멤버 계정 관리 - AWS 규범적 지침

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

멤버 계정 관리

이 섹션에서는 기존 계정을 조직에 초대하고 조직 내에 새 계정을 생성하기 시작합니다. 이 프로세스에서 중요한 부분은 새 계정을 프로비저닝해야 하는지 여부를 결정하는 데 사용할 기준을 정의하는 것입니다.

기존 계정 초대

AWS Organizations 내에서 회사의 기존 계정을 새 조직에 초대할 수 있습니다. 조직의 관리 계정만 다른 계정을 가입하도록 초대할 수 있습니다. 초대받은 계정의 관리자가 수락하면 계정은 즉시 조직에 가입하고 새 멤버 계정에 의해 발생한 모든 경비를 조직의 관리 계정이 책임지게 됩니다. 자세한 내용은 조직에 가입하도록 AWS 계정 초대조직에서 보낸 초대 수락 또는 거부(AWS Organizations 설명서)를 참조하세요.

참고

현재 다른 조직에 속해 있지 않은 계정만 조직에 가입하도록 초대할 수 있습니다. 계정이 기존 조직의 멤버인 경우 조직에서 해당 계정을 제거해야 합니다. 계정이 실수로 생성된 다른 조직의 관리 계정인 경우 해당 조직을 삭제해야 합니다.

중요

기존 계정의 과거 비용 또는 사용 정보에 액세스해야 하는 경우 AWS Cost and Usage Report를 사용하여 해당 정보를 Amazon Simple Storage Service(S3) 버킷으로 내보낼 수 있습니다. 조직 가입 초대를 수락하기 전에 이 작업을 수행하세요. 계정이 조직에 가입하면 해당 계정의 이 기록 데이터에 액세스할 수 없게 됩니다. 자세한 내용은 Setting up an Amazon S3 bucket for Cost and Usage Reports(AWS Cost and Usage Report documentation)를 참조하세요.

모범 사례

  • 조직 단위 추가 에서 생성한 워크로드 > Prod 조직 단위에 프로덕션 워크로드를 포함할 가능성이 높은 기존 계정을 추가하는 것이 좋습니다.

  • 기본적으로 조직의 관리 계정은 조직에 초대된 멤버 계정에 대한 관리 액세스 권한이 없습니다. 관리 계정이 관리 제어 권한을 갖도록 하려면 멤버 계정에서 OrganizationAccountAccessRole IAM 역할을 생성하고, 관리 계정에게 해당 역할을 수임할 권한을 부여해야 합니다. 자세한 내용은 초대받은 멤버 계정에서 OrganizationAccountAccessRole 생성(AWS Organizations 설명서)을 참조하세요.

  • 조직에 초대한 기존 계정의 경우 멤버 계정의 모범 사례(AWS Organizations 설명서)를 검토하고 계정이 이러한 권장 사항을 준수하는지 확인합니다.

AWS Control Tower에서 VPC 설정 사용자 지정

AWS Control Tower의 Account Factory를 통해 새 AWS 계정을 프로비저닝하는 것이 좋습니다. Account Factory를 사용하면 Amazon EventBridge와 AWS Control Tower 통합을 통해 새 AWS 계정이 생성되는 즉시 해당 계정의 리소스를 프로비저닝할 수 있습니다.

새 AWS 계정을 설정하면 기본 Virtual Private Cloud(VPC)가 자동으로 프로비저닝됩니다. 그러나 Account Factory를 통해 새 계정을 설정하면 AWS Control Tower가 자동으로 추가 VPC를 프로비저닝합니다. 자세한 내용은 Overview of AWS Control Tower and VPCs(AWS Control Tower 설명서)를 참조하세요. 즉, 기본적으로 AWS Control Tower는 모든 새 계정에 2개의 기본 VPC를 프로비저닝합니다.

기업에서는 계정 내 VPC에 대한 통제력을 강화하고자 하는 경우가 많습니다. 많은 사람들은 AWS CloudFormation, Hashicorp Terraform, Pulumi 등의 다른 서비스를 사용하여 VPC를 설정하고 관리하는 것을 선호합니다. AWS Control Tower에서 프로비저닝한 추가 VPC 생성을 방지하려면 Account Factory 설정을 사용자 지정해야 합니다. 지침은 Configure Amazon VPC settings(AWS Control Tower 설명서)를 참조하고 다음 설정을 적용하세요.

