다른 AWS 서비스와 함께 AWS Organizations 사용 - AWS Organizations
신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한신뢰할 수 있는 액세스를 활성화 또는 비활성화하는 방법AWS Organizations 및 서비스 연결 역할

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다른 AWS 서비스와 함께 AWS Organizations 사용

신뢰할 수 있는 액세스를 사용하여 사용자가 지정한 지원되는 AWS 서비스를 활성화할 수 있습니다. 이러한 서비스를 신뢰할 수 있는 서비스라 하며, 사용자를 대신해 조직과 그 계정의 작업을 수행합니다. 이 과정에는 신뢰할 수 있는 서비스에 대한 권한 부여가 포함되지만 사용자 또는 역할에 대한 권한에는 달리 영향을 미치지 않습니다. 액세스를 활성화하면 신뢰할 수 있는 서비스는 필요할 때 언제든 조직의 모든 계정에서 서비스 연결 역할(service-linked role)이라는 IAM 역할을 생성할 수 있습니다. 이 역할에는 신뢰할 수 있는 서비스가 해당 서비스의 설명서에 명시된 작업을 수행할 수 있도록 활성화하는 권한 정책이 있습니다. 따라서 신뢰할 수 있는 서비스가 사용자를 대신하여 사용자의 조직 계정으로 관리할 설정 및 구성 세부 정보를 지정할 수 있습니다. 신뢰할 수 있는 서비스는 조직의 모든 계정이 아니라 계정에 대한 관리 작업을 수행해야 하는 경우에만 서비스 연결 역할을 생성합니다.

중요

옵션이 제공되는 경우, 신뢰할 수 있는 액세스의 활성화 및 비활성화에는 신뢰할 수 있는 서비스의 콘솔이나, 그 AWS CLI 또는 API 작업만을 사용할 것을 적극 권장합니다. 이렇게 하면 신뢰할 수 있는 액세스를 활성화할 때 신뢰할 수 있는 서비스가 모든 필수 리소스를 생성하는 등의 필요한 모든 초기화를 수행할 수 있으며, 신뢰할 수 있는 서비스를 비활성화할 때 필요한 모든 리소스 정리 작업을 수행할 수 있습니다.

신뢰할 수 있는 서비스를 사용해 조직에 대한 신뢰할 수 있는 서비스 액세스를 활성화하거나 비활성화하는 방법은 AWS 함께 사용할 수 있는 서비스 AWS Organizations신뢰할 수 있는 액세스 지원 열 아래에 있는 자세히 알아보기를 참조하세요.

Organizations 콘솔, CLI 명령 또는 API 작업을 사용하여 액세스를 비활성화하면 다음의 동작이 발생합니다.

  • 조직 내 계정에서 더 이상 서비스 연결 역할을 만들 수 없습니다. 즉, 서비스가 사용자를 대신하여 조직의 새 계정에 대해 작업을 수행할 수 없습니다. 서비스는 서비스가 AWS Organizations의 정리를 완료할 때까지 이전 계정에서 작업을 계속 수행할 수 있습니다.

  • 역할에 연결된 IAM 정책에서 작업을 명시적으로 허용하지 않는 한 서비스가 더 이상 조직의 멤버 계정에서 작업을 수행할 수 없습니다. 이러한 작업으로는 멤버 계정에서부터 관리 계정 또는 위임된 관리자 계정(해당하는 경우)에 이르는 모든 데이터의 집계가 있습니다.

  • 일부 서비스는 이를 감지하고 통합과 관련된 나머지 데이터 또는 리소스를 정리하는 반면, 다른 서비스는 조직에 대한 액세스를 중지하되 통합의 재활성화를 지원하기 위해 기록 데이터 및 구성을 그대로 남겨둡니다.

