AWS Organizations는 여러 AWS 계정(루트, IAM)들을 1개의 Organization에서 통합하여 관리하는 통합 중앙 계정 관리 서비스라고 할 수 있다. AWS Organizations를 사용하면 각 계정 관리 및 AWS 통합 결제 기능을 지원하며 기업의 예산, 보안 등을 통합하여 적용할 수 있다.
아래의 화면을 보면 AWS Organizations를 다른 계정에 초대 링크를 보낼 수 있다.
초대 수락을 누르게 되면, 그 시간부터 조직에 걸려 있는 기능이 활성화가 된다. 즉, 계정이 수행할 수 있는 작업을 구성 및 제한하는 정책 적용, 통합 결제를 통해 조직의 계정을 생성, 관리 및 지불 역할을 하게 된다.
AWS를 사용할 때 Billing을 외부 업체에서 진행을 한다면 조직을 구성하여 AWS Billing을 관리하기 시작한다.
AWS Organizations - 서비스 제어 정책(SCP)
기존 루트 계정에서 IAM 계정들의 권한들을 관리했더라면 이제는 Organizations에서 루트 계정 및 IAM의 권한들을 최우선적으로 관리한다.
위와 같이, oraganizations 관리 계정이 각 루트 계정에 권한을 주지 않으면 정책 관리 부분에서도 해당 내용을 볼 수 없다.
전반적인 조직 관리는 아래와 같이 진행된다.
Organizations Root에는 관리 계정이 1개가 존재하고, 그 밑에 조직 유닛이 N개가 존재한다. 그리고, 1개의 OU가 N개의 Nested OU를 가져서 각 Nested OU는 M개의 Member Account를 관리하거나, 1개의 OU에서 다이렉트로 M개의 Member Account를 관리할 수 있다.
즉, 위와 같은 Organizations의 정책이 적용되어 있는 루트 계정(Member Account)들은 AWS 콘솔에서 비용 및 사용량에 대한 조회 권한을 가지지 못할 경우에는 GetCostAndUsage에 대한 권한이 없습니다. 이 에러 내용이 발생할 수 있다.
그러니, 위의 문제가 발생하면 Organization의 정책을 확인하는 것이 가장 빠른 방법이라고 할 수 있다.
참고 URL
https://docs.aws.amazon.com/ko_kr/organizations/latest/userguide/orgs_tutorials_basic.html
자습서: 조직 생성 및 구성 - AWS Organizations
자습서: 조직 생성 및 구성 이 자습서에서는 AWS 멤버 계정 2개로 조직을 생성하고 구성합니다. 조직 내 멤버 계정 하나를 만들고, 다른 계정을 조직에 초대합니다. 그런 다음에는 허용 목록 기법
docs.aws.amazon.com
'IT > AWS' 카테고리의 다른 글
| [AWS] an error occurred AccessDeniedException when calling the GetCommit operation 에러 문제 해결 방법 (0) | 2024.03.07 |
|---|---|
| [AWS] AWS Default VPC 삭제 방법 (0) | 2024.03.04 |
| [AWS] AWS CloudTrail 생성하는 방법 (0) | 2024.02.05 |
| [AWS] AWS IAM 계정 비밀번호 초기화하는 방법 (0) | 2024.02.01 |
| [AWS] AWS IAM 유저 생성 방법 (0) | 2024.01.30 |
| [AWS] AWS Athena 서비스 구축 및 예제 (0) | 2023.11.08 |
| [AWS] AWS ECR(Amazon Elastic Container Registry) 구축하기 (0) | 2023.11.06 |
| [AWS] AWS S3(Simple Storage Service) 버킷 생성하기 (0) | 2023.11.03 |
최근댓글