관리 계정, 신뢰할 수 있는 액세스 및 위임된 관리자

관리 계정(AWS Organization Management 계정 또는 Org Management 계정이라고도 함)은 고유하며 AWS Organizations의 다른 모든 계정과 구별됩니다. AWS 조직을 생성하는 계정입니다. 이 계정에서 AWS 조직에서 AWS 계정을 생성하고, 다른 기존 계정을 AWS 조직에 초대하고(두 유형 모두 멤버 계정으로 간주됨), AWS 조직에서 계정을 제거하고, AWS 조직 내 루트, OUs 또는 계정에 IAM 정책을 적용할 수 있습니다. 

관리 계정은 AWS 조직의 모든 멤버 계정에 영향을 미치는 SCPs 및 서비스 배포(예: AWS CloudTrail)를 통해 범용 보안 가드레일을 배포합니다. 관리 계정의 권한을 추가로 제한하기 위해 가능한 경우 보안 계정과 같은 다른 적절한 계정에 해당 권한을 위임할 수 있습니다. 

관리 계정은 지급인 계정을 담당하며 멤버 계정에서 발생한 모든 요금을 지불해야 합니다. AWS 조직의 관리 계정은 전환할 수 없습니다. AWS 계정은 한 번에 하나의 AWS 조직의 멤버일 수 있습니다.  

관리 계정이 보유한 영향의 기능과 범위 때문에이 계정에 대한 액세스를 제한하고 필요한 역할에만 권한을 부여하는 것이 좋습니다. 이를 지원하는 두 가지 기능은 신뢰할 수 있는 액세스와 위임된 관리자입니다. 신뢰할 수 있는 액세스를 사용하여 신뢰할 수 있는 서비스라고 하는 지정한 AWS 서비스가 사용자를 대신하여 AWS 조직 및 해당 계정에서 작업을 수행할 수 있도록 할 수 있습니다. 여기에는 신뢰할 수 있는 서비스에 대한 권한 부여가 포함되지만 IAM 엔터티에 대한 권한에는 영향을 미치지 않습니다. 신뢰할 수 있는 액세스를 사용하여 신뢰할 수 있는 서비스가 사용자를 대신하여 AWS 조직의 계정에 유지 관리하도록 설정 및 구성 세부 정보를 지정할 수 있습니다. 예를 들어 AWS SRA의 조직 관리 계정 섹션에서는 AWS 조직의 모든 계정에 CloudTrail 조직 추적을 생성할 수 있는 신뢰할 수 있는 액세스 권한을 AWS CloudTrail 서비스에 부여하는 방법을 설명합니다.

일부 AWS 서비스는 AWS Organizations에서 위임된 관리자 기능을 지원합니다.이 기능을 사용하면 호환 서비스에서 AWS 조직의 AWS 멤버 계정을 해당 서비스의 AWS 조직 계정에 대한 관리자로 등록할 수 있습니다. 이 기능은 엔터프라이즈 내 여러 팀이 책임에 따라 별도의 계정을 사용하여 환경 전체에서 AWS 서비스를 관리할 수 있는 유연성을 제공합니다. 현재 위임된 관리자를 지원하는 AWS SRA의 AWS 보안 서비스에는 AWS IAM Identity Center(AWS Single Sign-On 후속), AWS Config, AWS Firewall Manager, Amazon GuardDuty, AWS IAM Access Analyzer, Amazon Macie, AWS Security Hub, Amazon Detective, AWS Audit Manager, Amazon Inspector 및 AWS Systems Manager가 포함됩니다. AWS SRA에서는 위임된 관리자 기능을 사용하는 것이 모범 사례로 강조되며 보안 관련 서비스 관리를 Security Tooling 계정에 위임합니다.