멤버 계정의 모범 사례 - AWS Organizations
계정 이름 및 속성 정의환경 및 계정 사용의 효율적 확장루트 액세스 관리를 활성화하여 멤버 계정에 대한 루트 사용자 자격 증명 관리 간소화

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

멤버 계정의 모범 사례

조직의 멤버 계정 보안을 유지하려면 다음 권장 사항을 따르십시오. 이러한 권장 사항에서는 루트 사용자가 실제로 필요한 작업에만 루트 사용자를 사용하는 모범 사례 또한 준수한다고 가정합니다.

계정 이름 및 속성 정의

멤버 계정의 경우 계정 용도를 반영하는 명명 구조와 이메일 주소를 사용하십시오. 예를 들어, WorkloadsFooADev에는 Workloads+fooA+dev@domain.com, WorkloadsFooBDev에는 Workloads+fooB+dev@domain.com 등입니다. 조직에 대해 정의된 사용자 지정 태그가 있는 경우, 해당 태그는 계정 사용량, 비용 센터, 환경 및 프로젝트를 반영하는 계정에 할당하는 것이 좋습니다. 이렇게 하면 계정을 쉽게 식별, 구성, 검색할 수 있습니다.

환경 및 계정 사용의 효율적 확장

확장할 때 새 계정을 생성하기 전에 불필요한 중복을 방지하기 위해 유사한 요구 사항에 대한 계정이 아직 존재하지 않는지 확인합니다.는 공통 액세스 요구 사항을 기반으로 해야 AWS 계정 합니다. 샌드박스 계정 등의 계정을 재사용하려는 경우 계정에서 불필요한 리소스나 워크로드를 정리하되 나중에 사용할 수 있도록 계정을 저장해 두는 것이 좋습니다.

계정을 해지하기 전에 해지 계정 할당량 한도가 적용된다는 점을 참고하세요. 자세한 내용은 에 대한 할당량 및 서비스 제한 AWS Organizations 단원을 참조하십시오. 가능하면 계정을 해지하고 새 계정을 만드는 대신 계정을 재사용하는 정리 프로세스를 구현하는 것이 좋습니다. 이렇게 하면 리소스 실행으로 인한 비용 발생과 CloseAccount API 한도에 도달하는 것을 방지할 수 있습니다.

루트 액세스 관리를 활성화하여 멤버 계정에 대한 루트 사용자 자격 증명 관리 간소화

멤버 계정의 루트 사용자 자격 증명을 모니터링하고 제거하는 데 도움이 되도록 루트 액세스 관리를 활성화하는 것이 좋습니다. 루트 액세스 관리는 루트 사용자 자격 증명 복구를 방지하여 조직의 계정 보안을 개선합니다.

  • 멤버 계정의 루트 사용자 자격 증명을 제거하여 루트 사용자에게 로그인하지 못하도록 합니다. 또한 멤버 계정이 루트 사용자를 복구하지 못하게 합니다.

  • 멤버 계정에서 다음 작업을 수행하도록 권한이 있는 세션을 수임합니다.

    • 모든 위탁자의 Amazon S3 버킷 액세스를 거부하는 잘못 구성된 버킷 정책을 제거합니다.

    • 모든 위탁자가 Amazon SQS 대기열에 액세스하는 것을 거부하는 Amazon Simple Queue Service 리소스 기반 정책을 삭제합니다.

    • 멤버 계정이 루트 사용자 자격 증명을 복구하도록 허용합니다. 멤버 계정의 루트 사용자 이메일 받은 편지함에 액세스할 수 있는 사람은 루트 사용자 암호를 재설정하고 멤버 계정 루트 사용자로 로그인할 수 있습니다.

루트 액세스 관리가 활성화된 후 새로 생성된 멤버 계정은 secure-by-default이 유지되며 루트 사용자 자격 증명이 없으므로 프로비저닝 후 MFA와 같은 추가 보안이 필요하지 않습니다.

자세한 내용은 AWS Identity and Access Management 사용 설명서멤버 계정에 대한 루트 사용자 자격 증명 중앙 집중화를 참조하세요.

SCP를 사용하여 멤버 계정의 루트 사용자가 수행할 수 있는 작업을 제한합니다.

조직에서 서비스 제어 정책(SCP)을 만들고 조직의 루트에 연결하여 모든 멤버 계정에 적용하는 것이 좋습니다. 자세한 내용은 조직 계정 루트 사용자 보안 인증 보안을 참조하십시오.

멤버 계정에서 수행해야 하는 특정 루트 전용 작업을 제외한 모든 루트 작업을 거부할 수 있습니다. 예를 들어, 다음 SCP는 멤버 계정의 루트 사용자가 “잘못 구성된 S3 버킷 정책 업데이트 및 모든 보안 주체에 대한 액세스 거부”(루트 보안 인증이 필요한 작업 중 하나)를 제외하고 AWS 서비스 API를 호출하지 못하도록 합니다. 자세한 내용은 IAM 사용 설명서의 루트 사용자 보안 인증이 필요한 작업 을 참조하세요.

{
 "Version": "2012-10-17",

    "Statement": [

        {

            "Effect": "Deny",

            "NotAction":[

            "s3:GetBucketPolicy",

            "s3:PutBucketPolicy",

            "s3:DeleteBucketPolicy"

                 ],

            "Resource": "*",

            "Condition": {
 "StringLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }

            }

        }

    ]
 }

대부분의 상황에서 모든 관리 작업은 관련 관리자 권한을 보유한 멤버 계정의 AWS Identity and Access Management (IAM) 역할로 수행할 수 있습니다. 이러한 역할에는 활동을 제한하고, 기록하고, 모니터링하는 적절한 제어 기능이 적용되어야 합니다.