조직 내 모든 기능 활성화 - AWS Organizations

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

조직 내 모든 기능 활성화

AWS Organizations에는 두 가지 기능 집합이 있습니다.

  • 모든 기능 – 이 기능 집합은 AWS Organizations에서 작업하기 위한 기본 방식이며 통합 결제 기능을 포함하고 있습니다. 조직을 생성할 때 모든 기능 활성화가 기본값입니다. 모든 기능을 활성화하면 지원되는 AWS 서비스조직 관리 정책과의 통합과 같이 AWS Organizations에서 제공하는 고급 계정 관리 기능을 사용할 수 있습니다.

  • 통합 결제 기능 – 모든 조직은 조직 내 계정을 중앙에서 관리하는 기본 관리 도구를 제공하는 이 기능 하위 집합을 지원합니다.

조직을 생성할 때 통합 결제 기능만 활성화하더라도 나중에 모든 기능을 활성화할 수 있습니다. 이 페이지에서는 모든 기능 활성화 절차를 설명합니다.

모든 기능을 활성화하기 전에

통합 결제 기능만 지원하는 조직에서 모든 기능을 지원하는 조직으로 전환하기 전에 다음 사항에 유의해야 합니다.

  • 모든 기능을 활성화하는 과정을 시작하면, AWS Organizations는 사용자가 조직에 초대한 모든 멤버 계정에 요청을 전송합니다. 초대받은 모든 계정은 요청을 수락해 모든 기능 활성화를 승인해야 합니다. 승인을 받아야 조직 내 모든 기능을 활성화하는 과정을 완료할 수 있습니다. 계정이 요청을 거부하는 경우 조직에서 계정을 제거하거나 요청을 다시 보내야 합니다. 모든 기능을 활성화하는 프로세스를 완료하려면 먼저 요청을 수락해야 합니다. 으로 생성한AWS Organizations 계정은 추가 제어 승인이 필요 없기 때문에 요청을 받지 않습니다.

  • 모든 기능을 활성화하는 동안 계속해서 조직에 계정을 초대할 수 있습니다. 초대된 계정의 소유자는 초대를 통해 통합 결제만 있는 조직에 가입하는지, 아니면 모든 기능이 활성화된 조직에 가입하는지를 알 수 있습니다.

    • 모든 기능을 활성화하는 프로세스 중에 계정을 초대하는 경우 가입하려는 조직에 모든 기능이 활성화되어 있다는 내용이 초대에 표시됩니다. 해당 계정이 초대를 수락하기 전에 모든 기능을 활성화하는 프로세스를 취소하면 해당 초대가 취소됩니다. 통합 결제 기능만 있는 조직의 멤버가 되게 하려면 계정을 다시 초대해야 합니다.

    • 계정을 초대했는데 모든 기능을 활성화하기 위한 프로세스를 시작하기 전에 초대가 아직 수락되지 않은 경우 초대가 취소됩니다. 조직에 통합 결제 기능만 있다고 초대에 명시되어 있기 때문입니다. 모든 기능을 활성화한 조직의 멤버가 되게 하려면 계정을 다시 초대해야 합니다.

  • 조직에 계정을 계속 만들 수도 있습니다. 이 프로세스는 해당 변경의 영향을 받지 않습니다.

  • AWS Organizations는 또한 모든 멤버 계정에 서비스 연결 역할(AWSServiceRoleForOrganizations)이 있는지 확인합니다. 이 역할은 모든 계정에서 모든 기능을 활성화하는 데 필수적입니다. 초대된 계정의 역할을 삭제했다면 모든 기능을 활성화하는 초대를 수락하여 역할을 다시 생성합니다. AWS Organizations를 사용하여 생성된 계정을 삭제하면 계정은 특별히 그 역할을 다시 생성하라는 초대를 수신합니다. 조직이 모든 기능을 활성화하는 절차를 완료하려면 이러한 모든 초대가 수락되어야 합니다.

