AWS Organization의 AWS 계정을 자동화하고 싶다면

AWS Organization은 대량의 AWS 계정을 만들어야 하기 때문에 조사 결과를 총괄했다.
이번에는 다중 계정 전개를 고려하는 여러분께 AWS 다중 계정의 개요와 AWS 다중 계정 관리 서비스의 개요를 보내드립니다.

AWS Organization이 할 수 있는 일

AWS Organization에서 여러 AWS 계정을 관리할 수 있습니다.

인용자 AWS Organization의 용어 및 개념 - AWS Organization
조직에 주 계좌와 구성원 계좌가 존재한다.
기본 계정은 Organization을 만드는 AWS 계정입니다.
구성원 계정은 Organization에서 만든 초대된 AWS 계정입니다.
(주 계정을 만들 때 변경할 수 없음)
서비스 상세 정보는 사용 설명서로 요약됩니다.
여기에는 사용 전 개인이 비교적 신경 쓴 부분에 기재해 설명한다.

AWS 계정의 원래 관리

새 구성원 계정을 만들거나 다른 AWS 계정을 조직에 초대할 수 있습니다.

그룹 단위(OU)로 AWS 계정을 관리할 수 있습니다.

구성원 계정에 대한 대량 요청(이전 Consuolidated Billing)

구성원 계정의 AWS 사용료를 주 계정을 통해 일괄적으로 지급할 수 있다.
(참고로 메인 계정에서는 AWS 콘솔에 있는 [청구서]>[계좌당 비용 내역]을 통해 각 구성원 계정의 사용료를 확인할 수 있다.)

구성원 계정 액세스 제어

Organization의 SCP를 사용하여 구성원 계정에 대한 액세스 권한을 설정할 수 있습니다.

SCP와 IAM의 액세스 권한 정책은 기본적으로 동일
(SCP가 사용할 수 없는 정책도 일부 있지만업데이트할 때 사용하는 정책이 많이 증가했습니다.

SCP 정책을 OU에 첨부하여 OU 단위로 액세스 권한을 설정할 수 있습니다.

기타 AWS 서비스를 사용하여 정보를 주 계수로 모으기

클라우드 트레일, 콘피그 등 메인 계정을 집중적으로 관리할 수 있다.

구성원 계정의 사용 상황을 파악하고 AWS 계정을 더욱 안전하게 관리할 수 있다.
다음 AWS 문서는 각 사용 서비스의 이점을 요약한 것입니다.
AWS Organization에서 사용할 수 있는 AWS 서비스

전개할 때의 절차AWS Black Belt Online Seminar AWS Organizations는 간단하고 알기 쉽다.

자동으로 구성원 계정 만들기

다음은 이번 주제입니다.
여러 구성원 계정이 만들어지면 자동 구축에 더욱 신경을 쓴다.
그리고 자동 구축에는 몇 가지 방법이 있다.
AWS의 문서로서 2019년 AWS 자료AWS Control Tower를 이용한 착륙 영역 구축의 개요도는 이해하기 쉽다.
구조가 복잡하지만 이해하기 쉽다.(어감이 없다)

1. AWS Landing Zone

인용자 AWS Control Tower를 이용한 착륙 영역 구축
Landing Zone을 사용하여 모범 사례에 따라 여러 계정을 사용할 수 있습니다.
자동으로 설정할 수 있습니다.
실제 사용 시 Landing Zone | AWS Solutions 서비스 페이지에서 시작
AWS 컨설팅 전개가 필요합니다.
최초 멀티 계정 구성에서 인상적이지 않아 구성이 상당히 참고가 됐기 때문이다.

인용자 AWS Control Tower를 이용한 착륙 영역 구축
랜딩존의 피플라인을 보면 어느 정도 맞춤 제작하면서 구축할 수 있다.
그리고 AWS 문서의 Overview - AWS Prescriptive Guidance에서
기업의 현재 클라우드 이용 상황을 평가하고 기업의 클라우드 컴퓨팅 도입을 지원한다.
이런 기록도 있다.대단하다.

2. AWS Control Tower

랜딩존에 이어 Control Tower라는 AWS 서비스가 등장했다.
AWS Control Tower와 함께AWS Control Tower
Control Tower를 통해 AWS 콘솔에서 Landing Zone의 다중 계정 가져오기
자동으로 설정할 수 있습니다.
(콘솔에서 확인한 결과 Set up landing zone 발견!)

Control Tower를 사용하는 경우 기존 Organization 조직과 연합할 수 없습니다.
새로운 조직을 만들 필요가 있다.
또한 랜딩 존의 구성은 Gurd Duty가 있지만 Control Tower에서는 유효하지 않음 등
서비스 구성이 좀 다른 것 같아요.
3개의 Config 규칙은 반드시 유효해야 하며 비용 측면에서도 미리 고려해야 할 점이 있습니다.
현재 지원하는 구역은 다음과 같습니다.(2019년 12월 3일 기준)

US East (N. Virginia)

US East (Ohio)

Europe (Ireland)

US West (Oregon)

요약과 가드레일을 기록하는 새로운 기능은 지원되는 구역 등에만 제약이 있다.
도쿄 지역의 지원만 있다면 반드시 이용해야 한다!
향후 업데이트를 기대합니다.
AWS Control Tower의 일반 제공 시작

3. AWS 보안 블로그에 공개된 스크립트

또한 AWS 보안 블로그에 공개된 스크립트를 자동화하는 방법도 있습니다!
다음 블로그는 자동으로 새 계정을 설정하는 스크립트를 공개했다.
How to Use AWS Organizations to Automate End-to-End Account Creation | AWS Security Blog
계좌 사용 용도에 따라 추가로 구성하고 싶은 경우도 있다고 생각합니다.
S3의 블록 공용 접근(계정 설정)과 클라우드 포메이션의 StackSets용 역할
같이 설정하면 유용할 거예요.
그나저나 bash 스크립트와 Python 스크립트 두 개가 준비되어 있습니다.
구성 부분을 추가한 스크립트만 쓰면 됩니다.고맙습니다.
보충으로 스크립트를 사용했다면 다음과 같은 계정의 안전 설정은
별도의 설정이 필요합니다.

CloudTrail

전체 영역에서 유효화

로그가 기본 계정의 S3

에 집결됨

Config

전체 영역에서 유효화

Config 규칙의 유효성

로그가 기본 계정의 S3

에 집결됨

GuardDuty

전체 영역에서 유효화

주 계좌로 총결산

잠깐만...
실제 설정 시1. CloudTrail 및 2. Config는 Organization 설정을 통해 유효합니다.
(스크립트에서 확장 가능한 Config 규칙)
3. GuardDuty AWS 측면에 Python 스크립트가 있어 사용할 수 있습니다.
Amazon GuardDuty의 계정 관리 - Amazon GuardDuty

최후

저는 그냥 멤버 계정을 자동으로 만들고 싶었어요.
AWS를 볼 수 있는 다중 계정이 궤적을 통제하고 있습니다.
스크립트를 사용하는 상황도 소개했지만 앞으로의 업데이트는 필요 없을 것 같다.
단, 사용 용도에 따라 구성이 바뀌어야 한다. 예를 들어 원가와 추가로 설정하고 싶은 서비스 등이다.
이를 위해서는 서비스에서 가장 좋은 실천을 이해하는 것부터 시작하는 것이 중요하다.
Invent 2019 이전에 기대했던 슬라이딩 투고였습니다!