의 용어 및 개념 AWS Organizations

모든 기능은 사용 가능한 기본 기능 세트입니다 AWS Organizations. 전체 조직에 대한 중앙 정책 및 구성 요구 사항을 설정하고, 조직 내에서 사용자 지정 권한 또는 기능을 생성하고, 단일 청구서로 계정을 관리 및 구성하고, 조직을 대신하여 다른 계정에 책임을 위임할 수 있습니다. 다른 AWS 서비스 와의 통합을 사용하여 조직의 모든 멤버 계정에서 중앙 구성, 보안 메커니즘, 감사 요구 사항 및 리소스 공유를 정의할 수도 있습니다. 자세한 내용은 다른 AWS Organizations 와 함께 사용 AWS 서비스 단원을 참조하십시오.

모든 기능 모드는 관리 기능과 함께 통합 결제의 모든 기능을 제공합니다.

통합 결제는 공유 결제 기능을 제공하지만의 고급 기능은 포함하지 않는 기능 세트입니다 AWS Organizations. 예를 들어, 다른 AWS 서비스가 조직과 통합되어 모든 계정에서 작동하도록 하거나 정책을 사용하여 다른 계정의 사용자 및 역할이 수행할 수 있는 작업을 제한할 수 없습니다.

원래 통합 결제 기능만 제공하는 조직에 대해 모든 기능을 활성화할 수 있습니다. 모든 기능을 활성화하려면 초대받은 멤버 계정 모두가 관리 계정이 과정을 시작하면서 전송한 초대를 수락해 변경 사항을 승인해야 합니다. 자세한 내용은 를 사용하여 조직의 모든 기능 활성화 AWS Organizations 단원을 참조하십시오.

조직은 중앙에서 관리할 수 있으며, 최상단에 루트가 있고 그 아래에는 조직 단위가 중첩된 트리형 계층 구조로 구성할 수 있는 AWS 계정의 모음입니다. 각 계정은 루트에 직접 있거나 계층 구조의 중 하나에 배치할 수 OUs 있습니다.

각 조직은 다음으로 구성됩니다.

조직은 사용자가 설정하는 기능 모음으로 결정되는 다양한 기능을 보유합니다.

관리 루트(루트)는 관리 계정에 포함되어 있으며 AWS 계정을 구성하기 위한 시작점입니다. 루트는 조직의 계층 구조에서 가장 위에 있는 컨테이너입니다. 이 루트에서 조직 단위(OUs)를 생성하여 논리적으로 계정을 그룹화하고 필요에 가장 적합한 계층 OUs 구조로 구성할 수 있습니다.

루트에 관리 정책을 적용하는 경우 조직의 관리 계정을 포함하여 모든 조직 단위(OUs) 및 계정에 적용됩니다.

권한 부여 정책(예: 서비스 제어 정책(SCP))을 루트에 적용하면 조직의 모든 조직 단위(OUs) 및 멤버 계정에 적용됩니다. 조직 내 관리 계정에는 적용되지 않습니다.

조직 단위(OU)는 조직 내의 AWS 계정 그룹입니다. OU에는 계층 구조를 생성할 수 OUs 있는 다른 도 포함될 수 있습니다. 예를 들어 동일한 부서에 속한 모든 계정을 부서별 OU로 그룹화할 수 있습니다. 마찬가지로 보안 서비스를 실행하는 모든 계정을 보안 OU로 그룹화할 수도 있습니다.

OUs는 조직의 계정 하위 집합에 동일한 제어를 적용해야 할 때 유용합니다. 중첩을 OUs 사용하면 더 작은 관리 단위를 사용할 수 있습니다. 예를 들어 각 워크로드에 OUs 대해를 생성한 다음 각 워크로드 OUOUs에 중첩된 두 개를 생성하여 프로덕션 워크로드를 사전 프로덕션 워크로드와 나눌 수 있습니다. 이들은 팀 수준 OU에 직접 할당된 제어 외에도 상위 OU의 정책을 OUs 상속합니다. 가장 낮은에서 AWS 계정 생성된 루트를 포함하여 계층 구조는 5단계 깊이일 수 OUs있습니다.

AWS 계정는 AWS 리소스의 컨테이너입니다. 에서 AWS 리소스를 생성하고 관리하며 AWS 계정는 액세스 및 결제를 위한 관리 기능을 AWS 계정 제공합니다.

여러를 사용하는 AWS 계정 것이 환경 규모를 조정하는 모범 사례입니다. 비용 청구 경계를 제공하고, 보안을 위해 리소스를 격리하고, 새로운 프로세스에 맞게 조정할 수 있을 뿐만 아니라 유연성을 제공하는 것이기 때문입니다.

조직에는 두 가지 유형의 계정이 있습니다. 하나는 관리 계정으로 지정된 단일 계정이며 다른 하나는 하나 이상의 멤버 계정입니다.

관리 계정은 조직을 생성하는 데 AWS 계정 사용하는 입니다. 관리 계정에서는 다음을 수행할 수 있습니다.

관리 계정은 조직의 최종 소유자로, 보안, 인프라 및 재무 정책을 최종적으로 제어할 수 있습니다. 이 계정은 지급인 계정의 역할을 하며 조직의 계정에서 발생한 모든 요금을 지불할 책임이 있습니다.

멤버 계정은 관리 계정 AWS 계정이외의 조직의 일부인 입니다. 조직의 관리자인 경우 조직에서 멤버 계정을 생성하고 기존 계정을 조직에 가입하도록 초대할 수 있습니다. 멤버 계정에 정책을 적용할 수도 있습니다.

