다중 계정 지침에 맞춰 조정하세요. AWS 잘 설계된 환경을 설정하기 위한 지침 완전한 다중 계정 OU 구조를 갖춘 AWS Control Tower의 예 루트 정보

AWS AWS Control Tower 랜딩 존을 위한 다중 계정 전략

AWS Control Tower 고객은 AWS 환경을 설정하고 최상의 결과를 얻는 방법에 대한 지침을 자주 구합니다.AWS 는 다중 계정 전략이라고 하는 통합 권장 사항 세트를 만들어 AWS Control Tower 랜딩 존을 비롯한 AWS 리소스를 최대한 활용할 수 있도록 지원합니다.

기본적으로 AWS Control Tower는 다른 AWS 서비스와 함께 작동하는 오케스트레이션 계층 역할을 하며, 이를 통해 계정 및 계정에 대한 AWS AWS 다중 계정 권장 사항을 구현하는 데 도움이 됩니다. AWS Organizations랜딩 존이 설정된 후에도 AWS Control Tower는 여러 계정과 워크로드에 걸쳐 기업 정책 및 보안 관행을 유지할 수 있도록 지속적으로 지원합니다.

대부분의 랜딩 존은 시간이 지남에 따라 발전합니다. AWS Control Tower 랜딩 존의 조직 단위 (OU) 와 계정 수가 증가함에 따라 워크로드를 효과적으로 구성하는 데 도움이 되는 방식으로 AWS Control Tower 배포를 확장할 수 있습니다. 이 장에서는 AWS 다중 계정 전략에 따라 AWS Control Tower 랜딩 존을 계획 및 설정하고 시간이 지남에 따라 확장하는 방법에 대한 규범적 지침을 제공합니다.

조직 단위의 모범 사례에 대한 일반적인 논의는 조직 단위의 모범 사례를 참조하십시오. AWS Organizations

AWS 다중 계정 전략: 모범 사례 지침

AWS 잘 설계된 환경의 모범 사례에서는 리소스와 워크로드를 여러 계정으로 분리하는 것이 좋습니다. AWS AWS 계정은 격리된 리소스 컨테이너라고 생각할 수 있습니다. 계정은 워크로드 분류는 물론 문제 발생 시 폭발 반경 감소 기능을 제공합니다.

계정의 정의: AWS: AWS 계정은 리소스 컨테이너 및 리소스 격리 경계 역할을 합니다.

참고

AWS 계정은 페더레이션 또는 AWS Identity and Access Management (IAM) 을 통해 설정된 사용자 계정과 다릅니다.

계정에 대한 자세한 정보 AWS

AWS 계정은 리소스를 격리하고 AWS 워크로드에 대한 보안 위협을 억제하는 기능을 제공합니다. 또한 계정은 워크로드 환경의 청구 및 거버넌스를 위한 메커니즘을 제공합니다.

AWS 계정은 워크로드에 리소스 컨테이너를 제공하는 기본 구현 메커니즘입니다. 환경이 잘 설계되어 있으면 여러 AWS 계정을 효과적으로 관리할 수 있으므로 여러 워크로드와 환경을 관리할 수 있습니다.

AWS Control Tower는 잘 설계된 환경을 설정합니다. 이는 여러 계정으로 확장될 수 있는 환경 변경을 관리하는 데 도움이 되는 AWS 계정과 AWS Organizations함께 계정에 의존합니다.

잘 설계된 환경의 정의: AWS 는 잘 설계된 환경을 랜딩 존으로 시작하는 환경으로 정의합니다.

AWS Control Tower는 자동으로 설정되는 랜딩 존을 제공합니다. 환경 내 여러 계정에 걸쳐 기업 지침을 준수할 수 있도록 제어를 적용합니다.

랜딩 존의 정의: Landing Zone은 기본 계정, 계정 구조, 네트워크 및 보안 레이아웃 등을 포함하여 권장되는 시작점을 제공하는 클라우드 환경입니다. Landing Zone에서 솔루션과 애플리케이션을 활용하는 워크로드를 배포할 수 있습니다.

잘 설계된 환경을 설정하기 위한 지침

다음 섹션에서 설명하는 잘 설계된 환경의 세 가지 주요 구성 요소는 다음과 같습니다.

여러 계정 AWS
여러 조직 단위 (OU)
잘 계획된 구조

여러 AWS 계정 사용

하나의 계정으로는 잘 설계된 환경을 설정하기에 충분하지 않습니다. 여러 계정을 사용하면 보안 목표와 비즈니스 프로세스를 가장 잘 지원할 수 있습니다. 다중 계정 접근 방식을 사용할 때 얻을 수 있는 몇 가지 이점은 다음과 같습니다.

