AWS Certified Cloud Practitioner 모듈6 - AWS Organizations

AWS Training에서 제공하는 AWS Cloud Practitioner (Korean) 강의 요약 정리 내용입니다.

1. AWS Organizations란?

AWS Organizations는 여러 AWS 계정을 하나의 조직 단위로 묶어 정책, 보안, 비용, 액세스 등을 중앙에서 관리할 수 있게 해주는 서비스입니다. 조직을 생성하면, AWS는 자동으로 모든 계정을 포함하는 루트(최상위 컨테이너)를 만듭니다.

---

2. 핵심 기능

서비스 제어 정책(SCP, Service Control Policy)

• 조직에 속한 각 계정에 대해 접근 가능한 서비스나 API 작업을 제어하는 정책입니다.
• SCP를 통해 계정이 사용 가능한 AWS 서비스의 범위를 제한하거나 허용할 수 있습니다.
• IAM보다 상위 개념으로, IAM 권한이 있어도 SCP가 막으면 접근 불가합니다.

예: 한 계정에서는 S3, EC2만 사용 가능하도록 설정하고 나머지 서비스는 차단 가능

통합 결제(Consolidated Billing)

• 여러 계정을 통합하여 하나의 결제 계정(Payer Account)에서 요금을 관리합니다.
• 사용량을 각 계정 단위로 나눠 확인 가능하며, 총 사용량 기반 할인 혜택도 누릴 수 있습니다.
• 본 기능은 이후 모듈에서 더 자세히 설명됩니다.

---

3. 조직 단위(OU, Organizational Unit)

OU는 비슷한 보안·비즈니스 요구가 있는 계정을 그룹화한 단위입니다.
OU에 정책을 적용하면, 그 OU에 속한 모든 계정이 자동으로 정책을 상속받습니다.

예시 시나리오

Step 1: 루트 구성

• 회사에 네 개의 AWS 계정이 있다고 가정
  • 재무, IT, 인사(HR), 법무
• AWS Organizations를 생성하여 이 네 계정을 하나의 조직으로 통합
• 이때 조직 루트가 자동으로 생성됨

Step 2: OU 없이 계정 배치

• 재무와 IT 부서는 독립적인 요구사항이 많기 때문에 별도로 OU에 속하지 않고 루트에 그대로 배치
• 통합 결제 등의 공통 기능은 여전히 공유함

Step 3: OU 구성

• HR과 법무 부서는 공통된 리소스를 사용
• 이 두 계정을 하나의 OU로 묶고, SCP 정책을 일괄 적용

이렇게 하면 OU 내 계정이 규정 위반 AWS 서비스에 접근하지 못하도록 제어 가능

---

4. IAM과의 관계

• OU에 계정을 배치하고 SCP를 적용해도 각 계정 내부에서는 IAM을 통해 세부 권한 관리가 가능합니다.
• 즉, Organizations는 상위 구조에서의 보안/리소스 제한, IAM은 세부 사용자 및 리소스 권한 설정을 담당합니다.

---

5. 정리

항목	설명
AWS Organizations	여러 AWS 계정을 중앙에서 통합 관리
SCP (서비스 제어 정책)	계정 수준에서 가능한 서비스/API 제어
OU (조직 단위)	정책 공유를 위한 계정 그룹화
통합 결제	비용 효율성과 가시성 제공
IAM과의 차이	IAM은 계정 내부, SCP는 계정 전체의 보안 정책 설정