랜딩 존이란 무엇입니까?

Landding Zone은 확장 가능하고 안전한 잘 설계된 다중 계정 AWS 환경입니다. 이는 귀하의 조직이 보안 및 인프라 환경에 대한 자신감을 갖고 워크로드와 애플리케이션을 신속하게 출범하고 배포할 수 있는 시작점입니다. 랜딩 존을 구축하려면 조직의 성장 및 미래를 위한 업무 목표에 따라 계정 구조, 네트워킹, 보안 및 액세스 관리 전반에 걸쳐 기술 및 업무 결정을 내려야 합니다.

AWS 대규모로 사용하기 시작하면 환경 구축을 AWS 위한 규범적 지침과 접근 방식을 찾아볼 수 있습니다. AWS 이 분야의 모범 사례는 격리 및 영향 범위 감소를 위해 리소스와 워크로드를 여러 AWS 계정 (리소스 컨테이너) 으로 분리해야 하는 필요성에 중점을 둡니다. 다음 섹션에서는 여러 계정을 사용하려는 이유를 설명합니다.

다계정 프레임워크

보유해야 하는 표준 AWS 계정 수는 없지만 계정을 두 개 이상 만드는 것이 좋습니다. AWS 계정이 여러 개일 경우, 가장 높은 수준의 리소스 및 보안 격리가 제공됩니다. 다음 질문 중 하나라도 '예'라고 답한 경우 추가 AWS 계정을 만드는 것을 고려해 보십시오.

귀하의 업무는 워크로드들 사이의 관리적 격리를 요구하는가요?
업무에 워크로드에 대한 가시성과 검색 가능성이 제한적이어야 합니까?
영향 범위를 최소화하기 위해 업무에 격리가 필요한가요?
비즈니스에 복구 또는 감사 데이터에 대한 강력한 격리가 필요한가요?

단일 계정으로는 충분하지 않을 수 있는 다른 이유는 다음과 같습니다.

보안 제어 — 애플리케이션마다 보안 프로필이 다르므로 제어 정책 및 메커니즘이 다를 수 있습니다. 예를 들어, 감사자에게 문의하여 Payment Card Industry (PCI) 워크로드를 호스팅하는 단일 계정을 추천하는 것이 더 쉽습니다.
격리 – 계정은 보안 보호의 한 단위입니다. 잠재적 위험과 보안 위협은 다른 계정에 영향을 주지 않으면서 계정 내에 포함되어야 합니다. 여러 팀이 있거나 보안 프로필이 다르기 때문에 보안 요구 사항이 다르면 한 계정을 다른 계정과 격리해야 할 수도 있습니다.
데이터 격리 — 데이터 저장소를 계정으로 격리하면 해당 데이터 저장소에 액세스하고 관리할 수 있는 사람의 수가 제한됩니다. 이는 매우 사적인 데이터에 대한 노출을 제한하고 일반 데이터 보호 규정 (GDPR) 을 준수하는 데 도움이 됩니다.
다양한 팀 - 팀마다 책임과 리소스 요구 사항이 다릅니다. 동일한 계정에서 서로 방해가 되어서는 안 됩니다.
업무 프로세스 – 사업부 또는 제품마다 목적과 프로세스가 다를 수 있습니다. 업무별 요건을 충족하려면 다른 계정을 설정해야 합니다.
청구 — 송금 수수료 분리를 포함하여 청구 수준에서 항목을 구분할 수 있는 유일한 방법은 계정입니다. 여러 계정을 사용하면 사업부, 직무 팀 또는 개별 사용자 간에 청구 수준에서 항목을 구분할 수 있습니다.
한도 할당 – 계정당 한도. 워크로드를 여러 계정으로 분리하면 워크로드가 한도를 소비하거나 잠재적으로 리소스를 과도하게 프로비저닝하여 다른 애플리케이션이 의도한 대로 작동하지 못하게 되는 것을 방지할 수 있습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

소개

랜딩 존 구축