15. Organizations & Control Tower

1. Organizations Overview

 

개요 및 배경

• 다수의 AWS 계정을 중앙 집중식으로 안전하게 관리하고 통제하기 위한 서비스임
• 계층 구조: 최상위 Root OU 하위에 Management Account(관리 계정) 및 다수의 OU(Organizational Unit)와 Member Account(멤버 계정) 단위로 구성됨
• 환경(Dev/Prod), 부서, 비용 센터, 규정 준수 및 리소스 격리 목적에 따라 유연한 다중 계정(Multi-Account) 전략 구성이 가능함

주요 리소스 및 기능

1. OrganizationAccountAccessRole
   • 관리 계정이 멤버 계정에 접근하여 관리자 수준의 작업을 수행하기 위해 사용하는 특수 IAM 역할임 (AssumeRole API 활용)
   • Organizations API를 통해 새 멤버 계정을 생성할 경우 해당 역할이 자동으로 생성됨
   • 외부의 기존 계정을 조직으로 초대(Invite)하는 경우에는 반드시 이 역할을 수동으로 생성해야 관리 계정이 접근할 수 있음
2. 조직 기능 모드 (Feature Modes)
   • 통합 결제 (Consolidated Billing): 모든 계정의 결제를 단일 관리 계정으로 통합하며, 합산된 사용량 기반의 볼륨 할인(Volume Discount) 혜택을 제공함
   • 모든 기능 (All Features): 통합 결제 기능에 SCP(Service Control Policy) 등의 고급 제어 기능을 추가로 제공함
   • '모든 기능' 모드 활성화 시 초대된 계정의 승인이 필요하며, 한 번 활성화하면 다시 통합 결제 전용 모드로 돌아갈 수 없음 (다운그레이드 불가)
3. 비용 절감 및 할인 공유 (RI & Savings Plans)
   • 조직 내 특정 계정이 구매한 예약 인스턴스(RI) 및 Savings Plans 할인 혜택은 기본적으로 다른 모든 계정과 공유됨
   • 관리 계정(결제 계정)은 필요에 따라 특정 계정에 대한 할인 공유 기능을 비활성화할 수 있음

헷갈리는 포인트 (Tips)

• 기존 계정을 다른 조직으로 이동할 때, 이전 조직에서 먼저 계정을 제거할 필요 없이 새 조직에서 초대(Invite)를 보내고 이를 수락하기만 하면 즉시 이동됨
• 보안 및 감사 중앙화 패턴: 조직 내 모든 계정의 CloudTrail 로그나 CloudWatch Logs를 중앙 로깅 전용 계정(Central Logging Account)의 S3 버킷 등으로 모아서 집계하는 아키텍처 구성이 권장됨
• SCP(서비스 제어 정책)를 적용하여 특정 멤버 계정이 조직을 무단으로 탈퇴(Leave)하지 못하도록 강제할 수 있음

---

2. Organizations - Service Control Policies (SCPs)

 

개요 및 배경

• 다중 계정 환경에서 특정 IAM 작업에 대한 허용 목록(Allowlist) 또는 차단 목록(Blocklist)을 정의하고 통제하기 위해 사용함
• OU(조직 단위) 또는 개별 멤버 계정(Member Account) 수준에 적용 가능함
• 관리 계정(Management Account)에는 어떠한 SCP를 적용하더라도 무시되며 절대 영향을 받지 않음 (관리 계정 잠금 방지 목적)

