AWS Organizations는 클라우드 환경을 중앙 집중식으로 관리하고 규제하는 기능을 제공합니다. 단일 청구로 계정을 관리 및 구성하며, 전체 조직에 대한 중앙 정책 및 구성 요구 사항을 설정하고, 조직 내에서 사용자 지정 권한 또는 기능을 생성하며, 조직을 대신하여 관리할 수 있도록 다른 계정에 대한 책임을 위임할 수 있습니다.
또한, AWS Organizations는 다른 AWS 서비스에 통합되므로 중앙 구성, 보안 메커니즘, 감사 요구 사항 및 조직 내 계정에 걸쳐 공유되는 리소스를 정의할 수 있습니다.
AWS 계정 관리
AWS 계정은 권한, 보안, 비용 및 워크로드에 대한 자연스러운 경계 역할을 합니다. 클라우드 환경을 확장할 때 다중 계정 환경을 사용하는 것이 권장되는 모범 사례입니다. AWS 명령줄 인터페이스(CLI), SDK 또는 API를 통해 프로그래밍 방식으로 새 계정을 생성하여 계정 생성을 간소화하고 AWS CloudFormation StackSets를 통해 이러한 계정에 권장되는 리소스 및 권한을 중앙 집중식으로 프로비저닝할 수 있습니다.
조직 정의 및 관리
새 계정을 생성할 때 단일 애플리케이션 또는 서비스를 지원하는 OU(조직 단위) 또는 계정 그룹으로 그룹화할 수 있습니다. 조직에서 리소스를 분류하거나 추적하기 위해 태그 정책을 적용하고 사용자 또는 애플리케이션에 대한 속성 기반 액세스 제어를 제공합니다. 또한 지원되는 AWS 서비스에 대한 책임을 계정에 위임하여 사용자가 조직을 대신하여 관리할 수 있습니다.
계정 보안 및 모니터링
조직을 대신하여 보안 팀이 보안 요구 사항을 관리할 수 있도록 중앙 집중식으로 이들 팀에 도구와 액세스 권한을 제공할 수 있습니다. 예를 들어, Amazon GuardDuty를 통해 여러 계정에서 읽기 전용 보안 액세스를 제공하고 위협을 탐지 및 완화하며, IAM Access Analyzer를 통해 의도하지 않은 액세스를 검토하고, Amazon Macie를 통해 민감한 데이터를 보안할 수 있습니다.
액세스 및 권한 제어
AWS IAM Identity Center를 설정하여 Active Directory를 통해 AWS 계정 및 리소스에 대한 액세스를 제공하며, 별도의 작업 역할에 따라 권한을 사용자 지정합니다. 또한 사용자, 계정 또는 OU에 서비스 제어 정책(SCP)을 적용하여 조직 내에서 AWS 리소스, 서비스 및 리전에 대한 액세스를 제어할 수 있습니다.
계정에서 리소스 공유
AWS Resource Access Manager(RAM)를 사용하여 조직 내에서 AWS 리소스를 공유할 수 있습니다. 예를 들어 AWS Virtual Private Cloud(VPC) 서브넷을 한 번 생성한 후 조직에서 공유할 수 있습니다. 또한 AWS License Manager를 통해 중앙 위치에서 소프트웨어 라이선스에 동의하고, AWS Service Catalog를 통해 여러 계정에서 IT 서비스 및 사용자 지정 제품의 카탈로그를 공유할 수 있습니다.
규정 준수를 위해 환경 감사
여러 계정에서 AWS CloudTrail을 활성화하면 멤버 계정에서는 수정하거나 끌 수 없는 모든 활동 로그를 클라우드 환경에서 생성할 수 있습니다. 또한, AWS Backup을 통해 지정된 케이던스에서 백업을 시행하는 정책을 설정하거나, AWS Config를 통해 여러 계정 및 AWS 리전에서 리소스에 대해 권장되는 구성 설정을 정의할 수 있습니다.
중앙 집중식으로 결제 및 비용 관리
조직에서는 하나의 통합된 결제 방식을 제공합니다. 이외에도 AWS Cost Explorer를 사용하여 여러 계정에서 리소스 사용을 보고 비용을 추적하며, AWS Compute Optimizer를 사용하여 컴퓨팅 리소스 사용을 최적화할 수 있습니다.
AWS Organizations 시작하기