개요
AWS Organization을 배포할 때는 여러 계정을 사용하여 다양한 Use-case를 제공하는 것이 좋습니다. 여러 계정을 사용하면 다음과 같은 많은 이점이 있습니다. 공통의 비즈니스 목적을 가진 워크로드 그룹화, 규정 프레임워크 준수, 소유권을 기반으로 애플리케이션 간에 강력한 격리 장벽을 설정하는 등 조직에서 여러 계정을 사용하면 많은 이점이 있습니다. 개발, 테스트 및 프로덕션에 여러 계정을 사용하기 시작하면 이러한 계정을 중앙에서 관리하고 이러한 계정에 배포된 리소스를 보호하기 위해 적절한 가드레일을 설정해야 할 필요가 있습니다.
OU 구성을 위한 디자인 원칙
다음 디자인 원칙을 사용하여 다중 계정 환경을 관리하기 위한 Best Practice를 적용 할 수 있습니다.
- 기능에따라 유사한 계정 그룹화
- 유사하거나 관련 기능을 수행하는 계정이 여러 개 있는 경우, 이러한 계정을 별개의 최상위 OU로 그룹화하면 이점을 얻을 수 있습니다. 최상위 OU를 신중하게 사용하면 팀이 AWS 계정의 전체 구조를 더 잘 이해할 수 있습니다.
- 공통의 정책 적용
- OU는 유사한 요구 사항을 가진 계정에 공통의 중요한 정책을 더 쉽게 적용할 수 있도록 계정을 구성할 수 있는 방법을 제공합니다. AWS 조직의 정책을 사용하면 조직의 계정에 추가 관리 유형을 적용할 수 있습니다.
- 개별 계정이 아닌 OU에 정책을 적용하면 유사한 계정 그룹에 대한 정책 관리를 간소화할 수 있습니다. 환경의 계정 수가 증가함에 따라 OU에 정책을 첨부하여 정책 관리를 간소화하는 것이 더욱 중요해집니다.
- 공통의 리소스 공유
- AWS 서비스는 AWS RAM(AWS 리소스 액세스 관리자)과 AWS Organization을 통해 리소스를 공유할 수 있는 지원을 도입하고 있습니다. 예를 들어, AWS RAM을 사용하면 Amazon 가상 사설 클라우드(Amazon VPC) 서브넷과 같이 중앙에서 관리되는 네트워크 리소스를 공유하기 위한 기반으로 OU를 사용할 수 있습니다.
- 공통 리소스 프로비저닝 및 관리
- 중앙에서 관리되는 공통 리소스 구성을 관련 계정 그룹에 배포해야 하는 경우가 있습니다. 리소스 공유가 적용되지 않는 경우에는 OU와 함께 작동하는 다양한 AWS 서비스 및 타사 도구를 사용하여 자체 사용자 지정 리소스를 자동으로 롤아웃하고 업데이트할 수 있습니다.