Summary

안녕하세요, 베스핀글로벌 입니다.

이번 포스팅에서는 AWS Organization을 변경해야 하는 경우에 대한 체크리스트를 공유하고자 합니다. 

AWS Organization 이관은 흔히 다음과 같은 상황에서 필요할 수 있습니다:

• 파트너를 사용하다가 다른 파트너로 이동하는 경우

• 파트너를 활용하다가 단독 Payer 및 Organization으로 분리하는 경우

이 과정에서 발생할 수 있는 여러 기술적 문제를 예방하고, 이관을 원활하게 수행할 수 있도록 하기 위해 아래의 체크리스트를 참조하시기 바랍니다.

Solution

1. 계정 이관 전 확인할 사항

리소스 권한 설정 점검

모든 계정의 IAM 권한과 서비스 제어 정책(SCP)이 올바르게 설정되어 있는지 확인하는 것이 중요합니다. 특히, Payer 계정에 종속된 Linked 계정들이 새 Payer 계정으로 이관되면서 권한 충돌이 발생하지 않도록 사전 검토가 필요합니다.

네트워크 및 보안 설정 확인

이관 후에도 VPC, Subnet, Security Group, 네트워크 ACL 등이 원활하게 작동하는지 확인해야 합니다. Payer 계정 이관 시 네트워크 연결에 문제가 생기면 장애가 발생할 수 있으므로 미리 점검해 주세요.

CloudFormation 및 Terraform 스택 점검

기존에 인프라 자동화 도구(예: CloudFormation, Terraform)를 통해 배포된 리소스들이 이관 후에도 정상적으로 유지되는지 점검해야 합니다. Payer 계정 변경이 리소스 관리 중단으로 이어지지 않도록 사전에 확인이 필요합니다.

2. 이관 과정 중 확인해야 할 사항

AWS Organizations의 계정 구조 점검

기존 Payer 계정에 연결된 AWS Organizations 계정 구조가 새 Payer 계정에서도 적절히 유지되는지 점검해야 합니다. 이 과정에서 권한 위임 및 SCP 적용 상태도 함께 확인해야 합니다.

통합된 서비스 목록 확인

AWS Organizations와 통합된 서비스가 어떤 영향을 받을 수 있는지 점검해 주세요. 이를 위해 AWS CLI를 활용하여 조직에 연결된 서비스들을 확인할 수 있습니다.

aws organizations describe-organization
aws organizations list-aws-service-access-for-organization

API 및 서비스 접근성 테스트

Payer 계정 이관 후에도 AWS API와 각 서비스에 대한 접근이 원활하게 이루어지는지 테스트가 필요합니다. 특히 IAM 역할을 통한 Cross-Account 액세스가 정상적으로 이루어지는지 점검해야 합니다.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=DescribeOrganization

Resource Access Manager(RAM) 사용 리소스 점검

RAM을 사용하여 공유된 리소스가 계정 이관 후에도 문제가 없는지 확인합니다. 조직 전체에서 공유된 리소스가 있는지 CLI 명령어로 확인 가능합니다.

aws ram list-resource-shares --resource-owner {{OTHER-ACCOUNTS}}

3. 이관 후 확인해야 할 사항

IAM 역할 및 사용자 권한 검토

이관 후 IAM 사용자의 역할 및 권한에 변경이 없는지 점검해 주세요. 특히 조직 내 사용자가 AWS 리소스에 정상적으로 접근할 수 있는지 확인해야 합니다.

네트워크 트래픽 및 보안 그룹 검토

이관 후에도 네트워크 트래픽과 보안 그룹 규칙이 정상적으로 작동하는지 모니터링이 필요합니다. VPC 엔드포인트, NAT 게이트웨이, VPN, Direct Connect 등의 네트워크 구성요소를 확인하세요.

리소스 상태 및 모니터링 대시보드 확인

CloudWatch 및 모니터링 대시보드가 이관 후에도 정상 작동하는지 점검하고, 리소스 상태가 실시간으로 추적되는지 확인하세요.

4. 추가적인 기술적 주의 사항

S3 및 기타 데이터 서비스 확인

S3 버킷 정책, 접근 권한, 데이터 암호화 상태가 이관 후에도 제대로 적용되는지 확인하세요. RDS, DynamoDB, SQS, SNS 등의 데이터 서비스도 의도대로 작동하는지 점검이 필요합니다.

리소스 태그 및 비용 할당 보고서 연속성 유지

각 리소스의 태그 설정이 그대로 유지되고, 태그 기반의 리소스 관리가 중단되지 않도록 주의가 필요합니다.

참고 자료

• AWS Organization Docs: 조직에서 계정을 제거하기 전에

이 포스팅이 AWS Organization 이관을 준비하시는 분들에게 도움이 되었기를 바랍니다. 

이관 과정에서의 원활한 전환을 위해 항상 꼼꼼한 사전 검토와 테스트가 필요합니다. Organization 이관의 경우 비용 청구와도 관련이 있기 때문에 꼭 파트너와 사전 조율 하셔서 진행 하시기 바랍니다. 

이와 관련되어 궁금하신 것들이 있다면, 저희 베스핀글로벌로 연락 주시기 바랍니다.

클라우드 문의하기