AWS Organization의 개념
AWS Organizations는 다수의 AWS 계정을 통합적으로 관리하고 정책을 중앙에서 제어할 수 있게 해주는 서비스이다.
AWS Organization 주요 기능
- 계정 통합 관리: 조직 내 여러 AWS 계정을 하나의 조직(Organization)으로 묶어 관리
- 중앙 청구 (Consolidated Billing, 통합 빌링): 모든 계정의 비용을 하나로 합산해 결제
- 서비스 제어 정책(SCP): 계정 또는 OU 수준에서 IAM보다 더 상위에서 API 접근 제어
- 계정 생성 자동화: API, CLI, 콘솔을 통해 신규 계정 프로비저닝 자동화
AWS Organization 구성 요소
- Root: 조직의 최상위 계층
- OU(Organizational Unit) : 계정을 논리적으로 그룹화하는 단위 (예: Dev, Prod, Security)
- Account : AWS 계정
- SCP(Service Control Policy) : 계정이나 OU에 적용되는 권한 제한 정책
AWS Organization과 AWS Control Tower의 관계
AWS Control Tower는 AWS Organizations를 기반으로 구축되는 멀티 계정 관리 프레임워크이다.
Control Tower는 Organizations 위에 구축되어 계정 생성, 정책 적용, 거버넌스 자동화를 수행한다.
| 항목 | 설명 |
| Organizations 역할 | 멀티 계정 구조 및 계층(OU), SCP 관리 |
| Control Tower 역할 | 계정 생성, Landing Zone 자동화, 계정 거버넌스 및 보안 통합 구성 |
| Control Tower가 사용하는 Organizations 기능 | OU, 계정 생성 API, SCP 연결, 로그 계정 분리 등 |
AWS Control Tower 주요 기능
- Landing Zone 구축 : 조직 전체에 표준 보안/네트워크 구성 기반을 자동으로 배포
- Account Factory : 사전 정의된 템플릿 기반으로 새 AWS 계정을 자동 생성 및 설정
- 가드레일 (Guardrails) : 서비스 제어 정책(SCP) 및 AWS Config 규칙을 통한 보안/운영 정책 자동 적용
- 워크로드 분리 : 팀별, 프로젝트별로 계정을 분리해 독립적인 리소스와 권한 관리 가능
- 다중 리전 확장 : 멀티 리전 환경에서도 일관된 거버넌스와 통제를 유지 가능
예제 문제
한 회사가 개발자들이 특정 Amazon EC2 인스턴스 제품군을 사용하지 못하도록 하려고 합니다. 이 회사는 AWS Organizations를 사용하고 있으며, 여러 계정에 걸쳐 제한을 적용하려고 합니다.
이러한 요구 사항을 충족하기 위해 서비스 제어 정책(SCP)을 적용하는 가장 운영 효율적인 방법은 무엇입니까?
- A. 조직 단위(OU)에 계정을 추가합니다. SCP를 해당 OU에 적용합니다.
- B. AWS 리소스 그룹의 리소스 그룹에 계정을 추가합니다. 리소스 그룹에 SCP를 적용합니다.
- C. 각 개발자 계정에 SCP 적용
- D. AWS Control Tower에 계정을 등록합니다. AWS Control Tower 관리 계정에 SCP를 적용합니다.
답 : A
이유 : Control Tower를 설치하면 운영 복잡도가 오히려 상승한다. 따라서 AWS Organizations에서 OU 생성 후 SCP 적용하는 것이 올바르다.
한 회사가 AWS 서비스 사용을 포트폴리오 전반에 걸쳐 확장하고 있습니다. 이 회사는 보안, 규정 준수 및 청구를 위한 비즈니스 프로세스를 분리하기 위해 각 팀에 AWS 계정을 프로비저닝하고자 합니다. 계정 생성 및 부트스트래핑은 확장 가능하고 효율적인 방식으로 완료되어야 하며, 정의된 기준과 거버넌스 가드레일이 마련되어 있어야 새 계정이 생성됩니다. 시스템 운영 관리자는 시간과 리소스를 절약하는 프로비저닝 프로세스를 설계해야 합니다.
이러한 요구 사항을 충족하기 위해 어떤 조치를 취해야 할까요?
- A. AWS Elastic Beanstalk를 사용하여 AWS 계정 프로비저닝, 인프라 설정, AWS Organizations와의 통합을 자동화합니다.
- B. AWS OpsWorks에서 부트스트래핑 스크립트를 만들고 이를 AWS CloudFormation 템플릿과 결합하여 계정과 인프라를 프로비저닝합니다.
- C. AWS Config를 사용하여 AWS Service Catalog를 사용하여 계정을 프로비저닝하고 인스턴스를 배포합니다.
- D. AWS Control Tower를 사용하여 Account Factory에서 템플릿을 만들고 해당 템플릿을 사용하여 새 계정을 프로비저닝합니다.
답 : D
'Certificate > AWS SOA-C02' 카테고리의 다른 글
| [AWS] DNS 레코드 유형별(A, CNAME, ALIAS, NS 등) 사용 용도, 한 번에 정리하기 (0) | 2025.04.17 |
|---|---|
| [AWS] Route 53 Resolver Forwarding Rules(전달 규칙), 한 번에 이해하기 (0) | 2025.04.17 |
| [AWS] SQS 기반 ASG, EventBridge(CloudWatch Events) 조합, 한 번에 이해하기 (0) | 2025.04.17 |
| [AWS] S3 MFA Delete로 로그 파일 보호하기, 한 번에 이해하기 (0) | 2025.04.16 |
| [AWS] AWS Config, EventBridge(CloudWatch Events), Auto Remediation 조합, 한 번에 이해하기 (0) | 2025.04.16 |
