AWS Control Tower의 드리프트 감지 및 해결 - AWS Control Tower
드리프트 감지드리프트 해결드리프트 및 SCP 스캔에 대한 고려사항즉시 해결해야 할 드리프트 유형복구 가능한 리소스 변경드리프트 및 새 계정 프로비저닝

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Control Tower의 드리프트 감지 및 해결

드리프트를 식별하고 해결하는 것은 AWS Control Tower 관리 계정 관리자의 정규 운영 업무입니다. 드리프트를 해결하면 거버넌스 요구 사항을 준수하는 데 도움이 됩니다.

랜딩 존을 만들면 랜딩 존과 모든 OU (조직 구성 단위), 계정, 리소스는 선택한 컨트롤에서 적용되는 거버넌스 규칙을 준수합니다. 사용자 및 조직 구성원이 landing Zone을 사용할 때 이 규정 준수 상태가 변경될 수 있습니다. 일부 변경 사항은 실수일 수 있으며, 일부는 시간에 민감한 작업 이벤트에 의도적으로 응답하는 것일 수 있습니다.

드리프트 감지로 드리프트를 해결하기 위해 변경 또는 구성 업데이트가 필요한 리소스를 식별할 수 있습니다.

드리프트 감지

AWS Control Tower는 드리프트를 자동으로 감지합니다. 드리프트를 감지하려면 AWS Control Tower가 읽기 전용 API 호출을 할 수 있도록 해당 AWSControlTowerAdmin 역할에 대한 관리 계정에 대한 지속적인 액세스 권한이 필요합니다. AWS Organizations이러한 API 호출은 이벤트로 표시됩니다. AWS CloudTrail

드리프트는 감사 계정에 집계되는 Amazon Simple Notification Service (Amazon SNS) 알림에 표시됩니다. 각 멤버 계정의 알림은 로컬 Amazon SNS 주제 및 Lambda 함수에 알림을 보냅니다.

AWS Security Hub 서비스 관리형 표준: AWS Control Tower에 속하는 컨트롤의 경우, 드리프트는 AWS Control Tower 콘솔의 계정 및 계정 세부 정보 페이지와 Amazon SNS 알림을 통해 표시됩니다.

멤버 계정 관리자는 특정 계정에 대한 SNS 드리프트 알림을 구독할 수 있습니다(모범 사례로서 권장됨). 예를 들어, aws-controltower-AggregateSecurityNotifications SNS 주제는 드리프트 알림을 제공합니다. AWS Control Tower 콘솔은 드리프트가 발생한 경우 관리 계정 관리자에게 알려줍니다. 드리프트 감지 및 알림을 위한 SNS 주제에 대한 자세한 내용은 드리프트 방지 및 알림을 참조하십시오.

드리프트 알림 중복 제거

동일한 리소스 세트에서 동일한 유형의 드리프트가 여러 번 발생하는 경우, AWS Control Tower는 드리프트의 초기 인스턴스에 대해서만 SNS 알림을 보냅니다. AWS Control Tower가 이 드리프트 인스턴스가 해결되었음을 감지하면 동일한 리소스에 대해 드리프트가 다시 발생하는 경우에만 또 다른 알림을 보냅니다.

예: 계정 드리프트와 SCP 드리프트는 다음과 같은 방식으로 처리됩니다.

  • 동일한 관리 SCP를 여러 번 수정하면 처음 수정할 때 알림을 받게 됩니다.

  • 관리되는 SCP를 수정한 다음 드리프트를 수정한 다음 다시 수정하면 두 개의 알림을 받게 됩니다.

  • 드리프트를 먼저 복구하지 않고 동일한 소스 및 대상 OU 간에 계정을 여러 번 이동하면 해당 OU 간에 계정을 두 번 이상 이동했더라도 단일 알림이 전송됩니다.

계정 드리프트 유형

  • OU 간 계정 이동

  • 조직에서 계정이 제거되었습니다.

참고

한 OU에서 다른 OU로 계정을 이동할 때 이전 OU의 컨트롤은 제거되지 않습니다. 대상 OU에서 새 후크 기반 제어를 활성화하면 기존 OU가 계정에서 후크 기반 컨트롤이 제거되고 새 컨트롤이 이를 대체합니다. SCP와 AWS Config 규칙으로 구현된 컨트롤은 계정이 OU를 변경할 때 항상 수동으로 제거해야 합니다.

