스터 계정의 관리자로 로그인하고 AWS Organizations 콘솔로 이동합니다.
  2. Accounts 탭을 선택합니다.
  3. Add account를 선택한 다음 Create account를 선택합니다.
  4. 계정의 이름 및 계정의 이메일 주소를 입력합니다.

AWS SDK나 AWS CLI를 사용하여 계정을 생성할 수도 있습니다. 두 가지 방법 모두, 새 계정을 추가한 후에 이를 조직 단위(OU)로 이동할 수 있습니다. 새 계정은 해당 OU에 연결된 정책을 자동으로 상속받습니다.

Q: 하나의 AWS 계정이 두 개 이상의 조직 멤버가 될 수 있습니까?

아니요. 하나의 AWS 계정은 한 번에 하나의 조직 멤버만 될 수 있습니다.

Q: 내 조직 내에 생성된 AWS 계정에 액세스하려면 어떻게 해야 합니까?

AWS 계정을 생성하는 과정에서 AWS Organizations는 새 계정에 대한 전체 관리 권한이 있는 IAM 역할을 생성합니다. 적절한 권한이 있는 마스터 계정의 IAM 사용자 및 IAM 역할은 이 역할을 맡아 새로 생성된 계정에 액세스할 수 있습니다.

Q: 내 조직 내에 생성된 AWS 계정에 대해 프로그래밍 방식으로 Multi-Factor Authentication(MFA)을 설정할 수 있습니까?

아니요. 이 작업은 현재 지원되지 않습니다.

Q: AWS Organizations를 사용하여 생성한 AWS 계정을 다른 조직으로 이동할 수 있습니까?

아니요. 이 작업은 현재 지원되지 않습니다.

Q:  Organizations를 사용해 생성한 AWS 계정을 제거하고 이를 독립형 계정으로 만들 수 있습니까?

예. 하지만 AWS Organizations 콘솔, API 또는 CLI 명령을 사용하여 조직 내에 계정을 생성하면, 독립형 계정에 필요한 모든 정보가 자동으로 수집되지 않습니다. 독립형으로 만들려는 각 계정의 경우, 먼저 AWS 이용계약에 동의하고, Support 플랜을 선택하고, 필요한 담당자 정보를 제공 및 확인하고, 현재 결제 수단을 제공해야 합니다. AWS에서는 이 결제 수단을 사용해 해당 계정이 조직에 연결되어 있지 않을 때 발생하는 모든 청구 가능한 AWS 활동(AWS 프리 티어 이외)에 대해 비용을 청구합니다. 자세한 내용은 조직에서 멤버 계정 제거 섹션을 참조하십시오.

Q: 내 조직에서 내가 관리할 수 있는 AWS 계정 수는 몇 개입니까?

이는 경우에 따라 다릅니다. 계정을 추가해야 하는 경우 AWS 지원 센터로 이동하고 지원 케이스를 열어 증가를 요청하십시오.

Q: AWS 멤버 계정을 조직에서 제거하려면 어떻게 해야 합니까?

다음 두 가지 방법 중 하나로 멤버 계정을 제거할 수 있습니다. Organizations를 사용해 생성한 계정을 제거하기 위해서는 추가 정보를 제공해야 할 수도 있습니다. 계정 제거를 시도하였지만 실패하는 경우, AWS 지원 센터로 이동하여 계정 제거에 대한 지원을 요청하십시오.

방법 1: 마스터 계정으로 로그인하여 초대된 멤버 계정 제거

  1. 마스터 계정의 관리자로 로그인하고 AWS Organizations 콘솔로 이동합니다.
  2. 왼쪽 창에서 Accounts를 선택합니다.
  3. 제거하려는 계정을 선택한 다음, Remove account를 선택합니다.
  4. 계정에 유효한 결제 방법이 없다면 이를 제공해야 합니다.

