brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Oct 25. 2020

456. AWS  오가니제이션 개요-2/2

개요

여러 계정을 중앙 집중적으로 관리하기 위해 오가니 제이션을 사용한다.



오가니제이션은 2가지 방법이 있다.

빌링 통합 오가나 제이 션

ALL (빌링 통합 + 계정 정책 관리)



CSP 파트너사인 메가존, 베스핀 글로벌, GS네오텍 등과 계약해 사용하는 경우는

빌링 통합 오가니제이션을 사용하게 된다.


이경우 단점

빌링 통합 오가니제이션을 사용하면 빌링 관련 파트너사에서 관리하게 된다.

AWS의 빌링 관련 서비스는 사용하지 못하게 된다.

빌링 관련은 파트너사의 빌링 페이지를 이용하게 된다.



오가이제이션은 큰 기업에서 주로 사용한다.

개인은 사용할 필요는 없다.

작은 기업은 필요로 하면 사용하기 바란다.



<1>  AWS  오가니제이션 개요

<2> 오가니제이션 실습






<1>  AWS  오가니제이션 개요



1

여러 계정을 중앙 집중적으로 관리하기 위한 기능

create api라는 api가 열려 있다.

ou를 여러 개 만들 수 있다.

통합 빌링 가능 



2

Organiztion 구조






ALL방식 오가니제이션 사용 시 

서비스 컨트롤  SCP 기능 사용 가능하다.






3

한 개의 계정은 한 개의 오가니제이션에만 속할 수 있음.

파트너사에  페이 어카운트를 사용하는 경우 1개 사용 



4

오가니제이션의  2가지 기능


1)

통합 빌링 기능

2)

ALL 기능 (통합 빌링 +  중앙에서 관리 기능)


ALL 기능은  SCP를 사용하기 위해 필수이다.


// SCP

저장된 계정 집합에 적용할 통제항목들을 기술한 문서

1,000자 정도까지 jason 제약이 있다.


빌링 통합 기능 ->  ALL 기능으로 멤버를 변경하라면  모든 멤버가 수락해야만 한다.

수락하지 않으면 일정 기간 1달? 후 모두 자동 해지되어, 통합 빌링으로 사용된다.



5

Master 계정

Organiztion내에 다른 어카운트들에 대한 Payer 어카운트


용어 변경 

Master 대신 =>  Management account로 용어 변경됨.


OU

어카운트들의 집합



6

계정 생성 시

신용카드 정보 안 넣는다.

root 유저는 암호가 안 들어간다.

암호를  초기화해서 root암호를 사용한다.


계정 탈퇴 시는 신용카드 정보나 연락처를 입력해야만 탈퇴 가능하다.

멤버가 모두 탈퇴되어야 Organiztion 서비스 해지가 가능하다.



7

여러 개 OU도 가능하다.


8

서비스 계정들을 OU로 구성

OU자체는 1,000개까지 가능하다.


OU구성 방식

1) 사업부별 구성

2) 서비스별 구성


중앙에서 계정을 프로비저닝 합. Cloudformation stacksets

aws계정에 태그를 지정합니다.

계정에 대한 서비스 할당량을 관리합니다.



9

SCP

Service Control Policy


기본은 deny이다.

그래서 FullAWS access라는 SCP를 가짐. 사용 가능함.

상속이 된다.

Master계정은 적용 불가.


SCP

IAM

교집합만 허용한다.

SCP에 의해 제한되지 않는 것들?


10

SCP 형식?


11

SCP 적용 

root ----------- a ou------------b ou -------------c ou ---------- 사용자 

a ou, b ou , c ou 3가지에 대해  모두 허용하는 것만 가능하다.



12

OU구조 설계 시 고려점

root---------- a , b, c, ---------- dd , ee, ff ------------ 사용자.


13

Black listing  예제


White listing 예제



14

근본적으로 훼손할 수 있는 것들은 deny 설정하라.

cloudtrail log 비활성화

config 비활성화


root----------- 기술

root----------- 사업 



15

테스트 OU 만들고 진행하라.

scp 적용 시 잘못하면 장애 발생하므로



16

EC2 만 사용 가능하도록 하고 vpc생성은 안되도록 하려면?


EC2 Full은 주고

SCP에서 VPC 생성하는 것은 막는다.



17

예를 들어 

태그를 달지 않으면 리소스를 만들지 못하게 한다.

// 태그에 대해 가이드해 사용하면 좋겠다.



18

오가니제이션과 같이 쓸 수 있는 것

cloudwatch 등..

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_security_incident-response.html



19

오가니제이션과 sso 관계

https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html



20

아티펙트와 같이 사용 가능하다.




<2> 오가니제이션 실습


https://brunch.co.kr/@topasvga/756



감사합니다.

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari