조직 및 조직 단위에서 공유 AMI 사용 - Amazon Elastic Compute Cloud
고려 사항

조직 및 조직 단위에서 공유 AMI 사용

AWS Organizations는 사용자가 생성해 중앙에서 관리하는 단일 조직으로 여러 AWS 계정을 통합할 수 있는 관리 서비스입니다. 특정 계정과 공유하는 것 외에도 조직 또는 조직 단위(OU)와 AMI를 공유할 수 있습니다.

조직이란 AWS 계정을 통합하고 중앙 집중식으로 관리하기 위해 생성하는 주체입니다. 위에는 루트, 조직 루트 아래에는 조직 단위가 있는 나무형 계층 구조로 계정을 조직할 수 있습니다. 각 계정은 루트에 바로 추가하거나 계층 구조 내의 OU 중 하나에 배치할 수 있습니다. 자세한 내용은 AWS Organizations 사용 설명서AWS Organizations 용어 및 개념을 참조하세요.

조직 또는 OU와 AMI를 공유하면 모든 하위 계정이 AMI에 액세스할 수 있습니다. 예를 들어 다음 다이어그램에서 AMI는 최상위 OU와 공유됩니다(숫자 1의 화살표로 표시). 최상위 OU 아래에 중첩된 모든 OU 및 계정(숫자 2의 점선으로 표시)은 또한 AMI에 액세스할 수 있습니다. 조직의 계정과 점선 외부의 OU(숫자 3으로 표시)는 AMI가 공유되는 OU의 하위가 아니므로 AMI에 액세스할 수 없습니다.

AMI는 OU와 공유되며 모든 하위 OU 및 계정은 AMI에 액세스할 수 있습니다.
주제

고려 사항

특정 조직 또는 조직 단위와 AMI를 공유하는 경우 다음 사항을 고려하세요.

  • 소유권 - AMI를 공유하려면 사용자의 AWS 계정이 AMI를 소유해야 합니다.

  • 공유 제한 - AMI 소유자는 자신이 속하지 않은 조직 및 OU를 포함한 모든 조직 또는 OU와 AMI를 공유할 수 있습니다.

    리전 내에서 AMI를 공유할 수 있는 최대 엔터티 수는 Amazon EC2 서비스 할당량을 참조하세요.

  • 태그 - 사용자 정의 태그(AMI에 연결하는 태그)는 공유할 수 없습니다. AMI를 공유하면 AMI가 공유되는 조직 또는 OU의 AWS 계정에서 사용자 정의 태그를 사용할 수 없습니다.

  • ARN 형식(ARN format) - 명령에 조직 또는 OU를 지정할 때 올바른 ARN 형식을 사용해야 합니다. ID만 지정하면 오류가 발생합니다(예: o-123example 또는 ou-1234-5example만 지정하는 경우).

    올바른 ARN 형식:

    • 조직 ARN: arn:aws:organizations::account-id:organization/organization-id

    • OU ARN: arn:aws:organizations::account-id:ou/organization-id/ou-id

    위치:

    • account-id은(는) 123456789012와 같은 12자리 관리 계정 번호입니다. 관리 계정 번호를 모르는 경우 관리 계정 번호가 포함된 ARN을 가져올 조직 또는 조직 단위를 설명할 수 있습니다. 자세한 내용은 조직 또는 조직 단위의 ARN 가져오기 단원을 참조하십시오.

    • organization-id은(는) o-123example와 같은 조직 ID입니다.

    • ou-id은(는) ou-1234-5example와 같은 조직 단위 ID입니다.

    ARN 형식에 대한 자세한 내용은 IAM 사용 설명서Amazon 리소스 이름(ARN)을 참조하세요.

  • 암호화 및 키 - 암호화되지 않거나 암호화된 스냅샷의 지원을 받는 AMI를 공유할 수 있습니다.

    • 암호화된 스냅샷은 고객 관리형 키로 암호화해야 합니다. 기본 AWS 관리형 키로 암호화된 스냅샷의 지원을 받는 AMI는 공유할 수 없습니다.

    • 암호화된 스냅샷의 지원을 받는 AMI를 공유하는 경우 조직 또는 OU가 스냅샷을 암호화하는 데 사용된 고객 관리형 키를 사용하도록 허용해야 합니다. 자세한 내용은 조직 및 OU가 KMS 키를 사용하도록 허용 섹션을 참조하세요.

  • 리전 - AMI는 리전 리소스입니다. AMI를 공유하면 공유한 리전에서만 사용할 수 있습니다. AMI를 다른 리전에서 사용할 수 있도록 하려면 AMI를 해당 리전에 복사한 후 공유하세요. 자세한 내용은 Amazon EC2 AMI 복사 단원을 참조하십시오.

  • 사용 - AMI를 공유하면 사용자는 AMI에서만 인스턴스를 시작할 수 있습니다. 삭제, 공유 또는 수정할 수 없습니다. 그러나 AMI를 사용하여 인스턴스를 시작한 후에는 시작한 인스턴스에서 AMI를 생성할 수 있습니다.

  • 결제 - 다른 AWS 계정이 인스턴스를 시작하기 위해 AMI를 사용하는 경우에는 요금이 청구되지 않습니다. AMI를 사용하여 인스턴스를 시작하는 계정에는 시작하는 인스턴스에 대한 요금이 청구됩니다.