방법 2: 멤버 계정으로 로그인하여 초대된 멤버 계정 제거

  1. 조직에서 제거하려는 멤버 계정의 관리자로 로그인합니다.
  2. AWS Organizations 콘솔로 이동합니다.
  3. Leave organization을 선택합니다.
  4. 계정에 결제 방법이 없다면 이를 제공해야 합니다.

Q: 조직 유닛(OU)을 생성하는 방법은 무엇입니까?

OU를 생성하려면 다음 단계를 따르십시오.

  1. 마스터 계정의 관리자로 로그인하고 AWS Organizations 콘솔로 이동합니다.
  2. Organize accounts 탭을 선택합니다.
  3. OU를 생성하려는 계층 구조로 이동합니다. 루트 바로 아래에 OU를 생성하거나 다른 OU 내에 OU를 생성할 수 있습니다.
  4. Create organizational unit을 선택하고 OU 이름을 입력합니다. 이 이름은 조직 내에서 고유해야 합니다.

참고: OU 이름은 나중에 바꿀 수 있습니다.

이제 OU에 AWS 계정을 추가할 수 있습니다. AWS CLI 및 AWS API를 사용하여 OU를 생성하고 관리할 수도 있습니다.

Q: OU에 AWS 멤버 계정을 추가하려면 어떻게 해야 합니까?

다음 단계를 따라 OU에 멤버 계정을 추가합니다.

  1. AWS Organizations 콘솔에서 Organize accounts 탭을 선택합니다.
  2. AWS 계정을 선택한 다음, Move account를 선택합니다.
  3. 대화 상자에서 AWS 계정을 이동하려는 대상 OU를 선택합니다.

아니면 AWS CLI와 AWS API를 사용하여 AWS 계정을 OU에 추가할 수도 있습니다.

Q: 하나의 AWS 계정이 여러 OU의 멤버가 될 수 있습니까?

아니요. 하나의 AWS 계정은 한 번에 하나의 OU 멤버만 될 수 있습니다.

Q: OU가 여러 OU의 멤버가 될 수 있습니까?

아니요. OU는 한 번에 하나의 OU 멤버만 될 수 있습니다.

Q: 내 OU 계층 구조에서 레벨을 몇 개 구성할 수 있습니까?

OU를 5개 레벨까지 중첩할 수 있습니다. 계층 구조는 루트와 가장 낮은 OUT에 생성된 AWS 계정을 포함하여 5개의 레벨로 구성될 수 있습니다.


Q: 내 조직을 누가 관리할지를 어떻게 제어할 수 있습니까?

다른 AWS 리소스에 대한 액세스를 관리하는 것과 동일한 방법으로 조직 및 해당 리소스를 관리할 사용자를 제어할 수 있습니다. 마스터 계정의 IAM 사용자, 그룹 또는 역할에 IAM 정책을 연결하면 됩니다. IAM 정책을 사용하면 다음을 제어할 수 있습니다.

  • 조직, 조직 단위(OU) 또는 AWS 계정 생성.
  • AWS 계정을 조직 및 OU로 추가 및 이동하고 이를 조직 및 OU에서 제거.
  • 정책을 생성하고 이를 조직 루트, OU 및 개별 계정에 연결.

Q: AWS Organizations를 사용하여 생성한 모든 계정에 IAM 역할이 정의되는 이유는 무엇입니까?

이 역할이 있으면 마스터 계정의 사용자가 새 멤버 계정에 액세스할 수 있습니다. 새 멤버 계정에는 처음에 사용자나 암호가 없으며 이 역할을 사용해서만 액세스될 수 있습니다. 이 역할을 사용하여 멤버 계정에 액세스하고 관리자 권한을 가진 최소한 하나 이상의 IAM 사용자를 생성한 후, 원할 경우 이 역할을 안전하게 삭제할 수 있습니다. IAM 역할 및 사용자에 대한 자세한 내용은 마스터 계정 액세스 역할을 가진 멤버 계정 액세스하기를 참조하십시오.

