AWS Organizations
- AWS Organizations 는 여러 AWS 계정을 중앙에서 관리하기 위한 서비스다. Region 에 제한되지 않는 Global Service 로 메인 관리 계정으로 여러 멤버 계정을 관리할 수 있다.
- 멤버 계정은 하나의 조직에만 속할 수 있음
- 모든 계정에 대한 통합 결제 - 단일 결제 방법
- 통합 사용량으로 인한 가격 혜택 (EC2, S3 등의 대량 할인)
- 계정 간 예약 인스턴스 및 Savings Plans 할인 공유
- AWS 계정 생성을 자동화하는 API 제공
Organization Unit
- Root Organization Unit
- Management Account
- OU (PROD)
- OU (DEV)
Security: Service Control Policies (SCP)
- SCP 는 OU 또는 AWS 계정에 적용되어 AWS 서비스에 대한 접근 권한 및 사용 가능한 리소스를 IAM 정책으로 제한할 수 있는 기능이다.
- 관리 계정에는 적용되지 않는다. (전체 관리자 권한)
- 기본적으로 아무것도 허용하지 않기 때문에 명시적 허용이 필요하다.
- 일반적으로 새로운 AWS 서비스를 도입할 때 DEV OU 에 SCP 제한을 풀어 도입할 서비스에 대한 PoC 를 수행하고 STG, PROD 로 올리는 식이다.
References