AWS Organizations 기능

AWS 계정은 권한, 보안, 비용 및 워크로드에 대한 자연스러운 경계 역할을 합니다. 클라우드 환경을 확장할 때 다중 계정 환경을 사용하는 것이 권장되는 모범 사례입니다. AWS 명령줄 인터페이스(CLI), SDK 또는 API를 통해 프로그래밍 방식으로 새 계정을 생성하여 계정 생성을 간소화하고 AWS CloudFormation StackSets를 통해 이러한 계정에 권장되는 리소스 및 권한을 중앙 집중식으로 프로비저닝할 수 있습니다.

새 계정을 생성할 때 단일 애플리케이션 또는 서비스를 지원하는 OU(조직 단위) 또는 계정 그룹으로 그룹화할 수 있습니다. 조직에서 리소스를 분류하거나 추적하기 위해 태그 정책을 적용하고 사용자 또는 애플리케이션에 대한 속성 기반 액세스 제어를 제공합니다. 또한 지원되는 AWS 서비스에 대한 책임을 계정에 위임하여 사용자가 조직을 대신하여 관리할 수 있습니다.

조직을 대신하여 보안 팀이 보안 요구 사항을 관리할 수 있도록 중앙 집중식으로 이들 팀에 도구와 액세스 권한을 제공할 수 있습니다. 예를 들어, Amazon GuardDuty를 통해 여러 계정에서 읽기 전용 보안 액세스를 제공하고 위협을 탐지 및 완화하며, IAM Access Analyzer를 통해 의도하지 않은 액세스를 검토하고, Amazon Macie를 통해 민감한 데이터를 보안할 수 있습니다.

AWS IAM Identity Center(AWS SSO의 후속 서비스)를 설정하여 Active Directory를 통해 AWS 계정 및 리소스에 대한 액세스를 제공하며, 별도의 작업 역할에 따라 권한을 사용자 지정합니다. 또한 사용자, 계정 또는 OU에 서비스 제어 정책(SCP)을 적용하여 조직 내에서 AWS 리소스, 서비스 및 리전에 대한 액세스를 제어할 수 있습니다.

AWS Resource Access Manager(RAM)를 사용하여 조직 내에서 AWS 리소스를 공유할 수 있습니다. 예를 들어 AWS Virtual Private Cloud(VPC) 서브넷을 한 번 생성한 후 조직에서 공유할 수 있습니다. 또한 AWS License Manager를 통해 중앙 위치에서 소프트웨어 라이선스에 동의하고, AWS Service Catalog를 통해 여러 계정에서 IT 서비스 및 사용자 지정 제품의 카탈로그를 공유할 수 있습니다.

여러 계정에서 AWS CloudTrail을 활성화하면 멤버 계정에서는 수정하거나 끌 수 없는 모든 활동 로그를 클라우드 환경에서 생성할 수 있습니다. 또한, AWS Backup을 통해 지정된 케이던스에서 백업을 시행하는 정책을 설정하거나, AWS Config를 통해 여러 계정 및 AWS 리전에서 리소스에 대해 권장되는 구성 설정을 정의할 수 있습니다.

조직에서는 하나의 통합된 결제 방식을 제공합니다. 이외에도 AWS Cost Explorer를 사용하여 여러 계정에서 리소스 사용을 보고 비용을 추적하며, AWS Compute Optimizer를 사용하여 컴퓨팅 리소스 사용을 최적화할 수 있습니다.