관리 계정의 모범 사례 - AWS Organizations

관리 계정의 모범 사례

AWS Organizations의 관리 계정을 안전하게 보호하려면 다음 권장 사항을 따르는 것이 좋습니다. 이러한 권장 사항에서는 루트 사용자가 실제로 필요한 작업에만 루트 사용자를 사용하는 모범 사례 또한 준수한다고 가정합니다.

관리 계정에 액세스할 수 있는 사용자 제한

관리 계정은 계정 관리, 정책, 다른 AWS 서비스와의 통합, 통합 결제 등과 같이 언급된 모든 관리 작업의 핵심입니다. 따라서 조직을 변경할 권한이 필요한 관리자만 관리 계정에 액세스할 수 있도록 제한하십시오.

액세스 권한이 있는 사람에 대한 검토 및 추적

관리 계정에 대한 액세스 권한이 관리되고 있는지 확인하기 위해 해당 계정에 연결된 이메일 주소, 암호, MFA 및 전화번호에 액세스할 수 있는 회사 직원을 정기적으로 검토합니다. 기존의 회사 절차에 맞게 검토를 수행합니다. 적절한 사람만 액세스할 수 있도록 이 정보에 대한 월별 또는 분기별 검토를 추가합니다. 루트 사용자 자격 증명에 대한 액세스를 복구하거나 재설정하는 프로세스가 특정 개인에 의존하여 완료되지 않도록 합니다. 모든 프로세스는 당사자가 없을 가능성을 고려해야 합니다.

관리 계정이 필요한 작업에 대해서만 관리 계정 사용

관리 계정과 그 사용자 및 역할은 해당 계정으로 수행해야 하는 작업에 대해서만 사용하는 것이 좋습니다. 모든 AWS 리소스를 조직의 다른 AWS 계정에 저장하고 관리 계정이 접근하지 못하도록 합니다. 리소스를 다른 계정에 보관하는 것이 중요한 한 가지 이유는 Organizations 서비스 제어 정책(SCP)의 작동상 관리 계정의 사용자 또는 역할을 제한하지 않기 때문입니다. 관리 계정에서 리소스를 분리하면 인보이스의 요금을 파악하는 데도 도움이 됩니다.

관리 계정에서 호출해야 하는 작업 목록은 조직의 관리 계정에서만 호출할 수 있는 작업을 참조하세요.

조직의 관리 계정에 워크로드를 배포하지 않기

권한 있는 작업은 조직의 관리 계정 내에서 수행할 수 있으며 SCP는 관리 계정에는 적용되지 않습니다. 그러므로 관리 계정에 포함된 클라우드 리소스와 데이터는 관리 계정에서 관리해야 하는 항목으로만 제한해야 합니다.

탈중앙화를 위해 관리 계정 외부에 책임 위임하기

가능하면 관리 계정 외부에 책임과 서비스를 위임하는 것이 좋습니다. 관리 계정에 액세스하지 않고도 조직의 요구 사항을 관리할 수 있도록 팀에 자체 계정 권한을 부여합니다. 또한 조직 전체에 소프트웨어를 공유하는 AWS Service Catalog 또는 스택을 작성 및 배포하는 AWS CloudFormation StackSets와 같이 이 기능을 지원하는 서비스에 여러 명의 관리자를 등록할 수 있습니다.

자세한 내용을 확인하려면 보안 참조 아키텍처, 다중 계정을 사용한 AWS 환경 구성 및 AWS Organizations와 함께 사용할 수 있는​ AWS 서비스에서 다양한 AWS 서비스에 대해 멤버 계정을 위임 관리자로 등록하는 방법을 참조하십시오.

위임된 관리자 설정에 대한 자세한 내용은 AWS Account Management에 대해 위임된 관리자 계정 활성화 및 AWS Organizations에 위임된 관리자을(를) 참조하십시오.