Q: 내 조직의 AWS 멤버 계정에 있는 IAM 사용자에게 내 조직을 관리할 권한을 부여할 수 있습니까?

예. 전체 조직 또는 조직의 일부를 관리할 권한을 멤버 계정의 IAM 사용자에게 부여하려면 IAM 역할을 사용하면 됩니다. 마스터 계정에 적절한 권한이 있는 역할을 생성하고 멤버 계정의 사용자 또는 역할이 이 새로운 역할을 맡도록 허용합니다. 이는 하나의 계정에 있는 IAM 사용자에게 다른 계정의 리소스(예: Amazon DynamoDB 테이블)에 대한 액세스 권한을 부여하는 것과 동일한 교차 계정 방법입니다.

Q: 멤버 계정의 IAM 사용자가 내 조직에 로그인할 수 있습니까?

아니요. IAM 사용자는 조직의 지정된 멤버 계정에만 로그인할 수 있습니다.

Q: IAM 사용자가 내 조직의 조직 단위(OU)에 로그인할 수 있습니까?

아니요. IAM 사용자는 조직의 연결된 AWS 계정에만 로그인할 수 있습니다.

Q: 내 AWS 계정의 누가 조직 가입 초대를 수락할 수 있는지를 제어할 수 있습니까?

예. IAM 권한을 사용하면 계정 사용자가 조직에 가입하라는 초대를 수락 또는 거절할 수 있는 권한을 부여하거나 거부할 수 있습니다. 다음 정책은 AWS 계정의 초대장을 보고 관리하는 액세스 권한을 부여합니다.

{

    "Version":"2012-10-17",

    "Statement":[

        {

            "Effect": "Allow",

            "Action":[

                "organizations:AcceptHandshake",

                "organizations:DeclineHandshake",

                "organizations:DescribeHandshake",

                "organizations:ListHandshakesForAccount"

            ],

            "Resource":" *"

        }

    ]

}

자세한 내용은 Using Identity-Based Policies(IAM Policies) for AWS Organizations 섹션을 참조하십시오.


Q: 내 조직의 어느 수준에 정책을 적용할 수 있습니까?

조직의 루트(조직의 모든 계정에 적용), 중첩된 OU를 포함하여 OU의 모든 계정에 적용되는 개별 조직 단위(OU) 또는 개별 계정에 정책을 연결할 수 있습니다.

Q: 정책을 연결하려면 어떻게 해야 합니까?

다음 두 가지 방법 중 하나로 정책을 연결할 수 있습니다.

  • AWS Organizations 콘솔에서, 정책을 지정하려는 위치(루트, OU 또는 계정)로 이동한 다음, Attach Policy를 선택합니다.
  • Organizations 콘솔에서 Policies 탭을 선택하고 다음 중 하나를 수행합니다.
    • 기존 정책을 선택하고, Actions 드롭다운 목록에서 Attach Policy를 선택한 다음, 정책을 연결하려는 루트, OU 또는 계정을 선택합니다.
    • Create Policy를 선택한 다음, 정책 생성 워크플로의 한 부분으로 새로운 정책을 연결하려는 루트, OU 또는 계정을 선택합니다.

자세한 내용은 정책 관리 섹션을 참조하십시오.

Q: 정책은 내 조직의 계층적 연결을 통해 상속됩니까?

예. 예를 들어, 애플리케이션 개발 단계(DEV, TEST 및 PROD)에 따라 AWS 계정을 OU에 구성했다고 가정합니다. 정책 P1은 조직의 루트에 연결되고, 정책 P2는 DEV OU에 연결되고, 정책 P3은 DEV OU의 AWS 계정 A1에 연결됩니다. 이러한 설정에서 P1+P2+P3은 모두 계정 A1에 연결됩니다.

자세한 내용은 About Service Control Policies 섹션을 참조하십시오.

Q: AWS Organizations에서 지원하는 정책 유형은 무엇입니까?

