[Cloud] AWS Organizations와 실제 기업에서 운용하는 방법

AWS Organizations

• 여러 AWS 계정을 중앙에서 관리하고 정책을 통해 리소스에 대한 제어를 적용할 수 있도록 돕는 서비스
• 각 조직 내에서 각 계정은 별도로 관리되지만, 중앙에서 통합적으로 정책을 설정하거나 계정을 그룹화할 수 있음

Organizations의 구조

조직 (Organization)

• AWS 계정들의 집합
• AWS 계정을 하나로 묶는 전체 구조, 최상위 개념
• 여러 AWS 계정을 하나의 조직으로 묶어 중앙에서 관리
• 여러 계정에 대한 일관된 보안 및 컴플라이언스 정책을 적용 가능

관리 계정 (Management Account, Master Account)

• 조직을 관리하는 계정
• 전체 조직을 생성하고 관리하는 역할
• 다른 계정을 초대하거나 새 계정을 생성 가능

관리 계정에서 할 수 있는 일

• 조직 생성 및 관리
• OU 생성 및 관리
• 새로운 AWS 계정 생성
• 계정 초대 및 탈퇴 관리
• SCP (서비스 제어 정책) 관리
• SCP 상속 관리
• 청구 및 결제 통합 관리
• IAM 역할 및 정책 관리
• AWS 서비스 간 통합 관리

그럼 할 수 없는 일은?

• 조직 계정 내 리소스 관리
• SCP 우회: SCP가 루트 수준에서 설정된 경우 관리 계정 또한 SCP에 의해 제어되며 제한된 권한을 우회할 수 없음

조직 단위 (OU, Organizational Unit)

• 여러 AWS 계정을 그룹화하는 단위
• 조직 내에 여러 팀이나 부서가 있다면 각 팀의 AWS 계정을 그룹화 가능
• 계층 구조를 제공
  • OU 안의 OU를 생성할 수 있음
  • 예를 들면 OU_DOMAIN 안에 OU_DEV, OU_PROD 등
  • 각 OU 하위에는 계정이 들어갈 수 있음
    • SECU, DEV, TEST, PROD, …
• OU 별로 다른 정책을 적용할 수 있음

서비스 제어 정책 (SCP, Service Control Policy)

• 어떤 AWS 리소스를 사용할 수 있는지 제한하는 정책
• 조직 내 모든 계정이나 특정 OU에 속한 계정들이 AWS 리소스를 사용할 때, SCP를 통해 허용된 서비스만 접근 가능하게 만들 수 있음
• 계정에서 사용할 수 있는 최대 권한 범위를 제한하는 역할
  • 즉, “무엇을 할 수 있는지”를 정의하기보다 “무엇을 할 수 없는지”를 결정