 관리 계정과 그 사용자 및 역할은 해당 계정으로 수행해야 하는 작업에 대해서만 사용하는 것이 좋습니다. AWS  리소스를 조직의 다른 멤버 계정에 저장하고 관리 계정에는 저장하지 않는 것이 좋습니다. 이는 Organizations 서비스 제어 정책(SCPs)과 같은 보안 기능이 관리 계정의 사용자 또는 역할을 제한하지 않기 때문입니다. 관리 계정에서 리소스를 분리하면 인보이스의 요금을 파악하는 데도 도움이 될 수 있습니다. 조직의 관리 계정에서 하나 이상의 멤버 계정을 위임된 관리자 계정으로 지정하면 이 권장 사항을 구현하는 데 도움이 됩니다. 위임된 관리자에는 다음 두 가지 유형이 있습니다.

초대는 다른 계정에 조직 가입을 요청하는 과정입니다. 초대는 조직의 관리 계정에서만 발행할 수 있습니다. 초대는 계정 ID 또는 초대된 계정과 연결된 이메일 주소로 확장됩니다. 초대받은 계정이 초대를 수락하면, 해당 계정은 조직의 멤버 계정이 됩니다. 조직이 모든 멤버가 통합 결제 기능 지원에서 모든 기능 지원으로 전환하는 일을 승인해야 한다면, 현재 존재하는 모든 멤버 계정에 초대를 전송해야 합니다. 초대를 이용하려면 계정이 핸드셰이크를 교환해야 합니다. AWS Organizations 콘솔에서 작업할 때는 핸드셰이크가 표시되지 않을 수 있습니다. 그러나 AWS CLI 또는를 사용하는 경우 핸드셰이크를 사용하여 직접 작업 AWS Organizations API해야 합니다.

핸드셰이크는 두 당사자 간에 정보를 교환하는 여러 단계로 구성된 과정입니다. 에서 기본 사용 중 하나는 초대의 기본 구현 역할을 AWS Organizations 하는 것입니다. 초대 핸드셰이크 메시지는 핸드셰이크 개시자와 받는 사람 간에 전달되고 응답됩니다. 메시지는 양 당사자가 현재 상태를 알 수 있도록 전달됩니다. 또한 핸드셰이크는 조직이 통합 결제 기능만 지원하는 데서 가 제공하는 모든 기능 AWS Organizations 을 지원하도록 변경할 때도 사용합니다. 일반적으로와 같은 또는 명령줄 도구로 작업하는 경우에만 핸드셰이 AWS Organizations API크와 직접 상호 작용해야 합니다 AWS CLI.

서비스 제어 정책은 조직 내 IAM 사용자 및 IAM 역할에 사용 가능한 최대 권한에 대한 중앙 제어를 제공하는 정책 유형입니다.

즉, 보안 주체 중심 제어를 SCPs 지정합니다. 권한 가드레일을 SCPs 생성하거나 멤버 계정의 보안 주체가 사용할 수 있는 최대 권한에 대한 제한을 설정합니다. 조직의 보안 주체에 대해 일관된 액세스 제어를 중앙에서 적용하려는 SCP 경우를 사용합니다.

여기에는 IAM 사용자와 IAM 역할이 액세스할 수 있는 서비스, 액세스할 수 있는 리소스 또는 요청을 수행할 수 있는 조건(예: 특정 리전 또는 네트워크)을 지정하는 것이 포함될 수 있습니다. 자세한 내용은 SCPs 단원을 참조하십시오.

리소스 제어 정책은 조직의 리소스에 대해 사용 가능한 최대 권한에 대한 중앙 제어를 제공하는 정책의 한 유형입니다.

즉, 리소스 중심 제어를 RCPs 지정합니다. 멤버 계정의 리소스에 사용할 수 있는 최대 권한에 대한 권한 가드레일을 RCPs 생성하거나 제한을 설정합니다. 조직의 리소스 간에 일관된 액세스 제어를 중앙에서 적용하려는 RCP 경우를 사용합니다.

여기에는 조직에 속한 자격 증명만 액세스할 수 있도록 리소스에 대한 액세스를 제한하거나 조직 외부의 자격 증명이 리소스에 액세스할 수 있는 조건을 지정하는 것이 포함될 수 있습니다. 자세한 내용은 RCPs 단원을 참조하십시오.

선언적 정책은 조직 전체에서 지정된에 대해 원하는 구성을 중앙 AWS 서비스 에서 선언하고 적용할 수 있는 정책 유형입니다. 연결되면 서비스가 새 기능 또는를 추가할 때 구성이 항상 유지됩니다APIs. 자세한 내용은 선언 정책을 참조하세요.

백업 정책은 조직의 계정 전체에서 백업 계획을 중앙에서 관리하고 AWS 리소스에 적용할 수 있는 정책 유형입니다. 자세한 내용은 백업 정책을 참조하세요.

태그 정책은 조직 계정의 AWS 리소스에 연결된 태그를 표준화할 수 있는 정책의 유형입니다. 자세한 내용은 태그 정책을 참조하세요.

챗봇 정책은 Slack 및 Microsoft Teams와 같은 채팅 애플리케이션에서 조직의 계정에 대한 액세스를 제어할 수 있는 정책 유형입니다. 자세한 내용은 챗봇 정책을 참조하세요.

AI 서비스 옵트아웃 정책은 조직의 모든 계정에 대한 AWS AI 서비스의 데이터 수집을 제어할 수 있는 정책의 한 유형입니다. 자세한 내용은 AI 서비스 옵트아웃 정책을 참조하세요.