본문 바로가기
AWS

AWS Organization

살살찬찬 2021. 8. 19. 19:40

source: https://docs.aws.amazon.com/ko_kr/organizations/latest/userguide/orgs_introduction.html

source: https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html

source: https://docs.aws.amazon.com/ko_kr/organizations/latest/userguide/orgs_getting-started_concepts.html

 

이전 글: AWS IAM, root user, IAM user

다음 글: AWS Control Tower

다음 글: AWS Firewall Manager

 

 

Orgainization 개념. source: AWS

조직 (Organization)

AWS 계정 (accounts)을 단일 단위로 통합해 관리할 수 있는 개체입니다. Organization 안의 모든 계정을 중앙에서 확인하고 관리할 수 있습니다. AWS Organizations는 비즈니스의 예산, 보안과 규정 준수 필요 충족에 도움이 되는 계정 관리 및 통합 결제 기능까지 함께 제공합니다. 조직의 관리자로서 조직에서 계정을 생성하고 기존 계정을 조직에 초대할 수 있습니다. 1개의 관리자 계정(management account)과 0개 이상의 멤버 계정(member account)을 갖고 있습니다. 위 그림에 나타나 있듯이 tree 계층 구조로 OU를 생성할 수 있습니다. 각 계정(Each Account)을 OU에 포함하거나 루트에 포함할 수 있습니다. 

루트 (Root)

Organization에서 맨 위에 있는 폴더(컨테이너)입니다. 루트에 정책을 적용하면 하위 모든 OU 및 멤버 계정에 적용합니다. 

OU(Orgazation Unit)

하위 그룹, 또는 sub 폴더와 같은 개념입니다. 루트 아래에 OU를 여러개 포함할 수 있습니다. OU는 하위에 다른 OU를 포함할 수 있습니다. 한 개의 계정 (account)는 1개 OUI에만 속합니다. 

계정 (Account)

AWS 사용자(user)와 리소스를 가진 AWS account를 말합니다.  Account는 user를 말하는 것이 아닙니다. Organization 안에는 2개 계정(Account) 유형이 있습니다.

  1. 관리 계정 (management account): 계정생성/제거, 다른 계정을 조직에 초대, 조직 안 개체(Root, OU, Account)에 정책 적용. 무엇보다도 모든 계정에서 발생하는 요금을 지불해야 함. 관리 계정은 변경할 수 없음. payer account라고도 함
  2. 멤버 계정 (member account): 관리 계정이 아닌 나머지 계정(account)

서비스 제어 정책 (SCP)

Organizatio, OU, Account가 실행할 수 있는 권한을 제어합니다. 

 

Organization 기능

AWS 계정을 중앙 집중하여 관리

모든 멤버 계정에 대해 통합 결제

예산, 보안, 규정 준수 충족을 위해 계정을 계층적으로 그룹핑

정책 중앙 집중 관리

태그 관리 정책

자동 백업 정책

장점

프로그래밍 방식으로 새 account를 생성할 수 있으므로 빠르게 Workload를 확장할 수 있습니다. 

OU를 생성하고 OU에 SCP를 적용하여 거버넌스 경계를 만들 수 있습니다. 

중앙에서 여러 계정에 대해 보안 및 감사를 할 수 있습니다. 

AWS SSO 및 AD를 통해 권한 관리 및 접근 인증을 간소화할 수 있습니다. 

Resource Access Manager(RAM)을 통해 조직안에서 리소스를 공유하여 중복을 줄일 수 있습니다. 

이용료를 한 곳에서 청구받아 지급할 수 있으며, 할인 혜택을 받을 수 있습니다. 

 

필자가 추가로 알아낸 내용

* 현재 (2021.8.20) 까지 알아낸 것을 가지고 정리합니다. 조금 불완전하지만 ... 공유합니다. 

1. member account == root account

필자가 일하는 회사는 1개의 AWS Organization을 이용하고 있습니다. 그리고 하위에 여러개의 root account를 생성하여 이용하고 있습니다.  여기에서 말하는 root account가 무엇인지, 이 문서에서 이야기하는 management account가 무엇인지 혼동스러웠습니다. 

정리하면 아래와 같습니다. 

  • 1개의 AWS Org는 1개의 management account를 가지며, 이것을 payer account라고도 합니다. 
  • 1개의 payer account는 하위에 여러개의 root account를 가질 수 있습니다. 이 root account를 이 문서에서 말하는 member account로 이해하면 됩니다. 

2. 1개의 기업에서는 AWS에 요청하여 여러개의 AWS Org를 생성하여 이용할 수 있습니다. 

AWS Org 단위로만 적용가능한 기능들이 있는데 (대표적인 것은 Firewall Manager), 이것을 적용하면 전체에 영향을 미치므로, 영향을 받는 account와 영향을 받지 않은 account를 구분하고 싶으면 별도의 AWS Org를 만들어 이용해야 합니다. AWS partner 또는 AWS Korea 영업담당에게 연락해야 합니다. 

 

3. AWS partner를 통해 AWS를 구매하여 이용하는 경우에, payer account는 AWS partner가 소유하고 관리합니다. 기업 고객은 member account만 생성하고 이용할 수 있습니다. 

 

 

 

 

이전 글: AWS IAM, root user, IAM user

다음 글: AWS Control Tower

다음 글: AWS Firewall Manager

 

'AWS' 카테고리의 다른 글

AWS Control Tower FAQs  (0) 2021.09.10
AWS Firewall Manager  (0) 2021.08.21
AWS IAM, root user, IAM user  (0) 2021.08.20

'AWS' Related Articles

티스토리툴바