AWS Control Tower 작동 방식 - AWS Control Tower
AWS Control Tower 랜딩 영역의 구조랜딩 존 설정 시 발생하는 일공유 계정이란?제어 작동 방식AWS Control Tower의 작동 방식 StackSets

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Control Tower 작동 방식

이 단원에서는 AWS Control Tower의 작동 방식을 개략적으로 설명합니다. 랜딩 존은 모든 AWS 리소스를 위한 잘 설계된 다중 계정 환경입니다. 이 환경을 사용하여 모든 AWS 계정에 규정 준수 규정을 적용할 수 있습니다.

AWS Control Tower 랜딩 영역의 구조

AWS Control Tower의 랜딩 존 구조는 다음과 같습니다.

  • 루트 - 랜딩 존OUs의 다른 모든를 포함하는 상위 항목입니다.

  • 보안 OU – 이 OU에는 로그 아카이브 계정 및 감사 계정이 포함되어 있습니다. 이러한 계정을 공유 계정이라고도 합니다. 랜딩 영역을 시작할 때 이러한 공유 계정의 사용자 지정 이름을 선택할 수 있으며 보안 및 로깅을 위해 기존 AWS 계정을 AWS Control Tower로 가져올 수 있습니다. 그러나 나중에 이름을 변경할 수 없으며, 처음 시작한 후에는 보안 및 로깅을 위해 기존 계정을 추가할 수 없습니다.

  • 샌드박스 OU - 랜딩 존을 활성화한 경우 랜딩 존을 시작하면 샌드박스 OU가 생성됩니다. 이 및 등록된 기타 에는 사용자가 AWS 워크로드를 수행하기 위해 작업하는 등록된 계정이 OUs 포함되어 있습니다.

  • IAM Identity Center 디렉터리 -이 디렉터리에는 IAM Identity Center 사용자가 들어 있습니다. 각 IAM Identity Center 사용자의 권한 범위를 정의합니다.

  • IAM Identity Center 사용자 - 사용자가 랜딩 영역에서 AWS 워크로드를 수행하기 위해 수임할 수 있는 자격 증명입니다.

랜딩 존 설정 시 발생하는 일

랜딩 영역을 설정하면 AWS Control Tower는 사용자를 대신하여 관리 계정에서 다음 작업을 수행합니다.

  • AWS Organizations 조직 루트 구조에 포함된 OUs보안 및 샌드박스(선택 사항)라는 두 개의 조직 단위()를 생성합니다.

  • 보안 OU에 로그 아카이브 계정과 감사 계정이라는 두 개의 공유 계정을 생성하거나 추가합니다.

  • 기본 AWS Control Tower 구성을 선택하거나 자격 IAM 증명 공급자를 자체 관리할 수 있는 경우 미리 구성된 그룹 및 Single Sign-On 액세스 권한이 있는 Identity Center에 클라우드 네이티브 디렉터리를 생성합니다.

  • 정책 적용을 위해 모든 필수 예방 제어를 적용합니다.

  • 구성 위반 탐지를 위해 모든 필수 탐지 제어를 적용합니다.

  • 예방 제어는 관리 계정에 적용되지 않습니다.

  • 관리 계정을 제외하고 제어는 조직 전체에 적용됩니다.

AWS Control Tower 랜딩 영역 및 계정 내에서 리소스의 안전한 관리

  • 랜딩 영역을 생성하면 여러 AWS 리소스가 생성됩니다. AWS Control Tower를 사용하려면이 가이드에 설명된 지원되는 방법 외에 이러한 AWS Control Tower 관리형 리소스를 수정하거나 삭제해서는 안 됩니다. 이러한 리소스를 삭제하거나 수정하면 랜딩 존이 알 수 없는 상태로 전환됩니다. 자세한 내용은 AWS Control Tower 리소스 생성 및 수정 지침을 참조하세요.

  • 선택적 제어(강력히 권장되거나 선택적인 지침이 있는 제어)를 활성화하면 AWS Control Tower는 계정에서 관리하는 AWS 리소스를 생성합니다. AWS Control Tower에서 생성한 리소스를 수정하거나 삭제하지 마십시오. 그러면 제어가 알 수 없는 상태가 될 수 있습니다.

공유 계정이란?

AWS Control Tower에서는 설정 중에 관리 계정, 로그 아카이브 계정, 감사 계정 등 랜딩 존의 공유 계정이 프로비저닝됩니다.

관리 계정이란?

이 계정은 랜딩 존을 위해 특별히 생성한 계정입니다. 이 계정은 랜딩 존의 모든 항목에 대한 결제에 사용됩니다. 또한 계정 팩토리 프로비저닝과 관리 OUs 및 제어에도 사용됩니다.

참고

AWS Control Tower 관리 계정에서 어떤 유형의 프로덕션 워크로드도 실행하지 않는 것이 좋습니다. 별도의 AWS Control Tower 계정을 생성하여 워크로드를 실행합니다.

자세한 내용은 관리 계정 단원을 참조하십시오.

로그 아카이브 계정이란?

이 계정은 랜딩 영역의 모든 계정에서 API 활동 및 리소스 구성의 로그를 위한 리포지토리 역할을 합니다.