주요 리소스 및 기능

1. SCP 적용 대상 및 범위
   • 계정 내 루트 사용자(Root user)를 포함한 모든 IAM 사용자 및 역할에 정책이 강제 적용됨
   • 타 AWS 서비스와의 원활한 통합을 위해 생성된 서비스 연결 역할(Service-linked roles)에는 SCP가 영향을 미치지 않음
   • PCI 규정 준수 강제 적용이나 보안상 불필요한 서비스(예: EMR) 접근을 전면 차단하는 등 거버넌스 확립에 활용됨
2. 권한 평가 및 상속 로직
   • 특정 작업이 허용되려면 최상위 Root 영역부터 해당 OU를 거쳐 최종 대상 계정에 이르기까지 모든 경로에 걸쳐 명시적 허용(Explicit Allow)이 존재해야 함
   • 상위 경로 중 단 한 곳이라도 권한이 누락되거나 거부(Deny) 정책이 있다면, 하위 계정에서 권한을 부여하더라도 최종적으로 접근이 거부됨

헷갈리는 포인트 (Tips)

• 상위 OU에서 특정 서비스(예: S3)를 명시적으로 차단(Deny)하면, 하위 계정에서 FullAWSAccess를 부여하더라도 S3 접근이 불가능함
• 특정한 서비스만 허용하는 허용 목록(Allowlist) 방식을 사용할 경우, 기본적으로 부여된 FullAWSAccess 권한을 반드시 제거해야 나머지 서비스가 암시적 거부(Implicit Deny) 처리됨
• 관리 계정(Management Account)은 조직의 최상단에서 완벽한 권한을 유지해야 하므로, 실수로 계정 접근을 차단하는 SCP를 연결해도 시스템적으로 무효화됨

---

3. Control Tower Overview

 

개요 및 배경

• 모범 사례를 기반으로 안전하고 규정을 준수하는 다중 계정(Multi-account) AWS 환경을 쉽게 설정하고 관리(Govern)하기 위한 서비스임
• 단 몇 번의 클릭만으로 랜딩 존(Landing Zone) 환경 구축을 자동화하며, 대화형 대시보드를 통해 규정 준수 상태를 모니터링함
• 기반 서비스로 AWS Organizations를 활용하며, 조직(OU) 설정, 계정 분류 및 SCP(서비스 제어 정책) 적용을 자동으로 수행함

주요 리소스 및 기능

1. Account Factory (계정 팩토리)
   • 사전 승인된 베이스라인 및 구성 옵션(기본 VPC, 서브넷, 리전 등)을 사용하여 계정 프로비저닝 및 배포를 자동화함
   • 백엔드 엔진으로 AWS Service Catalog를 활용하여 새로운 멤버 계정을 프로비저닝함
   • IAM Identity Center와 연동되며, 온프레미스 Active Directory(양방향 트러스트 구성) 및 AWS Managed Microsoft AD 기반의 통합 인증 환경을 새로 생성된 계정에 자동으로 구성할 수 있음
2. Guardrails (가드레일)
   • 정책 위반을 탐지하고 조치하여 다중 계정 환경 전반에 지속적인 거버넌스를 제공함
   • 예방적 가드레일 (Preventive Guardrails): SCP를 활용하여 특정 위험 작업(예: 루트 사용자의 액세스 키 생성)을 원천 차단함
   • 탐지적 가드레일 (Detective Guardrails): AWS Config를 활용하여 리소스의 규정 준수 상태(예: 루트 사용자 MFA 활성화 여부, 리소스 태그 누락 등)를 지속적으로 모니터링함
   • 적용 수준에 따라 필수(Mandatory), 권장(Strongly recommended), 선택(Elective)으로 나뉨

헷갈리는 포인트 (Tips)

• 가드레일의 두 가지 동작 방식(예방 vs 탐지)과 각각의 기반 서비스(SCP vs AWS Config)를 명확히 매칭하여 이해해야 함
• 탐지적 가드레일에서 규정 위반(예: 태그가 누락된 리소스) 발견 시, Config 위반 이벤트를 SNS로 라우팅하고 Lambda 함수를 호출하여 자동으로 태그를 추가하는 방식의 자동 복구(Auto-remediation) 파이프라인 구성이 권장됨
• Account Factory를 통해 프로비저닝된 계정들은 개별적인 접근 제어 설정 없이도, 중앙 집중식 IAM Identity Center 기반의 통제를 받게 됨