  • 모든 기능을 활성화하면 SCP를 사용할 수 있게 되므로, 계정 관리자가 조직, 조직 단위 또는 계정에 SCP를 연결하는 효과를 이해해야 합니다. SCP는 영향받는 계정에서 사용자와 심지어는 관리자가 할 수 있는 일을 제한할 수 있습니다. 예를 들어 관리 계정은 멤버 계정이 조직에서 나가지 못하게 하는 SCP를 적용할 수 있습니다.

  • 관리 계정은 어떤 SCP의 영향도 받지 않습니다. 관리 계정의 사용자와 역할이 SCP를 적용해 할 수 있는 일은 제한할 수 없습니다. SCP는 멤버 계정에만 영향을 줍니다.

  • 통합 결제 기능에서 모든 기능으로 마이그레이션하는 것은 단방향 작업입니다. 조직을 모든 기능 활성화에서 통합 결제 기능 전용으로 다시 바꿀 수는 없습니다.

  • (권장하지 않음) 조직에서 통합 결제 기능만 활성화된 경우 멤버 계정 관리자는 서비스 연결 역할(AWSServiceRoleForOrganizations)을 삭제하도록 선택할 수 있습니다. 나중에 조직 내에서 모든 기능을 활성화도록 선택하면 이 역할은 필수이며, 모든 계정 내에서 모든 기능을 활성화하는 초대를 수락하는 과정의 일부로 다시 생성됩니다. AWS Organizations가 이 역할을 사용하는 방법에 대한 자세한 내용은 AWS Organizations 및 서비스 연결 역할을 참조하세요.

모든 기능 활성화 과정 시작

조직의 관리 계정에 로그인하면, 모든 기능을 활성화하는 프로세스를 시작할 수 있습니다. 이렇게 하려면 다음 단계를 완료하세요.

최소 권한

조직 내 모든 기능을 활성화하려면 다음과 같은 권한이 있어야 합니다.

  • organizations:EnableAllFeatures

  • organizations:DescribeOrganization – Organizations 콘솔을 사용하는 경우에만 필요합니다.

AWS Management Console
초대한 멤버 계정에 조직 내 모든 기능 활성화에 동의하도록 요청
  1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

  2. 설정 탭에서 모든 기능을 활성화하는 프로세스 시작을 선택합니다.

  3. 모든 기능 활성화 페이지에서 모든 기능을 활성화하는 프로세스 시작을 선택하여 전환한 후에는 통합 결제 기능만으로는 돌아갈 수 없다는 점을 양해해 주시기 바랍니다.

    AWS Organizations는 조직 내 (생성된 계정이 아닌) 초대받은 모든 계정에 조직 내 모든 기능 활성화에 동의해 줄 것을 요청합니다. AWS Organizations를 사용하여 생성된 계정이 있고, 멤버 계정 관리자가 서비스 연결 역할(AWSServiceRoleForOrganizations)을 삭제한 경우 AWS Organizations는 계정에 이 역할을 다시 생성하라는 요청을 전송합니다.

    콘솔에 초대된 계정의 요청 승인 상태(Request approval status) 목록이 표시됩니다.

    작은 정보

    나중에 이 페이지로 돌아가려면 설정(Settings) 페이지를 열고 요청 전송 날짜(Request sent date) 섹션에서 상태 보기(View status)를 선택합니다.

  4. 모든 기능 활성화(Enable all features) 페이지에 조직의 각 계정에 대한 현재 요청 상태가 표시됩니다. 요청에 동의한 계정에는 수락함(ACCEPTED) 상태가 표시됩니다. 아직 동의하지 않은 계정에는 미결(OPEN) 상태가 표시됩니다.

AWS CLI & AWS SDKs
초대한 멤버 계정에 조직 내 모든 기능 활성화에 동의하도록 요청

다음 명령 중 하나를 사용하여 조직의 모든 기능을 활성화할 수 있습니다.

  • AWS CLI: enable-all-features

    다음 명령은 조직의 모든 기능을 활성화하는 프로세스를 시작합니다.

