AWS Organizations란 무엇인가요?

기존 계정을 하나의 조직으로 결합해 중앙에서 계정을 관리할 수 있습니다. 자동으로 조직의 일부가 되는 계정을 만들고, 다른 계정을 조직에 초대할 수 있습니다. 또 계정 일부나 전체에 영향을 주는 정책을 연결할 수도 있습니다.

통합 결제는 AWS Organizations의 기능입니다. 조직의 관리 계정을 사용하여 모든 멤버 계정을 통합하고 요금을 지불할 수 있습니다. 통합 결제에서 관리 계정은 조직에 속한 멤버 계정의 결제 정보, 계정 정보 및 계정 활동에 액세스할 수도 있습니다. 이 정보는 관리 계정이 조직의 비용 성과를 향상시키는 데 도움이 되는 Cost Explorer와 같은 서비스에서 활용할 수 있습니다.

계정을 조직 단위(OU)로 그룹화하고 OU마다 다른 액세스 정책을 연결할 수 있습니다. 예를 들어 특정 규제 요구 사항을 충족하는 AWS 서비스에만 액세스해야 하는 계정이 있는 경우 이러한 계정을 하나의 OU에 넣을 수 있습니다. 그런 다음 해당 OU에 정책을 연결해 규제 요구 사항을 충족하지 않는 서비스에 대한 액세스를 차단합니다. OU는 5층으로 다른 OU에 중첩할 수 있어, 계정 그룹을 유연하게 구성할 수 있습니다.

조직 관리 계정의 관리자는 서비스 제어 정책(SCP)을 사용하여 조직의 멤버 계정에 대한 최대 권한을 지정할 수 있습니다. SCP에서 각 멤버 계정의 사용자 및 역할이 액세스할 수 있는 AWS 서비스, 리소스 및 개별 API 작업을 제한할 수 있습니다. 또한 AWS 서비스, 리소스 및 API 작업에 대한 액세스를 제한할 조건을 정의할 수도 있습니다. 이러한 제한은 조직의 멤버 계정 관리자보다도 우선합니다. AWS Organizations에서 멤버 계정의 서비스, 리소스 또는 API 작업에 대한 액세스를 차단하면 해당 계정의 사용자나 역할은 이러한 서비스, 리소스 또는 API 작업에 액세스할 수 없습니다. 이 차단은 멤버 계정의 관리자가 IAM 정책에서 이러한 권한을 명시적으로 부여하더라도 여전히 적용됩니다.

자세한 정보는 서비스 제어 정책(SCP) 섹션을 참조하세요.

태그 정책을 사용하여 태그 키와 태그 값의 기본 대소문자 처리를 포함한 태그를 일관적으로 유지 관리할 수 있습니다.

자세한 내용은 태그 정책 섹션을 참조하세요.

AI 서비스 옵트아웃 정책을 사용하면 사용하지 않으려는 AWS AI 서비스에 대한 데이터 수집 및 저장을 옵트아웃할 수 있습니다.

자세한 내용은 AI 서비스 옵트아웃 정책 섹션을 참조하세요.

백업 정책을 사용하여 자동으로 AWS Backup 계획을 구성하고 모든 조직 계정의 리소스에 적용할 수 있습니다.

자세한 내용은 백업 정책 섹션을 참조하세요.

IAM은 개별 계정에서 사용자와 역할에 대한 세분화된 제어를 제공합니다. AWS Organizations는 사용자가 계정이나 계정 그룹에서 사용자와 역할이 할 수 있는 일을 제어하게 함으로써 이러한 제어력을 계정 수준으로까지 확장합니다. 결국 계정 수준에서 AWS Organizations가 허용하는 권한과 해당 계정 내 사용자 또는 역할 수준에서 IAM이 명시적으로 부여하는 권한이 논리적으로 교차된 권한이 생성됩니다. 다시 말해 사용자는 AWS Organizations 정책과 IAM 정책 모두가 허용하는 것에만 액세스할 수 있습니다. 둘 중 하나가 작업을 차단한다면, 사용자는 해당 작업에 액세스할 수 없습니다.

