[AWS] SCP, OU, Policy 사용하기 !!
특히
기업 환경에서
1. AWS Organization 개요
AWS Organization은 여러
aws 계정 을 관리하는 서비스이다.엔터프라이즈급 기업은 AWS Organization을 통해 다수의 계정을 연동하고
ou 를 생성하여 관리한다.
2. 주요 용어 설명
SCP (Service Control Policy)ou 또는aws 계정 에 적용 가능하다.하위
ou 에 상속된다.ou 마다 다르게 적용할 수 있다.
Permission B
ou ndary & PolicyIAM 사용자에게 적용된다.
scp 와 중첩되어야 정책이 적용된다.
OU (Organization Unit)aws 계정 의 그룹 단위이다.하위
ou 를 가질 수 있어 회사 구조를 반영할 수 있다.하나의
aws 계정 은 오직 하나의ou 에 속할 수 있다.최대 5단계의 계층 구조를 가질 수 있다.
Management Acc
ou ntou 를 생성한 계정이다.다른
aws 계정 을 초대하거나 포함 및 제거할 수 있다.오직 하나의 마스터 계정만 존재하며
scp 의 영향을 받지 않는다.
Acc
ou ntou 에 초대된aws 계정 들이다.신규 및 기존
aws 계정 모두ou 에 초대 가능하다.
IAM Users
aws 계정 에 속하는 IAM 사용자를 의미한다.Permission b
ou ndary와 policy에 영향을 받는다.
3. AWS Organization의 장점
중앙관리와
거버넌스 의 일관성다수의
aws 계정 을 일관성 있게 관리할 수 있다.다른 계정의 서버, 스토리지 및 클라우드 리소스를 효과적으로 관리 가능하다.
aws 계정 구조를 기업의 구조에 맞게 구성할 수 있다.
접근제어의 단순화
계정 그룹에
scp 를 연결하여 정책을 적용할 수 있다.개별 AWS 서비스에 대한 허용 또는 거부가 가능하다.
예를 들어, 운영계
ou 는 특정 리전에서만 서비스를 생성할 수 있도록scp 를 설정할 수 있다.
통합 결제 aws organizations 를 통해 모든aws 계정 에 대해 단일 결제 방법을 설정할 수 있다.모든 계정의 요금을 통합적으로 관리하고 감사할 수 있다.
예를 들어, 10개의
aws 계정 에서 발생한 비용을 통합적으로 관리할 수 있다.
중앙 집중식 보안 및 감사AWS Cl
ou dTrail을 통해 계정의 모든 이벤트를 감사할 수 있다.중앙에서 권장 구성 기준을 정의할 수 있다.
aws control tower 를 사용하여 교차 계정 보안 감사를 설정할 수 있다.security hub 서비스를 통해 보안 툴의 finding을 중앙 집중식으로 관리할 수 있다.
4. 클라우드와 기업 구조
클라우드가 기업의 조직도를 반영할 수 있는지 여부는 중요하다.
AWS Organization,
ou ,scp 를 활용하여 기업의 조직도를 클라우드로 구현할 수 있다.
SCP (Serive Control Policy)
- SCP는 OU 또는 AWS account 를 대상으로 적용이 가능하다.
- SCP는 하위 OU에 상속이 된다.
- SCP는 OU들에 다르게 적용 가능하다.
Permission Boundary & Policy
- 정책과 경계는 IAM User 대상으로 적용이 가능하다.
- SCP와 중첩되어야만 정책이 적용된다.
OU (Organization Unit)
- OU는 AWS Account 들의 그룹 단위이다.
- OU는 하위 OU를 가질 수 있다. 회사 구조를 반영할 수 있다.
- 하나의 AWS 계정은 오직 하나의 OU에 속할 수 있다. 다른 OU에는 속할 수 없다.
- OU는 5단계 계증척 구조를 가질 수 있다.
management Account
- OU를 생성한 계정이다.
- 다른 AWS Account를 초대하거나 OU에서 포함시키거나 제거할 수 있다.
- 오직 하나의 마스터/루트 계정만이 존재한다.
- 이 계정은 SCP 의 영향을 받지 않는다.
Account
- OU에 초대받은 AWS 계정들이다.
- 신규 AWS 계정들은 OU에 생성되자마자 초대 가능하다.
- 기존에 존재하는 AWS 계정들도 OU에 초대받을 수 있다.
IAM Users
- AWS Account 에 속하는 IAM 사용자를 의미한다.
- Permission boundary 와 policy에 직접 영향을 받는다.
참조 : https://medium.com/awesome-cl
ou d/aws-organizations-overview-introduction-to-what-is-aws-organization-multi-accou nts-consolidated-billing-5009efc42b07
댓글
댓글 쓰기