다중 계정 환경 모범 사례
다음 권장 사항은 AWS Organizations에서 다중 계정 환경을 설정하고 관리하는 방법을 알려 드립니다.
계정 및 자격 증명
루트 사용자에 대한 강력한 암호 사용
강력하고 고유한 암호를 사용하는 것이 좋습니다. 다수의 암호 관리자와 강력한 암호 생성 알고리즘 및 도구를 사용하면 이러한 목표를 달성하는 데 도움이 될 수 있습니다. 자세한 내용은 AWS 계정 루트 사용자의 암호 변경을 참조하십시오. 회사의 정보 보안 정책에 따라 루트 사용자의 암호에 대한 액세스 및 장기 저장을 관리합니다. 조직의 보안 요구 사항을 충족하는 암호 관리자 시스템 또는 이와 동등한 시스템에 암호를 저장하는 것이 좋습니다. 순환 종속성이 발생하지 않도록 하려면 보호된 계정으로 로그인하는 AWS 서비스를 사용하는 도구로 루트 사용자 암호를 저장하지 않아야 합니다. 어떤 방법을 선택하든 복원력에 우선 순위를 두는 것이 좋으며 보호 강화를 위해 여러 주체에게 이 저장소에 대한 액세스 권한을 부여하는 것을 고려할 것을 권장합니다. 암호 또는 암호 보관 위치에 대한 모든 액세스를 로그에 기록하고 모니터링해야 합니다. 추가 루트 사용자 암호 권장 사항은 AWS 계정의 루트 사용자 모범 사례를 참조하십시오.
루트 사용자 보안 인증 사용에 관한 프로세스의 문서화
각 단계에 관여한 개인에 대한 기록을 확보할 수 있도록 중요한 프로세스의 실행을 수행 시점에 문서화합니다. 암호를 관리하려면 암호화된 보안 암호 관리자를 사용하는 것이 좋습니다. 발생할 가능성이 있는 예외 상황 및 예기치 않은 이벤트에 대한 문서를 제공하는 것도 중요합니다. 자세한 내용은 로그인 사용 설명서의 AWS 로그인 사용자 설명서의 AWS Management Console 로그인 문제 해결 및 IAM 사용자 설명서의 루트 사용자 보안 인증이 필요한 작업을 참조하세요.
최소한 분기별로 루트 사용자에 대한 액세스 권한을 계속 보유하고 있는지, 연락처 번호가 유효한지 테스트하고 확인합니다. 이렇게 하면 프로세스가 작동하는지, 루트 사용자에 대한 액세스 권한을 유지 관리하고 있는지 확인하는 데 도움을 줍니다. 또한 루트 액세스를 담당하는 사람들이 프로세스가 성공하기 위해 수행해야 하는 단계를 이해하고 있음을 보여줍니다. 응답 시간과 성공률을 늘리려면 프로세스에 관련된 모든 담당자가 액세스가 필요할 경우 수행해야 하는 작업을 정확히 이해하도록 하는 것이 중요합니다.
루트 사용자 자격 증명에 MFA 사용
AWS 계정 루트 사용자 및 AWS 계정의 IAM 사용자에 대해 여러 다중 인증(MFA) 디바이스를 활성화하는 것이 좋습니다. 이를 통해 AWS 계정의 보안 기준을 높이고 AWS 계정 루트 사용자와 같이 권한이 높은 사용자에 대한 액세스 관리를 간소화할 수 있습니다. 다양한 고객 요구를 충족하기 위해 AWS은(는) FIDO 보안 키, 가상 인증자 애플리케이션, 시간 기반 일회용 암호(TOTP) 하드웨어 토큰 등 세 가지 유형의 IAM용 MFA 디바이스를 지원합니다.
각 유형의 인증자는 각기 다른 사용 사례에 적합하도록 물리적 및 보안 속성이 약간씩 다릅니다. FIDO2 보안 키는 최고 수준의 보안을 제공하며 피싱에 강합니다. 모든 형태의 MFA는 암호 전용 인증보다 더 강력한 보안 체계를 제공하므로 계정에 어떤 형태로든 MFA를 추가할 것을 강력하게 권장합니다. 보안 및 운영 요구 사항에 가장 적합한 디바이스 유형을 선택합니다.
TOTP 하드웨어 토큰과 같이 배터리 구동 장치를 기본 인증자로 선택하는 경우 배터리를 백업 메커니즘으로 사용하지 않는 인증자를 등록하는 것도 고려하십시오. 또한 디바이스의 기능을 정기적으로 점검하고 만료일 전에 교체하는 것도 중단 없는 액세스를 유지하는 데 필수적입니다. 어떤 유형의 디바이스를 선택하든 디바이스 손실 또는 장애에 대한 복원력을 높이려면 최소 2개 이상의 디바이스(IAM은 사용자당 최대 8개의 MFA 디바이스 지원)를 등록하는 것이 좋습니다.
MFA 디바이스 스토리지에 대한 조직의 정보 보안 정책을 따르십시오. MFA 디바이스는 관련 암호와 분리하여 별도로 저장하는 것이 좋습니다. 이렇게 하면, 암호와 MFA 디바이스에 액세스하기 위해 다양한 리소스(사람, 데이터, 도구)가 있어야 합니다. 이렇게 분리함으로써 무단 액세스에 대한 별도의 보호 계층이 추가됩니다. 또한 MFA 디바이스 또는 해당 스토리지 위치에 대한 모든 액세스를 로그에 기록하고 모니터링하는 것이 좋습니다. 이렇게 하면 무단 액세스를 감지하고 이에 대응할 수 있습니다.
자세한 내용은 IAM 사용 설명서의 다중 인증(MFA)으로 루트 사용자 보안을 참조하십시오. MFA 활성화에 대한 설명은 AWS에서 다중 인증(MFA) 사용하기 및 AWS에서 사용자를 위한 MFA 디바이스 활성화를 참조하십시오.
루트 사용자 자격 증명에 대한 액세스를 모니터링하는 통제 수단 적용
루트 사용자 자격 증명에 액세스하는 일은 드물어야 합니다. Amazon EventBridge 와 같은 도구를 사용해 알림을 생성하여 관리 계정 루트 사용자 보안 인증의 로그인 및 사용을 알리도록 합니다. 이 알림에는 루트 사용자 자체에 사용되는 이메일 주소가 포함되나 이에 국한되지는 않습니다. 이 알림은 중요하며 놓치기 어렵도록 되어야 합니다. 예시는 AWS 계정 루트 사용자 활동의 모니터링 및 통지
연락 전화번호를 최신 상태로 유지하기
AWS 계정에 대한 액세스 권한을 복구하려면 문자 메시지 또는 전화를 받을 수 있는 유효하고 활성화된 연락 전화번호를 확보하는 것이 중요합니다. 계정 지원 및 복구 목적으로 AWS이(가) 연락할 수 있도록 전용 전화번호를 사용하는 것이 좋습니다. 계정 전화번호는 AWS Management Console 또는 계정 관리 API를 통해 쉽게 조회하고 관리할 수 있습니다.
AWS이(가) 사용자에게 연락할 수 있는 전용 전화번호를 가지는 방법에는 여러 가지가 있습니다. 전용 SIM 카드와 실제 휴대폰을 구입하는 것이 가장 좋습니다. 휴대폰과 SIM을 장기간 안전하게 보관하여 계정 복구 시 전화번호를 사용할 수 있도록 하세요. 또한 모바일 청구서를 담당하는 팀은 이 번호가 장기간 비활성 상태로 남아 있더라도 그 유지의 중요성을 이해해야 합니다. 보호를 강화하기 위해 조직 내에서 이 전화번호를 기밀로 유지해야 합니다.
AWS 연락처 정보 콘솔 페이지에 전화번호를 문서화하고 조직에서 해당 전화번호를 알아야 하는 특정 팀과 세부 정보를 공유하세요. 이러한 방식으로 전화번호를 다른 SIM으로 이전할 때 발생하는 위험을 최소화하는 데 도움이 됩니다. 기존 정보 보안 정책에 따라 전화를 보관합니다. 그러나 전화를 다른 관련 자격 증명 정보와 같은 위치에 저장하면 안 됩니다. 전화 또는 전화의 보관 위치에 대한 모든 액세스는 기록하고 모니터링해야 합니다. 계정과 연결된 전화번호가 변경될 경우 기존 문서에서 전화번호를 업데이트하는 프로세스를 구현합니다.