보안 제어 — 애플리케이션은 보안 프로필이 다르므로 서로 다른 제어 정책 및 메커니즘이 필요합니다. 예를 들어, 감사자와 상담하여 결제 카드 산업 (PCI) 워크로드를 호스팅하는 단일 계정을 추천하는 것이 훨씬 쉽습니다.
격리 – 계정은 보안 보호의 한 단위입니다. 잠재적 위험과 보안 위협은 다른 사람에게 영향을 주지 않으면서 계정 내에 억제할 수 있습니다. 따라서 보안 요구 사항에 따라 계정을 서로 격리해야 할 수 있습니다. 예를 들어 보안 프로필이 서로 다른 팀이 있을 수 있습니다.
많은 팀 — 팀마다 책임과 리소스 요구 사항이 다릅니다. 계정을 여러 개 설정하면 같은 계정을 사용할 때처럼 팀이 서로 간섭할 수 없습니다.
데이터 격리 — 데이터 저장소를 하나의 계정으로 격리하면 데이터에 액세스하고 데이터 저장소를 관리할 수 있는 사람의 수를 제한하는 데 도움이 됩니다. 이러한 격리는 매우 개인적인 데이터의 무단 노출을 방지하는 데 도움이 됩니다. 예를 들어, 데이터 격리는 일반 데이터 보호 규정 (GDPR) 준수를 지원하는 데 도움이 됩니다.
비즈니스 프로세스 — 사업부 또는 제품은 목적과 프로세스가 완전히 다른 경우가 많습니다. 개별 계정을 설정하여 비즈니스별 요구 사항을 충족할 수 있습니다.
청구 — 계정은 이체 수수료 등을 포함하여 청구 수준에서 항목을 구분할 수 있는 유일한 방법입니다. 다중 계정 전략을 사용하면 사업부, 직무 팀 또는 개별 사용자 간에 별도의 청구 가능 항목을 만들 수 있습니다.
할당량 할당 — AWS 할당량은 계정별로 설정됩니다. 워크로드를 여러 계정으로 분리하면 각 계정 (예: 프로젝트) 에 잘 정의된 개별 할당량이 부여됩니다.

여러 조직 단위를 사용하십시오.

AWS Control Tower 및 기타 계정 오케스트레이션 프레임워크는 계정 경계를 넘나드는 변경을 수행할 수 있습니다. 따라서 AWS 모범 사례는 잠재적으로 환경을 손상시키거나 보안을 약화시킬 수 있는 계정 간 변경을 다룹니다. 경우에 따라 변경 사항이 정책을 넘어 전체 환경에 영향을 미칠 수 있습니다. 따라서 최소한 두 개의 필수 계정, 즉 프로덕션 계정과 스테이징을 설정하는 것이 좋습니다.

또한 거버넌스 및 제어를 위해 AWS 계정을 조직 단위 (OU) 로 그룹화하는 경우가 많습니다. OU는 여러 계정에 대한 정책 시행을 처리하도록 설계되었습니다.

최소한 프로덕션 환경과는 별개의 제어 및 정책을 포함하는 사전 프로덕션 (또는 스테이징) 환경을 만드는 것이 좋습니다. 프로덕션 및 스테이징 환경을 별도의 OU로 만들고 관리할 수 있으며 별도의 계정으로 비용을 청구할 수 있습니다. 또한 코드 테스트용 샌드박스 OU를 설정할 수도 있습니다.

착륙 지대의 OU에 대해 잘 계획된 구조를 사용하십시오.

AWS Control Tower는 일부 OU를 자동으로 설정합니다. 시간이 지남에 따라 워크로드와 요구 사항이 확장되면 원래 landing Zone 구성을 필요에 맞게 확장할 수 있습니다.

참고

예제에 제공된 이름은 다중 계정 환경 설정을 위한 권장 AWS 명명 규칙을 따릅니다. AWS 랜딩 존을 설정한 후 OU 세부 정보 페이지에서 편집을 선택하여 OU 이름을 변경할 수 있습니다.

권장 사항

AWS Control Tower가 첫 번째 필수 OU인 보안 OU를 설정한 후에는 랜딩 존에 OU를 몇 개 더 생성하는 것이 좋습니다.

AWS Control Tower가 샌드박스 OU라고 하는 추가 OU를 하나 이상 생성하도록 허용하는 것이 좋습니다. 이 OU는 소프트웨어 개발 환경을 위한 것입니다. AWS Control Tower는 사용자가 선택한 경우 랜딩 존 생성 중에 샌드박스 OU를 자동으로 설정할 수 있습니다.

