기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

관리 계정의 모범 사례

AWS Organizations의 관리 계정을 안전하게 보호하려면 다음 권장 사항을 따르는 것이 좋습니다. 이러한 권장 사항에서는 루트 사용자가 실제로 필요한 작업에만 루트 사용자를 사용하는 모범 사례 또한 준수한다고 가정합니다.

관리 계정에 액세스할 수 있는 사용자 제한

관리 계정은 계정 관리, 정책, 다른 계정과의 통합 AWS 서비스, 통합 결제 등과 같이 언급된 모든 관리 작업의 핵심입니다. 따라서 조직을 변경할 권한이 필요한 관리자만 관리 계정에 액세스할 수 있도록 제한하십시오.

액세스 권한이 있는 사람에 대한 검토 및 추적

관리 계정에 대한 액세스 권한을 유지하려면 관리 계정과 관련된 이메일 주소MFA, 암호 및 전화번호에 액세스할 수 있는 회사 내 담당자를 정기적으로 검토하십시오. 기존의 회사 절차에 맞게 검토를 수행합니다. 적절한 사람만 액세스할 수 있도록 이 정보에 대한 월별 또는 분기별 검토를 추가합니다. 루트 사용자 자격 증명에 대한 액세스를 복구하거나 재설정하는 프로세스가 특정 개인에 의존하여 완료되지 않도록 합니다. 모든 프로세스는 당사자가 없을 가능성을 고려해야 합니다.

관리 계정이 필요한 작업에 대해서만 관리 계정 사용

관리 계정과 그 사용자 및 역할은 해당 계정으로 수행해야 하는 작업에 대해서만 사용하는 것이 좋습니다. 모든 AWS 리소스는 조직 내 다른 곳에 보관하고 관리 AWS 계정 계정에서는 제외하세요. 리소스를 다른 계정에 보관해야 하는 한 가지 중요한 이유는 Organizations 서비스 제어 정책 (SCPs) 이 관리 계정의 사용자 또는 역할을 제한하지 않기 때문입니다. 관리 계정에서 리소스를 분리하면 인보이스의 요금을 파악하는 데도 도움이 됩니다.

조직의 관리 계정에 워크로드를 배포하지 않기

권한 있는 작업은 조직의 관리 계정 내에서 수행할 수 있으며 SCPs 관리 계정에는 적용되지 않습니다. 그러므로 관리 계정에 포함된 클라우드 리소스와 데이터는 관리 계정에서 관리해야 하는 항목으로만 제한해야 합니다.

탈중앙화를 위해 관리 계정 외부에 책임 위임하기

가능하면 관리 계정 외부에 책임과 서비스를 위임하는 것이 좋습니다. 관리 계정에 액세스하지 않고도 조직의 요구 사항을 관리할 수 있도록 팀에 자체 계정 권한을 부여합니다. 또한 조직 전체에서 소프트웨어를 공유하거나 AWS CloudFormation StackSets 스택을 작성 및 배포하는 등 AWS Service Catalog 이 기능을 지원하는 서비스에 위임된 관리자를 여러 명 등록할 수 있습니다.

자세한 내용은 보안 참조 아키텍처, 여러 계정을 사용한 AWS 환경 구성 및 구성원 계정을 다양한 권한의 위임 관리자로 등록하는 방법에 AWS 서비스 함께 사용할 수 있는 AWS Organizations 대한 제안을 참조하십시오. AWS 서비스위임된 관리자 설정에 대한 자세한 내용은 AWS Account Management에 대해 위임된 관리자 계정 활성화 및 에 대한 위임 관리자 AWS Organizations을(를) 참조하십시오.