그 대신 다른 서비스의 콘솔이나 명령을 사용하여 통합을 비활성화하면 다른 서비스가 통합에만 필요한 리소스를 정리할 수 있습니다. 서비스가 조직의 계정에서 리소스를 정리하는 방식은 해당 서비스에 따라 다릅니다. 자세한 내용은 다른 AWS 서비스의 설명서를 참조하세요.

신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한

신뢰할 수 있는 액세스의 경우 두 서비스인 AWS Organizations 및 신뢰할 수 있는 서비스에 대한 권한이 필요합니다. 신뢰할 수 있는 액세스를 활성화하려면 다음 시나리오 중 하나를 선택합니다.

  • AWS Organizations 및 신뢰할 수 있는 서비스 모두에 대한 권한을 가진 자격 증명이 있으면, 신뢰할 수 있는 서비스에서 제공하는 도구(콘솔 또는 AWS CLI)를 사용하여 액세스를 활성화합니다. 이렇게 하면 서비스가 사용자를 대신해 AWS Organizations에서 신뢰할 수 있는 액세스를 활성화하고 해당 서비스가 사용자의 조직에서 작동하는 데 필요한 리소스를 생성할 수 있습니다.

    이러한 자격 증명에 필요한 최소 권한은 다음과 같습니다.

    • organizations:EnableAWSServiceAccess. 이 작업에 organizations:ServicePrincipal 조건 키를 사용하여 승인된 서비스 보안 주체 이름의 목록에 대해 해당 작업이 수행하는 요청을 제한할 수 있습니다. 자세한 정보는 조건 키을 참조하세요.

    • organizations:ListAWSServiceAccessForOrganization – AWS Organizations 콘솔을 사용하는 경우에 필요합니다.

    • 신뢰할 수 있는 서비스에서 필요한 최소 권한은 서비스에 따라 결정됩니다. 자세한 내용은 신뢰할 수 있는 서비스의 설명서를 참조하세요.

  • 한 사람에게는 AWS Organizations의 권한이 있는 자격 증명이 있고, 다른 사람에게는 신뢰할 수 있는 서비스의 권한이 있는 자격 증명이 있는 경우에는 다음 단계를 다음 순서대로 수행합니다.

    1. AWS Organizations의 권한 자격 증명이 있는 사람은 AWS Organizations 콘솔, AWS CLI 또는 AWS SDK를 사용하여 신뢰할 수 있는 서비스에 대한 신뢰할 수 있는 액세스를 활성화해야 합니다. 이렇게 하면 다음 단계(2단계)를 수행할 때 다른 서비스가 조직에서 필요한 권한을 수행할 수 있는 권한이 부여됩니다.

      최소 AWS Organizations 권한은 다음과 같습니다.

      • organizations:EnableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization – AWS Organizations 콘솔을 사용하는 경우에만 필요합니다.

      AWS Organizations에서 신뢰할 수 있는 액세스를 활성화하는 구체적인 단계는 신뢰할 수 있는 액세스를 활성화 또는 비활성화하는 방법을 참조하세요.

    2. 신뢰할 수 있는 서비스의 권한이 있는 자격 증명이 있는 사람이 해당 서비스를 AWS Organizations로 작업할 수 있도록 합니다. 이것은 해당 서비스에게 신뢰할 수 있는 서비스가 조직에서 작업하는 데 필요한 리소스 생성 같은 필요한 초기화를 수행하도록 지시하는 것입니다. 자세한 내용은 AWS 함께 사용할 수 있는 서비스 AWS Organizations에서 서비스별 지침을 참조하세요.

신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한

신뢰할 수 있는 서비스가 사용자의 조직이나 그 계정으로 작업하는 것을 중단하려면 다음 시나리오 중 하나를 선택하세요.

중요

신뢰할 수 있는 서비스 액세스를 비활성화한다고 해서 해당 권한이 있는 사용자와 역할이 해당 서비스를 사용하지 못하게 되는 것은 아닙니다. 사용자 및 역할이 AWS 서비스에 액세스하지 못하도록 완전히 차단하려면 해당 액세스 권한을 부여하는 IAM 권한을 제거하거나 AWS Organizations에서 서비스 제어 정책(SCP)을 사용할 수 있습니다.