직접 설정할 수 있는 다른 권장 OU 두 개가 있습니다. 하나는 공유 서비스 및 네트워킹 계정을 포함하는 인프라 OU이고 다른 하나는 프로덕션 워크로드를 포함하는 워크로드 OU라고 합니다. 조직 단위 페이지의 AWS Control Tower 콘솔을 통해 랜딩 존에 OU를 추가할 수 있습니다.

자동으로 설정되는 OU 이외의 권장 OU

인프라 OU - 공유 서비스 및 네트워킹 계정을 포함합니다.

참고
AWS Control Tower는 사용자를 위해 인프라 OU를 설정하지 않습니다.
샌드박스 OU — 소프트웨어 개발 OU. 예를 들어 지출 한도가 고정되어 있거나 프로덕션 네트워크에 연결되어 있지 않을 수 있습니다.

참고
AWS Control Tower는 샌드박스 OU 설정을 권장하지만, 이는 선택 사항입니다. 랜딩 존 구성의 일부로 자동으로 설정할 수 있습니다.
워크로드 OU - 워크로드를 실행하는 계정을 포함합니다.

참고
AWS Control Tower는 사용자를 위해 워크로드 OU를 설정하지 않습니다.

자세한 내용은 AWS Control Tower를 통한 프로덕션 스타터 조직을 참조하십시오.

완전한 다중 계정 OU 구조를 갖춘 AWS Control Tower의 예

AWS Control Tower는 중첩된 OU 계층 구조를 지원하므로 조직의 요구 사항에 맞는 계층적 OU 구조를 생성할 수 있습니다. AWS 다중 계정 전략 지침에 맞게 AWS Control Tower 환경을 구축할 수 있습니다.

또한 성능이 우수하고 AWS 다중 계정 지침에 부합하는 더 단순하고 평평한 OU 구조를 구축할 수 있습니다. 계층적 OU 구조를 구축할 수 있다고 해서 반드시 그렇게 해야 하는 것은 아닙니다.

AWS 다중 계정 지침과 함께 확장된 플랫 AWS Control Tower 환경의 OU 예제 세트를 보여주는 다이어그램을 보려면 예제: 플랫 OU 구조의 워크로드를 참조하십시오.
AWS Control Tower가 중첩된 OU 구조에서 작동하는 방식에 대한 자세한 내용은 을 참조하십시오AWS Control Tower의 중첩된 OU.
AWS Control Tower가 이 AWS 지침을 어떻게 준수하는지에 대한 자세한 내용은 AWS 백서 “다중 계정을 사용한 AWS 환경 구성”을 참조하십시오.

연결된 페이지의 다이어그램은 더 많은 기본 OU와 더 많은 추가 OU가 생성되었음을 보여줍니다. 이러한 OU는 대규모 배포의 추가 요구 사항을 충족합니다.

기본 OU 열에는 기본 구조에 두 개의 OU가 추가되었습니다.

Security_Prod OU — 보안 정책을 위한 읽기 전용 영역과 보안 감사 영역을 제공합니다.
인프라 OU — 이전에 권장한 인프라 OU를 Infrastructure_Test (사전 프로덕션 인프라용) 와 Infrastructure_Prod (프로덕션 인프라용) 라는 두 개의 OU로 분리할 수 있습니다.

추가 OU 영역에는 기본 구조에 OU가 몇 개 더 추가되었습니다. 다음은 환경이 확장됨에 따라 생성할 다음 권장 OU입니다.

워크로드 OU - 이전에는 권장되었지만 선택 사항이었던 워크로드 OU는 Workloads_Test (사전 프로덕션 워크로드용) 와 Workloads_Prod (프로덕션 워크로드용) 라는 두 개의 OU로 분리되었습니다.
PolicyStaging OU — 시스템 관리자가 제어 및 정책에 대한 변경 사항을 완전히 적용하기 전에 테스트할 수 있습니다.
일시 중단된 OU - 일시적으로 비활성화되었을 수 있는 계정을 위한 위치를 제공합니다.

루트 정보

루트는 OU가 아닙니다. 관리 계정과 조직 내 모든 OU 및 계정을 위한 컨테이너입니다. 개념적으로 루트에는 모든 OU가 포함됩니다. 삭제할 수 없습니다. AWS Control Tower 내의 루트 수준에서는 등록된 계정을 관리할 수 없습니다. 대신 OU 내 등록 계정을 관리하십시오. 유용한 다이어그램은 설명서를 참조하십시오. AWS Organizations

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

랜딩 존 계획하기

Landing Zone 설정을 위한 관리 팁