정책 드리프트 유형

  • SCP 업데이트

  • OU에 연결된 SCP

  • OU에서 SCP가 분리되었습니다.

  • 계정에 연결된 SCP

자세한 내용은 거버넌스 드리프트 유형을 참조하십시오.

드리프트 해결

감지는 자동으로 수행되지만 드리프트를 해결하는 단계는 콘솔을 통해 수행해야 합니다.

  • 랜딩 존 설정 페이지를 통해 다양한 유형의 드리프트를 해결할 수 있습니다. 버전 섹션에서 재설정 버튼을 선택하여 이러한 유형의 드리프트를 해결할 수 있습니다.

  • OU의 계정이 300개 미만인 경우 조직 페이지 또는 OU 세부 정보 페이지에서 OU 재등록을 선택하여 Account Factory에서 프로비저닝한 계정의 드리프트 또는 SCP 드리프트를 해결할 수 있습니다.

  • 개별 계정을 업데이트하는 등의 이동된 멤버 계정 방법으로 계정 드리프트를 해결할 수 있습니다. 자세한 정보는 콘솔에서 계정 업데이트을 참조하세요.

landing zone 버전에서 드리프트를 해결하기 위한 조치를 취하면 두 가지 동작이 가능합니다.

  • 최신 랜딩 존 버전을 사용 중인 경우 Reset을 선택한 다음 Confirm (확인) 을 선택하면 드리프트된 랜딩 존 리소스가 저장된 AWS Control Tower 구성으로 재설정됩니다. Landding Zone 버전은 동일하게 유지됩니다.

  • 최신 버전을 사용하고 있지 않은 경우 업데이트를 선택해야 합니다. 랜딩 존이 최신 랜딩 존 버전으로 업그레이드되었습니다. 이 프로세스의 일부로 드리프트가 해결되었습니다.

드리프트 및 SCP 스캔에 대한 고려사항

AWS Control Tower는 매일 관리형 SCP를 스캔하여 해당 제어가 올바르게 적용되고 표류하지 않았는지 확인합니다. SCP를 검색하고 검사를 실행하기 위해 AWS Control Tower는 관리 계정의 역할을 사용하여 사용자를 대신하여 전화를 겁니다 AWS Organizations .

AWS Control Tower 스캔에서 드리프트가 발견되면 알림을 받게 됩니다. AWS Control Tower는 드리프트 문제당 하나의 알림만 전송하므로, 랜딩 존이 이미 드리프트 상태에 있는 경우 새 드리프트 항목이 발견되지 않는 한 추가 알림을 받지 않습니다.

AWS Organizations 각 API를 호출할 수 있는 빈도를 제한합니다. 이 한도는 초당 트랜잭션 수 (TPS) 로 표시되며 TPS 한도, 제한 속도 또는 API 요청 속도라고 합니다. AWS Control Tower가 호출을 통해 SCP를 감사하는 AWS Organizations경우, AWS Control Tower가 거는 API 호출은 TPS 한도에 포함됩니다. AWS Control Tower는 관리 계정을 사용하여 전화를 걸기 때문입니다.

드문 경우이긴 하지만 타사 솔루션이나 사용자가 작성한 사용자 지정 스크립트를 통해 동일한 API를 반복해서 호출하면 이 한도에 도달할 수 있습니다. 예를 들어, 사용자와 AWS Control AWS Organizations Tower가 같은 시점에 (1초 이내) 동일한 API를 호출하고 TPS 한도에 도달하면 후속 호출이 제한됩니다. 즉, 이러한 호출은 다음과 같은 오류를 반환합니다. Rate exceeded

API 요청 비율을 초과한 경우

  • AWS Control Tower가 한도에 도달하여 병목 현상이 발생하는 경우 감사 실행을 일시 중지하고 나중에 다시 시작합니다.

  • 워크로드가 한도에 도달하여 병목 현상이 발생하는 경우 워크로드 구성 방식에 따라 약간의 지연 시간부터 심각한 오류까지 다양한 결과가 발생할 수 있습니다. 이 엣지 케이스는 주의해야 할 사항입니다.

일일 SCP 스캔은 다음과 같이 구성됩니다.

  1. 최근에 활성화된 OU 검색.