현재, AWS Organizations는 SCP(서비스 제어 정책)를 지원합니다. SCP를 사용하면 SCP가 적용되는 계정의 IAM 사용자, 그룹 및 역할이 수행할 수 있는 작업을 정의하고 적용할 수 있습니다.

Q: SCP(서비스 제어 정책)란 무엇입니까?

SCP(서비스 제어 정책)를 사용하면 어떤 AWS 서비스 작업이 조직의 계정 내 보안 주체(계정 루트, IAM 사용자 및 IAM 역할)에 액세스할 수 있는지 제어할 수 있습니다. 계정의 보안 주체에 리소스에 대한 액세스 권한을 부여하기 위해서는 SCP가 필요하긴 하지만, 리소스에 액세스할 수 있는 계정의 보안 주체를 결정하는 유일한 제어 항목은 아닙니다. SCP가 연결되어 있는 계정 내 보안 주체의 실질적인 권한은 SCP에서 명시적으로 허용하는 권한과 해당 보안 주체에 연결된 권한에서 명시적으로 허용하는 권한의 교집합입니다. 예를 들어, 계정에 적용된 SCP에서 허용하는 유일한 작업이 Amazon EC2 작업이고, 동일한 AWS 계정 내 보안 주체의 권한이 EC2 작업 및 Amazon S3 작업을 모두 허용하는 경우, 보안 주체는 EC2 작업에만 액세스할 수 있습니다.

멤버 계정의 보안 주체(멤버 계정의 루트 사용자 포함)는 해당 계정에 적용된 SCP를 제거하거나 변경할 수 없습니다.

Q: SCP는 어떤 형태로 이루어집니까?

SCP는 IAM 정책과 동일한 규칙 및 문법을 따릅니다. 다른 점은 SCP에서는 조건을 지정할 수 없고 리소스 섹션이 "*"와 동일해야 합니다. SCP를 사용하면 AWS 서비스 작업에 대한 액세스를 거부하거나 허용할 수 있습니다.

화이트리스트 예제

다음은 AWS 계정의 모든 EC2 및 S3 서비스 작업에 액세스 권한을 부여하는 SCP입니다. 어떤 IAM 정책이 보안 주체에 직접 지정되었는지와 관계없이, 이 SCP가 적용된 계정의 모든 보안 주체(계정 루트, IAM 사용자 및 IAM 역할)는 다른 작업에 액세스할 수 없습니다. 이러한 IAM 정책이 명시적으로 EC2 또는 S3 서비스 작업을 허용해야만 보안 주체가 해당 작업에 액세스할 수 있습니다.

{

    "Version":"2012-10-17",

    "Statement":[

        {

            "Effect": "Allow",

            "Action":["EC2:*","S3:*"],

            "Resource":"*"

        }

    ]

}

블랙리스트 예제

다음은 S3 작업인 PutObject를 제외한 모든 AWS 서비스 작업에 대한 액세스를 허용하는 SCP입니다. 이 SCP가 적용된 계정에서 적절한 권한이 직접 지정된 모든 보안 주체(계정 루트, IAM 사용자 및 IAM 역할)는 S3 PutObject 작업을 제외한 모든 작업에 액세스할 수 있습니다.

{

    "Version":"2012-10-17",

    "Statement":[

        {

            "Effect": "Allow",

            "Action": "*:*",

            "Resource":"*"

        },

        {

            "Effect": "Deny",

            "Action":"S3:PutObject",

            "Resource":"*"

        }

    ]

}

자세한 내용은 Strategies for Using SCPs 섹션을 참조하십시오.

Q: 빈 SCP를 AWS 계정에 연결하는 경우 해당 AWS 계정의 모든 AWS 서비스 작업을 허용하게 됩니까?

아니요. SCP는 IAM 정책과 같은 방식으로 작동합니다. 빈 IAM 정책은 기본 거부에 해당합니다. 빈 SCP를 계정에 연결하는 것은 모든 작업을 명시적으로 거부하는 정책을 연결하는 것과 같습니다.

