3.2 RAM기반의 MultiAccount TGW 구성

Update: 2020-02-26

RAM(Resource Access Manager) Overview

TGW(Transit Gateway)는 단일 Account에서 공유되는 AWS 자원입니다. 하지만 필요에 따라 같은 리전 안에서 서로 다른 Account(계정)에서 TGW를 함께 연결해서 사용한다면 간편한 구성과 고속의 전송 및 보안적인 요소들을 함께 사용 할 수 있습니다.

AWS에서는 이러한 서로 다른 계정간 자원 공유와 정책을 적용하기 위해 RAM(Resource Access Manager) 기능을 지원하고 있습니다.

RAM (Resource Access Manager)는 무엇인가요?

RAM (AWS Resource Access Manager)은 AWS 계정 또는 AWS Organization 내에서 AWS 리소스를 쉽고 안전하게 공유 할 수있는 서비스입니다. AWS Transit Gateway, 서브넷, AWS License Manager 구성 및 Amazon Route 53 Resolver 규칙 리소스를 RAM과 공유 할 수 있습니다.

많은 조직에서 여러 계정을 사용하여 관리 또는 비용을 별도로를 만들고, 서로간의 이슈를을 제한합니다. RAM을 사용하면 여러 계정에서 중복 리소스를 만들 필요가 없으므로 소유 한 모든 단일 계정에서 해당 리소스를 관리하는 데 드는 오버 헤드가 줄어 듭니다. 다중 계정 환경에서 중앙에서 리소스를 생성하고 RAM을 사용하여 리소스 공유 생성, 리소스 지정 및 계정 지정의 세 가지 간단한 단계로 계정간에 해당 리소스를 공유 할 수 있습니다. 추가 비용없이 RAM을 사용할 수 있습니다.

따라서 이러한 RAM을 통해서 운영관리의 오버헤드를 줄이고, 보안의 일관성을 유지하고, AWS CloudWatch 및 AWS CloudTrail과의 통합을 통해 RAM은 공유 리소스 및 계정에 대한 포괄적인 표시 여부를 제공합니다.

RAM(Resource Access Manager) 구성

기존 Account(계정)에서 TGW를 소유하고 있고, 이 TGW를 다른 계정에서 사용하도록 구성할 것입니다.

RAM은 Account가 소유한 여러 자원을 다른 Account에 공유하도록 초대할 수 있습니다.

1.[그림 3.2.1]에서 처럼 현재 Account가 주체가 되어, 다른 Account가 초대받을 수 있도록 설정합니다. Resource(자원)의 유형을 Transit Gateway를 선택하면, 현재 소유하고 있는 Transit Gateway가 나타나고 선택하고 공유합니다.

[그림 3.2.1 기존 Account에서 RAM 을 통한 자원 공유]

2.정상적으로 공유가 완료되면 [그림 3.2.2]에서 처럼 공유된 자원이 표기됩니다.

[ 그림 3.2.2 RAM에 등록된 공유자원 확인]

3.[그림 3.2.1]에서 Principals 메뉴를 통해 초대 받을 Account 정보를 기입하거나, 또는[그림 3.2.2]에서 공유된 자원을 선택하고 상단의 메뉴 "Modify"를 선택하면 " Principals" 메뉴에서 초대 받을 계정 정보를 입력할 수 있습니다.

[ 그림 3.2.3 Modify메뉴에서 Principals옵션에서 기존 Account 자원을 공유할 새로운 Account추가]

정상적으로 초대가 이뤄지면, 다시 Z OCTANK가 생성된 계정으로 전환합니다. Z OCTANK가 포함된 계정에서 RAM(Resource Access Manager) 메뉴를 확인해 보면, 자원공유를 초대한 메뉴가 자동으로 보이게 됩니다.

4. 자원의 공유 초대는 초대 받은 Account에서 수락하지 않으면 사용하지 않습니다. TGW 사용을 위해 초대 받은 자원을 선택하고 [그림 3.2.5]에서 처럼 수락합니다.

[그림 3.2.4 Z OCTANK 어카운트 RAM 메뉴에서 공유 초대 자원 확인]

[그림 3.2.5 Z OCTANK 계정에서 TGW 자원 공유 초대 수락]

5.정상적으로 자원 공유초대와 수락이 이뤄지면 [그림3.2.6]에서 처럼 Pending에서 상태가 변경되고, 공유된 자원의 정보를 확인 할 수 있습니다.

[ 그림 3.2.6 기존 Account의 TGW 등록 확인]

이제 Z OCTANK에서 정상적으로 다른 OCTANK VPC들이 연결되어 있는 TGW를 사용할 수 있게 되었습니다. 6.[VPC] - [Transit Gateway] 메뉴에서 정상적으로 표기되는지 확인합니다.

[그림 3.2.7 ZOCTANK VPC Transit Gateway 메뉴에서 TGW 등록 확인]

7.Z OCTANK에서 TGW 구성을 위해 Transit Gateway Attachment 를 생성합니다. [ZOCTANK Account] - [VPC] - [Transit Gateway] -[Transit Gateway Attachment]

[그림 3.2.8 Z OCTANK VPC Transit Attachments 에서 새로운 Attachment 등록]

8.생성된 Transit Gateway Attachment를 확인합니다.

[그림 3.2.9 Z OCTANK VPC Tansit Gateway에서 Attachment 등록 확인]

9.TGW를 소유하고 있는 Account에서도 Z OCTANK에서 생성된 Transit Gateway Attachments가 정상적으로 Sync되어 보여지는지를 확인합니다.

[ 그림 3.2.10 기존 Account에서 Transit Gateway Attachment Sync 확인]

10.이제 TGW에서 Route Table을 구성합니다. 기존 Account의 TGW에서 Z OCTANK를 수용할 Route Table을 선택합니다. 랩에서는 Green Route Table을 선택합니다. 해당 Route Table 에서 Z OCTANK를 Association 시킵니다. [기존 Account] - [VPC] - [Transit Gateway] - [Transit Gateway Route Table] - [Create Association]

[그림 3.2.11 기존 Account에서 Transit Gateway Green Route Table에 Z OCTANK Association]

11.정상적으로 Association 되었는지 확인합니다.

[그림 3.2.12 기존 Account에서 TGW Green Route Table 에 Z OCTANK Association확인]

12.이제 Z OCTANK의 라우팅이 Green Route Table에 전파되도록 설정합니다. Route Table Propagation 에서 Association 된 Z OCTANK Attachments 를 추가하여 라우팅을 Green Route Table을 통해 전파합니다. 라우팅 테이블은 Green Route Table에 연결된 Attachments VPC들에만 전파될 것입니다. [기존 Account] - [VPC] - [Transit Gateway] - [Transit Gateway Route Table] - [Create Propagation]

[그림 3.2.13 기존 Account 에서 TGW Green Route Table에 ZOCTANK Route Table 전파 추가]

이제 다른 Account의 VPC는 RAM을 통해서 기존 생성한 Account의 Transit Gateway에 연결되어 정상적으로 사용할 수 있으며, 더욱 빠르고 안전한 네트워크 연결이 가능해 졌습니다.

아래 그림은 "3.2 RAM기반의 MultiAccount TGW 구성"의 논리적인 구성과 개요를 표현한 것입니다. [그림 3.2.14]에서 5단계는 다음 "3.3. MultiAccount VPC 트래픽 제어"에서 구성할 것입니다.

[그림 3.2.14 RAM기반의 MultiAccount TGW 구성 개요]