AWS Resource Access Manager 서비스 출시 – 멀티 계정 간 리소스 공유 기능
AWS 고객은 다양한 이유로 인해 여러 개의 AWS 계정을 함께 사용합니다. 일부 고객은 관리 및 지불을 분리기 위해 계정을 따로생성하기도 하고, 다른 고객은 실수를 할 경우 피해 반경을 통제하기 위해 개발 계정과 서비스 계정을 분리해서 사용합니다.
이러한 리소스 격리는 모두 고객에게 긍정적으로 작용하지만, 일부 리소스는 공유해야 유용한 이점을 제공할 수 있습니다. 예를 들어, 많은 고객이 관리 부담과 운영 비용을 줄이기 위해 리소스를 중앙에서 생성하고 여러 계정에 배포하는 경우가 필요할 수 있습니다.
AWS Resource Access Manager 출시
새로운 AWS Resource Access Manager(RAM)는 AWS 계정 간의 리소스 공유를 지원합니다. AWS RAM을 사용하면 AWS 조직 내의 리소스를 쉽게 공유하고 콘솔, CLI 또는 일련의 API를 통해 사용할 수 있습니다. AWS RAM은 어제 Shaun의 상세한 게시물을 통해 발표된 Route 53 Resolver 규칙에 대한 지원이 함께 제공되며 더 많은 리소스 유형도 곧 추가될 예정입니다.
리소스를 공유하려면 간단히 리소스 공유를 생성하고 이름을 지정한 다음 여기에 하나 이상의 리소스를 추가하고 다른 AWS 계정에 대한 액세스를 부여하면 됩니다. 각 리소스 공유에는 쇼핑 카트처럼 서로 다른 유형의 리소스를 담을 수 있습니다. 소유하고 있는 어떤 리소스라도 공유할 수 있지만 다른 소유자가 공유해 준 리소스를 재공유할 수는 없습니다. 리소스는 조직, 조직 단위(OU) 또는 AWS 계정과 공유할 수 있습니다. 또한 조직 외부의 계정을 특정 리소스 공유에 추가할 수 있는지 여부도 제어할 수 있습니다.
조직의 마스터 계정은 RAM 콘솔의 [설정] 페이지에서 공유를 활성화해야 합니다.
그런 다음 조직 내의 다른 계정과 리소스를 공유하기만 하면 양쪽에서 추가 조치를 치하지 않아도 리소스를 사용할 수 있습니다.(RAM은 계정을 조직에 추가할 때 수행한 핸드셰이크를 활용). 조직 외부의 계정과 리소스를 공유하면 초대장이 전송되며 계정에서 리소스를 사용할 수 있으려면 이 초대를 수락해야 합니다.
리소스를 계정(‘소비 계정’)과 공유하면 해당 공유 리소스가 소비 계정이 소유하고 있는 리소스와 함께 관련 콘솔 페이지에 표시됩니다. 유사한 방식으로, Describe
/List
호출은 소비 계정이 소유하고 있는 리소스와 공유된 리소스 모두를 반환합니다.
리소스 공유에는 태그를 지정할 수 있으며 IAM 정책에서 이러한 태그를 참조하여 태기 기반 권한 부여 시스템을 생성할 수 있습니다. 언제든지 리소스 공유에서 계정과 리소스를 추가 및 제거할 수 있습니다.
AWS Resource Access Manager 사용
시작하려면 RAM 콘솔을 열고 [Create a resource share]를 클릭합니다.
공유에 대한 이름(CompanyResolvers)을 입력하고 추가할 리소스를 선택합니다.
앞에서 말씀 드렸듯이 더 많은 리소스 유형이 곧 추가될 예정입니다!
리소스를 공유할 대상 주체(조직, OU 또는 AWS 계정)를 입력하고 [Create resource share]를 클릭합니다.
다른 계정이 조직 외부에 있는 경우에는 초대장을 수신합니다. 초대장은 콘솔에서 보고 수락할 수 있습니다. 초대를 수락한 후에는 올바른 IAM 권한을 통해 리소스에 액세스할 수 있습니다.
RAM은 고객이 공유한 모든 리소스와 고객과 공유된 모든 리소스에 대하여 중앙 집중식 액세스도 제공합니다.
또한, CreateResourceShare
, UpdateResourceShare
, GetResourceShareInvitations
및 AcceptResourceShareInvitation
같은 함수를 사용하여 공유 과정을 자동화할 수도 있습니다. 물론 IAM 정책을 사용하여 트랜잭션 양측에서 이러한 함수의 사용을 규제할 수 있습니다.
리소스 공유 기능은 무료로 이용 가능합니다.
지금 이용 가능
AWS Resource Access Manager(RAM)는 정식 출시되었으며 지금 바로 리소스 공유를 시작할 수 있습니다.
— Jeff;
Source: AWS Resource Access Manager 서비스 출시 – 멀티 계정 간 리소스 공유 기능