BLOG
빌더는 AWS Serverless Application Repository(SAR)를 사용하여 서버리스 애플리케이션을 패키징하고 자체 AWS 계정 내에서 재사용하거나 더 많은 사용자와 공유할 수 있습니다. 이전에는 SAR 애플리케이션을 특정 AWS 계정 ID와만 공유할 수 있거나 모든 사용자에게 공개해야 했습니다. AWS 계정이 많은 조직은 많은 ID 목록을 관리해야 했고, 조직 그룹에 계정이 추가 또는 제거되는 시기 또한 추적해야 했습니다.
오늘 소개해 드릴 새로운 기능을 사용하게 되면 개발자는 AWS 계정 ID 목록을 지정하지 않고도 SAR 애플리케이션을 AWS Organizations와 공유할 수 있습니다. 또한 후에 AWS Organizations에서 계정을 추가하거나 제거하는 경우에도 SAR 애플리케이션 공유를 위한 목록을 수동으로 관리할 필요가 없습니다. 뿐만 아니라 애플리케이션 공유를 해제하는 기능이 마스터 계정에 포함되어 부여된 권한을 보다 세밀하게 제어할 수 있습니다.
그렇다면 이제 보다 자세히 해당 기능에 대해 알아보고, 이 기능을 통해 기존 및 새 SAR 애플리케이션을 공유하는 방법에 설명해 보겠습니다.
AWS Organizations에서 신규 SAR 애플리케이션 공유
먼저 AWS Organizations 콘솔에 들어가 AWS Organization ID를 찾은 후 메뉴 표시 줄에서 Settings를 선택하십시오. 그런 다음 조직 세부 사항 카드에서 조직 ID 를 복사하여 저장하십시오. 현재 구성된 조직이 없지만 해당 기능을 사용하려는 경우 튜토리얼을 참조해AWS 조직을 설정하는 방법을 확인해 주시기 바랍니다.
Serverless Application Repository로 이동하여 Publish Application 를 선택한 후 자신의 계정에 대한 애플리케이션 게시 가이드에 나와있는 프로세스를 따라주시기 바랍니다. 애플리케이션이 게시되면 애플리케이션 세부 사항 페이지에 Sharing 이라는 새 탭이 표시됩니다.
Sharing 탭 의 Application policy statements카드 에서 Create Statement을 선택하세요. 애플리케이션을 전체 조직과 공유하려면
- 정책 구문에 유용한 참조 ID를 입력하십시오.
- 공유 옵션 목록에서 “With an organization”를 선택하십시오.
- 이전에 사용한 조직 ID를 입력하십시오.
- “Enable all actions needed to deploy”옵션을 선택하십시오.
- 승인 확인란을 선택하십시오.
- Save을 선택하십시오.
이제 애플리케이션이 AWS Organization 내의 모든 계정 ID에 게시됩니다. 애프리케이션 공유 방법을 정의하기 위해 정책 구문을 추가하면 Sharing 탭 끝에 카드로 나타납니다.
기존의 공유 SAR 애플리케이션
개별 계정으로 공유 SAR 애플리케이션을 만들거나 애플리케이션을 공개적으로 공유한 경우엔 이미 이에 대한 policy statement(정책 구문)이 구성되어 있습니다. 해당 정책 구문은 기존 공유 범위를 자동으로 반영하기 때문에 애플리케이션 가시성에는 변화가 없습니다.
예를 들어, 이전에 2개의 AWS 계정 ID와 공유된 SAR 애플리케이션이라면 이 2개의 계정 원칙과 애플리케이션 배포 권한을 보여주는 정책 구문이 있습니다. 또한 자동으로 Statement Id 값이 랜덤 전역 고유 식별자로 생성됩니다.
자동 생성된 정책을 변경하려면 변경할 정책 구문을 선택하고 Edit을 선택하십시오. 그러면 다음 그림과 같이 해당 페이지에서 임의의 명령문 ID를 수정하고 공유 옵션을 구성하여 허용된 배치 조치를 수정할 수 있습니다.