SCP는 멤버 계정에만 적용할 수 있습니다. 관리 계정에는 SCP가 적용되지 않습니다. 관리 계정에서 서비스를 실행하지 않는 것이 좋습니다. 그 대신 SCP를 사용하여 보안을 제어할 수 있는 멤버 계정에서 서비스를 실행합니다.

  • AWS Organizations 및 신뢰할 수 있는 서비스 모두에 대한 권한을 가진 자격 증명이 있으면, 신뢰할 수 있는 서비스에 사용할 수 있는 도구(콘솔 또는 AWS CLI)를 사용하여 액세스를 비활성화합니다. 그러면 해당 서비스가 더 이상 필요하지 않는 리소스를 제거하고 사용자 대신 AWS Organizations에서 서비스에 대한 신뢰할 수 있는 액세스를 비활성화하여 정리됩니다.

    이러한 자격 증명에 필요한 최소 권한은 다음과 같습니다.

    • organizations:DisableAWSServiceAccess. 이 작업에 organizations:ServicePrincipal 조건 키를 사용하여 승인된 서비스 보안 주체 이름의 목록에 대해 해당 작업이 수행하는 요청을 제한할 수 있습니다. 자세한 정보는 조건 키을 참조하세요.

    • organizations:ListAWSServiceAccessForOrganization – AWS Organizations 콘솔을 사용하는 경우에 필요합니다.

    • 신뢰할 수 있는 서비스에서 필요한 최소 권한은 서비스에 따라 결정됩니다. 자세한 내용은 신뢰할 수 있는 서비스의 설명서를 참조하세요.

  • AWS Organizations의 권한이 있는 자격 증명이 신뢰할 수 있는 서비스의 권한이 있는 자격 증명이 아닌 경우에는 다음 단계를 다음 순서대로 수행합니다.

    1. 먼저 신뢰할 수 있는 서비스에 대한 권한이 있는 사람이 해당 서비스를 사용하여 액세스를 비활성화합니다. 이것은 신뢰할 수 있는 서비스에게 신뢰할 수 있는 액세스에 필요한 리소스를 삭제하여 정리하라고 지시하는 것입니다. 자세한 내용은 AWS 함께 사용할 수 있는 서비스 AWS Organizations에서 서비스별 지침을 참조하세요.

    2. 그런 다음 AWS Organizations의 권한이 있는 사람이 AWS Organizations 콘솔, AWS CLI 또는 AWS SDK를 사용하여 신뢰할 수 있는 서비스에 대한 액세스를 비활성화할 수 있습니다. 이제 신뢰할 수 있는 서비스에 대한 권한이 조직과 그 계정에서 삭제됩니다.

      최소 AWS Organizations 권한은 다음과 같습니다.

      • organizations:DisableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization – AWS Organizations 콘솔을 사용하는 경우에만 필요합니다.

      AWS Organizations의 신뢰할 수 있는 액세스를 비활성화하는 구체적인 단계는 신뢰할 수 있는 액세스를 활성화 또는 비활성화하는 방법을 참조하세요.

신뢰할 수 있는 액세스를 활성화 또는 비활성화하는 방법

AWS Organizations에 대한 권한만 있고, 다른 AWS 서비스의 관리자를 대신하여 사용자의 조직에 대한 신뢰할 수 있는 액세스를 활성화 또는 비활성화하려면 다음 절차를 사용하세요.

