AWS 계정 간 리소스 복제 또는 마이그레이션 - AWS 규범적 지침

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 계정 간 리소스 복제 또는 마이그레이션

단일 AWS 계정에서 다중 계정 아키텍처로 마이그레이션한 후에는 기존 계정에서 프로덕션 및 비 프로덕션 워크로드를 실행하는 것이 일반적입니다. 이러한 리소스를 전용 프로덕션 및 비 프로덕션 계정 또는 조직 단위로 마이그레이션하면 이러한 워크로드에 대한 액세스와 네트워킹을 관리할 수 있습니다. 다음은 일반 AWS 리소스를 다른 AWS 계정으로 마이그레이션하는 몇 가지 옵션입니다.

이 섹션에서는 AWS 계정 간 데이터 복제 전략에 중점을 둡니다. 계정 간에 컴퓨팅 리소스를 복제할 필요가 없게 워크로드를 최대한 상태 비저장으로 만들어야 합니다. 별도의 AWS 계정에서 환경을 다시 프로비저닝할 수 있도록 코드형 인프라(IaC)를 통해 리소스를 관리하는 것도 도움이 됩니다.

AWS AppConfig 구성 및 환경

AWS AppConfig는 구성을 다른 AWS 계정에 직접 복사하는 것을 지원하지 않지만, AWS AppConfig 환경을 호스팅하는 AWS 계정과 별도로 해당 구성과 환경을 관리하는 것이 좋습니다. 자세한 내용은 Cross-account configuration with AWS AppConfig(AWS 블로그 게시물)를 참조하세요.

AWS Certificate Manager 인증서

인증서의 프라이빗 키를 암호화하는 데 사용되는 AWS Key Management Service(AWS KMS) 키는 각 AWS 리전 및 계정에 고유하므로 한 계정에서 다른 계정으로 AWS Certificate Manager(ACM) 인증서를 직접 내보낼 수 없습니다. 그러나 여러 계정과 리전에서 동일한 도메인 이름을 가진 여러 인증서를 동시에 프로비저닝할 수 있습니다. ACM은 DNS(권장) 또는 이메일을 사용한 도메인 소유권 검증을 지원합니다. DNS 검증을 사용하고 새 인증서를 생성하면 ACM은 인증서의 모든 도메인에 대해 고유한 CNAME 레코드를 생성합니다. CNAME 레코드는 계정마다 고유하며 올바른 인증서 검증을 위해 72시간 내에 Amazon Route 53 호스팅 영역 또는 DNS 공급자에게 추가해야 합니다.

Amazon CloudFront 배포

Amazon CloudFront는 한 AWS 계정에서 다른 AWS 계정으로의 배포 마이그레이션을 지원하지 않습니다. 그러나 CloudFront는 한 배포판에서 다른 배포판으로의 대체 도메인 이름(CNAME이라고도 함) 마이그레이션을 지원합니다. 자세한 내용은 CloudFront 배포에 대한 CNAME 별칭을 설정할 때 CNAMEAlreadyExists 오류를 해결하려면 어떻게 해야 하나요?(AWS 지식 센터)를 참조하세요.

AWS CodeArtifact 도메인 및 리포지토리

조직에 여러 도메인이 있을 수 있지만 게시된 아티팩트를 모두 포함하는 단일 프로덕션 도메인이 있는 것이 좋습니다. 이를 통해 개발 팀은 조직 전체에서 패키지를 찾고 공유할 수 있습니다. 도메인을 소유하는 AWS 계정은 도메인에 연결된 리포지토리를 소유하는 계정과 다를 수 있습니다. 리포지토리 간에 패키지를 복사할 수 있지만 해당 리포지토리가 동일한 도메인에 속해야 합니다. 자세한 내용은 Copy packages between repositories(CodeArtifact 설명서)를 참조하세요.

Amazon DynamoDB 테이블

다음 서비스 중 하나를 사용하여 다른 AWS 계정으로 Amazon DynamoDB 테이블을 마이그레이션할 수 있습니다.