공개적으로 공유된 SAR 애플리케이션의 경우 배포 권한과 함께 모든 계정을 별표 (*)로 표시하는 정책 구문이 있습니다. 공개 액세스를 비활성화하려면 공개 공유 카드에서 Edit 을 선택 하고 패널에서 설정을 수정하세요.
유연해진 권한 설정과 제어
이 새로운 기능을 사용하면 각 정책 구문에서 허용되는 특정 API 작업을 정의할 수 있고, 다른 허용된 작업을 다른 조직과 연결할 수 있습니다. 이를 통해 서로 다른 계정에서 애플리케이션을 검색하고, 사용법을 보다 정확하게 제어할 수 있습니다.
보다 더 자세한 내용을 원하신다면 SAR설명서에서 이러한 API 작업의 정의를 참고해 주시기 바랍니다.
리소스 공유 정책 구문에서 변경된 사항은 모두 즉시 적용되며, AWS Organizations 및 다른 AWS 계정과 공유된 애플리케이션은 애플리케이션이 처음 게시된 리전 내에서만 공유됩니다. 조직과 애플리케이션을 공유하는 이 기능은 Serverless Application Repository를 사용할 수 있는 모든 리전에서 사용하실 수 있습니다.
빌더는 AWS Management Console 내에서 리소스 정책 구문을 생성 및 수정할 뿐만 아니라AWS SDK 또는 AWS CLI 를 통해 애플리케이션 공유를 관리할 수도 있습니다.
AWS Organizations에서 애플리케이션 공유 해제
AWS Management Console을 통해 다음 단계들로 AWS Organizations에서 애플리케이션 공유를 해제할 수 있습니다.
- Serverless Application Repository 콘솔 왼쪽 탐색창에서 Available Applications을 선택하십시오.
- 애플리케이션 타일에서 Unshare를 선택하십시오.
- 공유를 해제할 것인지 재확인하는 대화 상자에서 조직의 ID 및 애플리케이션 이름을 입력한 후 Save을 선택하십시오.
더욱 자세한 내용은 공개된 애플리케이션 공유 해제 페이지를 확인해 주시기 바랍니다.
결론
본 게시물에서는 애플리케이션 정책 구문을 활용하여 AWS Organizations에 걸쳐 SAR 애플리케이션에 대한 공유를 활성화하는 방법과 기존 리소스 정책을 수정하는 방법을 보여드렸습니다. 또한 이미 공유된 기존 SAR 애플리케이션에서 공유 환경 설정이 반영된 리소스 정책을 어떻게 노출하고 해당 정책 구문을 어떻게 수정하는지에 대해서도 알려드렸습니다.
새로운 SAR 콘솔의 공유 인터페이스에는 기존처럼 애플리케이션을 공개하는 기능에 다른 AWS 계정과 애플리케이션을 공유하는 기능까지 추가되었습니다. 이 신규 기능으로 빌더는 계정 ID 목록을 수동으로 관리할 필요 없이 조직 내의 많은 계정에서 SAR 애플리케이션을 훨씬 쉽게 공유할 수 있고 부여된 액세스 제어보다 더욱 세분화된 기능을 사용할 수 있습니다.
이 외에 AWS Organization ID를 사용한 애플리케이션 공유와 관련된 추가적인 정보를 얻고 싶으시다면 SAR 설명서를 참고해 주시기 바랍니다.
** 메가존 클라우드 TechBlog는 AWS BLOG 영문 게재 글 중에서 한국 사용자들에게 유용한 정보 및 콘텐츠를 우선적으로 번역하여 내부 엔지니어 검수를 받아서, 정기적으로 게재하고 있습니다. 추가로 번역 및 게재를 희망하는 글에 대해서 관리자에게 메일 또는 SNS 페이지에 댓글을 남겨주시면, 우선적으로 번역해서 전달해드리도록 하겠습니다.