루트 계정에 그룹 이메일 주소 사용하기
회사에서 관리하는 이메일 주소를 사용합니다. 받은 메시지를 사용자 그룹에 직접 전달하는 이메일 주소를 사용합니다. 예를 들어 액세스 확인을 위해 AWS이(가) 계정 소유자에게 연락해야 하는 경우 이메일 메시지가 여러 당사자에게 배포됩니다. 이러한 방식은 개인이 휴가 중이거나 아프거나 회사를 떠난 경우에도 응답이 지연될 위험을 줄이는 데 도움이 됩니다.
조직 구조 및 워크로드
단일 조직 내에서 계정 관리
단일 조직을 만들고 이 조직 내에서 모든 계정을 관리하는 것이 좋습니다. 조직은 사용자 환경 내 계정 간에 일관성을 유지할 수 있게 해주는 보안 경계입니다. 중앙에서 조직 내 계정 전체에 정책 또는 서비스 수준 구성을 적용할 수 있습니다. 다중 계정 환경 전반에서 일관된 정책, 중앙집중식 가시성, 프로그래밍적 제어를 구현하려면 단일 조직 내에서 이 작업을 수행하는 것이 가장 좋습니다.
보고 구조가 아닌 비즈니스 목적에 따라 워크로드 그룹화
프로덕션 워크로드 환경과 데이터를 최상위 워크로드 중심 OU에 분리하는 것이 좋습니다. OU는 회사의 보고 구조를 반영하기보다는 공통된 제어 집합을 기반으로 해야 합니다. 프로덕션 OU와는 별도로, 워크로드를 개발하고 테스트하는 데 사용되는 계정 및 워크로드 환경이 포함된 비-프로덕션 OU를 하나 이상 정의하는 것이 좋습니다. 추가적인 안내는 워크로드 지향 OU 구성을 참조하십시오.
여러 계정을 사용하여 워크로드 정리하기
AWS 계정은(는) AWS 리소스에 대한 자연 보안, 액세스, 청구 범위를 제공합니다. 여러 계정을 사용하면 계정 수준의 할당량과 API 요청 속도 한도를, 여기에 나열된 추가 혜택을 분산할 수 있어 이점이 있습니다. 보안, 로그, 인프라용 계정과 같은 전사적 차원의 기본 계정을 여러 개 사용하는 것이 좋습니다. 워크로드 계정의 경우 테스트/개발 워크로드에서 프로덕션 워크로드를 별도의 계정에 분리해야 합니다.
서비스 및 비용 관리
서비스 콘솔 또는 API/CLI 작업을 사용하여 조직 수준에서 AWS 서비스 활성화
한 가지 모범 사례로, 서비스 콘솔 또는 이에 상응하는 API 작업/CLI 명령어를 사용하여 AWS Organizations에서 통합하려는 모든 서비스를 활성화 또는 비활성화하는 것이 좋습니다. 이 방법을 사용하면 AWS 서비스가 조직에 필요한 모든 초기화 단계 (예: 필수 리소스 생성 및 서비스 비활성화 시 리소스 정리)를 수행할 수 있습니다. AWS Account Management은(는) AWS Organizations 콘솔 또는 API를 사용해야 활성화할 수 있는 유일한 서비스입니다. AWS Organizations와(과) 통합된 서비스 목록을 검토하려면 AWS Organizations와 함께 사용할 수 있는 AWS 서비스을(를) 참조하십시오.
결제 도구를 사용하여 비용 추적 및 리소스 사용 최적화
조직을 관리하면 조직 내 계정에서 발생하는 모든 요금이 포함된 통합 청구서를 받게 됩니다. 비용 가시성에 대한 액세스가 필요한 비즈니스 사용자의 경우, 관리 계정의 역할에 결제 및 비용 도구를 검토할 수 있는 제한적 읽기 전용 권한을 부여할 수 있습니다. 예를 들어, 결제 보고서에 액세스할 수 있는 권한 집합을 만들거나 AWS Cost Explorer Service(시간 경과에 따른 비용 추세를 보는 도구) 및 Amazon S3 Storage Lens
조직 리소스 전반의 태그 지정 전략 및 태그 적용 계획
계정과 워크로드가 확장되면 비용 추적, 액세스 제어 및 리소스 구성에 태그 기능이 유용할 수 있습니다. 태그 명명 전략에 대해서는 AWS 리소스 태깅의 지침을 따르세요. 리소스 외에도 조직 루트, 계정, OU, 정책의 태그를 만들 수 있습니다. 자세한 내용은 태깅 전략 구축을 참조하십시오.