자세한 내용은 로그 아카이브 계정 단원을 참조하십시오.

감사 계정이란?

감사 계정은 보안 및 규정 준수 팀에 랜딩 존의 모든 계정에 대한 읽기 및 쓰기 액세스 권한을 부여하도록 설계된 제한된 계정입니다. 감사 계정에서, Lambda 함수에만 부여된 역할을 통해 프로그래밍 방식으로 액세스하여 계정을 검토할 수 있습니다. 감사 계정을 이용해 다른 계정에 수동으로 로그인할 수 없습니다. Lambda 함수 및 역할에 대한 자세한 내용은 다른 AWS 계정에서 역할을 맡도록 Lambda 함수 구성을 참조하세요.

자세한 내용은 감사 계정 단원을 참조하십시오.

제어 작동 방식

제어는 전반적인 AWS 환경에 대한 지속적인 거버넌스를 제공하는 상위 수준 규칙이며, 각 제어는 단일 규칙을 적용하고 일반적인 언어로 표현됩니다. Control Tower 콘솔 또는 AWS Control AWS Tower에서 언제든지 유효한 선택적 또는 강력히 권장되는 제어를 변경할 수 있습니다APIs. 필수 제어는 항상 적용되며 변경할 수 없습니다.

예방 제어는 조치가 발생하지 않도록 방지합니다. 예를 들어 Amazon S3 버킷에 대한 버킷 정책 변경 허용 안 함(이전에는 로그 아카이브에 대한 정책 변경 허용 안 함)이라는 선택적 제어는 로그 아카이브 공유 계정 내의 IAM 정책 변경을 방지합니다. 방지된 작업을 수행하려고 하면 이 시도가 거부되고 CloudTrail에 기록됩니다. 리소스도 로그인됩니다 AWS Config.

감지 제어는 특정 이벤트가 발생할 때 이를 감지하고 작업을에 기록합니다CloudTrail. 예를 들어 Amazon EC2 인스턴스에 연결된 Amazon EBS 볼륨에 대해 암호화가 활성화되었는지 여부를 감지라는 강력히 권장되는 제어는 암호화되지 않은 Amazon EBS 볼륨이 랜딩 영역의 EC2 인스턴스에 연결되었는지 여부를 감지합니다.

선제적 제어는 리소스가 계정에 프로비저닝되기 전에 리소스가 회사 정책 및 목표를 준수하는지 확인합니다. 리소스가 규정을 준수하지 않으면 리소스는 프로비저닝되지 않습니다. 사전 예방적 제어는 AWS CloudFormation 템플릿을 사용하여 계정에 배포되는 리소스를 모니터링합니다.

익숙한 사용자: AWS In AWS Control Tower 예방 제어는 서비스 제어 정책()으로 구현됩니다SCPs. Detective 제어는 AWS Config 규칙으로 구현됩니다. 사전 예방적 제어는 AWS CloudFormation 후크로 구현됩니다.

AWS Control Tower의 작동 방식 StackSets

AWS Control Tower는 AWS CloudFormation StackSets 를 사용하여 계정에 리소스를 설정합니다. 각 스택 세트에는 계정 및 계정 AWS 리전 당에 StackInstances 해당하는이 있습니다. AWS Control Tower는 계정 및 리전당 하나의 스택 세트 인스턴스를 배포합니다.

AWS Control Tower는 AWS CloudFormation 파라미터에 따라 특정 계정에 업데이트를 AWS 리전 선택적으로 적용합니다. 일부 스택 인스턴스에 업데이트가 적용되면 다른 스택 인스턴스는 Outdated(오래됨) 상태로 남아있을 수 있습니다. 이는 예상된 정상 동작입니다.

스택 인스턴스가 Outdated(오래됨) 상태가 되면 일반적으로 그 스택 인스턴스에 해당하는 스택이 스택 세트의 최신 템플릿과 정렬되지 않음을 의미합니다. 스택은 이전 템플릿에 남아 있으므로 최신 리소스 또는 파라미터가 포함되지 않을 수 있습니다. 스택은 여전히 완전히 사용할 수 있습니다.

다음은 업데이트 중에 지정된 AWS CloudFormation 파라미터를 기반으로 예상되는 동작에 대한 간략한 요약입니다.

스택 세트 업데이트에 템플릿에 대한 변경 사항이 포함되거나(즉, TemplateBody 또는 TemplateURL 속성이 지정된 경우) Parameters 속성이 지정된 경우는 지정된 계정 및에서 스택 인스턴스를 업데이트하기 전에 모든 스택 인스턴스를 오래된 상태로 AWS CloudFormation 표시합니다 AWS 리전. 스택 세트 업데이트에 템플릿 또는 파라미터에 대한 변경 사항이 포함되지 않은 경우는 다른 모든 스택 인스턴스를 기존 스택 인스턴스 상태로 유지하면서 지정된 계정 및 리전의 스택 인스턴스를 AWS CloudFormation 업데이트합니다. 스택 세트와 연결된 모든 스택 인스턴스를 업데이트하려면 Accounts 또는 Regions 속성을 지정하지 마십시오.

자세한 내용은 AWS CloudFormation 사용 설명서의 스택 세트 업데이트를 참조하세요.