[AWS-07] Organizations 기초

 

AWS Organizations는 여러 Acount를 중앙 관리하기 위한 서비스.
(무료다!!!)

 

AWS Organization이란??

• AWS 계정을 통합하여 관리하는 서비스. 

---

OU(Organization Units)

• 최상단엔 조직의 Root가 자리하고, 그 밑에 트리 형태로 OU가 존재함. 
• OU는 중첩이 가능.
• 메가존, GS네오텍과 같은 업체가 Root가 되고, 서비스를 받는 고객사들이 OU가 될 수 있다.
• 계정은 하나의 OU에만 속할 수 있음.
• Root나 상위 OU에 정책이 적용되면, 하위 OU 또는 멤버 계정은 정책을 적용받는다! (상속 개념!)

---

AWS Organizations의 기능!

• 모든 기능 : 통합결제 기능 + 조직 멤버 계정의 리소스, 서비스 등의 액세스를 제한함(SCP를 통해). 모든 기능이 비활성화 된 상태에서 활성화하려면 조직 내 멤버들의 승인이 필요함.
• 통합 결제 : 통합결제가 가능하나 조직 멤버들의 액세스를 제한하지는 못함.

SCP(Service Control Policy)

• Organization/OU/계정의 최대 권한을 지정함.
• 허용 목록과 거부목록이 있음. 
• 허용목록 : 허용되는 액세스를 지정. 기본적으로 FullAWSAccess가 적용되어 있어 모두 허용이라고 보면 됨. 허용 리스트를 추가하면서 FullAWSAccess를 제거해야 함.
• 거부 목록 : 허용하지 않을 액세스를 지정. 기본적으로 FullAWSAccess가 적용이 되어 있음. 거부 목록을 추가하며 FullAWSAccess는 건드리지 않음.
• 결국, SCP는 조직에서 사용할 수 있는 권한의 Boundary를 지정하는 것이라고 볼 수 있음.
• API 요청에 대해 SCP, IAM의 Permission Boundaries, Permission Policies, RBAC 등이 적용됨. 교집합 개념