AWS 컨트롤 타워 작동 방식 - AWS Control Tower
AWS 컨트롤 타워 랜딩 존의 구조착륙 지대를 설정하면 어떻게 되나요?공유 계정이란 무엇인가요?제어 작동 방식AWS Control Tower는 다음과 함께 작동하는 방식 StackSets

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 컨트롤 타워 작동 방식

이 섹션에서는 AWS Control Tower의 작동 방식을 개괄적으로 설명합니다. Landing Zone은 모든 리소스를 위한 잘 설계된 다중 계정 환경입니다. AWS 이 환경을 사용하여 모든 계정에 규정 준수 규정을 적용할 수 있습니다. AWS

AWS 컨트롤 타워 랜딩 존의 구조

AWS Control Tower의 랜딩 존 구조는 다음과 같습니다.

  • 루트 — 랜딩 존에 있는 다른 모든 OU를 포함하는 부모.

  • 보안 OU - 이 OU에는 로그 아카이브 및 감사 계정이 들어 있습니다. 이러한 계정을 공유 계정이라고도 합니다. 랜딩 존을 시작할 때 이러한 공유 계정의 사용자 지정 이름을 선택할 수 있으며 보안 및 로깅을 위해 기존 AWS 계정을 AWS Control Tower로 가져올 수도 있습니다. 그러나 이러한 계정은 나중에 이름을 바꿀 수 없으며 처음 시작한 후에는 보안 및 로깅을 위해 기존 계정을 추가할 수 없습니다.

  • 샌드박스 OU — 샌드박스 OU는 랜딩 존을 활성화한 경우 랜딩 존을 시작할 때 생성됩니다. 이 OU 및 기타 등록된 OU에는 사용자가 AWS 워크로드를 수행하는 데 사용하는 등록된 계정이 포함되어 있습니다.

  • IAM ID 센터 디렉터리 — 이 디렉터리에는 IAM ID 센터 사용자가 있습니다. 각 IAM ID 센터 사용자의 권한 범위를 정의합니다.

  • IAM Identity Center 사용자 — 사용자가 랜딩 존에서 AWS 워크로드를 수행하는 것으로 간주할 수 있는 ID입니다.

착륙 지대를 설정하면 어떻게 되나요?

랜딩 존을 설정하면 AWS Control Tower가 사용자를 대신하여 관리 계정에서 다음 작업을 수행합니다.

  • 조직의 루트 구조 내에 포함된 보안과 샌드박스 (선택 사항) 라는 두 개의 AWS Organizations 조직 단위 (OU) 를 생성합니다.

  • 보안 OU에 두 개의 공유 계정, 즉 로그 아카이브 계정과 감사 계정을 만들거나 추가합니다.

  • 기본 AWS Control Tower 구성을 선택한 경우 사전 구성된 그룹 및 싱글 사인온 액세스를 포함하는 클라우드 네이티브 디렉터리를 IAM Identity Center에 생성하거나, 이를 통해 자격 증명 공급자를 자체 관리할 수 있습니다.

  • 정책을 시행하기 위해 모든 필수 예방 제어를 적용합니다.

  • 모든 필수 탐지 제어를 적용하여 구성 위반을 탐지합니다.

  • 관리 계정에는 예방 제어가 적용되지 않습니다.

  • 관리 계정을 제외한 컨트롤은 조직 전체에 적용됩니다.

AWS Control Tower 랜딩 존 및 계정 내의 리소스를 안전하게 관리

  • landing Zone을 만들면 많은 AWS 리소스가 생성됩니다. AWS Control Tower를 사용하려면 이 안내서에 설명된 지원되는 방법 이외의 방법으로 이러한 AWS Control Tower 관리 리소스를 수정하거나 삭제해서는 안 됩니다. 이러한 리소스를 삭제하거나 수정하면 landding Zone이 알 수 없는 상태가 됩니다. 자세한 내용은 AWS Control Tower 리소스 생성 및 수정 지침을 참조하세요.

  • 선택적 컨트롤 (강력히 권장되거나 선택적인 지침이 있는 컨트롤) 을 활성화하면 AWS Control Tower가 AWS 리소스를 생성하여 계정에서 관리합니다. AWS Control Tower에서 생성한 리소스를 수정하거나 삭제하지 마십시오. 이렇게 하면 제어가 알 수 없는 상태가 될 수 있습니다.

공유 계정이란 무엇인가요?

AWS Control Tower에서는 설치 과정에서 랜딩 존의 공유 계정, 즉 관리 계정, 로그 아카이브 계정, 감사 계정이 프로비저닝됩니다.

관리 계정이란 무엇입니까?

이 계정은 landding Zone을 위해 특별히 만든 계정입니다. 이 계정은 landding Zone의 모든 항목에 대한 청구에 사용됩니다. 또한 Account Factory에서 계정을 프로비저닝하고 OU 및 제어 기능을 관리하는 데에도 사용됩니다.

참고

AWS Control Tower 관리 계정에서 어떤 유형의 프로덕션 워크로드도 실행하지 않는 것이 좋습니다. 워크로드를 실행하려면 별도의 AWS Control Tower 계정을 생성하십시오.

자세한 정보는 관리 계정을 참조하세요.

로그 아카이브 계정이란 무엇입니까?

이 계정은 landing Zone에 있는 모든 계정의 API 활동 및 리소스 구성 로그를 저장하는 저장소 역할을 합니다.