중요

옵션이 제공되는 경우, 신뢰할 수 있는 액세스의 활성화 및 비활성화에는 신뢰할 수 있는 서비스의 콘솔이나, 그 AWS CLI 또는 API 작업만을 사용할 것을 적극 권장합니다. 이렇게 하면 신뢰할 수 있는 액세스를 활성화할 때 신뢰할 수 있는 서비스가 모든 필수 리소스를 생성하는 등의 필요한 모든 초기화를 수행할 수 있으며, 신뢰할 수 있는 서비스를 비활성화할 때 필요한 모든 리소스 정리 작업을 수행할 수 있습니다.

신뢰할 수 있는 서비스를 사용해 조직에 대한 신뢰할 수 있는 서비스 액세스를 활성화하거나 비활성화하는 방법은 AWS 함께 사용할 수 있는 서비스 AWS Organizations신뢰할 수 있는 액세스 지원 열 아래에 있는 자세히 알아보기를 참조하세요.

Organizations 콘솔, CLI 명령 또는 API 작업을 사용하여 액세스를 비활성화하면 다음의 동작이 발생합니다.

  • 조직 내 계정에서 더 이상 서비스 연결 역할을 만들 수 없습니다. 즉, 서비스가 사용자를 대신하여 조직의 새 계정에 대해 작업을 수행할 수 없습니다. 서비스는 서비스가 AWS Organizations의 정리를 완료할 때까지 이전 계정에서 작업을 계속 수행할 수 있습니다.

  • 역할에 연결된 IAM 정책에서 작업을 명시적으로 허용하지 않는 한 서비스가 더 이상 조직의 멤버 계정에서 작업을 수행할 수 없습니다. 이러한 작업으로는 멤버 계정에서부터 관리 계정 또는 위임된 관리자 계정(해당하는 경우)에 이르는 모든 데이터의 집계가 있습니다.

  • 일부 서비스는 이를 감지하고 통합과 관련된 나머지 데이터 또는 리소스를 정리하는 반면, 다른 서비스는 조직에 대한 액세스를 중지하되 통합의 재활성화를 지원하기 위해 기록 데이터 및 구성을 그대로 남겨둡니다.

그 대신 다른 서비스의 콘솔이나 명령을 사용하여 통합을 비활성화하면 다른 서비스가 통합에만 필요한 리소스를 정리할 수 있습니다. 서비스가 조직의 계정에서 리소스를 정리하는 방식은 해당 서비스에 따라 다릅니다. 자세한 내용은 다른 AWS 서비스의 설명서를 참조하세요.

AWS Management Console
신뢰할 수 있는 서비스 액세스를 활성화하려면

  1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

  2. 서비스(Services) 페이지에서 활성화하려는 서비스의 행을 찾고 그 이름을 선택합니다.

  3. 신뢰할 수 있는 액세스 활성화를 선택합니다.

  4. 확인 대화 상자에서 신뢰할 수 있는 액세스를 활성화는 옵션 표시(Show the option to enable trusted access)를 선택하고, 상자에 enable을 입력한 다음 신뢰할 수 있는 액세스 활성화(Enable trusted access)를 선택합니다.

  5. 액세스를 활성화하는 경우에는 다른 AWS 서비스 관리자에게 이제 다른 서비스를 AWS Organizations로 작업할 수 있다고 알려줍니다.

신뢰할 수 있는 서비스를 비활성화하려면

  1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

  2. 서비스(Services) 페이지에서 비활성화하려는 서비스의 행을 찾고 그 이름을 선택합니다.

  3. 다른 서비스의 관리자가, 서비스가 비활성화되어 해당 리소스가 정리되었다고 알려줄 때까지 기다립니다.

  4. 확인 대화 상자에서 disable을 입력한 다음 신뢰할 수 있는 액세스 비활성화(Disable trusted access)를 선택합니다.

AWS CLI, AWS API
신뢰할 수 있는 서비스 액세스를 활성화 또는 비활성화하려면

다음 AWS CLI 명령 또는 API 작업을 사용하여 신뢰할 수 있는 서비스 액세스를 활성화하거나 비활성화할 수 있습니다.

