여러 계정 구조를 활용하여 인프라를 구성

# 여러 계정 구조를 활용하여 인프라를 구성하기

AWS 클라우드 인프라를 구성할 때, Global Account, Security Account, Shared Account, Application Account를 구분하여 사용하는 것은 조직의 보안, 운영 효율성, 비용 관리를 최적화하는 데 중요하다.

다음은 이러한 계정들을 사용하여 인프라를 구성하는 방법에 대한 방법을 설명한다.

1. Global Account 설정

목적: AWS Organizations의 관리 계정으로 사용되며, 모든 AWS 계정을 관리하고 조직의 결제를 중앙에서 처리한다.
단계:
AWS Organizations를 설정하고, Global Account를 관리 계정으로 지정.
다른 계정들을 조직에 초대하거나 생성하여 관리.
중앙 결제를 활성화하여 모든 계정의 비용을 Global Account에서 관리하도록 설정.

2. Security Account 구성

목적: 보안 로깅 및 모니터링을 중앙에서 관리.
단계:
AWS CloudTrail, AWS Config, Amazon GuardDuty 등의 보안 서비스를 Security Account에서 활성화.
모든 계정의 로그와 알림을 Security Account로 집중시키기 위해, 다른 계정들에서 이 계정으로 로그를 전송하도록 설정.
IAM 역할과 정책을 사용하여, 필요한 팀이나 서비스가 Security Account의 리소스에 접근할 수 있도록 설정.

3. Shared Account 설정

목적: 공통 리소스 및 서비스를 호스팅.
단계:
공통으로 사용될 서비스(예: 중앙 집중식 로깅 서비스, 공유 데이터베이스)를 Shared Account에 배치.
VPC 피어링, AWS Transit Gateway 등을 사용하여 다른 계정들과 네트워크 연결을 구성.
IAM 역할과 정책을 설정하여, 다른 계정들이 Shared Account의 리소스에 접근할 수 있도록 설정.

4. Application Account 구성

목적: 개별 애플리케이션을 격리하여 운영한다.
단계:
각 애플리케이션 또는 프로젝트를 위한 별도의 Application Account를 생성.
애플리케이션별 리소스(예: EC2 인스턴스, RDS 데이터베이스)를 해당 계정 내에 배치.
애플리케이션 계정과 Shared Account 간의 네트워크 연결을 구성(필요한 경우).
비용 관리 및 모니터링을 위해 각 Application Account에 태그 정책을 적용.

계정간 연계

AWS에서 Global Account, Security Account, Shared Account, Application Account 간의 연계는 일반적으로

Transit Gateway를 사용하여 수행할 수 있다.

Transit Gateway는 여러 VPC와 온프레미스 네트워크를 중앙에서 연결하고 관리할 수 있는 서비스이며, 이를 통해 계정 간의 네트워크 트래픽을 효율적으로 라우팅하고 관리할 수 있다.

정리

이러한 계정 구조를 사용하면, AWS 리소스와 서비스를 효율적으로 관리하고, 보안을 강화하며, 비용을 효과적으로 추적할 수 있다. 각 계정의 목적과 역할에 맞게 리소스를 분리하고, AWS Organizations의 기능을 활용하여 계정 간의 관리와 협업을 용이하게 설정할수 있다.

 

- 끝 -