Q: SCP에 리소스 및 보안 주체를 지정할 수 있습니까?

아니요. 현재 릴리스에서는 SCP에 AWS 서비스 및 작업만 지정할 수 있습니다. AWS 계정 내에 IAM 권한 정책을 사용하면 리소스와 보안 주체를 지정할 수 있습니다. 자세한 내용은 Service Control Policy Syntax 섹션을 참조하십시오.

Q: SCP를 내 조직에 적용하고 내 보안 주체에도 IAM 정책이 있는 경우 어떤 것이 실질적인 권한이 됩니까?

SCP가 적용된 AWS 계정 내 보안 주체(계정 루트, IAM 사용자 및 IAM 역할)에 부여된 실질적인 권한은 SCP에서 허용한 권한과 IAM 권한 정책에서 보안 주체에 부여한 권한의 교집합입니다. 예를 들어 IAM 사용자가 "Allow": "ec2:* " 및 "Allow": "sqs:* " 권한을 가지고 있고 계정에 연결된 SCP가 "Allow": "ec2:* " and "Allow": "s3:* "인 경우, IAM 사용자의 최종 권한은 "Allow": "ec2:* "입니다. 이 보안 주체는 Amazon SQS 작업도 수행할 수 없고(SCP에서 허용하지 않음) S3 작업도 수행할 수 없습니다(IAM 정책에서 허용하지 않음).

Q: SCP가 AWS 계정에 어떤 영향을 주는지 시뮬레이션할 수 있습니까?

예. IAM 정책 시뮬레이터에 SCP의 영향을 포함할 수 있습니다. 조직의 멤버 계정으로 정책 시뮬레이터를 사용하여 해당 계정의 개별 보안 주체에 대한 영향을 파악할 수 있습니다. 적절한 AWS Organizations 권한이 있는 멤버 계정의 관리자는 SCP가 멤버 계정 내 보안 주체(계정 루트, IAM 사용자 및 IAM 역할)의 액세스 권한에 영향을 주는지 확인할 수 있습니다.

자세한 내용은 Service Control Policies 섹션을 참조하십시오.

Q: SCP를 적용하지 않고도 조직을 생성하고 관리할 수 있습니까?

예. 적용하려는 정책을 결정하면 됩니다. 예를 들어, 통합 결제 기능의 장점만 활용하는 조직을 생성할 수 있습니다. 즉, 조직의 모든 계정에 대해 단일 지급 계정을 사용함으로써, 기본적인 차등가격제 혜택을 자동으로 받을 수 있습니다.


Q: AWS Organizations 비용은 어떻게 됩니까?

AWS Organizations는 추가 비용 없이 제공됩니다.

Q: 내 조직의 AWS 멤버 계정 사용자에 의해 발생한 사용량은 누가 비용을 지불합니까?

마스터 계정의 소유자가 조직의 계정에서 사용하는 모든 사용량, 데이터 및 리소스에 대한 비용을 지불해야 합니다.

Q: AWS Organizations와 통합 결제의 차이점은 무엇입니까?

통합 결제의 기능은 이제 AWS Organizations 기능의 일부입니다. Organizations를 사용하면 단일 지급인 계정을 지정하여 회사 내의 여러 AWS 계정에 대한 결제를 통합할 수 있습니다. 자세한 내용은 Consolidated Billing and AWS Organizations 섹션을 참조하십시오.

Q: 비용 청구서에 내 조직에 생성한 조직 단위 구조가 반영됩니까?

아니요. 현재는 조직에 정의한 구조가 비용 청구서에 반영되지 않습니다. 개별 AWS 계정에 비용 할당 태그를 사용하면 AWS 비용을 분류하고 추적할 수 있으며, 조직의 통합 결제에 이러한 할당 내용이 표시됩니다.