AWS Organizations, IAM 비교

AWS Organizations 와 AWS IAM을 비교해보자

• IAM은 리소스에 대한 액세스를 제어할수 있고, 사용자 및 그룹을 만들고 접근 허용/거부를 설정할 수 있다.
• Organzations은 AWS 계정을 생성하고, 그룹화(OU)하고, 정책(SCP)을 적용할 수 있다.

얼핏보면 둘다 사용자를 그룹핑 하고, 권한 제어를 한다는 점에서는 비슷하지만 미묘하게 다르다. 차이점을 살펴보자

1. 적용 대상
   • Organizations은 AWS 계정을 대상으로 하지만, IAM은 사용자를 대상으로 한다. 
   • Organizations에서 특정 계정에 SCP를 적용하면, 해당 계정의 모든 사용자는 영향을 받는다.
   • Organizations의 정책이 IAM의 정책보다 우선한다.
2. 추가 기능
   • Organizations은 백업, 리소스, 보안 정책 등을 중앙집중적으로 관리
   • Organizations는 공유 리소스를 정의하고 비용을 관리
   • Organizations OU별 리소스 거버넌스 경계를 만듦
   • IAM은 리소스에 대한 엑세스 제어 (사용자 및 서비스)

정리하면, 조직단위 계정에 일종의 가이드를 적용하고자 한다면 Organization, 각 사용자별 세부 권한 조정을 하고자 할때는 IAM을 사용하면 된다. 그리고 계정/조직 레벨에서 각종 정책(백업, 리소스, 보안 등)이나 비용 등을 관리하고자 할때도 Organizations를 사용한다.

AWS Organizations

AWS Organizations는 AWS 리소스가 늘어나고 확장됨에 따라 환경을 중앙 집중식으로 관리하고 규제하는 데 도움이 됩니다. AWS Organizations를 통해 프로그래밍 방식으로 새 AWS 계정을 생성하고 리소스를 할당하며, 계정을 그룹화하여 워크플로를 구성하고, 거버넌스를 위해 계정이나 그룹에 정책을 적용하며, 모든 계정에 대해 단일 결제 방법을 사용하여 청구를 간소화할 수 있습니다.

또한, AWS Organizations는 다른 AWS 서비스에 통합되므로 중앙 구성, 보안 메커니즘, 감사 요구 사항 및 조직 내 계정에 걸쳐 공유되는 리소스를 정의할 수 있습니다. 모든 AWS 고객은 AWS Organizations를 추가 비용 없이 사용할 수 있습니다.

IAM (Identity and Access Management)

AWS Identity and Access Management(IAM)를 사용하면 AWS 서비스와 리소스에 대한 액세스를 안전하게 관리할 수 있습니다. 또한, AWS 사용자 및 그룹을 만들고 관리하며 AWS 리소스에 대한 액세스를 허용 및 거부할 수 있습니다.