[AWS] AWS Organization

AWS Organizations는 여러 AWS 계정을 하나의 조직 내에서 관리할 수 있게 해주는 서비스로, 큰 규모의 기업이나 프로젝트에서 여러 계정을 효율적으로 관리하고 보안을 강화하는 데 유용합니다. 

AWS SAA 시험에서도 자주 등장하는 주요 개념을 잘 이해하고 계정을 그룹으로 묶어 관리하는 방법을 정리해볼게요.

 

 

1. AWS Organizations란?

AWS Organizations는 여러 AWS 계정을 중앙에서 통합 관리하고 정책을 적용할 수 있게 해주는 서비스입니다. 이를 통해 비용 관리, 정책 적용, 보안 강화를 쉽게 할 수 있으며, 멀티 계정을 활용해 개발, 테스트, 운영 등 계정별로 용도를 나눠 사용하기에 좋습니다.

 

2. 주요 개념

- 조직(Organization): AWS Organizations에서 계정을 관리하는 최상위 엔터티입니다. 하나의 조직 내에 여러 계정을 둘 수 있으며, 중앙 관리자 역할을 수행합니다.

- 마스터 계정(Master Account): 조직의 중앙 계정으로, 새로운 계정을 생성하거나 기존 계정을 조직에 추가하는 작업을 관리합니다. 마스터 계정은 청구를 통합하고, 비용을 추적하는 역할을 합니다.

- 구성 단위(Organizational Unit, OU): 계정을 그룹으로 묶은 단위입니다. OU를 사용하면 계정을 계층 구조로 구성할 수 있어, 그룹별로 다른 정책을 적용하기 쉽습니다. 예를 들어, ‘개발’, ‘운영’ OU를 만들어 각 환경별로 구분해 관리할 수 있습니다.

- 서비스 제어 정책(Service Control Policy, SCP): 계정이나 OU에 적용할 수 있는 정책으로, 각 계정의 IAM 사용자와 역할이 사용할 수 있는 권한을 제어합니다. SCP는 상위 제한을 설정하는 것이기 때문에, 특정 서비스나 리소스 접근을 제한할 때 유용합니다.

 

3. AWS Organizations의 주요 기능

- 통합된 청구 관리: AWS Organizations의 마스터 계정을 통해 조직 내 모든 계정의 청구서가 하나로 통합됩니다. 이를 통해 비용 관리가 더욱 쉬워지며, 멀티 계정을 사용하는 조직에서는 절감 효과를 볼 수 있습니다.

- 계정 생성 및 초대: 마스터 계정에서 새로운 계정을 생성하거나 기존 계정을 초대하여 조직에 추가할 수 있습니다. 이를 통해 필요한 계정을 손쉽게 추가하고 관리할 수 있습니다.

- 서비스 제어 정책(SCP): SCP는 조직 내 모든 계정에 적용할 수 있으며, 특정 서비스나 리소스를 제한할 때 매우 유용합니다. 예를 들어, 개발 환경에서는 EC2 인스턴스 생성을 허용하지만, 운영 환경에서는 제한하는 식으로 사용할 수 있습니다.

- 계층화된 정책 적용: 조직을 OU로 나누어, 상위 OU의 정책을 하위 OU와 계정에 상속할 수 있습니다. 이를 통해 일관된 정책을 계층적으로 관리할 수 있습니다.

 

4. AWS SAA 시험에 자주 나오는 AWS Organizations 관련 내용

1. SCP의 역할과 IAM 정책의 차이점: SCP는 계정 수준에서 허용 가능한 권한의 상한을 설정하며, IAM 정책은 특정 사용자나 역할에 대한 권한을 설정합니다. 시험에서는 SCP가 상위 제한이며, 조직의 모든 계정에서 특정 권한을 제한하거나 허용할 때 사용된다는 점을 기억하세요.

2. 멀티 계정 구조의 장점: 보안, 비용 관리, 리소스 격리 등 멀티 계정 구조의 장점이 시험에 자주 등장합니다. 예를 들어, 프로젝트별 계정 분리로 비용을 추적하거나 환경별로 계정을 구분하여 권한을 제한하는 방식입니다.

3. OU를 이용한 정책 적용 사례: 시험에서는 OU에 따라 정책을 다르게 적용하는 시나리오가 나올 수 있습니다. 예를 들어, 개발 OU에서는 모든 서비스가 사용 가능하지만 운영 OU에서는 제한된 서비스만 사용하도록 설정하는 문제 등이 있습니다.

4. 통합 청구(Billing): 여러 계정의 청구서를 통합하여 마스터 계정에서 확인할 수 있다는 점은 비용 절감 측면에서 유용하며, 시험에서 자주 나오는 부분입니다. 

5. 계정 생성과 초대: AWS Organizations에서는 계정을 직접 생성하거나 초대할 수 있으며, 마스터 계정이 이를 주도적으로 관리합니다. 이와 관련된 시나리오 문제가 자주 등장합니다.

 

5. AWS Organizations 실습 추천

1. 조직과 OU 생성: 여러 개의 OU를 만들어 OU별로 계정을 그룹화하고 SCP를 설정해보는 실습을 추천합니다.

2. SCP 생성 및 적용: SCP를 통해 특정 OU에 제한을 두어 각 계정에서 서비스에 접근할 수 있는 권한을 제한해보세요. 예를 들어, ‘개발’ OU는 모든 서비스 접근이 가능하지만, ‘운영’ OU는 EC2와 RDS만 접근 가능하도록 설정하는 방식입니다.

3. 통합 청구 확인: 마스터 계정에서 통합 청구 설정을 활성화하여 여러 계정의 청구서를 통합하고, 비용을 확인하는 연습을 해보세요.