    $ aws organizations enable-all-features { "Handshake": { "Id": "h-79d8f6f114ee4304a5e55397eEXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-79d8f6f114ee4304a5e55397eEXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" } ], "State": "REQUESTED", "RequestedTimestamp": "2020-11-19T16:21:46.995000-08:00", "ExpirationTimestamp": "2021-02-17T16:21:46.995000-08:00", "Action": "ENABLE_ALL_FEATURES", "Resources": [ { "Value": "o-a1b2c3d4e5", "Type": "ORGANIZATION" } ] } }

    출력 결과에는 초대된 멤버 계정이 동의해야 하는 핸드셰이크의 세부 정보가 나타납니다.

  • AWS SDK: EnableAllFeatures

주의
  • 요청이 멤버 계정에 전송되면 90일 카운트다운이 시작됩니다. 모든 계정은 해당 기간 내에 요청을 승인해야 하며, 승인하지 않으면 요청은 만료됩니다. 요청이 만료되면 요청 시도와 관련된 모든 요청은 취소되며, 2단계부터 다시 시작해야 합니다.

  • 모든 기능을 활성화하도록 요청하면 기존의 수락되지 않은 계정 초대는 모두 취소됩니다.

  • 모든 기능 마이그레이션 프로세스 중에도 새 계정 초대를 시작하고 새 계정을 생성할 수 있습니다.

조직의 초대된 모든 계정이 요청을 승인하면, 프로세스를 완료하고 모든 기능을 활성화할 수 있습니다. 또한 조직에 초대 받은 멤버 계정이 없다면 과정을 즉시 완료할 수 있습니다. 프로세스를 완료하려면 모든 기능 활성화 과정 완료 단원으로 진행합니다.

모든 기능을 활성화하거나 서비스 연결 역할을 다시 생성하는 요청 승인

조직의 초대 받은 멤버 계정 중 하나에 로그인하면, 관리 계정이 보낸 요청을 승인할 수 있습니다. 계정이 조직에 가입하도록 원래 초대된 경우 해당 초대는 모든 기능을 활성화하는 것이고, 필요한 경우 AWSServiceRoleForOrganizations 역할의 재생성 승인을 묵시적으로 포함합니다. 대신 AWS Organizations를 사용하여 계정이 생성되고 AWSServiceRoleForOrganizations 서비스 연결 역할을 삭제한 경우 역할을 다시 생성하라는 초대만 수신합니다. 이렇게 하려면 다음 단계를 완료하세요.

중요

모든 기능을 활성화하면 조직의 관리 계정은 멤버 계정에 정책 기반 제어를 적용할 수 있습니다. 이러한 제어를 통해 사용자와 관리자가 계정에서 수행할 수 있는 작업을 제한할 수 있습니다. 이러한 제한은 계정을 조직에서 나가지 못하게 할 수 있습니다.

최소 권한

멤버 계정에 대한 모든 기능 활성화 요청을 승인하려면, 다음과 같은 권한이 있어야 합니다.

  • organizations:AcceptHandshake

  • organizations:DescribeOrganization – Organizations 콘솔을 사용하는 경우에만 필요합니다.

  • organizations:ListHandshakesForAccount – Organizations 콘솔을 사용하는 경우에만 필요합니다.

  • iam:CreateServiceLinkedRole - 멤버 계정에 AWSServiceRoleForOrganizations 역할을 다시 생성해야 하는 경우에만 필요합니다.

AWS Management Console
조직 내 모든 기능 활성화 요청을 수락하는 방법
  1. AWS Organizations 콘솔에서 AWS Organizations 콘솔에 로그인합니다. 멤버 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 수임하거나, 루트 사용자로 로그인(권장되지 않음)해야 합니다.

  2. 조직 내 모든 기능 활성화에 대한 동의가 계정에 어떤 의미가 있는지 읽은 다음 [Accept]를 선택합니다. 조직 내 모든 계정이 요청을 수락하고 관리 계정 관리자가 과정을 완료하기 전까지는 페이지에 진행 과정이 미완수로 표시됩니다.

AWS CLI & AWS SDKs
조직 내 모든 기능 활성화 요청을 수락하는 방법

요청을 수락하려면 "Action": "APPROVE_ALL_FEATURES"로 핸드셰이크를 수락해야 합니다.