AWS Organizations 및 서비스 연결 역할

AWS Organizations는 IAM 서비스 연결 역할을 사용하여 신뢰할 수 있는 서비스가 조직의 멤버 계정에서 사용자를 대신하여 작업을 수행할 수 있도록 합니다. 신뢰할 수 있는 서비스를 구성하고 이를 조직에 통합하도록 승인하면 이 서비스에서 AWS Organizations가 해당 멤버 계정으로 서비스 연결 역할을 생성하도록 요청할 수 있습니다. 신뢰할 수 있는 서비스가 동시에 조직 내 모든 계정에 필수적으로 진행하지 않고 필요할 때 이를 비동기적으로 진행합니다. 서비스 연결 역할에는 신뢰할 수 있는 서비스가 해당 계정 내에서 특정 작업만을 수행하도록 허용하는 사전 정의된 IAM 권한이 있습니다. 일반적으로 AWS에서 모든 서비스 연결 역할을 관리합니다. 따라서 사용자는 일반적으로 역할 또는 연결된 정책을 변경할 수 없습니다.

이 모든 것이 가능하도록 하려면 조직 내에 계정을 생성하거나 조직에 대한 기존 계정의 초대를 허용할 때 AWS Organizations가 멤버 계정에 AWSServiceRoleForOrganizations라는 서비스 연결 역할을 프로비저닝합니다. AWS Organizations 서비스 자체만이 이 역할을 맡을 수 있습니다. 이 역할은 AWS Organizations가 다른 AWS 서비스에 대한 서비스 연결 역할을 생성할 수 있도록 허용하는 권한을 보유합니다. 이 서비스 연결 역할은 모든 조직에 존재합니다.

권장하는 방법은 아니지만 조직에서 통합 결제 기능만 활성화된 경우, AWSServiceRoleForOrganizations라는 이름의 서비스 연결 역할이 절대 사용되지 않으며, 이를 삭제할 수 있습니다. 이후에 조직 내 모든 기능을 활성화려면 이 역할이 필요하므로, 복원해야 합니다. 다음 상태 확인은 모든 기능을 활성화하는 절차를 시작할 때 발생합니다.

  • 조직에 가입하도록 초대된 각 멤버 계정 – 계정 관리자가 모든 기능 활성화에 동의하는 요청을 수신합니다. 요청에 동의하려면 관리자가 organizations:AcceptHandshake 권한과 iam:CreateServiceLinkedRole 권한(서비스 연결 역할(AWSServiceRoleForOrganizations)이 아직 없는 경우)이 모두 있어야 합니다. AWSServiceRoleForOrganizations 역할이 이미 존재하는 경우 관리자는 요청 허용에 organizations:AcceptHandshake 권한만이 필요합니다. 관리자가 요청에 동의하면 AWS Organizations는 서비스 연결 역할을 생성합니다(아직 없는 경우).

  • 조직에 생성된 각 멤버 계정 – 계정 관리자가 서비스 연결 역할을 다시 생성하는 요청을 수신합니다. (멤버 계정의 관리자는 모든 기능을 활성화하는 요청을 수신하지 않습니다. 관리 계정(이전의 “마스터 계정”)의 관리자가 생성된 멤버 계정의 소유자로 간주되기 때문입니다.) 멤버 계정 관리자가 요청을 허용할 때 AWS Organizations는 서비스 연결 역할을 생성합니다. 성공적으로 핸드셰이크를 수락하려면 관리자는 organizations:AcceptHandshake iam:CreateServiceLinkedRole 권한을 보유해야 합니다.

조직에서 모든 기능을 활성화한 이후에는 더 이상 모든 계정에서 AWSServiceRoleForOrganizations 서비스 연결 역할을 삭제할 수 없습니다.

중요

AWS Organizations SCP는 서비스 연결 역할에 절대 영향을 주지 않습니다. 이러한 역할은 모든 SCP 제한에서 제외됩니다.