자세한 정보는 로그 아카이브 계정을 참조하세요.

감사 계정이란 무엇입니까?

감사 계정은 보안 및 규정 준수 팀에 랜딩 존의 모든 계정에 대한 읽기 및 쓰기 액세스 권한을 제공하도록 설계된 제한된 계정입니다. 감사 계정에서, Lambda 함수에만 부여된 역할을 통해 프로그래밍 방식으로 액세스하여 계정을 검토할 수 있습니다. 감사 계정을 이용해 다른 계정에 수동으로 로그인할 수 없습니다. Lambda 함수 및 역할에 대한 자세한 내용은 다른 함수의 역할을 맡도록 Lambda 함수 구성을 참조하십시오. AWS 계정

자세한 정보는 감사 계정을 참조하세요.

제어 작동 방식

제어는 전체 AWS 환경에 대한 지속적인 거버넌스를 제공하는 높은 수준의 규칙입니다. 각 컨트롤은 단일 규칙을 적용하며 일반 언어로 표현됩니다. AWS Control Tower 콘솔 또는 AWS Control Tower API에서 시행 중인 선택적 규제 항목 또는 강력히 권장되는 규제 항목을 언제든지 변경할 수 있습니다. 필수 컨트롤은 항상 적용되며 변경할 수 없습니다.

예방적 통제는 조치가 취해지는 것을 방지합니다. 예를 들어 Amazon S3 버킷의 버킷 정책 변경 금지 (이전에는 로그 아카이브에 대한 정책 변경 금지라고 함) 라는 선택적 제어는 로그 아카이브 공유 계정 내의 IAM 정책 변경을 방지합니다. 차단된 작업을 수행하려는 모든 시도는 거부되고 로그인됩니다. CloudTrail 리소스도 로그인됩니다 AWS Config.

Detective Controls는 특정 이벤트가 발생할 때 이를 감지하고 작업을 기록합니다. CloudTrail 예를 들어 Amazon EC2 인스턴스에 연결된 Amazon EBS 볼륨의 암호화 활성화 여부 감지라는 강력히 권장되는 제어 기능은 암호화되지 않은 Amazon EBS 볼륨이 착륙 영역의 EC2 인스턴스에 연결되어 있는지 여부를 탐지합니다.

사전 예방적 제어를 통해 리소스가 계정에 프로비저닝되기 전에 리소스가 회사 정책 및 목표를 준수하는지 여부를 확인합니다. 리소스가 규정을 준수하지 않는 경우 리소스는 프로비저닝되지 않습니다. 사전 예방적 제어는 템플릿을 통해 계정에 배포될 리소스를 모니터링합니다. AWS CloudFormation

다음 사항에 익숙한 사용자를 위해 AWS: AWS Control Tower에서는 서비스 제어 정책 (SCP) 을 통해 예방 제어를 구현합니다. Detective 컨트롤은 규칙을 사용하여 AWS Config 구현됩니다. 사전 예방적 제어는 후크를 통해 AWS CloudFormation 구현됩니다.

AWS Control Tower는 다음과 함께 작동하는 방식 StackSets

AWS Control Tower는 사용자 계정에 리소스를 설정하는 AWS CloudFormation StackSets 데 사용합니다. 각 스택 세트에는 StackInstances 계정별, AWS 리전 계정별 스택 세트가 있습니다. AWS Control Tower는 계정 및 지역당 하나의 스택 세트 인스턴스를 배포합니다.

AWS Control Tower는 AWS CloudFormation 파라미터를 기반으로 특정 계정에 업데이트를 AWS 리전 선택적으로 적용합니다. 일부 스택 인스턴스에 업데이트가 적용되면 다른 스택 인스턴스는 Outdated(오래됨) 상태로 남아있을 수 있습니다. 이는 예상된 정상 동작입니다.

스택 인스턴스가 Outdated(오래됨) 상태가 되면 일반적으로 그 스택 인스턴스에 해당하는 스택이 스택 세트의 최신 템플릿과 정렬되지 않음을 의미합니다. 스택은 이전 템플릿에 남아 있으므로 최신 리소스 또는 파라미터가 포함되지 않을 수 있습니다. 스택은 여전히 완전히 사용할 수 있습니다.

다음은 업데이트 중에 지정된 AWS CloudFormation 파라미터를 기반으로 예상되는 동작에 대한 간략한 요약입니다.

스택 세트 업데이트에 템플릿 변경 사항이 포함된 경우 (즉, TemplateBody 또는 TemplateURL 속성이 지정된 경우) 또는 Parameters 속성이 지정된 경우, 지정된 계정의 스택 인스턴스를 업데이트하기 전에 모든 스택 인스턴스를 Outdated 상태로 AWS CloudFormation 표시합니다. AWS 리전스택 세트 업데이트에 템플릿 또는 매개 변수에 대한 변경 사항이 포함되지 않은 경우 다른 모든 스택 인스턴스는 기존 인스턴스 스택 상태를 유지한 채 지정된 계정 및 지역의 스택 인스턴스를 AWS CloudFormation 업데이트합니다. 스택 세트와 연결된 모든 스택 인스턴스를 업데이트하려면 Accounts 또는 Regions 속성을 지정하지 마십시오.

자세한 내용은 AWS CloudFormation 사용 설명서의 스택 세트 업데이트를 참조하십시오.