조직 및 계정의 관리 및 정의 - Root, Master, OU
조직 및 계정의 관리 및 정의
AWS는 보안 및 규정 준수 모범 사례로 다중 계정 환경을 권장합니다. 워크로드 또는 애플리케이션을 개별 계정으로 분리함으로써 계정을 사용하여 특정 워크로드에 대한 액세스를 제어하고 AWS Organizations를 사용하여 모든 계정을 관리할 수 있습니다.
이를 위해 AWS Organizations를 사용하여 프로그래밍 방식으로 새로운 AWS 계정을 생성하고, AWS CloudFormation StackSets를 사용하여 계정을 중앙에서 프로비저닝하고, 해당 계정을 관리 OU(조직 단위)로 그룹화할 수 있습니다.
액세스 및 권한 제어
AWS Organizations와 AWS Single Sign-On을 함께 사용하면 직원을 위한 조직 계정에 액세스할 수 있는 권한을 중앙에서 배포할 수 있습니다. SCP(서비스 제어 정책)를 사용하면 계정의 권한 가드레일을 적용하여 조직 계정 전반에서 액세스할 수 있는 서비스, 작업 및 리소스를 제어할 수 있습니다.
규정 준수를 위한 환경 감사, 모니터링 및 보안
AWS Organizations를 사용하여 AWS 환경을 중앙에서 감사, 모니터링 및 보호함으로써 회사 정책을 준수하도록 할 수 있습니다. 예를 들어 전사적 AWS CloudTrail 추적을 정의하여 환경 전체에 걸쳐 수행되는 모든 작업을 중앙에서 로깅하고 이를 계정 수준에서 수정하지 못하게 보호할 수 있습니다. 현재 제공되는 기타 서비스로는 AWS Config, AWS CloudWatch Events, AWS Artifact 및 AWS Firewall Manager가 있습니다. AWS Organizations와 통합된 AWS 서비스의 전체 목록을 보려면 AWS Organizations와 함께 사용할 수 있는 AWS 서비스를 참조하십시오.
계정에서 리소스 공유
AWS를 통해 중요한 리소스를 중앙에서 정의하고 조직 전체의 계정에서 사용할 수 있도록 할 수 있습니다. 예를 들어 AWS Directory Service를 사용하여 관리형 Active Directory를 생성함으로써 WorkSpaces와 같은 애플리케이션의 중앙 ID 스토어에 대해 인증하고 다른 계정에 배포된 애플리케이션이 해당 스토어에 액세스할 수 있도록 할 수 있습니다. 리소스를 공유하는 데 사용할 수 있는 기타 서비스로는 AWS Resource Access Manager(RAM), AWS Service Catalog 및 AWS License Manager가 있습니다.
중앙에서 비용 및 결제 관리
AWS Organizations를 사용하면 조직 계정 전체의 모든 사용량을 단일 청구서로 통합할 수 있습니다. 또한 중앙 세금 콘솔에서 조직 계정 전반의 세금 설정을 관리하고, AWS 예산 및 AWS Cost Explorer를 활용하여 조직 전체의 AWS 지출에 대한 통찰력을 얻을 수 있습니다.