Cloud Infra Architecture (AWS)/AWS SAA-C03

AWS Organizations이란?

seongduck 2023. 1. 12. 15:03

AWS Organizations이란?

  • 여러 AWS 계정을 중앙에서 관리하는 글로벌 서비스이다.
  • 전체 계정을 관리하는 관리계정(Master Account), 나머지는 멤버 계정이라고 부른다.
  • 조직관리를 위해 OU(Organization Unit)이라는 조직 단위로 그룹화 하여 관리
  • 그룹마다 서비스 제어 정책(SCP, Serivce Control Policy)를 적용해서 액세스를 제한해야 하는 서비스를 제어 가능
  • 계정을 통합하면 결제를 한곳으로 통합이 가능하고 볼륨 가격을 할인받을 수 있다.

AWS OU란?

  • OU(Organization Unit)이라는 조직단위로 그룹화하여 관리하는 기능
  • 사용중인 AWS 계정을 Root OU로 초대하여 멤버 계정으로 만들 수 있음


AWS SCP

  • 서비스 제어 정책 (Service Control Policy : SCP)로서 계정에 대한 정책이다.
  • 계정에 특정 AWS 서비스에 대한 액세스를 제한할 수 있다.
  • SCP 정책은 계정 또는 OU 단위에 적용할 수 있다.
    • OU에 적용시 OU에 속한 계정과 OU는 모두 동일한 정책이 적용 (정책 상속)


OU 계정 실습


1) AWS 계정 초대하기

  1. Organization 서비스에 접속한다. (글로벌이기에 리전을 선택할 수 없다.)
  2. 기존적으로 Root 및 관리계정이 설정되어있다.
  3. AWS 계정추가를 선택한다.
  4. AWS 계정 생성 및 원래 있던 기존 AWS 계정 초대를 선택할 수 있다.
  5. 계정의 ID값을 적어주고 완료를 누르면 초대가 된다.

2) 초대받은 AWS 계정 확인하기

  1. Organization 서비스에 들어가 좌측의 초대를 누르고 수락을 누른다.
  2. 관리 계정에 들어가면 새롭게 추가된 것을 확인할 수 있다.

3) OU 새롭게 생성 가능

이렇게 큰 Root 조직을 만들 수 있다.

4) 조직안의 OU 만들기

  1. 위와 같은 방법으로 상태에서 새롭게 OU를 만들어주면 하위개념의 상속받는 계정이 생긴다.


이 외에도 계정을 클릭 후 [작업]을 통해 계정간(조직간) 이동이 가능하다.



SCP 정책 실습


  1. 서비스 제어정책을 클릭 및 활성화를 클릭한다.
  2. 기본적으로 전체 권한을 가지고 있는 Access가 있다.
  3. 오른쪽 상단의 정책 클릭을 통해 정책을 만들자.
  4. EC2를 거부하는 정책을 만들자 이름을 적당히 적고 코드를 작성하자
  5. 작업추가를 EC2 선택 후에 ALL Action을 선택한다. (EC2 거부)
  6. 리소스를 추가하는데 유형은 All Resource로 한다.

이렇게 만들었으면 계정에 적용시키자.

[AWS 계정]으로 넘어가서 원하는 계정을 선택한다.

이렇게 정책을 설정할 수 있다.

이제 이 하위의 OU는 모두 이와같은 정책이 적용됐다.
이렇게 설정한 계정으로 로그인해서 확인해보면 EC2 관련해서 권한이 없다고 뜬다. (다른 작업은 가능)

'Cloud Infra Architecture (AWS) > AWS SAA-C03' 카테고리의 다른 글

AWS Amazon EventBridge란?  (0) 2023.01.13
AWS CloudWatch란?  (0) 2023.01.13
AWS GuardDuty, Macie, Inspector란?  (0) 2023.01.12
AWS Shield & WAF란?  (0) 2023.01.12
AWS Certificate Manager (ACM)이란?  (0) 2023.01.12