  • AWS Backup

  • DynamoDB 가져오기 및 Amazon S3로 내보내기

  • Amazon S3 및 AWS Glue

  • AWS Data Pipeline

  • Amazon EMR

자세한 내용은 한 AWS 계정에서 다른 AWS 계정으로 Amazon DynamoDB 테이블을 마이그레이션하려면 어떻게 해야 합니까?(AWS 지식 센터)를 참조하세요

Amazon EBS 볼륨

기존 Amazon Elastic Block Store(Amazon EBS) 볼륨의 스냅샷을 생성하고 해당 스냅샷을 대상 계정과 공유한 다음 대상 계정에 볼륨 복사본을 생성할 수 있습니다. 이렇게 하면 볼륨이 한 계정에서 다른 계정으로 효과적으로 마이그레이션됩니다. 자세한 내용은 암호화된 EBS 스냅샷 또는 볼륨을 다른 AWS 계정과 공유하려면 어떻게 해야 하나요?(AWS 지식 센터)를 참조하세요.

Amazon EC2 인스턴스 또는 AMI

기존 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스나 Amazon Machine Image(AMI)를 다른 AWS 계정으로 직접 전송할 수는 없습니다. 대신 소스 계정에서 사용자 지정 AMI를 생성하고, 대상 계정과 AMI를 공유하고, 대상 계정의 공유 AMI에서 새 EC2 인스턴스를 시작한 다음 공유 AMI를 등록 취소할 수 있습니다. 자세한 내용은 Amazon EC2 인스턴스 또는 AMI를 다른 AWS 계정으로 전환하려면 어떻게 해야 하나요?AWS 계정(AWS 지식 센터)를 참조하세요.

Amazon ECR 레지스트리

Amazon Elastic Container Registry(Amazon ECR)는 크로스 계정 복제와 크로스 리전 복제를 모두 지원합니다. 소스 레지스트리에서 복제를 구성하고 대상 레지스트리에서 레지스트리 권한 정책을 구성합니다. 자세한 내용은 교차 계정 복제 구성(Amazon ECR 설명서)과 소스 계정의 루트 사용자가 모든 리포지토리를 복제하도록 허용(Amazon ECR 설명서)을 참조하세요.

Amazon EFS 파일 시스템

Amazon Elastic File System(Amazon EFS)의 경우 AWS DataSync를 사용하여 소스 파일 시스템의 데이터를 다른 AWS 계정의 대상 파일 시스템으로 복사할 수 있습니다. DataSync 에이전트는 소스 파일 시스템과 동일한 AWS 리전 및 AWS 계정에서 생성되어야 합니다. 자세한 내용은 Transferring data from a cloud file system to another cloud file system(DataSync 설명서)을 참조하세요. 서로 다른 AWS 계정에 있는 두 Amazon EFS 파일 시스템 간에 복사하는 경우 NFS(소스)에서 EFS(대상)로 전송을 사용하는 것이 좋습니다. 자세한 내용과 지침은 Creating a task to transfer data from Amazon EFS(DataSync 설명서)를 참조하세요.

Amazon ElastiCache for Redis 클러스터

Amazon ElastiCache for Redis 데이터베이스 클러스터의 백업을 사용하여 이를 다른 계정으로 마이그레이션할 수 있습니다. 자세한 내용은 Redis용 ElastiCache 클러스터를 마이그레이션하기 위한 모범 사례는 무엇입니까?(AWS 지식 센터)를 참조하세요.

AWS Elastic Beanstalk 환경

AWS Elastic Beanstalk의 경우 저장된 구성(Elastic Beanstalk 설명서)을 사용하여 환경을 다른 AWS 계정으로 마이그레이션할 수 있습니다. 자세한 내용은 Elastic Beanstalk 환경을 한 AWS 계정에서 다른 AWS 계정으로 마이그레이션하려면 어떻게 해야 하나요?(AWS 지식 센터)를 참조하세요.

