AWS StackSet with Org 아키텍쳐
Architecture overview
AWS Stackset
AWS CloudFormation StackSets은 단일 작업으로 여러 계정과 AWS 리전에 대해 스택을 생성, 업데이트 또는 삭제할 수 있도록 스택의 기능의 확장판이다.
관리자 계정을 사용하여 AWS CloudFormation 템플릿을 정의 및 관리하고, 템플릿을 지정된 AWS 리전에 대해 선택한 계정들을 대상으로 스택을 프로비저닝한다.
관리자 및 대상 계정
관리자 계정은 스택 세트를 생성한 AWS 계정이다. 서비스 관리형 권한이 있는 스택 세트의 경우 관리자 계정은 조직의 관리 계정 또는 위임된 관리자 계정이다. 스택 세트를 생성한 AWS 관리자 계정으로 로그인하여 스택 세트를 관리할 수 있다.
대상 계정은 스택 세트에서 하나 이상의 스택을 생성, 업데이트 또는 삭제할 계정이다. 스택 세트를 사용하여 대상 계정에 스택을 생성하기 전에 관리자 계정과 대상 계정 간에 신뢰 관계를 설정한다.
스택 세트에 대한 권한 모델
자체 관리형
스택 세트를 관리하는 계정과 스택 인스턴스를 배포하는 계정 간에 신뢰 관계를 설정하는 데 IAM rule이 필요하다.
자체 관리형 권한을 사용하면 StackSets가 계정 및 리전 전체에 배포하는 데 필요한 IAM 역할들을 직접 만들어서 사용한다.
서비스 관리형
서비스 관리형 권한을 사용하면 AWS Organizations에서 관리하는 계정에 스택 인스턴스를 배포할 수 있다. 이 권한 모델을 사용하면 필요한 IAM 역할을 생성할 필요가 없다. StackSets이 사용자를 대신하여 IAM 역할을 생성한다. 이 모델을 사용하면 나중에 조직에 추가되는 계정에 자동 배포를 설정할 수도 있다.
AWS Organizations는 CloudFormation과 통합되며 AWS 리소스 조정 및 확장 시 중앙에서 환경을 관리하고 통제할수 있다.
- 관리 계정은 조직을 생성할 때 사용하는 계정
- 위임된 관리자: 조직의 AWS 멤버 계정을, 해당 서비스에서 조직 계정의 관리자로 등록할 수 있다.
Leave a comment