AWS Organizations(을)를 사용해야 하는 경우

AWS Organizations은 AWS 계정을 그룹으로 관리하는 데 사용할 수 있는 AWS 서비스입니다. 이렇게 하면 계정의 모든 청구서를 그룹화하고 한 명의 결제자가 처리하는 통합 결제와 같은 기능이 제공됩니다. 정책 기반 제어를 사용하여 조직의 보안을 중앙에서 관리할 수도 있습니다. AWS Organizations에 대한 추가 정보는 AWS Organizations 사용 설명서를 참조하세요.

트러스트된 액세스

AWS Organizations을 사용하여 계정을 그룹으로 관리할 때 조직의 대부분 관리 작업은 조직의 관리 계정에서만 수행할 수 있습니다. 기본적으로 여기에는 조직 자체 관리와 관련된 작업만 포함됩니다. 조직과 해당 서비스 간에 신뢰할 수 있는 액세스를 활성화하여 이 추가 기능을 다른 AWS 서비스로 확장할 수 있습니다. 신뢰할 수 있는 액세스는 지정된 AWS 서비스에 조직 및 조직에 포함된 계정에 대한 정보에 액세스할 수 있는 권한을 부여합니다. 계정 관리에 대한 신뢰할 수 있는 액세스를 활성화하면 계정 관리 서비스는 조직 및 해당 관리 계정에게 조직의 모든 멤버 계정에 대한 기본 또는 대체 연락처 정보와 같은 메타데이터에 액세스할 수 있는 권한을 부여합니다.

자세한 내용은 AWS 계정 관리에 대한 신뢰할 수 있는 액세스 활성화 섹션을 참조하세요.

위임된 관리자

신뢰할 수 있는 액세스를 활성화한 후 멤버 계정 중 하나를 AWS 계정 관리의 위임된 관리자 계정으로 지정할 수도 있습니다. 이렇게 하면 위임된 관리자 계정이 조직의 멤버 계정에 대해 이전에 관리 계정만 수행할 수 있었던 것과 동일한 계정 관리 메타데이터 관리 작업을 수행할 수 있습니다. 위임된 관리자 계정은 계정 관리 서비스의 관리 작업에만 액세스할 수 있습니다. 위임된 관리자 계정에는 관리 계정에 있는 조직에 대한 모든 관리 액세스 권한이 없습니다.

자세한 내용은 AWS 계정 관리에 대한 위임된 관리자 계정 활성화 섹션을 참조하세요.

서비스 제어 정책

AWS 계정이 AWS Organizations에서 관리하는 조직의 일부인 경우 조직의 관리자는 멤버 계정의 위탁자가 수행할 수 있는 작업을 제한할 수 있는 서비스 제어 정책(SCP)을 적용할 수 있습니다. SCP는 권한을 부여하지 않습니다. 대신 멤버 계정에서 사용할 수 있는 권한을 제한하는 필터입니다. 멤버 계정의 사용자 또는 역할(위탁자)은 계정에 적용되는 SCP와 위탁자에 연결된 IAM 권한 정책이 허용하는 것과 교차하는 작업만 수행할 수 있습니다. 예를 들어 SCP 사용하여 계정의 위탁자가 자기 계정의 대체 연락처를 수정하지 못하도록 할 수 있습니다.

예를 들어 AWS 계정에 적용되는 SCP는 AWS Organizations 서비스 제어 정책을 사용하여 액세스 제한 섹션을 참조하세요.