탄력적 IP 주소

동일한 AWS 리전에 있는 AWS 계정 간에 탄력적 IP 주소를 전송할 수 있습니다. 자세한 내용은 탄력적 IP 주소 전송(Amazon VPC 설명서)을 참조하세요.

AWS Lambda 계층

기본적으로 생성한 AWS Lambda 계층은 AWS 계정에 비공개입니다. 그러나 선택적으로 계층을 다른 AWS 계정과 공유하거나 공개로 만들 수 있습니다. 계층을 복사하려면 다른 AWS 계정에서 리프로비저닝합니다. 자세한 내용은 Lambda 계층 작업(Lambda 설명서)을 참조하세요.

Amazon Lightsail 인스턴스

Amazon Lightsail 인스턴스의 스냅샷을 생성하고 해당 스냅샷을 Amazon Machine Image(AMI)와 Amazon EBS 볼륨의 암호화된 스냅샷으로 내보낼 수 있습니다. 자세한 내용은 Amazon EC2로 Amazon Lightsail 스냅샷 내보내기(Lightsail 설명서)를 참조하세요. 기본적으로 스냅샷은 AWS Key Management Service(AWS KMS)에서 생성된 AWS 관리형 키로 암호화됩니다. 그러나 이러한 유형의 KMS 키는 AWS 계정 간에 공유할 수 없습니다. 대신 대상 계정에서 사용할 수 있는 고객 관리형 키로 AMI 사본을 수동으로 암호화합니다. 자세한 내용은 Allowing users in other accounts to use a KMS key(AWS KMS 설명서)를 참조하세요. 그런 다음 복사된 AMI를 대상 AWS 계정과 공유하고 복사된 AMI에서 Lightsail을 위한 새 EC2 인스턴스를 시작할 수 있습니다. 자세한 내용은 새 인스턴스 시작 마법사를 사용하여 인스턴스 시작(Amazon EC2 문서)을 참조하세요.

Amazon Neptune 클러스터

Amazon Neptune 데이터베이스 클러스터의 자동 스냅샷을 다른 AWS 계정에 복사할 수 있습니다. 자세한 내용은 Copying a database (DB) cluster snapshot(Neptune 설명서)을 참조하세요.

또한 스냅샷에서 DB 클러스터를 직접 복원할 수 있는 최대 20개의 AWS 계정과 수동 스냅샷을 공유할 수도 있습니다. 자세한 내용은 Sharing a DB Cluster Snapshot(Neptune 설명서)을 참조하세요.

Amazon OpenSearch Service 도메인

Amazon OpenSearch Service 도메인 간에 데이터를 복사하려면 Amazon S3를 사용하여 소스 도메인의 스냅샷을 생성한 다음 다른 AWS 계정의 대상 도메인으로 해당 스냅샷을 복원합니다. 자세한 내용은 다른 AWS 계정의 Amazon OpenSearch Service 도메인에서 데이터를 복원하려면 어떻게 해야 합니까?(AWS 지식 센터)를 참조하세요.

AWS 계정 간에 네트워크 연결이 있는 경우 OpenSearch Service의 교차 클러스터 복제(OpenSearch Service 설명서) 기능을 사용할 수도 있습니다.

Amazon RDS 스냅샷

Amazon Relational Database Service(RDS)의 경우 DB 인스턴스 또는 클러스터의 수동 스냅샷을 최대 20개의 AWS 계정과 공유할 수 있습니다. 그런 다음 공유 스냅샷에서 DB 인스턴스나 DB 클러스터를 복원할 수 있습니다. 자세한 내용은 수동 Amazon RDS DB 스냅샷 또는 Aurora DB 클러스터 스냅샷을 다른 AWS 계정과 공유하려면 어떻게 해야 하나요?(AWS 지식 센터)를 참조하세요.

