Overview

조직 내 여러 계정을 관리하며 리소스 설정 과정이 지속적으로 반복되었으며 계정마다 구성이 달라지게 되니 가끔씩 실수가 반복되곤 했습니다. 이를 해결하기 위해 조직 가입시 리소스가 자동 배포될 수 있도록 구성이 필요했고 조사하던 중 CloudFormation Stacksets을 통해 구성할 수 있겠다고 생각하게 되었습니다.

AWS CloudFormation StackSets에서는 단일 작업으로 여러 계정과 AWS 리전에 대해 스택을 생성, 업데이트 또는 삭제할 수 있도록 하여 스택의 기능을 확장합니다. 관리자 계정을 사용하여 CloudFormation 템플릿을 정의 및 관리하고, 템플릿을 지정된 AWS 리전에 대해 선택한 대상 계정으로 스택을 프로비저닝하기 위한 기본으로 사용하여 조직 전체에 대한 리소스 관리를 효율적으로 구성합니다.

Prerequisite

조직 서비스 구성에서 CloudFormation에 대한 StackSets을 신뢰할 수 있는 엑세스로 설정합니다.

활성화 되었다면 Meber 계정에서 StackSets 관련 Role을 확인할 수 있습니다.

Admin 관련 Role은 다음과 같이 생성됩니다.

Process

CloudFormation StackSets을 통한 IAM Role 생성하기

조직에 가입되어있다면 서비스 관리형 권한을 통한 생성이 가능합니다.

• QuickLink Url 등록

태그 및 실행 방식 지정이 가능합니다.

• 생성되는 리소스에 태그가 지정되는 것이 아닌 CloudFormation Stack에 대한 태그입니다.

스택 세트로 가져오기를 선택하면 기존 AWS 리소스를 신규 또는 기존 CloudFormation 스택으로 가져올 수 있습니다.

이 기능을 사용하면 CloudFormation 외부에서 생성된 리소스를 삭제하고 다시 생성할 필요 없이 CloudFormation을 사용하여 관리할 수 있으므로 매우 유용합니다.

• CloudFormation ID를 지정하거나 버킷 S3 URI를 등록합니다.
• 새 스택을 배포하는 경우, 조직 전체에 배포할지, 조직 단위로 배포할 것인지 설정이 가능합니다.

또한 자동 배포 옵션을 통해 조직 가입시 자동 배포 및 삭제할 수 있는 옵션을 설정할 수 있습니다.

각 배포 옵션은 계정 동시 배포 여부 및 미생성 리소스 롤백을 설정할 수 있습니다.

검토

이어 멤버 계정을 확인합니다.

• IAM 계정이 정상적으로 생성된 것을 확인할 수 있습니다.

CloudTrail 호출 확인

• cloudformation을 통한 리소스 생성이 완료된 것을 확인합니다.

간단한 IAM Role이 생성된 것을 확인할 수 있습니다.