AWS Organizations이란?
- 여러 AWS 계정을 중앙에서 관리하는 글로벌 서비스이다.
- 전체 계정을 관리하는 관리계정(Master Account), 나머지는 멤버 계정이라고 부른다.
- 조직관리를 위해 OU(Organization Unit)이라는 조직 단위로 그룹화 하여 관리
- 그룹마다 서비스 제어 정책(SCP, Serivce Control Policy)를 적용해서 액세스를 제한해야 하는 서비스를 제어 가능
- 계정을 통합하면 결제를 한곳으로 통합이 가능하고 볼륨 가격을 할인받을 수 있다.
AWS OU란?
- OU(Organization Unit)이라는 조직단위로 그룹화하여 관리하는 기능
- 사용중인 AWS 계정을 Root OU로 초대하여 멤버 계정으로 만들 수 있음
AWS SCP
- 서비스 제어 정책 (Service Control Policy : SCP)로서 계정에 대한 정책이다.
- 계정에 특정 AWS 서비스에 대한 액세스를 제한할 수 있다.
- SCP 정책은 계정 또는 OU 단위에 적용할 수 있다.
- OU에 적용시 OU에 속한 계정과 OU는 모두 동일한 정책이 적용 (정책 상속)
OU 계정 실습
1) AWS 계정 초대하기
- Organization 서비스에 접속한다. (글로벌이기에 리전을 선택할 수 없다.)
- 기존적으로 Root 및 관리계정이 설정되어있다.
- AWS 계정추가를 선택한다.
- AWS 계정 생성 및 원래 있던 기존 AWS 계정 초대를 선택할 수 있다.
- 계정의 ID값을 적어주고 완료를 누르면 초대가 된다.
2) 초대받은 AWS 계정 확인하기
- Organization 서비스에 들어가 좌측의 초대를 누르고 수락을 누른다.
- 관리 계정에 들어가면 새롭게 추가된 것을 확인할 수 있다.
3) OU 새롭게 생성 가능
이렇게 큰 Root 조직을 만들 수 있다.
4) 조직안의 OU 만들기
- 위와 같은 방법으로 상태에서 새롭게 OU를 만들어주면 하위개념의 상속받는 계정이 생긴다.
이 외에도 계정을 클릭 후 [작업]을 통해 계정간(조직간) 이동이 가능하다.
SCP 정책 실습
- 서비스 제어정책을 클릭 및 활성화를 클릭한다.
- 기본적으로 전체 권한을 가지고 있는 Access가 있다.
- 오른쪽 상단의 정책 클릭을 통해 정책을 만들자.
- EC2를 거부하는 정책을 만들자 이름을 적당히 적고 코드를 작성하자
- 작업추가를 EC2 선택 후에 ALL Action을 선택한다. (EC2 거부)
- 리소스를 추가하는데 유형은 All Resource로 한다.
이렇게 만들었으면 계정에 적용시키자.
[AWS 계정]으로 넘어가서 원하는 계정을 선택한다.
이렇게 정책을 설정할 수 있다.
이제 이 하위의 OU는 모두 이와같은 정책이 적용됐다.
이렇게 설정한 계정으로 로그인해서 확인해보면 EC2 관련해서 권한이 없다고 뜬다. (다른 작업은 가능)
'Cloud Infra Architecture (AWS) > AWS SAA-C03' 카테고리의 다른 글
AWS Amazon EventBridge란? (0) | 2023.01.13 |
---|---|
AWS CloudWatch란? (0) | 2023.01.13 |
AWS GuardDuty, Macie, Inspector란? (0) | 2023.01.12 |
AWS Shield & WAF란? (0) | 2023.01.12 |
AWS Certificate Manager (ACM)이란? (0) | 2023.01.12 |