AWS Database Migration Service(AWS DMS)를 사용하여 서로 다른 계정의 데이터베이스 인스턴스 간에 지속적 복제를 구성할 수도 있습니다. 그러나 이를 위해서는 VPC 피어링 또는 전송 게이트웨이와 같은 계정 간의 네트워크 연결이 필요합니다.

Amazon Redshift 클러스터

Amazon Redshift 클러스터를 다른 AWS 계정으로 마이그레이션하려면 소스 계정에서 클러스터의 수동 스냅샷을 생성하고 해당 스냅샷을 대상 AWS 계정과 공유한 다음 스냅샷에서 클러스터를 복원합니다. 자세한 내용은 Amazon Redshift 프로비저닝한 클러스터를 다른 AWS 계정으로 복사하려면 어떻게 해야 합니까?(AWS 지식 센터)를 참조하세요.

Amazon Route 53 도메인 및 호스팅 영역

AWS 계정 간에 Amazon Route 53 도메인을 이전할 수 있습니다. 자세한 내용은 Transfer a domain to a different AWS 계정(Route 53 설명서)를 참조하세요.

Route 53 호스팅 영역을 다른 AWS 계정으로 마이그레이션할 수도 있습니다. 이것이 권장되거나 필요한 경우에 대한 자세한 내용은 Migrate a hosted zone to a different AWS 계정(Route 53 설명서)를 참조하세요. 호스팅 영역을 마이그레이션할 때 대상 AWS 계정에서 해당 영역을 재생성합니다. 지침은 Migrating a hosted zone to a different AWS 계정(Route 53 설명서)를 참조하세요.

Amazon S3 버킷

Amazon Simple Storage Service(Amazon S3) 동일 리전 복제를 사용하여 동일한 AWS 리전의 S3 버킷 간에 객체를 복사할 수 있습니다. 자세한 내용은 객체 복제(Amazon S3 설명서)를 참조하세요. 다음을 참고합니다.

  • 복제본 소유권을 대상 버킷을 소유하는 AWS 계정으로 변경합니다. 자세한 내용은 복제본 소유권 변경(Amazon S3 설명서)을 참조하세요.

  • 대상 버킷의 AWS 계정 ID를 반영하도록 버킷 소유자 조건을 업데이트합니다. 자세한 내용은 버킷 소유자 조건을 사용하여 버킷 소유권 확인(Amazon S3 사용 설명서)을 참조하세요.

  • 2023년 4월 현재 버킷 소유자 적용 설정이 새로 생성된 버킷에 대해 활성화되어 있어 버킷 액세스 제어 목록(ACL)과 객체 ACL이 효과적이지 않습니다. 자세한 내용은 Amazon S3 Security Changes Are Coming(AWS 블로그 게시물)을 참조하세요.

  • S3 배치 복제(Amazon S3 설명서)를 사용하여 복제가 구성되기 전에 존재했던 객체를 복제할 수 있습니다.

Amazon SageMaker 모델

SageMaker 모델은 교육 중 Amazon S3 버킷에 저장됩니다. 대상 계정에서 S3 버킷에 대한 액세스 권한을 부여하면 소스 계정에 저장된 모델을 대상 계정에 배포할 수 있습니다. 자세한 내용은 Amazon SageMaker 모델을 다른 AWS 계정에 배포하려면 어떻게 해야 하나요?(AWS 지식 센터)를 참조하세요.

AWS WAF 웹 ACL

AWS WAF웹 액세스 제어 목록(웹 ACL)은 Amazon CloudFront 배포, Application Load Balancer, Amazon API Gateway REST API 및 AWS AppSync GraphQL API와 같이 연결된 리소스와 동일한 계정에 있어야 합니다. AWS Firewall Manager를 사용하여 AWS Organizations의 전체 조직과 리전에 걸쳐 AWS WAF 웹 ACL을 중앙에서 관리할 수 있습니다. 자세한 내용은 Getting started with AWS Firewall Manager AWS WAF policies(Firewall Manager 설명서)를 참조하세요.