AWS Organizations 기능

AWS 계정은 권한, 보안, 비용 및 워크로드에 대한 자연스러운 경계 역할을 합니다. 클라우드 환경을 확장할 때 다중 계정 환경을 사용하는 것이 권장되는 모범 사례입니다. AWS Command Line Interface(CLI), SDK 또는 API를 통해 프로그래밍 방식으로 새 계정을 생성하여 계정 생성을 간소화하고, AWS CloudFormation StackSets를 통해 이러한 계정에 권장되는 리소스 및 권한을 중앙 집중식으로 프로비저닝할 수 있습니다.

새 계정을 생성할 때 단일 애플리케이션 또는 서비스를 지원하는 OU(조직 단위) 또는 계정 그룹으로 그룹화할 수 있습니다. 조직에서 리소스를 분류하거나 추적하기 위해 태그 정책을 적용하고 사용자 또는 애플리케이션에 대한 속성 기반 액세스 제어를 제공합니다. 또한 지원되는 AWS 서비스에 대한 책임을 계정에 위임하여 사용자가 조직을 대신하여 관리할 수 있습니다.

조직을 대신하여 보안 팀이 보안 요구 사항을 관리할 수 있도록 중앙 집중식으로 이들 팀에 도구와 액세스 권한을 제공할 수 있습니다. 예를 들어 Amazon GuardDuty를 통해 여러 계정에서 읽기 전용 보안 액세스를 제공하고 위협을 탐지 및 완화하며, IAM Access Analyzer를 통해 의도하지 않은 액세스를 검토하고, Amazon Macie를 통해 민감한 데이터를 보호할 수 있습니다.

AWS IAM Identity Center를 설정하여 Active Directory를 통해 AWS 계정 및 리소스에 대한 액세스를 제공하고, 별도의 작업 역할에 따라 권한을 사용자 지정합니다. 또한 사용자, 계정 또는 OU에 서비스 제어 정책(SCP)을 적용하여 조직 내에서 AWS 리소스, 서비스 및 리전에 대한 액세스를 제어할 수 있습니다.

AWS Resource Access Manager(RAM)를 사용하여 조직 내에서 AWS 리소스를 공유할 수 있습니다. 예를 들어 AWS Virtual Private Cloud(VPC) 서브넷을 한 번 생성한 후 조직에서 공유할 수 있습니다. 또한 AWS License Manager를 통해 중앙에서 소프트웨어 라이선스에 동의하고, AWS Service Catalog를 통해 여러 계정에서 IT 서비스 및 사용자 지정 제품의 카탈로그를 공유할 수 있습니다.

선언적 정책을 적용하여 조직 전체에 AWS 서비스의 기본 구성과 같은 지속 가능한 의도를 적용할 수 있습니다. 선언적 정책을 연결하면 권한 부여 컨텍스트에 관계없이 새 기능, API가 추가되고 적용될 때 구성이 유지됩니다.

여러 계정에서 AWS CloudTrail을 활성화하면 멤버 계정이 끄거나 수정할 수 없는 클라우드 환경에서의 모든 활동의 로그가 생성됩니다. 또한 AWS Backup을 사용하여 지정된 케이던스로 백업을 적용하도록 정책을 설정하거나, AWS Config를 사용하여 여러 계정과 AWS 리전에서 권장 리소스 구성 설정을 정의할 수 있습니다.

조직에서는 하나의 통합된 결제 방식을 제공합니다. 또한 AWS Cost Explorer를 사용하여 여러 계정에 걸쳐 리소스 사용량을 확인하고 비용을 추적하며, AWS Compute Optimizer를 사용하여 컴퓨팅 리소스 사용을 최적화할 수 있습니다.