  • AWS CLI:

    다음 예제에서는 계정에 사용할 수 있는 핸드셰이크를 표시하는 방법을 보여 줍니다. 출력의 네 번째 줄에 있는 "Id" 값은 다음 명령을 위해 필요한 값입니다.

    $ aws organizations list-handshakes-for-account { "Handshakes": [ { "Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" }, { "Id": "111122223333", "Type": "ACCOUNT" } ], "State": "OPEN", "RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00", "ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00", "Action": "APPROVE_ALL_FEATURES", "Resources": [ { "Value": "c440da758cab44068cdafc812EXAMPLE", "Type": "PARENT_HANDSHAKE" }, { "Value": "o-aa111bb222", "Type": "ORGANIZATION" }, { "Value": "111122223333", "Type": "ACCOUNT" } ] } ] }

    다음 예제에서는 이전 명령의 핸드셰이크 ID를 사용하여 해당 핸드셰이크를 수락합니다.

    $ aws organizations accept-handshake --handshake-id h-a2d6ecb7dbdc4540bc788200aEXAMPLE { "Handshake": { "Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" }, { "Id": "111122223333", "Type": "ACCOUNT" } ], "State": "ACCEPTED", "RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00", "ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00", "Action": "APPROVE_ALL_FEATURES", "Resources": [ { "Value": "c440da758cab44068cdafc812EXAMPLE", "Type": "PARENT_HANDSHAKE" }, { "Value": "o-aa111bb222", "Type": "ORGANIZATION" }, { "Value": "111122223333", "Type": "ACCOUNT" } ] } }
  • AWS SDK:

모든 기능 활성화 과정 완료

모든 초대받은 멤버 계정이 모든 기능을 활성화하는 요청을 승인해야 합니다. 조직에 초대받은 멤버 계정이 존재하지 않는 경우, [Enable all features progress] 페이지에 프로세스를 완료할 수 있음을 알리는 녹색 배너가 표시됩니다.

최소 권한

조직에 모든 기능을 활성화하는 과정을 완료하려면 다음과 같은 권한이 있어야 합니다.

  • organizations:AcceptHandshake

  • organizations:ListHandshakesForOrganization

  • organizations:DescribeOrganization – Organizations 콘솔을 사용하는 경우에만 필요합니다.

AWS Management Console
모든 기능 활성화 과정 완료
  1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

  2. 설정(Settings) 페이지에서, 초대된 모든 계정이 모든 기능을 활성화하는 요청을 수락한 경우 페이지 상단에 녹색 상자가 나타나 이를 알려줍니다. 녹색 상자에서 계속해서 완료(Go to finalize)를 선택합니다.

  3. 모든 기능 활성화(Enable all features) 페이지에서 완료(Finalize)를 선택한 다음 완료(Finalize)를 다시 선택합니다.

  4. 이제 조직에 모든 기능이 활성화되었습니다.

AWS CLI & AWS SDKs
모든 기능 활성화 과정 완료

과정을 완료하려면 "Action": "ENABLE_ALL_FEATURES"로 핸드셰이크를 수락해야 합니다.

  • AWS CLI:

    $ aws organizations list-handshakes-for-organization { "Handshakes": [ { "Id": "h-43a871103e4c4ee399868fbf2EXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" } ], "State": "OPEN", "RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00", "ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00", "Action": "ENABLE_ALL_FEATURES", "Resources": [ { "Value": "o-aa111bb222", "Type": "ORGANIZATION" } ] } ] }

    다음 예제에서는 조직에 사용할 수 있는 핸드셰이크를 표시하는 방법을 보여 줍니다. 출력의 네 번째 줄에 있는 "Id" 값은 다음 명령을 위해 필요한 값입니다.

    $ aws organizations accept-handshake \ --handshake-id h-43a871103e4c4ee399868fbf2EXAMPLE { "Handshake": { "Id": "h-43a871103e4c4ee399868fbf2EXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" } ], "State": "ACCEPTED", "RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00", "ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00", "Action": "ENABLE_ALL_FEATURES", "Resources": [ { "Value": "o-aa111bb222", "Type": "ORGANIZATION" } ] } }
  • AWS SDK:

다음 단계: