AMS 계정 제한 - AMS 고급 사용 설명서
AMS 계정 API 제한AMS 다중 계정 랜딩 존 계정 리소스 제한AWS 계정 제한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AMS 계정 제한

AMS 다중 계정 랜딩 존에는 AMS API 제한, AMS 리소스 제한 및 AWS 제한의 세 가지 고유한 제한 유형이 있습니다.

AMS 단일 계정 랜딩 존 내에서 고려해야 할 제한에는 AMS API 제한과 AWS 제한이라는 두 가지 유형이 있습니다.

AMS 계정 API 제한

이 섹션에서는 AWS Managed Services(AMS)가 AMS SKMS API 서비스를 제한하는 계정 수준 제한에 대해 설명합니다. 즉, 나열된 APIs를 1초에 10회 이상 호출하면 호출 중 하나가 "제한"됩니다(가 수신됨ThrottleException). 드문 경우지만 외부 또는 다운스트림 종속성이 AMS API를 제한한 다음 AMS가 API 호출을 더 낮은 속도로 제한할 수 있습니다.

참고

AMS SKMS API에 대한 자세한 내용은 AWS Artifact 콘솔의 보고서 탭을 통해 참조를 다운로드하세요.

나열된 각 AMS SKMS API에 대해 작업은 10TPS(초당 트랜잭션) 후에 조절됩니다.

  • GetStack

  • GetSubnet

  • GetVpc

  • ListAmis

  • ListStackSummaries

  • ListSubnetSummaries

  • ListVpcSummaries

AMS 다중 계정 랜딩 존 계정 리소스 제한

계정 리소스 제한은 AMS 다중 계정 랜딩 존 애플리케이션 계정 및 VPCs 및 서브넷과 관련이 있습니다.

애플리케이션 계정 리소스 제한

조직당 애플리케이션 계정은 50개로 소프트 제한이 있습니다. 50개 이상의 애플리케이션 계정에 대한 사용 사례가 있는 경우 클라우드 서비스 제공 관리자(CSDM)에 문의하여 요구 사항을 전달합니다.

VPCs 및 서브넷 리소스 제한

조직의 사전 정의된 AWS 리전 내에서 애플리케이션 계정당 VPCs는 10개로 소프트 제한이 있습니다.

각 VPC에는 2~3개의 가용 영역에 걸쳐 1~10개의 프라이빗 서브넷 티어가 있을 수 있습니다. 또한 각 VPC에는 2~3개의 가용 영역에 걸쳐 0~5개의 퍼블릭 서브넷 티어가 있을 수 있습니다. 이러한 한도를 초과하는 요구 사항이 있는 경우 CSDM 또는 Cloud Architect에 문의하여 사용 사례를 검토하세요.

AMS 다중 계정 랜딩 존 애플리케이션과 계정 비율

애플리케이션당 하나의 계정이 AMS 다중 계정 랜딩 존에서 지원되지만, 각 애플리케이션 계정에는 적은 비용이 발생하며 시간당 Transit Gateway에 대한 연결 수와 AWS Transit Gateway를 통해 흐르는 트래픽 양에 대해 요금이 부과됩니다. 따라서 애플리케이션이 계정 또는 VPCs로 더 많이 분리될수록 비용이 증가합니다.

비용을 절감하고 여전히 적절한 업무 분리를 보장하기 위해 AMS는 1) 비즈니스 프로세스가 긴밀하게 연결된 팀별로 애플리케이션을 그룹화하고 2) 다른 단계(생산 대 비생산)에 있거나 다른 팀에서 관리하는 애플리케이션을 혼합하지 않을 것을 권장합니다. 이렇게 하면 계정이 줄어들고 액세스 관리 및 업무 분리가 더 쉬워지며 트래픽 비용이 완화될 수 있습니다.

예를 들어, 기업에는 프로덕션 환경에서 거래 애플리케이션과 포트폴리오 관리 애플리케이션이 있으며, 두 애플리케이션 모두 투자 IT 팀에서 관리하며 많은 트래픽을 서로 교환합니다. 이 시나리오에서는 투자 IT 팀이 여러 애플리케이션 계정에 대한 액세스를 요청할 필요가 없고 회사가 트래픽 비용을 절감할 것이므로 회사가 동일한 계정과 동일한 VPC에서 두 애플리케이션을 그룹화하여 이점을 얻을 수 있습니다. 이 경우 회사는 개발 단계에서 동일한 애플리케이션에 대한 다른 계정을 생성하고 개발 팀에 액세스 권한을 제공해야 합니다.

또 다른 시나리오에서 기업은 인사 IT 팀과 회계 IT 팀에서 각각 관리하는 급여 애플리케이션과 회계 애플리케이션을 프로덕션 환경에 두고 있습니다. 급여 애플리케이션이 회계 애플리케이션과 정보를 교환해야 하지만 팀당 하나씩 서로 다른 계정에서 두 애플리케이션을 분리하고 네트워킹 계정을 사용하여 두 애플리케이션의 VPCs 간에 연결을 설정하는 것이 좋습니다. 이러한 방식으로 회사는 회계 애플리케이션 인프라에 영향을 미치는 HR IT 팀 요청 변경을 방지하며,이 인프라에 대한 지식이 없습니다.

계정을 조직 단위(OUs. OU는 계정을 분류(그룹화)하고 해당 그룹을 기반으로 정책 및 구성을에 적용할 수 있는 논리적 그룹화 메커니즘입니다. OUs를 생성하는 데 권장되는 접근 방식은 보고 구조 내의 팀 내부 계층 구조가 아닌 특정 계정 그룹에 적용해야 하는 정책을 기반으로 하는 것입니다. OU는 Active Directory의 OU와 동일하지 않으며에서 AD OU 구조를 복제하려고 시도하는 AWS Organizations 것은 권장되지 않으므로 유지 관리 및/또는 운영 구조가 어렵습니다.

AWS 계정 제한

AWS 계정 한도는 AWS Managed Services(AMS) 계정에 적용됩니다. AWS 서비스의 기본 및 현재 제한을 결정하는 가장 쉬운 방법은 AWS Service Quotas를 활용하는 것입니다. AMS는 개별 서비스 제한을 적절한 크기로 조정하여 계정에서 서비스(들)를 실행할 것을 권장합니다. 제한은 보안 및 비용 런어웨이를 위해 계정을 보호하는 가드레일 역할을 합니다. 특정 한도를 높이려면 AMS에 서비스 요청을 제출하면 AMS Operations가 사용자를 대신하여 한도를 높입니다. 예를 들어 RDS 인스턴스의 기본 제한(또는 할당량)은 40입니다. 워크로드에 50개의 RDS 인스턴스가 필요한 경우 AMS 작업에 대한 서비스 요청을 제기하여 제한을 필요한 값으로 높입니다.