[AWS] Control Tower: multi account 구성

클라우드 서비스를 사용하다보면, 계정을 추가로 파서 격리된 환경을 추가로 만들 경우가 종종 있다. 리소스 관리 측면에서나, 비용 처리, 보안 측면에서든 말이다.

대표적으로, 기존 서비스와 별개의 새 서비스를 런칭할 때가 그렇다.

근데 아무래도 계정을 계속 파고 관리하는건 아무래도 여러모로 번거로운 부분이 있다.
GCP나 Azure는 프로젝트나 계정 단위로 분할하는 기능을 기본으로 제공하는데, AWS는 Control Tower를 통해서 선택적으로 이러한 기능을 제공한다.

비용

이것 자체에 대한 비용은 따로 없다.
이걸로 분기된 각각의 account에서 별도로 비용이 발생할 뿐이다.

랜딩 존 설정

멀티 account를 구성하려면 먼저 랜딩 존이란걸 구성해야 한다.
이동해서 설정을 해준다.

기본 리전을 고르고

조직 이름을 선택한다.

그리고 아카이브 계정과 감사 계정의 이메일을 적당히 설정해준다.

보통 감사 계정이 그 account의 root 계정이 되는 셈이다.

적당히 넘기고 만들어준다.

그럼 초기화에 시간이 좀 걸리고

구성이 된다.

이런식으로 기존의 "Root" 어카운트의 sub account 개념으로 test_ou account가 추가된 형태가 되는 것이다.

sub account 로그인하기

아마 랜딩이 완료됐다면 이런 초대 메일이 하나 날라올 것이다.

그럼 저기 들어가서 회원가입을 해주면 된다.
그리고 저기 동그라미친 링크도 잘 보관해줘야 한다.
이게 내가 방금 만든 multi account에 대한 전용 로그인 페이지다!
기존의 로그인 방식과 별개로, multi account에 대한 로그인을 하려면 저기로만 들어가야 한다.

아무튼 들어가서 로그인 잘 하면

이렇게 선택해서 들어갈 수 있다.

잘 뜬다.

막 만든 account답게 텅 비어있다.

기타

새로만든 조직&계정 정보를 조회할때 "신뢰할 수 있는 액세스가 활성화되지 않았다."면서 뭐라 할때가 있는데, 그때는 AWS CLI로 다음 커맨드를 실행해주면 된다.

aws organizations enable-aws-service-access --service-principal account.amazonaws.com

참조
https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html
https://docs.aws.amazon.com/ko_kr/organizations/latest/userguide/services-that-can-integrate-account.html