[AWS] SCP, OU, Policy 사용하기 !!







AWS Organization을 활용하여 다수의 aws 계정을 효율적으로 관리하는 방법을 설명합니다.
특히 scpou, Policy의 개념과 역할을 소개하며, 이를 통해 중앙 집중식 관리, 접근 제어 단순화, 통합 결제, 보안 및 감사 등 다양한 장점을 얻을 수 있음을 강조합니다.
기업 환경에서 aws 계정 구조를 조직 구조에 맞게 구성하는 데 중요한 역할을 하는 AWS Organization의 활용법을 다루고 있습니다.



1. AWS Organization 개요

  • AWS Organization은 여러 aws 계정을 관리하는 서비스이다.

  • 엔터프라이즈급 기업은 AWS Organization을 통해 다수의 계정을 연동하고 ou를 생성하여 관리한다.



2. 주요 용어 설명


  • SCP (Service Control Policy)

    • ou 또는 aws 계정에 적용 가능하다.

    • 하위 ou에 상속된다.

    • ou마다 다르게 적용할 수 있다.


  • Permission Boundary & Policy

    • IAM 사용자에게 적용된다.

    • scp와 중첩되어야 정책이 적용된다.


  • OU (Organization Unit)

    • aws 계정의 그룹 단위이다.

    • 하위 ou를 가질 수 있어 회사 구조를 반영할 수 있다.

    • 하나의 aws 계정은 오직 하나의 ou에 속할 수 있다.

    • 최대 5단계의 계층 구조를 가질 수 있다.


  • Management Account

    • ou를 생성한 계정이다.

    • 다른 aws 계정을 초대하거나 포함 및 제거할 수 있다.

    • 오직 하나의 마스터 계정만 존재하며 scp의 영향을 받지 않는다.


  • Account

    • ou에 초대된 aws 계정들이다.

    • 신규 및 기존 aws 계정 모두 ou에 초대 가능하다.


  • IAM Users

    • aws 계정에 속하는 IAM 사용자를 의미한다.

    • Permission boundary와 policy에 영향을 받는다.



3. AWS Organization의 장점


  • 중앙관리와 거버넌스의 일관성

    • 다수의 aws 계정을 일관성 있게 관리할 수 있다.

    • 다른 계정의 서버, 스토리지 및 클라우드 리소스를 효과적으로 관리 가능하다.

    • aws 계정 구조를 기업의 구조에 맞게 구성할 수 있다.


  • 접근제어의 단순화

    • 계정 그룹에 scp를 연결하여 정책을 적용할 수 있다.

    • 개별 AWS 서비스에 대한 허용 또는 거부가 가능하다.

    • 예를 들어, 운영계 ou는 특정 리전에서만 서비스를 생성할 수 있도록 scp를 설정할 수 있다.


  • 통합 결제

    • aws organizations를 통해 모든 aws 계정에 대해 단일 결제 방법을 설정할 수 있다.

    • 모든 계정의 요금을 통합적으로 관리하고 감사할 수 있다.

    • 예를 들어, 10개의 aws 계정에서 발생한 비용을 통합적으로 관리할 수 있다.


  • 중앙 집중식 보안 및 감사

    • AWS CloudTrail을 통해 계정의 모든 이벤트를 감사할 수 있다.

    • 중앙에서 권장 구성 기준을 정의할 수 있다.

    • aws control tower를 사용하여 교차 계정 보안 감사를 설정할 수 있다.

    • security hub 서비스를 통해 보안 툴의 finding을 중앙 집중식으로 관리할 수 있다.



4. 클라우드와 기업 구조

  • 클라우드가 기업의 조직도를 반영할 수 있는지 여부는 중요하다.

  • AWS Organization, ou, scp를 활용하여 기업의 조직도를 클라우드로 구현할 수 있다.





 

SCP (Serive Control Policy)
  • SCP는 OU 또는 AWS account 를 대상으로 적용이 가능하다.
  • SCP는 하위 OU에 상속이 된다.
  • SCP는 OU들에 다르게 적용 가능하다.

 

Permission Boundary & Policy
  • 정책과 경계는 IAM User 대상으로 적용이 가능하다.
  • SCP와 중첩되어야만 정책이 적용된다.

 

OU (Organization Unit)
  • OU는 AWS Account 들의 그룹 단위이다.
  • OU는 하위 OU를 가질 수 있다. 회사 구조를 반영할 수 있다.
  • 하나의 AWS 계정은 오직 하나의 OU에 속할 수 있다. 다른 OU에는 속할 수 없다.
  • OU는 5단계 계증척 구조를 가질 수 있다.

 

management Account
  • OU를 생성한 계정이다.
  • 다른 AWS Account를 초대하거나 OU에서 포함시키거나 제거할 수 있다.
  • 오직 하나의 마스터/루트 계정만이 존재한다.
  • 이 계정은 SCP 의 영향을 받지 않는다.

 

Account 
  • OU에 초대받은 AWS 계정들이다.
  • 신규 AWS 계정들은 OU에 생성되자마자 초대 가능하다.
  • 기존에 존재하는 AWS 계정들도 OU에 초대받을 수 있다.

 

IAM Users
  • AWS Account 에 속하는 IAM 사용자를 의미한다.
  • Permission boundary 와 policy에 직접 영향을 받는다. 



  • 참조 : https://medium.com/awesome-cloud/aws-organizations-overview-introduction-to-what-is-aws-organization-multi-accounts-consolidated-billing-5009efc42b07



 

댓글

이 블로그의 인기 게시물

[AWS] AWS Activate 스타트업 $1,000 지원 성공