AWS Organization의 AWS 계정을 자동화하고 싶다면
이번에는 다중 계정 전개를 고려하는 여러분께 AWS 다중 계정의 개요와 AWS 다중 계정 관리 서비스의 개요를 보내드립니다.
AWS Organization이 할 수 있는 일
AWS Organization에서 여러 AWS 계정을 관리할 수 있습니다.
인용자 AWS Organization의 용어 및 개념 - AWS Organization
조직에 주 계좌와 구성원 계좌가 존재한다.
기본 계정은 Organization을 만드는 AWS 계정입니다.
구성원 계정은 Organization에서 만든 초대된 AWS 계정입니다.
(주 계정을 만들 때 변경할 수 없음)
서비스 상세 정보는 사용 설명서로 요약됩니다.
여기에는 사용 전 개인이 비교적 신경 쓴 부분에 기재해 설명한다.
AWS 계정의 원래 관리
구성원 계정에 대한 대량 요청(이전 Consuolidated Billing)
(참고로 메인 계정에서는 AWS 콘솔에 있는 [청구서]>[계좌당 비용 내역]을 통해 각 구성원 계정의 사용료를 확인할 수 있다.)
구성원 계정 액세스 제어
(SCP가 사용할 수 없는 정책도 일부 있지만업데이트할 때 사용하는 정책이 많이 증가했습니다.
기타 AWS 서비스를 사용하여 정보를 주 계수로 모으기
다음 AWS 문서는 각 사용 서비스의 이점을 요약한 것입니다.
AWS Organization에서 사용할 수 있는 AWS 서비스
자동으로 구성원 계정 만들기
다음은 이번 주제입니다.
여러 구성원 계정이 만들어지면 자동 구축에 더욱 신경을 쓴다.
그리고 자동 구축에는 몇 가지 방법이 있다.
AWS의 문서로서 2019년 AWS 자료AWS Control Tower를 이용한 착륙 영역 구축의 개요도는 이해하기 쉽다.
구조가 복잡하지만 이해하기 쉽다.(어감이 없다)
1. AWS Landing Zone
인용자 AWS Control Tower를 이용한 착륙 영역 구축
Landing Zone을 사용하여 모범 사례에 따라 여러 계정을 사용할 수 있습니다.
자동으로 설정할 수 있습니다.
실제 사용 시 Landing Zone | AWS Solutions 서비스 페이지에서 시작
AWS 컨설팅 전개가 필요합니다.
최초 멀티 계정 구성에서 인상적이지 않아 구성이 상당히 참고가 됐기 때문이다.
인용자 AWS Control Tower를 이용한 착륙 영역 구축
랜딩존의 피플라인을 보면 어느 정도 맞춤 제작하면서 구축할 수 있다.
그리고 AWS 문서의 Overview - AWS Prescriptive Guidance에서
기업의 현재 클라우드 이용 상황을 평가하고 기업의 클라우드 컴퓨팅 도입을 지원한다.
이런 기록도 있다.대단하다.
2. AWS Control Tower
랜딩존에 이어 Control Tower라는 AWS 서비스가 등장했다.
AWS Control Tower와 함께AWS Control Tower
Control Tower를 통해 AWS 콘솔에서 Landing Zone의 다중 계정 가져오기
자동으로 설정할 수 있습니다.
(콘솔에서 확인한 결과 Set up landing zone 발견!)
Control Tower를 사용하는 경우 기존 Organization 조직과 연합할 수 없습니다.
새로운 조직을 만들 필요가 있다.
또한 랜딩 존의 구성은 Gurd Duty가 있지만 Control Tower에서는 유효하지 않음 등
서비스 구성이 좀 다른 것 같아요.
3개의 Config 규칙은 반드시 유효해야 하며 비용 측면에서도 미리 고려해야 할 점이 있습니다.
현재 지원하는 구역은 다음과 같습니다.(2019년 12월 3일 기준)
도쿄 지역의 지원만 있다면 반드시 이용해야 한다!
향후 업데이트를 기대합니다.
AWS Control Tower의 일반 제공 시작
3. AWS 보안 블로그에 공개된 스크립트
또한 AWS 보안 블로그에 공개된 스크립트를 자동화하는 방법도 있습니다!
다음 블로그는 자동으로 새 계정을 설정하는 스크립트를 공개했다.
How to Use AWS Organizations to Automate End-to-End Account Creation | AWS Security Blog
계좌 사용 용도에 따라 추가로 구성하고 싶은 경우도 있다고 생각합니다.
S3의 블록 공용 접근(계정 설정)과 클라우드 포메이션의 StackSets용 역할
같이 설정하면 유용할 거예요.
그나저나 bash 스크립트와 Python 스크립트 두 개가 준비되어 있습니다.
구성 부분을 추가한 스크립트만 쓰면 됩니다.고맙습니다.
보충으로 스크립트를 사용했다면 다음과 같은 계정의 안전 설정은
별도의 설정이 필요합니다.
실제 설정 시
1. CloudTrail
및 2. Config
는 Organization 설정을 통해 유효합니다.(스크립트에서 확장 가능한 Config 규칙)
3. GuardDuty
AWS 측면에 Python 스크립트가 있어 사용할 수 있습니다.Amazon GuardDuty의 계정 관리 - Amazon GuardDuty
최후
저는 그냥 멤버 계정을 자동으로 만들고 싶었어요.
AWS를 볼 수 있는 다중 계정이 궤적을 통제하고 있습니다.
스크립트를 사용하는 상황도 소개했지만 앞으로의 업데이트는 필요 없을 것 같다.
단, 사용 용도에 따라 구성이 바뀌어야 한다. 예를 들어 원가와 추가로 설정하고 싶은 서비스 등이다.
이를 위해서는 서비스에서 가장 좋은 실천을 이해하는 것부터 시작하는 것이 중요하다.
Invent 2019 이전에 기대했던 슬라이딩 투고였습니다!
Reference
이 문제에 관하여(AWS Organization의 AWS 계정을 자동화하고 싶다면), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/maimaimai/items/254bbb34a8222eb1c638텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)