AWS Organization 이란

[정의]

Global Service 로, 다수의 AWS 계정을 동시에 관리할 수 있게 한다

조직을 생성하면, 조직의 메인 계정이 관리 계정이 된다

조직에 가입한 기타 계정이나, 조직에서 생성한 계정은 맴버 계정이라고 부른다

맴버 계정은 한 조직에만 소속된다

관리 계정에서 모든 계정의 비용을 통합 결제할 수 있다는 장점이 있다

조직 내 모든 계정에 대해 집계된 사용량에 기반한 비용 할인을 받을 수 있다

계정 간에 예약 인스턴스와 Saving Plan 이 공유된다

예시) 어떤 계정에서 미사용 예약 인스턴스를, 다른 계정이 사용할 수 있다.

계정 생성을 자동화할 수 있는 API 가 있다.

 

[원리]

Organizational Unit (OU) 개념이 있다. (전체 계정의 외곽)

OU 는 하나의 집합이라 생각하면 된다 (OU 안에 OU 도 있다)

 

 

다수의 계정을 가져 보안이 뛰어나다 (독립적이기 때문)

청구 목적 태깅이 따로 되서 좋다

 

---

 

SCP (Security Control Policy)

서비스 제어 정책으로, 특정 OU 또는 계정 적용 IAM 정책임

영구적인 관리자 권한을 갖는 관리 계정에는 적용되지 않음

 

 

[실습]

Organization 을 아래와 같이 구성

SCP