  2. 등록된 각 OU에 대해 OU에 연결된 AWS Control Tower에서 관리하는 모든 SCP를 검색합니다. 관리형 SCP에는 로 시작하는 식별자가 있습니다. aws-guardrails

  3. OU에서 활성화된 각 예방 제어에 대해 해당 컨트롤의 정책 설명이 OU의 관리형 SCP에 있는지 확인합니다.

OU에는 관리되는 SCP가 하나 이상 있을 수 있습니다.

즉시 해결해야 할 드리프트 유형

대부분의 드리프트 유형은 관리자가 해결할 수 있습니다. AWS Control Tower 랜딩 존에서 요구하는 조직 단위 삭제를 포함하여 몇 가지 유형의 드리프트를 즉시 해결해야 합니다. 다음은 피해야 할 주요 드리프트의 몇 가지 예입니다.

  • 보안 OU를 삭제하지 마십시오. AWS Control Tower에서 랜딩 존 설정 시 원래 이름이 보안인 조직 단위는 삭제하면 안 됩니다. 랜딩 존을 삭제하면 랜딩 존을 즉시 재설정하라는 오류 메시지가 표시됩니다. 재설정이 완료될 때까지는 AWS Control Tower에서 다른 작업을 수행할 수 없습니다.

  • 필수 역할을 삭제하지 마십시오. AWS Control Tower는 IAM 역할 드리프트를 위해 콘솔에 로그인할 때 특정 AWS Identity and Access Management (IAM) 역할을 확인합니다. 이러한 역할이 없거나 액세스할 수 없는 경우, 착륙 지대를 재설정하라는 오류 페이지가 표시됩니다. 이러한 역할은 다음과 같습니다. AWSControlTowerAdmin AWSControlTowerCloudTrailRole AWSControlTowerStackSetRole

    이러한 역할에 대한 자세한 내용은 을 참조하십시오AWS Control Tower 콘솔 사용에 필요한 권한.

  • 추가 OU를 모두 삭제하지 마십시오. AWS Control Tower에서 랜딩 존을 설정하는 동안 원래 이름이 Sandbox인 조직 단위를 삭제하면 랜딩 존은 드리프트 상태가 되지만 AWS Control Tower는 계속 사용할 수 있습니다. AWS Control Tower가 작동하려면 추가 OU가 하나 이상 필요하지만 샌드박스 OU가 아니어도 됩니다.

  • 공유 계정을 제거하지 마세요. 보안 OU에서 로깅 계정을 제거하는 등 기본 OU에서 공유 계정을 제거하면 랜딩 존이 드리프트 상태가 됩니다. AWS Control Tower 콘솔을 계속 사용하려면 먼저 랜딩 존을 재설정해야 합니다.

복구 가능한 리소스 변경

다음은 해결 가능한 변동이 발생하지만 허용되는 AWS Control Tower 리소스 변경 목록입니다. 새로 고침이 필요할 수도 있지만 이렇게 허용된 작업의 결과는 AWS Control Tower 콘솔에서 확인할 수 있습니다.

이로 인한 편차를 해결하는 방법에 대한 자세한 내용은 AWS Control Tower 외부 리소스 관리를 참조하십시오.

AWS Control Tower 콘솔 외부에서 허용되는 변경

  • 등록된 OU의 이름을 변경하십시오.

  • 보안 OU의 이름을 변경합니다.

  • 비기본 OU의 구성원 계정 이름을 변경합니다.

  • 보안 OU에서 AWS Control Tower 공유 계정의 이름을 변경합니다.

  • 기반이 아닌 OU를 삭제하십시오.

  • 비기반 OU에서 등록된 계정을 삭제합니다.

  • 보안 OU에서 공유 계정의 이메일 주소를 변경합니다.

  • 등록된 OU에 있는 구성원 계정의 이메일 주소를 변경합니다.

참고

OU 간 계정 이동은 드리프트로 간주되며 이를 해결해야 합니다.

드리프트 및 새 계정 프로비저닝

랜딩 존이 드리프트 상태인 경우, AWS Control Tower의 계정 등록 기능이 작동하지 않습니다. 이 경우 AWS Service Catalog를 통해 새 계정을 프로비저닝해야 합니다. 지침은 Account Factory를 통한 AWS Service Catalog 계정 프로비저닝 섹션을 참조하세요.

특히 Service Catalog를 통해 포트폴리오의 이름을 변경하는 등 계정을 일부 변경한 경우 계정 등록 기능이 작동하지 않습니다.