  1. 인터넷 액세스가 가능한 서브넷 옵션을 비활성화합니다.

  2. 최대 프라이빗 서브넷 수에서 0을 선택합니다.

  3. VPC 생성용 리전에서 모든 리전을 지웁니다.

  4. 가용 영역에서 3을 선택합니다.

모범 사례

  • 모든 새 계정에서 자동으로 프로비저닝되는 기본 VPC를 삭제합니다. 이렇게 하면 사용자가 전용 VPC를 명시적으로 생성하지 않고 계정에서 퍼블릭 EC2 인스턴스를 시작할 수 없습니다. 자세한 내용은 기본 서브넷과 기본 VPC 삭제(Amazon Virtual Private Cloud 설명서)를 참조하세요. 새로 생성된 계정에서 기본 VPC를 자동으로 삭제하도록 AWS Control Tower Account Factory for Terraform(AFT)을 구성할 수도 있습니다.

  • 워크로드 > NonProd 조직 단위에 dev-nonprod라는 새 AWS 계정을 프로비저닝합니다. 개발 환경에 이 계정을 사용합니다. 지침은 Provision Account Factory accounts with AWS Service Catalog(AWS Control Tower 설명서)를 참조하세요..

범위 기준 정의

새 AWS 계정을 프로비저닝할지 여부를 결정할 때 회사에서 사용할 기준을 선택해야 합니다. 사업부별로 계정을 프로비저닝하거나 프로덕션, 테스트, QA 등의 환경에 따라 계정을 프로비저닝하기로 결정할 수 있습니다. 모든 회사에는 AWS 계정의 규모에 대한 자체 요구 사항이 있습니다. 일반적으로 계정 규모 조정 방법을 결정할 때 다음 세 가지 요소를 평가합니다.

  • 서비스 할당량 분배서비스 할당량은 AWS 계정 내의 각 AWS 서비스에 대한 리소스, 작업 및 항목 수의 최댓값입니다. 많은 워크로드가 동일한 계정을 공유하고 한 워크로드가 서비스 할당량의 대부분 또는 전부를 소비하는 경우 동일한 계정의 다른 워크로드에 부정적인 영향을 미칠 수 있습니다. 이러한 경우 해당 워크로드들을 서로 다른 계정으로 분리해야 할 수 있습니다. 자세한 내용은 AWS 서비스 quotas(AWS 일반 참조)를 참조하세요.

  • 비용 보고 - 워크로드를 별도의 계정으로 격리하면 비용 및 사용 보고서에서 계정 수준의 비용을 확인할 수 있습니다. 여러 워크로드에 동일한 계정을 사용하는 경우 태그를 사용하면 리소스를 관리하고 식별하는 데 도움이 됩니다. 태그 지정에 대한 자세한 내용은 Tagging AWS resources(AWS 일반 참조)를 참조하세요.

  • 액세스 제어 - 워크로드가 계정을 공유하는 경우 사용자가 필요 없는 워크로드에 액세스하지 못하도록 계정 리소스에 대한 액세스를 제한하도록 IAM 정책을 구성하는 방법을 고려해야 합니다. 또는 IAM Identity Center에서 여러 계정과 권한 세트를 사용하여 개별 계정에 대한 액세스를 관리할 수도 있습니다.

모범 사례

  • AWS multi-account strategy for your AWS Control Tower landing zone(AWS Control Tower 설명서)의 모범 사례를 준수합니다.

  • AWS 리소스를 식별하고 관리하는 데 도움이 되는 효과적인 태깅 전략을 수립합니다. 태그를 사용하여 용도, 사업부, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 자세한 내용은 Best practices for tagging(AWS 일반 참조 안내서)을 참조하세요.

  • 워크로드가 너무 많아 계정이 오버로드되지 않도록 합니다. 워크로드 수요가 서비스 할당량을 초과하는 경우 성능 문제가 발생할 수 있습니다. 경쟁하는 워크로드를 서로 다른 AWS 계정으로 분리하거나 서비스 할당량 증가를 요청할 수 있습니다. 자세한 내용은 Requesting a quota increase(Service Quotas 문서)를 참조하세요.