AWS Organizations
회사에 여러 AWS 계정이 있다고 가정하겠습니다. AWS Organizations를 사용하여 중앙 위치에서 여러 AWS 계정을 통합하고 관리할 수 있습니다.
조직을 생성하면 AWS Organizations가 조직의 모든 계정에 대한 상위 컨테이너 루트를 자동으로 생성합니다.
AWS Organizations에서는 서비스 제어 정책(SCP)을 사용하여 조직의 계정에 대한 권한을 중앙에서 제어할 수 있습니다. SCP를 사용하면 각 계정의 사용자 및 역할이 액세스할 수 있는 AWS 서비스, 리소스 및 개별 API 작업을 제한할 수 있습니다.
AWS Organizations에서 서비스 제어 정책(SCP)을 조직 루트, 개별 멤버 계정 또는 OU에 적용할 수 있습니다. SCP는 AWS 계정 루트 사용자를 포함하여 계정 내의 모든 IAM 사용자, 그룹 및 역할에 영향을 줍니다.
조직 단위(OU)
AWS Organizations에서는 계정을 조직 단위(OU)로 그룹화하여 비슷한 비즈니스 또는 보안 요구 사항이 있는 계정을 손쉽게 관리할 수 있습니다. OU에 정책을 적용하면 OU의 모든 계정이 정책에 지정된 권한을 자동으로 상속합니다.
개별 계정을 OU로 구성하면 특정 보안 요구 사항이 있는 워크로드 또는 애플리케이션을 보다 간편하게 격리할 수 있습니다. 예를 들어 회사에 특정 규정 요구 사항을 충족하는 AWS 서비스에만 액세스할 수 있는 계정이 있다면, 이러한 계정을 한 OU에 배치할 수 있습니다. 그런 다음 규제 요구 사항을 충족하지 않는 다른 모든 AWS 서비스에 대한 액세스를 차단하는 정책을 해당 OU에 연결할 수 있습니다.
이러한 계정을 OU에 배치했더라도 계속해서 IAM을 통해 사용자, 그룹 및 역할에 액세스 권한을 제공할 수 있습니다.
계정을 OU로 그룹화하면 계정에 필요한 서비스 및 리소스에 대한 액세스 권한을 간편하게 부여할 수 있습니다. 또한 계정이 필요하지 않은 서비스 또는 리소스에는 액세스하지 못하도록 할 수 있습니다.
[출처]
AWS Cloud Practitioner Essentials
'자격증 > AWS - CLF' 카테고리의 다른 글
| 서비스 거부 공격 (0) | 2023.11.28 |
|---|---|
| 규정 준수 (1) | 2023.11.28 |
| 사용자 권한 및 액세스 (0) | 2023.11.27 |
| AWS 공동 책임 모델 (1) | 2023.11.27 |
| 추가 데이터베이스 서비스 (0) | 2023.11.24 |