[AWS-SAA] 17. Organizations, IAM 고급 요약

AWS 계정 및 권한 통합 관리(AWS Organizations, IAM, Control Tower)

1. AWS Organizations

개념 및 구조

• 다수의 AWS 계정을 하나의 조직으로 묶어 관리할 수 있는 글로벌 서비스
• 관리 계정은 조직의 중심이 되며, 다른 계정은 멤버 계정으로 소속됨
• 계정 생성, 추가, 정책 배포, 통합 결제까지 모두 수행 가능

조직 단위 구조

• 루트(OU) → 하위 OU → 계정 배치 구조로 구성
• 비즈니스, 보안, 개발 환경별 OU 구성으로 계층적 정책 관리 용이

비용 및 리소스 공유

• 전체 계정의 사용량 기반으로 비용 할인 혜택(Saving Plan, RI 등) 공유
• 계정 간 리소스 태그 연동, 비용 집계, 중앙화된 CloudTrail/CloudWatch 설정 가능

보안 정책 관리 (SCP)

• **Service Control Policy(SCP)**는 OU 단위 또는 계정 단위로 강제 적용됨
• 정책 병합 로직: 허용 정책이 있어도 상위 OU에 명시적 거부가 있으면 실행 불가
• 기본 전략: 차단 기반(deny-list) 혹은 허용 기반(allow-list)

2. IAM 고급 개념

조건 기반 제어

• IAM 정책에서 Condition 절로 접근 제어 가능
• 예시: IP 제한, 리전 제한, 특정 태그 존재 시만 허용 등

리소스 기반 vs 자격 증명 기반 정책

• 리소스 기반: 리소스(S3, SNS 등)에 직접 부여
• 역할 기반(IAM Role): 사용자가 assume role 방식으로 권한을 얻음
• EventBridge 대상이 리소스 기반을 지원하지 않으면 IAM 역할 사용 필요

IAM 권한 경계 (Permissions Boundary)

• 사용자 또는 역할에 대해 최대 허용 범위를 제한하는 메커니즘
• 실제 권한 = IAM 정책 ∩ 권한 경계 ∩ SCP
• 비관리자에게 IAM 역할 위임 시 오용 방지 용도로 적합

IAM 정책 평가 순서

1. 명시적 거부(Deny)
2. SCP 허용 확인
3. 리소스 기반 정책
4. 자격 증명 기반 정책
5. 권한 경계
6. 세션 정책
   → 모두 통과하면 최종 허용

3. IAM 자격 증명 센터 (IAM Identity Center, 구 AWS SSO)

역할 및 기능

• 여러 AWS 계정과 외부 SaaS 앱(예: Salesforce, MS 365 등)에 단일 로그인 제공
• 내부 사용자 저장소와 외부 ID 공급자(AD, Okta 등) 모두 지원

그룹 및 권한 셋

• 그룹 생성 → OU와 연결 → 사용자에 권한셋 할당
• 권한셋은 IAM 정책으로 구성되어, OU 내 다수 계정에 통합 관리 가능

속성 기반 제어(ABAC)

• 사용자 속성(예: 직책, 위치, 팀 등)에 따라 동적 권한 부여
• 동일한 정책으로 사용자 속성만 바꿔도 접근 제어 가능

4. AWS Directory Service

Microsoft AD 환경 통합

• AD는 사용자, 그룹, 컴퓨터 등 보안 객체를 트리 형태로 관리
• AWS 환경에서도 AD 기반 인증 및 통합 로그인 필요 시 사용

Directory Service 종류

• AWS Managed Microsoft AD: AWS 내 자체 AD 생성, 양방향 트러스트 구성 가능
• AD Connector: 온프레미스 AD와의 프록시 연결
• Simple AD: 가벼운 독립형 AD, MS AD와 연결 없이 사용

IAM 자격 증명 센터와 통합 방법

• AWS Managed AD 또는 AD Connector를 통해 IAM Identity Center와 연결
• 조직 내 SSO 및 역할 매핑 연동 가능

5. AWS Control Tower

기능과 목적

• AWS 모범 사례 기반으로 다중 계정 구조를 손쉽게 자동 구성
• 기본적으로 AWS Organizations, Service Catalog, Config 등을 조합하여 운영됨

가드레일 관리

• 예방 가드레일: SCP를 통해 정책 위반을 사전에 차단
• 탐지 가드레일: AWS Config로 규정 위반을 감지
• 위반 시 EventBridge → SNS/람다 등으로 알림 전파 가능

장점

• 빠른 환경 구성, 계정 자동 생성, 규정 위반 자동 탐지 및 수정
• 다중 계정 아키텍처에 대한 중앙화된 보안 및 규정 준수 프레임워크 제공

요약

• Organizations: 계정 구조/정책 통합 관리
• IAM: 세분화된 접근 통제 및 조건 기반 권한 설정
• IAM Identity Center: 단일 로그인 및 속성 기반 제어
• Directory Service: 온프레미스 AD 연동 또는 독립 운영
• Control Tower: 규정 준수 중심의 자동 계정 환경 구성