AWS Organizations에서 사용 가능한 다중 계정 관리 서비스를 일부 AWS 서비스와 함께 사용하면 조직의 멤버인 모든 계정에서 작업을 수행할 수 있습니다. 서비스 목록 및 조직 전체 수준에서 각 서비스를 사용하는 이점은 AWS 함께 사용할 수 있는 서비스 AWS Organizations 단원을 참조하세요.

AWS 서비스가 조직의 멤버 계정 내에서 사용자를 대신하여 작업을 수행하도록 활성화하면 AWS Organizations는 각 멤버 계정에 해당 서비스용 IAM 서비스 연결 역할을 생성합니다. 서비스 연결 역할에는 다른 AWS 서비스가 조직과 해당 계정에서 특정 작업을 수행하도록 허용하는 사전 정의된 IAM 권한이 있습니다. 이렇게 하기 위해 조직의 모든 계정은 자동으로 서비스 연결 역할을 갖습니다. 이 역할을 통해 AWS Organizations 서비스는 AWS 서비스에서 신뢰할 수 있는 액세스를 활성화하는 데 필요한 서비스 연결 역할을 생성할 수 있습니다. 이러한 추가적인 서비스 연결 역할은 특정 서비스를 활성화하여 구성 선택에 필요한 작업만을 수행하도록 하는 IAM 권한 정책에 연결됩니다. 자세한 정보는 다른 AWS 서비스와 함께 AWS Organizations 사용 섹션을 참조하세요.

AWS Organizations는 모든 AWS 리전에서 작동하는 하나의 엔드포인트를 가진 글로벌 서비스입니다. 작동할 리전을 명시적으로 선택할 필요가 없습니다.

AWS Organizations는 다른 많은 AWS 서비스와 마찬가지로 최종 일관성이 있습니다. AWS Organizations에서는 리전 내에 있는 AWS 데이터 센터의 여러 서버 간에 데이터를 복제하여 고가용성을 구현합니다. 일부 데이터를 변경하겠다는 요청이 성공하면 변경이 실행되고 그 결과는 안전하게 저장됩니다. 그러나 변경 사항은 여러 서버에 걸쳐 복제되어야 합니다. 자세한 정보는 변경 사항이 매번 즉시 표시되는 것은 아닙니다. 섹션을 참조하세요.

AWS Organizations는 추가 비용 없이 AWS 계정에 제공되는 기능입니다. 조직의 계정에서 다른 AWS 서비스에 액세스할 때만 요금이 부과됩니다. 다른 AWS 제품 요금에 대한 자세한 내용은 Amazon Web Services 요금 페이지를 참조하세요.

AWS Organizations 콘솔은 조직과 AWS 리소스를 관리하는 데 사용할 수 있는 브라우저 기반 인터페이스입니다. 콘솔을 사용하여 조직에서 모든 작업을 수행할 수 있습니다.

AWS 명령줄 도구를 사용하면 시스템 명령줄에서 명령을 실행하여 AWS Organizations 및 AWS 작업을 수행할 수 있습니다. 명령줄로 작업하는 것이 콘솔을 사용하는 것보다 더 빠르고 편리할 수 있습니다. AWS 작업을 수행하는 스크립트를 작성할 때도 명령줄 도구가 유용합니다.

AWS에서는 다음과 같은 두 가지 명령줄 도구 세트를 제공합니다.

AWS SDK는 다양한 프로그래밍 언어 및 플랫폼(Java, Python, Ruby, .NET, iOS, Android 등)을 위한 라이브러리와 샘플 코드로 구성되어 있습니다. SDK는 요청에 암호화 방식으로 서명, 오류 관리 및 자동으로 요청 재시도와 같은 작업을 처리합니다. AWS SDK 다운로드 및 설치 방법을 비롯한 자세한 내용은 Amazon Web Services용 도구를 참조하세요.

AWS Organizations HTTPS 쿼리 API를 사용하여 AWS Organizations 및 AWS에 프로그래밍 방식으로 액세스할 수 있습니다. HTTPS 쿼리 API를 이용하면 HTTPS 요청을 서비스에 바로 보낼 수 있습니다. HTTPS API를 사용할 때는 자격 증명을 사용하여 요청에 디지털 방식으로 서명하는 코드를 포함해야 합니다. 자세한 정보는 HTTP 쿼리 요청을 통한 API 호출 및 AWS Organizations API 참조를 참조하세요.